הנדסה חברתית

הנדסה חברתית (מאנגלית: Social Engineering) היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. לכן הנדסה חברתית היא אחת מהטכניקות למימוש לוחמת סייבר.

כל הטכניקות בהנדסה חברתית מבוססות על תכונות פסיכולוגיות מסוימות של האדם, בעיקר בתחום קבלת ההחלטות. תכונות אלו, המכונות לעיתים “באגים בחומרת האדם”, ניתנות לניצול בצירופים שונים כדי ליצור טכניקות התקפה. בין סוגי ההתקפות קיימים: דיוג, איסוף מידע, תסריטים, הסחת דעת, פיתוי ועוד.

השימוש בפיתוי הוא בדרך כלל על ידי טקסט שמשכנע את המשתמש להוריד משהו או ללחוץ על קישור. הנה מספר טקסטים לדוגמה:

“מזל טוב! אתה המשתמש מספר מיליון שלנו, לחץ כאן כדי לקבל את הפרס”.

“לחץ כאן כדי להוריד את המשחק (השם של המשחק המבוקש)”.זו דוגמה למשפט בהנדסה חברתית שיכולה לגרום למשתמש שחושב שהוא מוריד משחק מוכר – להפעיל וירוס (למרות שהאנטי-וירוס יודיע למשתמש על ההורדה המסוכנת, ויבקש את אישורו להמשך): “שים לב: האנטי-וירוסים הישנים עלולים להציג את המשחק כוירוס. אל דאגה, המשחק רק משתמש בהרשאות רחבות כדי לחבר אותך אל המשחק”.

שיטה זו מאפשרת לעקוף את כל טכנולוגיות מנגנוני האבטחה (כגון אנטי וירוס, חומת אש וכו’), והיא מתבססת על העובדה שכל מערכות המידע נועדו לספק שירותים למשתמשים כלשהם, ולאותם המשתמשים יש אמצעים לגשת אל המידע שהפורץ רוצה להשיג. לדוגמה, באמצעות הנדסה חברתית, הפורץ יכול לשכנע את המשתמש לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות, או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. למשל, ההאקר הידוע קווין מיטניק, משתמש לעיתים קרובות במונח זה, וטוען שהנדסה חברתית היא הטכניקה האפקטיבית ביותר ב”ארגז הכלים” שלו.

כיום, מנהלי אבטחת מידע רבים מעריכים כי איום זה לחיסיון המידע הארגוני, גדול משמעותית מכל איום טכנולוגי “קלאסי”.הדרכים המקובלות להתמודד ולהגן בהנדסה חברתית היא העלאת המודעות מפני סוגי התקפה של הנדסה חברתית בקרב המשתמשים ובעלי ההרשאות. לדוגמה, בנקים רבים מפרסמים באתרי האינטרנט שלהם שעובדי הבנק לעולם לא יבקשו בטלפון או בדואר אלקטרוני את סיסמת הכניסה לחשבון הבנק של המשתמשים.