כשתוקף פוגש פסיכולוגיה
הפסיכולוגיה מאחורי הנדסה חברתית
הנדסה חברתית מבוססת על הבנה מעמיקה של הפסיכולוגיה האנושית ועל ניצול רגשות, נטיות התנהגותיות וקוגניציות אנושיות.
הנה כמה מהעקרונות הפסיכולוגיים המרכזיים שעומדים מאחוריה:
- הטיית אישור: אנשים נוטים לחפש מידע שתומך באמונותיהם הקיימות ולסנן מידע שסותר אותן.
- הטיית עיגון: אנשים נוטים להסתמך באופן מוגזם על המידע הראשון שהם מקבלים בעת קבלת החלטה.
- הטיית נגישות: אנשים נוטים להעריך יותר דברים שזמינים להם בקלות.
- הטיית עדר: אנשים נוטים לקבל החלטות בהתאם למה שאחרים עושים.
- פחד ואשמה: אנשים נוטים לפעול יותר כאשר הם חשים פחד או אשמה.
שימוש בטכניקות מניפולטיביות:
הנדסה חברתית משתמשת בטכניקות מניפולטיביות רבות כדי להערים על אנשים ולגרום להם לפעול כרצון התוקף.
הנה כמה מהטכניקות הנפוצות ביותר:
- יצירת אמון: התחזות לגורם לגיטימי או יצירת תחושה של קשר.
- יצירת תחושת דחיפות: לחץ על הקורבן לפעול באופן מיידי.
- שימוש ברגש: עוררות רגשות כמו פחד, אשמה, חמלה או סקרנות.
- הצגת מידע חלקי: הסתרת מידע חשוב מהקורבן.
- הצגת בחירה כוזבת: הצגת שתי אפשרויות ששתיהן רצויות לתוקף.
השימוש בהנדסה חברתית נפוץ מאוד מכיוון שמדובר בשיטה יעילה מאוד להשגת מידע וגישה למערכות.
האנשים שמשתמשים בהנדסה חברתית יכולים להיות:
- פושעי סייבר: גנבים, האקרים, מרגלים.
- עבריינים: נוכלים, מתחזים.
- ממשלות: ארגוני ביון, יחידות מודיעין.
- אנשים פרטיים: בני זוג קנאים, מתחרים עסקיים.
למה זה נועד?
המטרה היא גניבת מידע אישי, פרטי תשלום, סיסמאות, גישה למערכות ממוחשבות ועוד.
סוגים נפוצים:
- דיוג: התחזות לגורם לגיטימי (כמו בנק או חברת אשראי) באמצעות דואר אלקטרוני, הודעות טקסט או שיחות טלפון, במטרה לגרום לקורבן לבצע פעולה רצויה (כמו לחיצה על קישור זדוני).
- פישינג: יצירת אתר אינטרנט מזויף הדומה לאתר לגיטימי, במטרה לגרום לקורבן להזין את פרטי הכניסה שלו.
- הנדסת תמיכה טכנית: התחזות לטכנאי מחשבים במטרה לגרום לקורבן להתקין תוכנות זדוניות.
- התקפת "פרחח": יצירת תחושת דחיפות או לחץ אצל הקורבן, תוך ניצול רגשות כמו פחד או אשמה, במטרה לגרום לו לפעול ללא מחשבה תחילה.
איפה זה יכול לתפוס אותנו?
- בכל מקום: בבית, בעבודה, ברשתות חברתיות, אפילו בטלפון.
- דוגמאות: קבלת הודעת טקסט מ"חברת הסלולר" עם קישור "לתשלום חשבון", קבלת מייל מ"הבנק" עם בקשה לעדכון פרטי זיהוי.
איך מתגוננים?
- מודעות: חשוב להיות מודעים לסכנה ולסוגים השונים של הנדסה חברתית.
- חשדנות: אל תאמינו באופן אוטומטי לכל מה שאתם רואים או שומעים.
- אימות: ודאו את זהות השולח לפני ביצוע פעולה כלשהי.
- הגנה טכנולוגית: השתמשו בתוכנות אנטי וירוס וחומת אש.
- סיסמאות חזקות: השתמשו בסיסמאות שונות לכל חשבון, וקפידו שלא יהיו פשוטות לנחש.
- דיווח: דווחו על אירועים חשודים לגורמים המוסמכים.
המלצות:
- השתמשו בשכל ישר: אל תלחצו על קישורים חשודים, אל תמסרו פרטים אישיים בטלפון, ואל תתקינו תוכנות ממקורות לא ידועים.
- היו זהירים ברשתות חברתיות: אל תשתפו מידע אישי רב מדי, ואל תקבלו בקשות חברות מאנשים שאינכם מכירים.
- הקפידו על עדכוני אבטחה: ודאו שמערכת ההפעלה והתוכנות שלכם מעודכנות בגרסאות האחרונות.
- שתפו פעולה: שתפו את המידע הזה עם חברים ובני משפחה.
הנדסה חברתית היא איום מתמיד, אך מודעות, חשדנות ונקיטת אמצעי זהירות יכולים להגן עליכם מפני התקפות.
מקורות מידע נוספים:
- מערך הסייבר הלאומי: https://www.gov.il/he/departments/publications/reports/social_engineering
- משטרת ישראל: https://www.gov.il/he/departments/guides/police_cybercrime_social_engineering
5/5 - (1 vote)
Related posts:
- What is SecOPS What Is SecOPS SecOps, short for Security Operations, is a...
- Mobile device management (MDM) Mobile device management (MDM) היא מערכת ניהול המאפשרת לארגונים לנהל...
- SOC מנוהל SOC מנוהל (Security Operations Center) הוא שירות המעניק לארגונים יכולות...
- Preception Point Preception Point הוא פתרון אבטחת דוא"ל חדשני שמשתמש בטכנולוגיית בינה...
- Wizer Wizer Security Awareness הוא פתרון מודעות אבטחה חדשני שמשתמש בטכנולוגיות...
- The Fortification Offered By DKIM Email spoofing is the deceptive practice of forging email headers...
- מה זה MFA ? MFA, או אימות רב-גורמי, הוא סוג של אימות אלקטרוני אשר...
- EDR: קו ההגנה החיוני בעידן משברי הסייבר איך EDR יסייע לנו בעולם של איומים חדשים ומתוחכמים שצצים...
- Zero Trust – אפס אמון: עתיד אבטחת המידע אפס אמון: עתיד אבטחת המידע מה זה Zero Trust? Zero...
- מודעות סייבר ואבטחת מידע: הכרח בעידן הדיגיטלי בעידן הדיגיטלי, מודעות סייבר ואבטחת מידע הן חיוניות לכל ארגון....