אבטחת מידע/הגורם האנושי

מתוך ויקיספר, אוסף הספרים והמדריכים החופשי




גם אם תתכנן את הכספת שאי אפשר לפרוץ, תמיד יהיה מישהו שישכח לסגור את הדלת
-- ברוס שנייר

הנדסה חברתית היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע שמשמעותו שילוב של טכניקות הונאה, התחזות ושכנוע הגורמות לאנשים לציית לבקשת הפורץ. למשל, לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. ההאקר הידוע, קווין מיטניק, משתמש רבות במונח וטוען שהנדסה חברתית היא הטכניקה האפקטיבית ביותר ב-"ארגז הכלים" שלו.

כיום, מנהלי אבטחת מידע רבים מעריכים כי איום זה לחיסיון המידע הארגוני, גדול משמעותית מכל איום טכנולוגי "קלאסי".

הנדסה חברתית הינה שיטה להונות את משתמשי הרשת תוך כדי התחזות לעובדי החברה ועקיפת כל מנגונני האבטחה המקובלים כגון FireWall-IDS-AntiVirus ועוד ציוד אבטחה רב. הדרכים המקובלות להתמודד ולהגן בפני תופעות אלו הינם העלאת המודעות בקרב עובדי הארגון מפני סוגי התקפה של הנדסה חברתית (קיימות מספר רב של התקפות).

אנשים תמימים נוטים להיות קורבנות קלים לפושעים המנצלים את יחסם הטוב ואת תמימותם.

ישנן שיטות רבות בתחום, אך העיקריות הן:

  • התחזות לאדם, מה שמקל על הפושע לקבל פרטים נוספים אודותיו
  • פישינג - גניבת פרטים אישיים או סודיים של מישהו, ע"י אתר אינטרנט מתחזה
  • פישינג טלפוני - הפושע מתקשר לאדם ומבשר לו ש"זכה" בפרס, וע"מ לתת לו את הפרס זקוקים לפרטי חשבון הבנק שלו

התגוננות[עריכה]

הנה כמה כללים מועילים להתגוננות מפני הנדסה חברתית:

  • אל תסמוך על כל אחד - היה חשדן כלפי אנשים זרים. אם זה מתאים לילדים שלך זה מתאים גם לך.
  • היה זהיר באינטרנט - אל תפרסם באינטרנט פרטים אישיים או מידע אודותיך - למה לעשות לפושעים חיים קלים?
  • אם מישהו מציג את עצמו בטלפון, וודאו שהוא אכן מי שהוא טוען שהוא. דרשו הוכחה מספקת.
  • אם מתקשרים אליך ממוקד התמיכה ומבקשים פרטים כמו סיסמת המחשב - אל תתן! אם הם באמת מהתמיכה, יש להם את הפרטים.