Yuval Sinay

עקרונות שכיחים למימוש תקיפה מבוססת הנדסה חברתית (Social Engineering)

/in , , , , , /by

מבוא

בהתאם לויקיפדיה; “הנדסה חברתית היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. הנדסה חברתית היא לכן, אחת מהטכניקות למימוש לוחמת סייבר.שיטה זו מאפשרת לעקוף את כל טכנולוגיות מנגנוני האבטחה (כגון אנטי וירוס, חומת אש וכו’), והיא מתבססת על העובדה שכל מערכות המידע נועדו לספק שירותים למשתמשים כלשהם, ולאותם המשתמשים יש אמצעים לגשת אל המידע שהפורץ רוצה להשיג. לדוגמה, באמצעות הנדסה חברתית, הפורץ יכול לשכנע את המשתמש לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות, או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. למשל, ההאקר הידוע קווין מיטניק, משתמש לעתים קרובות במונח זה, וטוען שהנדסה חברתית היא הטכניקה האפקטיבית ביותר ב”ארגז הכלים” שלו.”

מאמר זה מציג מספר עקרונות למימוש תקיפה מבוססת הנדסה חברתית.

יצוין כי שימוש בעקרונות המצוינים במאמר זה ללא קבלת אישור מקדים מהגורם הרלוונטי עשוי להוות מעשה פלילי, לרבות הפרה של חוק המחשבים, תשנ”ה-1995. ראו גם רע”פ 8464/14 מדינת ישראל נ’ ניר עזרא.

עקרונות שכיחים למימוש תקיפה מבוססת הנדסה חברתית

1. עקרון הסמכות

בעת שימוש בעקרון זה, התוקף מתחזה לבעל סמכות או לגורם הפועל מטעם בעל הסמכות. העובד עשוי לחשוש כי סירובו למלא אחר בקשתו של התוקף עשויה לגרור אותו להסתבכות מבית, ולפיכך הוא מספק לתוקף את המידע הנדרש ואו מבצע עבורו את הפעולה הנדרשת. רק לאחרונה פורסם כי בין השנים 2013-2014 נגרם לחברות בארה”ב נזק של כ-179 מיליון דולר, כאשר התקיפות התבססו על שימוש בשיטות פישינג שבהן התוקף התחזה לגורם ניהולי בכיר. עוד יצוין כי סביר להניח כי היקף הנזק בפועל גבוה יותר, אך מרבית הארגונים שנפגעו אינם ששים לדווח לגורמי חוץ על אירועי אבטחת מידע.

2. אבטחה באמצעות עמימות

ארגונים רבים סוברים כי העדר הידיעה של התוקף לגבי תהליכים, המימוש הספציפי ואו המערכות בארגון עשוי לחסן אותם מפני תקיפה. כך לדוגמא, ההנחה של אותם ארגונים כי רק “שיחה משלוחה מוכרת” יכולה להתבצע למרכז התמיכה (שהינו בעל מספר “חסוי”) מהווה עקב אכילס שתוקפים רבים מנצלים לרעה.

3. עקרון ההזדהותהצורך

בעת שימוש בעקרון זה, התוקף מנסה ליצור הזדהות של הצד השני, תוך שימוש בנרטיביים רגשיים-פסיכולוגיים. כך לדוגמא, התוקף עשוי להציג את עצמו כעובד אשר מאחר בסיום מטלה, ואי קבלת הרשאה ואו מידע עשויה לגרום לפיטוריו. העובד המקבל את השיחה עשוי להרגיש חמלה על התוקף, ולספק לו את המידעההרשאה. דוגמא נוספת הינה התחזות לקרוב משפחה של עובד “הנמצא במצוקה” (תרגיל “התינוק החולה”) , אשר מנסה להשיג את העובד אך ללא הצלחה.

4. ניצול מסגרת זמן דוחקת

על מנת לממש תקיפה אפקטיבית, מקובל כי תוקפים מאתרים מסגרות זמן שבהן ישנה מסגרת זמן דוחקת בארגון, המאפשרת לנצל זאת לרעה. כך לדוגמא, יום חזרה מחופשה ארוכה עשוי להיות זמן אידיאלי לפנייה למרכז התמיכה לשם איפוס סיסמה של “עובד” (שיתכן מאוד שהעובד בפועל עדיין לא חזר מהחופשה), תוך הבנה כי למרכז התמיכה (המוצף משיחות תמיכה) אין את מסגרת הזמן הנאותה לביצוע אימות מלא למתקשר.

5. ניצול מסגרת היכרות מוקדמת

בעת שימוש בעקרון זה, התוקף פוגש את העובד של הארגון במסגרת חיצונית (לדוגמא) מהארגון, כדוגמת מסעדה שבהם שני הצדדים אוכלים ארוחת צהרים. במהלך הזמן התוקף יותר קשרים אישיים עם העובד, תוך שהוא מציג את עצמו כעובד באותו ארגון (לעיתים קרובות בסניף אחר). בשלב מאוחר יותר התוקף מנצל את קשרים אלו לשם השגת מידע ואו ביצוע פעולה עוינת ע”י העובד התמים.

6. שיחות חברה של עובדים במקומות ציבוריים

שכיח לראות כי שיחות של חברה של עובדים במקומות ציבוריים (כדוגמת בית קפה) כוללות התייחסות לנושא נהלים, מערכות, תהליכים, שמות עובדים ובכירים. כל שנותר לאותו תוקף הוא לשבת בצד ולדלות את המידע.

7. ניצול לרעה של “שרשרת האספקה”

שרשרת האספקה כוללת בחובה רשימה של ספקים, גורמי שירות וכו’ המסייעים לארגון בעבודה השוטפת. עם זאת, הגורמים בשרשרת האספקה מהווים יעד אידיאלי למתקפה, וזאת כשלב מקדים לפני התקיפה של היעד האמיתי. כך לדוגמא, ספקי שירות רבים נוטים למסור מידע רב על ארגון פלוני, וכל זאת לשם קידום האינטרסים הכלכליים שלהם. דוגמא אחרת, תוקף עשוי להתחזות לעובד מטעם ספק שירות אשר בא “לתקן” ציוד תקול או לבצע לו תחזוקה שוטפת.

8. ניצול לרעה של טעות אנוש

תוקף עשוי להסתמך על טעות אנוש של עובד, כדוגמת זיהוי קולו של התוקף כשל עובד ארגון מוכר או פרסום מידע רגיש באתר האינטרנט של הארגון. דוגמא אחרת הינה השארת דיסק און קיי בשערי הארגון, וזאת תוך צפייה כי עובד אשר ימצא אותו ינסה לאתר את בעליו, וזאת באמצעות חיבורו למחשב העבודה.

9. איסוף מידע מרשתות חברתיות

הרשתות החברתיות מהוות מקור חשוב באיסוף מידע מודיעיני על הארגון, העובדים וקשריהם. באמצעות הרשתות החברתיות ניתן לדוגמא לבצע מיפוי קשרים פנים ארגוניים, לזהות קשרים חברתיים-משפחתיים של עובדים וכן לאתר טכנולוגיות ומערכות עימן הארגון עובד. בשלב מאוחר יותר ניתן להשתמש במידע שנאסף לשם מימוש תקיפות מתוחכמות יותר, כדוגמת שליחת דואר אלקטרוני הכולל מסר אישי “מקרוב משפחה”.

10. ראיונות עבודה פיקטיביים

‏השימוש בראיונות עבודה פיקטיביים שכיח בעת ביצוע ריגול תעשייתי ואיסוף מודיעיני בין מדינות. וקטור תקיפה זה כולל פנייה לעובד אשר מסומן כמקור ידע ע”י התוקף, וזאת לשם הצעת “משרה אטרקטיבית”. במהלך “ראיונות העבודה” נעשה תהליך דואלי, מצד אחד התוקף מעצים את העובד (“הנבחר”), ומצד שני התוקף מנסה לדלות פרטי מידע החיוניים לו, ולעיתים קיצוניות יותר התוקף מבקש מהעובד לעשות עבורו משהו “קטן”.

11. הפעלת לחץ חברתי

באמצעות פנייה של מספר תוקפים בו-זמנית ואו ברצף לעובד מסוים ניתן להפעיל על אותו עובד לחץ חברתי אשר ישכנע אותו למסור מידע מסווג ואו לבצע פעולה מסוימת. לדוגמא, באמצעות שיחות מרובות לאיש תמיכה ניתן לשכנע אותו שישנה תקלה המחייבת אתחול של שרת, ובכך לפגוע בזמינות שירות ארגוני קריטי. דוגמא אחרת הינה השתלת מידע כוזב לגבי אפשרות להגדלת רווחים באמצעות השקעה במנייה פלונית, כאשר המטרה האמיתית של התוקף היא לבצע “הרצת מניות” או לפגע ברווחי הארגון.

12. תרומות חברתיות לשם רכישת אמון

בעשור האחרון ניתן לראות כי ארגונים רבים החלו לתרום למטרות חברתיות, וזאת במסגרת תכנית ל”אחריות תאגידית”. כך לדוגמא, ארגון פיננסי עשוי לאמץ יחידה צבאית, ובכך לקבל גישה למתקנים ומידע אשר בשוטף לא אמורים להיות לו נגישות אליהם. באמצעות שימוש בתרומות מסוג אלו תוקף עשוי לנצל את האמון של הצד שכנגד, ובכך להשיג חזקה אסטרטגית לטווח ארוך.

13. “האדם השקוף”

האדם השקוף הינו שם כוללני לתיאור האנשים שעובדי הארגון נתקלים בהם מדי יום, אך הם אינם ערים לקיומם. עובד הניקיון והמאבטח מהווים דוגמא קלאסית לאדם השקוף בארגון. לפיכך לא רק שעובדים אלו לא נתפסים כמקור איום אלא הם בעלי נגישות פיזית למרבית המתחמים בארגון. כל שנותר לגורם תוקף אשר מתחזה ל”אדם שקוף” הוא להאזין, לאסוף חומר מודיעיני ולעיתים אף להטמין אמצעי תקיפה אשר יאפשרו לו להשיג חזקה מתמשכת בארגון.

14. תרגיל “בן הערובה”

באמצעות תרגיל “בן הערובה” יוצר התוקף מצב שבו העובד חושב שאי מילוי הנחיות התוקף עשוי לגרום לעובד ואו לבני משפחתו נזק. כך לדוגמא, עובד אשר חשף בטעות מידע מסווג עשוי להיסחט ע”י התוקף, כאשר במקביל העובד יעדיף לסייע לתוקף במקום לדווח על אירוע החשיפה מידית לארגון. דוגמא אחרת כוללת איום לחשיפת מידע אישי, כדוגמת נטיות מיניות.

15. הנחת העובד כי “חוכמת ההמונים” היא מדע מדויק

חכמת ההמונים” נתפסת בעיני רבים ככלי עזר יעיל לפתרון בעיות ואיתור מידע נדרש. עם זאת, באמצעות כלי זה ניתן להונות את העובד לפתרון ואו מידע המועדף על התוקף. לדוגמא, הממשל האמריקאי פרסם לפני זמן קצר קיט עזר לגופי ממשל לטובת ניצול יעיל של “חכמת הממונים”. עם זאת, למרות שהקיט נראה תמים במבט ראשון, ניתן להשתמש בו לשם שינוי הילך הרוח בציבור, לרבות השפעה על בחירות פוליטיות ברמת מדינה.

16. מודל “תן וקח”

מודל “תן וקח” כולל בחובו שימוש בתרגיל שבו התוקף משתף את היעד במידע ייחודי (כדוגמת מהו השכר שהקולגות של העובד מרוויחות, אירוע עתידי אשר החברה תקיים ועדיין לא פורסם), ובכך הוא יוצר מחויבות של היעד להשיב לו טובה. את “טובה” זו התוקף עשוי לממש במהלך השיחה ואו בדיעבד.