פרק 63: מה מסתתר בתוך הטלפון של פריס הילטון? על הנדסה חברתית – טקסט מלא.

מה מסתתר בתוך הטלפון של פריס הילטון? על הנדסה חברתית

 

משתמשי המחשב הותיקים מבין המאזינים ודאי זוכרים את הוירוס I Love You. איך אפשר לשכוח? בשנת 2000 הוירוס הזה היכה את רשת האינטרנט בעוצמה מהממת וכמעט חסרת תקדים. על פי ההערכות כעשרה אחוזים מכלל המחשבים המחוברים לרשת נדבקו בו והנזקים שגרם נאמדים במיליארדי דולרים. הפנטגון, ה-CIA והפרלמנט הבריטי נאלצו להשבית את מערכות הדואר האלקטרוני שלהם כדי למנוע את קריסתן. מה היה כל כך מיוחד וחדשני בוירוס I Love You שאיפשר לו להתפשט במהירות ובהיקף כה נרחב?

לא, אין מדובר בטכנולוגיה חדשנית. I Love You הופץ באמצעות הדואר האלקטרוני על ידי ניצול של פרצת אבטחה מוכרת מאוד בתוכנת אאוטלוק של מיקרוסופט, כזו שוירוסים קודמים כבר עשו בה שימוש- בהצלחה פחותה בהרבה ממנו. סודו של הוירוס הוא בכותרת שלו- כן, I Love You. הוירוס ניצל כאן פרצת אבטחה מסוג אחר לגמרי- פרצה במוח האנושי. משתמשי מחשב שקיבלו את המייל הקטלני לא היו מסוגלים להתאפק: הם מאוד רצו לדעת מי אוהב אותם. ברגע שפתחו את הקובץ המצורף למייל, הוירוס השתלט על המחשב ושלח את עצמו בעותקים רבים לכל מי שברשימת אנשי הקשר שלהם. זה גם היה הטריק השני של הוירוס: העובדה שהוירוס הגיע, כביכול, ממכר של מקבל הדואר, סייעה מאוד להוריד את מפלס החשדנות כלפיו.

'הנדסה חברתית' היא מושג רחב. היא מתארת כל יישום אפשרי של עקרונות פסיכולוגיים וסוציולוגיים שיהפוך פעולה כלשהיא למתאימה יותר לדרך החשיבה האנושית. אנחנו חווים הנדסה חברתית על בשרינו בכל פעם שאנחנו קונים בסופר: האם שמתם לב לעובדה שהירקות ומוצרי היסוד נמצאים תמיד בקצה החנות? זו הנדסה חברתית. בדרך אל מוצרי היסוד נצטרך לעבור דרך כל החנות- ואולי לקנות דבר או שניים שראינו בדרך. קניות מזדמנות, כמו ממתקים, יהיו תמיד קרובות לקופה- היכן שהמרחק בין הכיס שלנו והחריץ של הויזה הוא הקצר ביותר ואינו משאיר לנו זמן להתחרט על האימפולסיביות שלנו.

בהקשר של אבטחת מחשבים, הנדסה חברתית היא הדרך שבה תוקף יכול לתמרן, להשפיע ולהטעות אדם שהוא בעל גישה למידע מסווג בחברה, כדי שימסור לידיו מידע שהתוקף מעוניין בו. התוקף עשוי לשלב מגוון של טכניקות הונאה, התחזות ושכנוע כדי להגיע אל המידע האסור. וירוס I Love You מדגים לנו מדוע מומחי האבטחה רואים בהנדסה חברתית את האיום הגדול ביותר למערכות המחשוב. הארגון יכול להשקיע מיליונים בתוכנות אנטי-וירוס, חומות אש, תוכנות הצפנה מתוחכמות ועוד אלף ואחת טכנולוגיות נוספות- אבל משתמש תמים שלחץ על הקובץ הלא נכון בגלל שהיה סקרן לדעת מה חושבת עליו הבלונדינית החמודה מהמשרד ממול, עקף את כל המערכות הללו ועיקר אותן מתוכן.

אין שום דבר חדש בהנדסה חברתית: רמאים ונוכלים עושים שימוש בטכניקות של שכנוע והונאה מאז שחר ימי ההיסטוריה. מה שהופך את ההנדסה החברתית לאיום כל כך חמור בימינו הוא עלייתן של טכנולוגיות תקשורת שמאפשרות לנו לתקשר מרחוק, ללא מגע פנים אל פנים. חושים שהתחדדו במשך מיליוני שנים כדי לזהות שקר ורמייה על ידי תנועות זעירות של שרירי הפנים, אינם רלוונטים בעידן הטלפון והדואר האלקטרוני. הסיפור הבא מדגים את הסכנה שבהנדסה חברתית.

פריס הילטון. קשה שלא להכיר את השם הזה- מדובר בבחורה שעשתה קריירה מלהיות מפורסמת. יורשת המיליונים של רשת מלונות הילטון הסתבכה בסקנדלים, פרשיות מין ומאסרים בכמות מספקת לעשרים כוכבניות הוליוודיות אחרות. פני הברבי של פריס הילטון מוכרים כמעט בכל העולם המערבי. כמה האקרים אמריקנים צעירים, בגילאי העשרה, החליטו שנמאס להם לנצל את הידע שלהם במחשבים כדי למתוח את החברים והמשפחה בתעלולים מטופשים. הם רצו לעשות משהו גדול, משהו שיעשה קצת גלים בבריכה וימשוך את תשומת לב התקשורת.

לאחד מהם, בחור כבן שבע עשרה, היה רעיון. הוא ידע על באג באתר האינטרנט של חברת הטלפוניה הגדולה 'טי-מובייל'. אפשר לנצל את הבאג הזה כדי להתחבר לרשת האינטרה-נט הפנימית של טי-מובייל, ולקבל גישה אל חשבונות הטלפון של כל הלקוחות. הייתה רק בעיה אחת: כדי להתחבר לרשת האינטרה-נט יש להכניס שם וסיסמא שמקבלים רק עובדים של החברה. הנער התקשר למרכז המכירות של טי-מובייל והציג את עצמו כטכנאי ממוקד התמיכה של החברה. “קיבלתי דיווח על תקלות אצלכם במערכת,” הוא אמר לאיש השיווק שענה לו, “במה אני יכול לעזור?”.

הוא לא בחר במחלקת המכירות במקרה: אנשי השיווק והמכירות של כל חברה הם הפגיעים ביותר לטקטיקות של הנדסה חברתית. אלו אנשים שנבחרו לתפקידם מכיוון שהם חברותיים, נעימים ונוטים להמנע ממחלוקות. הם גם תמיד נגישים מאוד לתקשורת מחוץ לחברה, מה שמציב אותם באופן טבעי בחזית הקרב כנגד תוקף פוטנציאלי. איש המכירות של טי-מובייל לא היה מקרה מיוחד. “אין לנו ממש תקלות במחשב,” הוא אמר ל'טכנאי', “רק קצת איטיות בגלישה באינטרנט מדי פעם.”

זה כל מה שהתוקף היה צריך לשמוע. “כן, זה בדיוק מה שרשום כאן בדו"ח מולי.” הוא אמר לו, “אני אפתור לך את זה. מה שם המשתמש והסיסמא שלך?”. איש המכירות נתן לו את הפרטים. את פרטי השיחה מכאן ואילך אני לא יודע, והאמת? זה גם לא משנה. התוקף קיבל את מה שרצה. מכאן והלאה הוא יכל להמציא אלף ואחד תירוצים כדי לסיים את השיחה. העובד נגס בפתיון, בלע אותו ונגרר לחוף- ולא היה מודע לכך אפילו לשניה.

מצויד בשם המשתמש והסיסמא חדר הפורץ הצעיר לרשת האינטרה-נט הפנימית של טי-מובייל והחל מעיין בשמות הלקוחות. הוא מצא את מספר הטלפון של לורנס פישבורן, השחקן שמוכר בזכות תפקידו כמורפיוס בסידרת 'המטריקס'. הוא וחבריו השתעשעו בכמה מתיחות טלפוניות על חשבונו של פישבורן, אבל זה לא הספיק. הם רצו עוד. ואז, באחד השיטוטים באתר, גילה הנער את חשבונה של- ניחשתם נכון- פריס הילטון. אם רשת האינטרה-נט של טי-מובייל הייתה מכונת מטבעות בלאס-וגאס, כל הנורות והפעמונים היו מהבהבים ומצלצלים כעת בטירוף: זו הייתה הזכיה הגדולה. הטלפון של פריס היה מסוג 'סייד-קיק': טלפון נייד שהוא גם מעין מחשב-כף יד שמכיל תמונות, סרטונים וכדומה. הסרטון הקודם של הילטון שדלף לרשת היה סרט פורנו ביתי שלה, וכל העולם וחבר שלו דיברו עליו. מי יודע אילו סודות מסתיר הסייד-קיק שלה עכשיו?

אבל גם כאן הוצב מכשול בפני ההאקר: כדי לגשת למידע המבוקש צריך לדעת את הסיסמא האישית של פריס הילטון. משימה בלתי-אפשרית? אל תקפיצו את טום קרוז עדיין. מי שמאבד את הסיסמא שלו יכול לשחזר אותה על ידי מענה לשאלה אישית, שאלה שרק הוא יכול לענות עליה. מכל השאלות האפשריות הילטון בחרה את השאלה- 'מהו שמה של חיית המחמד האהובה עליך?'. וראו זה פלא, במקרה לגמרי זמן מה קודם לכן הלך הכלב של הילטון, יצור קטן ואופנתי, לאיבוד: היא פירסמה את שמו ותמונתו בכל מקום אפשרי. מכאן שרק פריס ובערך חצי מתושבי ארצות הברית רבתי יכלו לענות על השאלה האישית שלה. הפורץ איפס את הסיסמא של הטלפון ובכך נעל את פריס הילטון מחוץ לטלפון שלה. כעת הייתה לו גישה חופשית, דרך אתר השירות הפנימי של טי-מובייל, לכל מה שנמצא על הטלפון- והוא אכן מצא שם סרטונים (לא פורנוגרפיים, לרוע…סליחה, למרבה המזל), תמונות ומספרי טלפון של רבים מהסלבריטאים שהילטון הייתה עימם בקשר. המידע הזה הגיע עד מהרה לאתרי אינטרנט רבים וגרם להילטון מבוכה רבה. ההאקר הצעיר נתפס, בסופו של דבר, בגלל מעשה נוכלות אחר ונידון לאחד עשר חודשי מאסר.

סיפורה של פריס הילטון מבהיר לנו שתי נקודות חשובות. הראשונה היא העוצמה האדירה שמעניקה תקשורת דיגיטלית לאדם שיודע כיצד לנצל אותה. פנים מול פנים, לנער בן 17 קשה מאוד לשכנע את איש המכירות של טי-מובייל שהוא טכנאי מוסמך של החברה- אם גילו לא היה מסגיר אותו, הוא היה צריך, לכל הפחות, להשיג תג עובד או פריט זיהוי אחר. אבל דרך הטלפון, האי-מייל או הצ'ט הנחיתות הזו מתחלפת ביכולת תמרון כמעט בלתי ניתנת לעצירה. מי שמחזיק בכלים של הנדסה חברתית יכול להפוך קו טלפון פשוט לכלי נשק יעיל מאין כמותו.

הפרשה הזו גם מדגימה בפנינו את הנקודה החשובה השניה – עד כמה ארגונים גדולים פגיעים לפשיעה באמצעות הנדסה חברתית. רוב העובדים בחברה גדולה כבר לא מכירים זה את זה וחלק גדול מהתקשורת הפנימית מתבצע באמצעים דיגיטליים ולא פנים אל פנים. עובדה זו מאפשרת לתוקף לנסות את מזלו שוב ושוב, בכל פעם מול עובד אחר של החברה, עד שהוא מצליח ומישהו נותן לו את המידע המבוקש. החברה, כגוף, לא תהיה מודעת לניסיונות התקיפה החוזרים ונשנים הללו עד שכבר יהיה מאוחר מדי. ישנם פתרונות לבעיה הזו- נדבר עליהם בהמשך.

עד כמה אנחנו, כבני אדם, פגיעים לטכניקות של הנדסה חברתית? ובכן, הנה ניסוי מעניין. כולנו מחפשים בגוגל, וכולנו מכירים את הפרסומות הקטנות שמופיעות בצד המסך בעקבות כל חיפוש. דידייה סטיבס, מומחה לאבטחת מידע, הציב מודעה כזו. כל מי שחיפש את הביטוי Drive-By Download, מונח שקשור לסוג מסוים של תוכנות מזיקות, קיבל לצד תוצאות החיפוש את המודעה של דידייה (בתרגום חופשי): 'האם המחשב שלך נקי מוירוסים? לחץ כאן כדי להדביק אותו.' כן, אתם מבינים נכון. המודעה מצהירה בברור שמי שיקליק עליה ידבק בוירוס. 409 איש הקליקו על המודעה של דידייה- 409 איש שהיו מוכנים לקחת את הסיכון שיגרם נזק למחשב שלהם רק מכיוון שהם היו סקרנים לגבי המודעה, או שפשוט לא שמו לב על מה הם לוחצים. צריך להבין את המשמעות של המספר הזה: ללא שום התחזות, רמייה, הטעייה או כל סוג אחר של הנדסה חברתית פרט לגירוי הסקרנות האנושית הטבעית, דידייה הצליח להדביק- על הנייר- כמה מאות משתמשים בוירוס. דמיינו לעצמכם עד כמה הייתה מוצלחת המודעה שלו אם היה מכניס בה אלמנטים אפילו מגרים יותר של הנדסה חברתית, למשל מין או סיכוי להרוויח כסף קל. במקרה אחר הקימו כמה סוקרים דוכן רחוב והציעו לעוברים ושבים שוקולד תמורת כמה פרטי מידע בסיסיים, כמו סיסמאת המחשב שלהם. שבעים אחוזים מהנשאלים היו מוכנים לעסקה, והם עוד היו ה'אגוזים הקשים' בערימה. שלושים אחוזים היו מוכנים למסור את הפרטים אפילו בלי לקבל שוקולד.

לא רק חברות גדולות כמו טי-מובייל וסלבריטאים כמו פריס הילטון עשויים להיות קורבנות להונאה בעזרת הנדסה חברתית. בעידן האינטרנט, כולנו קורבנות פוטנציאליים. אחת התרמיות הנפוצות ביותר דרך הרשת היא ה'פישינג'. הנה תרחיש טיפוסי להונאת פישינג: בוקר אחד נוחת בתיבת הדואר האלקטרוני שלך מייל מחברת האשראי, הבנק או כל ארגון פיננסי דומה: הוא כתוב בשפה רשמית, ואפילו מופיע בו הלוגו של החברה. ההודעה במייל דורשת ממך להכנס בדחיפות לאתר הבנק כדי להסדיר בעיה חמורה כלשהיא: כספים שכביכול נמשכו מהחשבון ללא היתר, תקלה טכנית, צ'ק שחזר ודברים באותו הסגנון. בתחתית המכתב מופיע קישור שעליו יש ללחוץ כדי להגיע אל האתר המדובר.

מבוהל, אתה לוחץ על הקישור ומגיע אל מה שנראה כאתר הרשמי של החברה: העיצוב, הלוגו, הגופן, השפה הרשמית- הכל נראה כשר. בשדות המתאימים אתה מכניס את שם המשתמש והסיסמא כדי להכנס לחשבון שלך…וזהו. התרמית נסתיימה. הודעה מנומסת מודה לך על שיתוף הפעולה, או שאתה נזרק מהאתר ללא כל הסבר.  הנוכלים השיגו את מבוקשם: שם המשתמש והסיסמא הסודית שלך בידיהם, וכעת הם חופשיים להכנס לחשבונך ולעשות בו כרצונם…ולא, הם לא מתכוונים להפקיד שם כסף.

מה בדיוק קרה כאן? המייל שנשלח אליך היה מלאכת מחשבת של הנדסה חברתית. הגרפיקה והעיצוב תוכננו כדי לשכנע אותך שהמקור שלהם מהימן ורשמי. התוכן הוא תמיד בהול ודחוף כדי להציף אצל הקורבן רגשות חזקים- פחד, בדרך כלל- שיעקפו את הזהירות הטבעית וידרבנו לפעולה מהירה מבלי לחשוב. אם נבחן בפרוטרוט את הקישור שעליו אנחנו מתבקשים ללחוץ, נגלה תמיד שהוא מוליך אותנו לכתובת מטעה במכוון. במקום paypal.com הקישור יהיה ל-paypal.net. במקום leumi.co.il הכתובת תהיה leumibank.co.il. העקרון הוא פשוט ביותר: יש רק כתובת אחת שתיקח אותנו לאתר הרשמי של בנק לאומי, אבל אפשר לחשוב על אינספור ואריאציות של הכתובת הזו שיפתו אותנו להקליק עליהן- ויקחו אותנו אל אתר אחר לגמרי.

האתר האחר הזה נבנה גם הוא כדי לשכנע אותנו שאנחנו אכן באתר הרשמי של הבנק. קל, קל מאוד אפילו, להעתיק דפי אינטרנט שלמים- על עיצובם, תוכנם והלוגואים- ולהתחזות לאתר אחר. אין צורך להעתיק את כל האתר בשלמותו על כל עשרות או מאות דפי האינטרנט שבו: מספיק להעתיק רק את הדף הראשי- ומשם לקלוט את שם המשתמש והסיסמא.

המילה 'פישינג', 'דיוג' בעברית (תודו לויקטור בן עזרא על התרגום לעברית, אני בחיים לא הייתי עולה על זה), מסבירה את העיקרון שבבסיס התרמית הזו. המייל המטעה נשלח במיליוני עותקים:  זוהי החכה הוירטואלית של הנוכל. רובם המוחלט של האנשים שמקבלים את המייל הזה יתעלמו ממנו: חלקם אינם לקוחות של הבנק המדובר, חלקם מכירים את התרמית, חלקם בכלל לא מדבר את השפה שבה המייל כתוב. אבל פה ושם מישהו יבלע את הפתיון. אולי זה מישהו שבמקרה מחכה להודעה חשובה מהבנק, או שאולי הוא חושד שפעולה לא-חוקית התבצעה בחשבונו והמייל המטעה נחת בתיבת הדואר שלו בתזמון מושלם. הנוכל צריך לתפוס רק קורבן אחד או שניים כדי שהתרמית תשתלם לו. את המילה 'פישינג', דרך אגב, לא מאייתים עם f בהתחלה כמו במובן המקובל של המילה אלא עם ph . כי היא מושפעת מהמילה phreaking – ביטוי סלנג המתאר פריצה למערכות טלפוניה ושימוש לא חוקי בהן.

כעת, כשהוא יכול להכנס לחשבון הבנק של הקורבן, מה יכול הנוכל לעשות? הוא יכול, כמובן, להעביר את הכסף לחשבון הפרטי שלו- אבל זה מסוכן, ויש סיכוי טוב שיעלו עליו. הנה אפשרות אחרת, יעילה לא פחות. הנוכל רוכש מראש, עוד לפני התרמית, מניות של חברה קטנה ולא מוכרת- מניות חוקיות ולגיטימיות לחלוטין, אבל כאלה שבדרך כלל אין סביבן הרבה מסחר. אחרי שפרץ לחשבונו של הקורבן, הוא יכול לתת לבנק הוראה לקנות כמות גדולה של המניות הללו עם הכסף הגנוב. מכיוון שאין הרבה מסחר במניה הקטנה, הוראת הקניה הפתאומית הזו מקפיצה את שער המניה בבת אחת פי כמה וכמה- ואז הנוכל מוכר את המניה שהחזיק ברשותו ברווח נאה. הקורבן מוצא את עצמו מחזיק בידיו ערימה של מניות כמעט חסרות ערך שקנה בסכום גבוה, והרמאי נעלם עם ערימה נאה של מזומנים. הנזקים הכלל-עולמיים מתרמיות פישינג מוערכים במיליארדי דולרים בכל שנה.

סוג מיוחד של תרמית פישינג הוא זה המכונה Spear Phising, 'דיוג בחנית' – או לפעמים Whaling, 'ציד לוויתנים'. בתרמית הזו הקורבנות נבחרים בקפידה והמייל המפוברק נשלח אליהם בלבד. בדרך כלל מדובר במנהלים בכירים, כאלה שיש להם גישה לחשבונות הבנק של הארגון- היכן שנמצא הכסף הגדול באמת. הנוכל מבצע עבודת תחקיר מקדימה כדי למצוא מידע רב ככל האפשר על הקורבן. למשל, הוא רואה שהמנהל המדובר כתב בפייסבוק- 'סיימתי היום קורס מנהלים, היה מצוין!'. או אז הוא שולח לו מייל בסגנון- 'שלום, כאן מזכירת הקורס שבו השתתפת: אנא היכנס לחשבון הקורס שלך כדי להסדיר את החוב הכספי.' הקישור במייל יוביל, כמובן, אל אתר שהוא שכפול של האתר האמיתי של הקורס. מכיוון שרוב האנשים נוטים להשתמש באותה הסיסמא לכל חשבונות האינטרנט שלהם, ישנו סיכוי סביר שהסיסמא שיכניס המנהל תהיה גם הסיסמא שלו בבנק, במחשב של העבודה וכולי. דרכו של הנוכל אל הכסף הגדול סלולה.

איך ניתן להמנע מנפילה ברשת הפישינג? אם הקשבתם לי עד לנקודה זו, אתם כבר עם רגל אחת מחוץ למלכודת. מי שמכיר את התרמית הזו ויודע לזהות את הסימנים המעידים שלה, יכול להתחמק ממנה בקלות. ידע הוא כח. פתרונות נוספים הם טכנולוגיים בעיקרם. ספקיות הדואר האלקטרוני מסננות מראש מיילים שנחשדים כתרמיות פישינג וזורקות אותם לתיבת הספאם. כמעט בכל דפדפן מודרני משולבת טכנולוגיה שבודקת את האתר שאליו המשתמש מנסה להגיע, ומזהירה אותו מראש שמדובר באתר חשוד בפישינג.

אבל הפתרונות הטכנולוגיים רחוקים מלהיות מושלמים ועל כן אין תחליף להכרות מקדימה עם הטכניקות הנפוצות של הנדסה חברתית. ואם אנחנו רוצים ללמוד על טכניקות של הנדסה חברתית, כדאי ללמוד מהטובים ביותר. הטובים ביותר למדו את מה שהם יודעים מהמומחים. והמומחים? המומחים הולכים אל קווין מיטניק.

כשהצליחו סוכני ה-FBI, אחרי מצוד ממושך ודרמטתי, ללכוד את קווין מיטניק- הם לא התייחסו אליו כאל עוד האקר שגרתי. במשך כארבע וחצי שנים מתוך חמש שנות המאסר שנגזרו עליו מיטניק הוחזק בבידוד, מנותק לחלוטין מהעולם החיצון. ה-FBI ביקש מהשופט למנוע ממנו כל גישה אל אמצעי תקשורת מכיוון שמיטניק, על פי הסברה, מסוגל לפרוץ אל מחשבי הפטנגון באמצעות שריקות דרך טלפון ציבורי רגיל ולהתחיל במלחמת עולם שלישית. השופט השתכנע בקלות: לקווין מיטניק היה מוניטין של ההאקר הטוב ביותר והמסוכן ביותר אי פעם. הדיווחים בעיתונים על מעלליו העניקו לו יכולות על אנושיות. סיפרו עליו שהוא מסוגל לפרוץ לכל מחשב, לחדור לכל ארגון, לגנוב כל מידע שיעלה ברצונו. הוא היה באטמן, סופרמן וניאו בחבילה אחת.

ומה היא האמת? האמת, כנראה, קצת יותר מסובכת. קווין מיטניק היה האקר טוב, בכך אין כל ספק. הוא פרץ למחשביהם של שורה ארוכה של ארגונים וחברות, גנב מידע חסוי ולנזקים שונים במאגרי המידע (לטענתו, מעולם לא גנב כסף). אפשר להקדיש פרקים שלמים למעלליו של מיטניק ולסיפור המרדף הארוך אחריו. היו לו, כמובן, יכולות טכנולוגיות מרשימות מאוד: כבר בגיל 17, לדבריו, הוא ידע יותר על מרכזיות טלפון מאשר כל עובד של חברת הטלפון עצמה. הידע הזה איפשר לו לדבר עם כל טכנאי ומוקדן ולשכנע אותם שהוא חלק מהמערכת.  אבל מיטניק עצמו הוא הראשון להודות שהוא אינו המתכנת הטוב ביותר או שהידע שלו בענייני מחשבים הוא הנרחב ביותר.

וזהו, כנראה, סוד כוחו של קווין מיטניק: הוא היה מטובי המהנדסים החברתיים בהיסטוריה, אולי אפילו הטוב ביותר. בספרים שכתב לאחר ששוחרר מכלאו הוא מסביר את הפילוסופיה שלו במילים פשוטות: מיטניק תקף תמיד את החוליה החלשה בשרשרת האבטחה. אם החולייה החלשה הזו הייתה תוכנה או מכשיר שקל לפרוץ אותו- מה טוב. אבל ברוב המקרים החולייה החלשה הייתה האדם שידע את הסיסמא למערכת. למעשה, מיטניק כותב שהוא מעולם לא הצליח למצוא סיסמאת מחשב באמצעים טכנולוגיים- הוא תמיד קיבל אותה דרך הטלפון, או מצא אותה משורבטת על פיסת נייר ליד המחשב כשהתחזה לאיש ניקיון או טכנאי. הוא טוען שהמוניטין שלו כגדול ההאקרים בכל הזמנים הוא תוצאה של ניפוח כותרות מלאכותיות בתקשורת וגרם לו יותר צרות מאשר רווחים: אלמלא היה כה ידוע לשמצה, סביר להניח שהממשלה לא הייתה מנהלת אחריו מרדף כה ממושך ויקר. כיום קווין מיטניק הוא יועץ לענייני אבטחת מידע, אבל העבר שלו ממשיך לרדוף אחריו- כל ילד שחולם להיות האקר מנסה לפרוץ לאתר האינטרנט של 'מיטניק הגדול', וספקיות השירות שלו כבר לא ממש רוצות להתמודד עם כל הברדק.

הטכניקות שאותן מתאר מיטניק בספריו הן פשוטות, ועם זאת יעילות ביותר. חיוך, בדיחה ידידותית וקריצה הן דרך מצוינת להפחית מתחים ולזכות באמונו של הקורבן. אם התוקפת היא אישה, יש לה יתרון פסיכולוגי אדיר על פני קורבנות גברים: מעט גברים יקשיחו את ליבם ולא יסייעו לעלמה במצוקה. מצוקה, דרך אגב, היא מילת מפתח חשובה. אם התוקף ינסה להוציא את המידע באגרסיביות ובתוקפנות, הוא יעורר אנטגוניזם וקרוב לוודאי ייכשל. עדיף לבקש מהקורבן עזרה, ובכך להכניס אותו לתפקיד 'האביר המושיע': כולנו אוהבים להרגיש חשובים, וקל לנו לשחרר מידע מסווג מתוך עמדה של כוח- גם אם היא מדומה.

אם התוקף בוחר בכל זאת להגיע אל השיחה מעמדה של כוח, עליו להכין את הקרקע היטב. שיטה בדוקה היא 'צלילה' לתוך פחי האשפה של הארגון כדי לדלות משם ספרי טלפונים ישנים, כרטיסי ביקור ומסמכים לא מסווגים אחרים. התוקף יכול לגלות שמנהל כלשהו נמצא מחוץ לעיר ואז להתקשר למרכז התמיכה הטכנית, להתחזות לאותו מנהל ולבקש גישה חיצונית לרשת החברה מכיוון שהסיסמא שלו אבדה או כל תירוץ אחר המתקבל על הדעת. התחפושת לא חייבת להיות מושלמת: הקורבן נוטה להשלים את פערי המידע בעצמו. כמה איזכורי שמות, של עובדים אחרים או פרוייקטים חשובים, טון של דחיפות מנומסת וקול תקיף ובוטח עשויים להספיק. אם הניסיון הראשון נתגלה וסוכל, התוקף פשוט מנתק ונעלם אל תוך הלילה- ובכל אופן, לבקש ממישהו סיסמא זו אינה עבירה פלילית…

כפי שניתן לשער, קשה מאוד להגן על מידע רגיש מפני התקפה המבוססת על הנדסה חברתית. מחלקת האבטחה של הארגון יכולה להשקיע מיליוני דולרים בחומות אש, שרתים מאובטחים ודלתות בעלות מנעולי קומבינציה, אבל כל מה שהתוקף צריך לעשות זה להשאיר על הריצפה דיסק ועליו הכיתוב "משכורות עובדים". מעטים האנשים שלא יעמדו בפיתוי לדעת כמה בדיוק מרוויחים עמיתיהם. הם יכניסו את הדיסק לכונן המחשב, יפעילו קבצים נגועים וסוסים טרוייאנים חבויים ובכך יעקפו בבת אחת את כל ההגנות המתוחכמות שהציבה מחלקת האבטחה.

מה כן אפשר לעשות? הצעד הראשון והחשוב ביותר הוא חינוך. כל עובדי החברה, ובמיוחד אותם אנשים שעומדים בקשר רציף עם העולם החיצון, חייבים להיות מסוגלים לזהות התקפה באמצעות הנדסה חברתית. כל מבקר או מתקשר שלא נותן מספיק פרטים מזהים, שואל שאלות עמומות או משונות בטון שמצביע על דחיפות- הוא חשוד מיידי. החינוך הוא סוג של חיסון, כמו נגד אבעבועות רוח: ברגע שנחשפת לטכניקות ההתקפה, תהיה פחות פגיע אליהן בעתיד.

נהלי העבודה של הארגון חייבים ליישם מידור של מידע: לא כל עובד צריך לדעת את כל הסיסמאות והיכן נמצא המידע המסווג. המידור צריך להישמר גם ברמה הפיסית: מידור בין רשתות מחשבים בדרגות סיווג שונות, אישורי כניסה לאיזורים מסויימים בקומה רק למי שיש לו תעודות זיהוי מתאימות וכדומה. יש להבהיר באופן שאינו משתמע לשתי פנים שלא נותנים לעולם סיסמאות דרך הטלפון. אם עולה חשד לגבי זהותו של אדם בצד השני של השפורפרת, יש לבקש את מספר הטלפון שלו ולהתקשר אליו חזרה: פעולה זו לבדה עשויה להרתיע תוקף ולהבריח אותו. כאמור, התוקף עשוי לנסות את מזלו אצל כמה וכמה עובדים לפני שיצליח להשיג את מבוקשו- ולכן על המערכת להיות מסוגלת לזהות שהיא תחת מתקפה. כל עובד שנתקל בפעילות חשודה צריך לדווח למקום מרכזי אחד- הצטברות של כמה מקרים כאלו עשויה להדליק את נוריות האזהרה אצל אחראי האבטחה.

ועדיין, אחרי כל זה, אנשים מסוגו של קווין מיטניק- מהנדסים חברתיים מומחים- לעולם יהוו איום מתמיד ומוחשי. באחד הימים איתגר מישהו את מיטניק בהתערבות. אם תצליח להשיג את מספר כרטיס הטלפון הסודי שלי מחברת הטלפון, הוא אמר לו, אני מבטיח לך ארוחה טובה. מיטניק הוא לא אחד שיסרב לארוחה טובה. הוא התקשר למוקד השירות של חברת הטלפון והתחזה לטכנאי ממחלקת התמיכה הטכנית. 'האם נתקלתם בבעיה עם המחשבים?' הוא שאל, ממש כמו אותו האקר צעיר שפרץ למכשיר של פריס הילטון. אבל המוקדנית הייתה קשוחה מהרגיל. כשהחל לשאול שאלות לגבי פרטי כרטיס הטלפון המבוקש, היא החלה לחשוד ולהתקיל אותו בשאלות: מי אתה בדיוק? מי הבוס שלך? איפה אתה נמצא ועוד שאלות דומות. מיטניק הבין שנתפס וניתק את הטלפון.

ואז הוא ביקש מחבר אחר שלו לחייג עבורו למרכז השירות. החבר, תחת הנחייתו של מיטניק, ביקש להגיע אל אותה המוקדנית. "שלום,” הוא אמר לה, “שמי כך וכך ממחלקת ביטחון שדה. קיבלתי דיווח שמישהו ניסה להוציא ממך מידע חסוי בדרכים לא כשרות.” המוקדנית, גאה בסיכול המוצלח שלה, סיפרה לו את הסיפור כולו והחבר העמיד פנים שהוא רושם את הכל בדו"ח מסודר. “ודרך אגב…” הוא שאל לפני תום השיחה, “איזה מידע בדיוק חיפש אותו אדם?”. “את המספר הזה…” ענתה המוקדנית, ונתנה לו את פרטי כרטיס הטלפון הסודי. מיטניק זכה בארוחה.


לרכישת הפרק •  הרשמה לעדכונים בדוא"ל על פרקים חדשים


קרא עוד בנושאים דומים:

אודות:

ספריו של רן:

כתיבת תגובה

האימייל לא יוצג באתר.

הנדסה חברתית | פודקאסט עושים היסטוריה עם רן לוי

פרק 63: מה מסתתר בתוך הטלפון של פריס הילטון? על הנדסה חברתית – טקסט מלא.

מה מסתתר בתוך הטלפון של פריס הילטון? על הנדסה חברתית

 

משתמשי המחשב הותיקים מבין המאזינים ודאי זוכרים את הוירוס I Love You. איך אפשר לשכוח? בשנת 2000 הוירוס הזה היכה את רשת האינטרנט בעוצמה מהממת וכמעט חסרת תקדים. על פי ההערכות כעשרה אחוזים מכלל המחשבים המחוברים לרשת נדבקו בו והנזקים שגרם נאמדים במיליארדי דולרים. הפנטגון, ה-CIA והפרלמנט הבריטי נאלצו להשבית את מערכות הדואר האלקטרוני שלהם כדי למנוע את קריסתן. מה היה כל כך מיוחד וחדשני בוירוס I Love You שאיפשר לו להתפשט במהירות ובהיקף כה נרחב?

לא, אין מדובר בטכנולוגיה חדשנית. I Love You הופץ באמצעות הדואר האלקטרוני על ידי ניצול של פרצת אבטחה מוכרת מאוד בתוכנת אאוטלוק של מיקרוסופט, כזו שוירוסים קודמים כבר עשו בה שימוש- בהצלחה פחותה בהרבה ממנו. סודו של הוירוס הוא בכותרת שלו- כן, I Love You. הוירוס ניצל כאן פרצת אבטחה מסוג אחר לגמרי- פרצה במוח האנושי. משתמשי מחשב שקיבלו את המייל הקטלני לא היו מסוגלים להתאפק: הם מאוד רצו לדעת מי אוהב אותם. ברגע שפתחו את הקובץ המצורף למייל, הוירוס השתלט על המחשב ושלח את עצמו בעותקים רבים לכל מי שברשימת אנשי הקשר שלהם. זה גם היה הטריק השני של הוירוס: העובדה שהוירוס הגיע, כביכול, ממכר של מקבל הדואר, סייעה מאוד להוריד את מפלס החשדנות כלפיו.

'הנדסה חברתית' היא מושג רחב. היא מתארת כל יישום אפשרי של עקרונות פסיכולוגיים וסוציולוגיים שיהפוך פעולה כלשהיא למתאימה יותר לדרך החשיבה האנושית. אנחנו חווים הנדסה חברתית על בשרינו בכל פעם שאנחנו קונים בסופר: האם שמתם לב לעובדה שהירקות ומוצרי היסוד נמצאים תמיד בקצה החנות? זו הנדסה חברתית. בדרך אל מוצרי היסוד נצטרך לעבור דרך כל החנות- ואולי לקנות דבר או שניים שראינו בדרך. קניות מזדמנות, כמו ממתקים, יהיו תמיד קרובות לקופה- היכן שהמרחק בין הכיס שלנו והחריץ של הויזה הוא הקצר ביותר ואינו משאיר לנו זמן להתחרט על האימפולסיביות שלנו.

בהקשר של אבטחת מחשבים, הנדסה חברתית היא הדרך שבה תוקף יכול לתמרן, להשפיע ולהטעות אדם שהוא בעל גישה למידע מסווג בחברה, כדי שימסור לידיו מידע שהתוקף מעוניין בו. התוקף עשוי לשלב מגוון של טכניקות הונאה, התחזות ושכנוע כדי להגיע אל המידע האסור. וירוס I Love You מדגים לנו מדוע מומחי האבטחה רואים בהנדסה חברתית את האיום הגדול ביותר למערכות המחשוב. הארגון יכול להשקיע מיליונים בתוכנות אנטי-וירוס, חומות אש, תוכנות הצפנה מתוחכמות ועוד אלף ואחת טכנולוגיות נוספות- אבל משתמש תמים שלחץ על הקובץ הלא נכון בגלל שהיה סקרן לדעת מה חושבת עליו הבלונדינית החמודה מהמשרד ממול, עקף את כל המערכות הללו ועיקר אותן מתוכן.

אין שום דבר חדש בהנדסה חברתית: רמאים ונוכלים עושים שימוש בטכניקות של שכנוע והונאה מאז שחר ימי ההיסטוריה. מה שהופך את ההנדסה החברתית לאיום כל כך חמור בימינו הוא עלייתן של טכנולוגיות תקשורת שמאפשרות לנו לתקשר מרחוק, ללא מגע פנים אל פנים. חושים שהתחדדו במשך מיליוני שנים כדי לזהות שקר ורמייה על ידי תנועות זעירות של שרירי הפנים, אינם רלוונטים בעידן הטלפון והדואר האלקטרוני. הסיפור הבא מדגים את הסכנה שבהנדסה חברתית.

פריס הילטון. קשה שלא להכיר את השם הזה- מדובר בבחורה שעשתה קריירה מלהיות מפורסמת. יורשת המיליונים של רשת מלונות הילטון הסתבכה בסקנדלים, פרשיות מין ומאסרים בכמות מספקת לעשרים כוכבניות הוליוודיות אחרות. פני הברבי של פריס הילטון מוכרים כמעט בכל העולם המערבי. כמה האקרים אמריקנים צעירים, בגילאי העשרה, החליטו שנמאס להם לנצל את הידע שלהם במחשבים כדי למתוח את החברים והמשפחה בתעלולים מטופשים. הם רצו לעשות משהו גדול, משהו שיעשה קצת גלים בבריכה וימשוך את תשומת לב התקשורת.

לאחד מהם, בחור כבן שבע עשרה, היה רעיון. הוא ידע על באג באתר האינטרנט של חברת הטלפוניה הגדולה 'טי-מובייל'. אפשר לנצל את הבאג הזה כדי להתחבר לרשת האינטרה-נט הפנימית של טי-מובייל, ולקבל גישה אל חשבונות הטלפון של כל הלקוחות. הייתה רק בעיה אחת: כדי להתחבר לרשת האינטרה-נט יש להכניס שם וסיסמא שמקבלים רק עובדים של החברה. הנער התקשר למרכז המכירות של טי-מובייל והציג את עצמו כטכנאי ממוקד התמיכה של החברה. “קיבלתי דיווח על תקלות אצלכם במערכת,” הוא אמר לאיש השיווק שענה לו, “במה אני יכול לעזור?”.

הוא לא בחר במחלקת המכירות במקרה: אנשי השיווק והמכירות של כל חברה הם הפגיעים ביותר לטקטיקות של הנדסה חברתית. אלו אנשים שנבחרו לתפקידם מכיוון שהם חברותיים, נעימים ונוטים להמנע ממחלוקות. הם גם תמיד נגישים מאוד לתקשורת מחוץ לחברה, מה שמציב אותם באופן טבעי בחזית הקרב כנגד תוקף פוטנציאלי. איש המכירות של טי-מובייל לא היה מקרה מיוחד. “אין לנו ממש תקלות במחשב,” הוא אמר ל'טכנאי', “רק קצת איטיות בגלישה באינטרנט מדי פעם.”

זה כל מה שהתוקף היה צריך לשמוע. “כן, זה בדיוק מה שרשום כאן בדו"ח מולי.” הוא אמר לו, “אני אפתור לך את זה. מה שם המשתמש והסיסמא שלך?”. איש המכירות נתן לו את הפרטים. את פרטי השיחה מכאן ואילך אני לא יודע, והאמת? זה גם לא משנה. התוקף קיבל את מה שרצה. מכאן והלאה הוא יכל להמציא אלף ואחד תירוצים כדי לסיים את השיחה. העובד נגס בפתיון, בלע אותו ונגרר לחוף- ולא היה מודע לכך אפילו לשניה.

מצויד בשם המשתמש והסיסמא חדר הפורץ הצעיר לרשת האינטרה-נט הפנימית של טי-מובייל והחל מעיין בשמות הלקוחות. הוא מצא את מספר הטלפון של לורנס פישבורן, השחקן שמוכר בזכות תפקידו כמורפיוס בסידרת 'המטריקס'. הוא וחבריו השתעשעו בכמה מתיחות טלפוניות על חשבונו של פישבורן, אבל זה לא הספיק. הם רצו עוד. ואז, באחד השיטוטים באתר, גילה הנער את חשבונה של- ניחשתם נכון- פריס הילטון. אם רשת האינטרה-נט של טי-מובייל הייתה מכונת מטבעות בלאס-וגאס, כל הנורות והפעמונים היו מהבהבים ומצלצלים כעת בטירוף: זו הייתה הזכיה הגדולה. הטלפון של פריס היה מסוג 'סייד-קיק': טלפון נייד שהוא גם מעין מחשב-כף יד שמכיל תמונות, סרטונים וכדומה. הסרטון הקודם של הילטון שדלף לרשת היה סרט פורנו ביתי שלה, וכל העולם וחבר שלו דיברו עליו. מי יודע אילו סודות מסתיר הסייד-קיק שלה עכשיו?

אבל גם כאן הוצב מכשול בפני ההאקר: כדי לגשת למידע המבוקש צריך לדעת את הסיסמא האישית של פריס הילטון. משימה בלתי-אפשרית? אל תקפיצו את טום קרוז עדיין. מי שמאבד את הסיסמא שלו יכול לשחזר אותה על ידי מענה לשאלה אישית, שאלה שרק הוא יכול לענות עליה. מכל השאלות האפשריות הילטון בחרה את השאלה- 'מהו שמה של חיית המחמד האהובה עליך?'. וראו זה פלא, במקרה לגמרי זמן מה קודם לכן הלך הכלב של הילטון, יצור קטן ואופנתי, לאיבוד: היא פירסמה את שמו ותמונתו בכל מקום אפשרי. מכאן שרק פריס ובערך חצי מתושבי ארצות הברית רבתי יכלו לענות על השאלה האישית שלה. הפורץ איפס את הסיסמא של הטלפון ובכך נעל את פריס הילטון מחוץ לטלפון שלה. כעת הייתה לו גישה חופשית, דרך אתר השירות הפנימי של טי-מובייל, לכל מה שנמצא על הטלפון- והוא אכן מצא שם סרטונים (לא פורנוגרפיים, לרוע…סליחה, למרבה המזל), תמונות ומספרי טלפון של רבים מהסלבריטאים שהילטון הייתה עימם בקשר. המידע הזה הגיע עד מהרה לאתרי אינטרנט רבים וגרם להילטון מבוכה רבה. ההאקר הצעיר נתפס, בסופו של דבר, בגלל מעשה נוכלות אחר ונידון לאחד עשר חודשי מאסר.

סיפורה של פריס הילטון מבהיר לנו שתי נקודות חשובות. הראשונה היא העוצמה האדירה שמעניקה תקשורת דיגיטלית לאדם שיודע כיצד לנצל אותה. פנים מול פנים, לנער בן 17 קשה מאוד לשכנע את איש המכירות של טי-מובייל שהוא טכנאי מוסמך של החברה- אם גילו לא היה מסגיר אותו, הוא היה צריך, לכל הפחות, להשיג תג עובד או פריט זיהוי אחר. אבל דרך הטלפון, האי-מייל או הצ'ט הנחיתות הזו מתחלפת ביכולת תמרון כמעט בלתי ניתנת לעצירה. מי שמחזיק בכלים של הנדסה חברתית יכול להפוך קו טלפון פשוט לכלי נשק יעיל מאין כמותו.

הפרשה הזו גם מדגימה בפנינו את הנקודה החשובה השניה – עד כמה ארגונים גדולים פגיעים לפשיעה באמצעות הנדסה חברתית. רוב העובדים בחברה גדולה כבר לא מכירים זה את זה וחלק גדול מהתקשורת הפנימית מתבצע באמצעים דיגיטליים ולא פנים אל פנים. עובדה זו מאפשרת לתוקף לנסות את מזלו שוב ושוב, בכל פעם מול עובד אחר של החברה, עד שהוא מצליח ומישהו נותן לו את המידע המבוקש. החברה, כגוף, לא תהיה מודעת לניסיונות התקיפה החוזרים ונשנים הללו עד שכבר יהיה מאוחר מדי. ישנם פתרונות לבעיה הזו- נדבר עליהם בהמשך.

עד כמה אנחנו, כבני אדם, פגיעים לטכניקות של הנדסה חברתית? ובכן, הנה ניסוי מעניין. כולנו מחפשים בגוגל, וכולנו מכירים את הפרסומות הקטנות שמופיעות בצד המסך בעקבות כל חיפוש. דידייה סטיבס, מומחה לאבטחת מידע, הציב מודעה כזו. כל מי שחיפש את הביטוי Drive-By Download, מונח שקשור לסוג מסוים של תוכנות מזיקות, קיבל לצד תוצאות החיפוש את המודעה של דידייה (בתרגום חופשי): 'האם המחשב שלך נקי מוירוסים? לחץ כאן כדי להדביק אותו.' כן, אתם מבינים נכון. המודעה מצהירה בברור שמי שיקליק עליה ידבק בוירוס. 409 איש הקליקו על המודעה של דידייה- 409 איש שהיו מוכנים לקחת את הסיכון שיגרם נזק למחשב שלהם רק מכיוון שהם היו סקרנים לגבי המודעה, או שפשוט לא שמו לב על מה הם לוחצים. צריך להבין את המשמעות של המספר הזה: ללא שום התחזות, רמייה, הטעייה או כל סוג אחר של הנדסה חברתית פרט לגירוי הסקרנות האנושית הטבעית, דידייה הצליח להדביק- על הנייר- כמה מאות משתמשים בוירוס. דמיינו לעצמכם עד כמה הייתה מוצלחת המודעה שלו אם היה מכניס בה אלמנטים אפילו מגרים יותר של הנדסה חברתית, למשל מין או סיכוי להרוויח כסף קל. במקרה אחר הקימו כמה סוקרים דוכן רחוב והציעו לעוברים ושבים שוקולד תמורת כמה פרטי מידע בסיסיים, כמו סיסמאת המחשב שלהם. שבעים אחוזים מהנשאלים היו מוכנים לעסקה, והם עוד היו ה'אגוזים הקשים' בערימה. שלושים אחוזים היו מוכנים למסור את הפרטים אפילו בלי לקבל שוקולד.

לא רק חברות גדולות כמו טי-מובייל וסלבריטאים כמו פריס הילטון עשויים להיות קורבנות להונאה בעזרת הנדסה חברתית. בעידן האינטרנט, כולנו קורבנות פוטנציאליים. אחת התרמיות הנפוצות ביותר דרך הרשת היא ה'פישינג'. הנה תרחיש טיפוסי להונאת פישינג: בוקר אחד נוחת בתיבת הדואר האלקטרוני שלך מייל מחברת האשראי, הבנק או כל ארגון פיננסי דומה: הוא כתוב בשפה רשמית, ואפילו מופיע בו הלוגו של החברה. ההודעה במייל דורשת ממך להכנס בדחיפות לאתר הבנק כדי להסדיר בעיה חמורה כלשהיא: כספים שכביכול נמשכו מהחשבון ללא היתר, תקלה טכנית, צ'ק שחזר ודברים באותו הסגנון. בתחתית המכתב מופיע קישור שעליו יש ללחוץ כדי להגיע אל האתר המדובר.

מבוהל, אתה לוחץ על הקישור ומגיע אל מה שנראה כאתר הרשמי של החברה: העיצוב, הלוגו, הגופן, השפה הרשמית- הכל נראה כשר. בשדות המתאימים אתה מכניס את שם המשתמש והסיסמא כדי להכנס לחשבון שלך…וזהו. התרמית נסתיימה. הודעה מנומסת מודה לך על שיתוף הפעולה, או שאתה נזרק מהאתר ללא כל הסבר.  הנוכלים השיגו את מבוקשם: שם המשתמש והסיסמא הסודית שלך בידיהם, וכעת הם חופשיים להכנס לחשבונך ולעשות בו כרצונם…ולא, הם לא מתכוונים להפקיד שם כסף.

מה בדיוק קרה כאן? המייל שנשלח אליך היה מלאכת מחשבת של הנדסה חברתית. הגרפיקה והעיצוב תוכננו כדי לשכנע אותך שהמקור שלהם מהימן ורשמי. התוכן הוא תמיד בהול ודחוף כדי להציף אצל הקורבן רגשות חזקים- פחד, בדרך כלל- שיעקפו את הזהירות הטבעית וידרבנו לפעולה מהירה מבלי לחשוב. אם נבחן בפרוטרוט את הקישור שעליו אנחנו מתבקשים ללחוץ, נגלה תמיד שהוא מוליך אותנו לכתובת מטעה במכוון. במקום paypal.com הקישור יהיה ל-paypal.net. במקום leumi.co.il הכתובת תהיה leumibank.co.il. העקרון הוא פשוט ביותר: יש רק כתובת אחת שתיקח אותנו לאתר הרשמי של בנק לאומי, אבל אפשר לחשוב על אינספור ואריאציות של הכתובת הזו שיפתו אותנו להקליק עליהן- ויקחו אותנו אל אתר אחר לגמרי.

האתר האחר הזה נבנה גם הוא כדי לשכנע אותנו שאנחנו אכן באתר הרשמי של הבנק. קל, קל מאוד אפילו, להעתיק דפי אינטרנט שלמים- על עיצובם, תוכנם והלוגואים- ולהתחזות לאתר אחר. אין צורך להעתיק את כל האתר בשלמותו על כל עשרות או מאות דפי האינטרנט שבו: מספיק להעתיק רק את הדף הראשי- ומשם לקלוט את שם המשתמש והסיסמא.

המילה 'פישינג', 'דיוג' בעברית (תודו לויקטור בן עזרא על התרגום לעברית, אני בחיים לא הייתי עולה על זה), מסבירה את העיקרון שבבסיס התרמית הזו. המייל המטעה נשלח במיליוני עותקים:  זוהי החכה הוירטואלית של הנוכל. רובם המוחלט של האנשים שמקבלים את המייל הזה יתעלמו ממנו: חלקם אינם לקוחות של הבנק המדובר, חלקם מכירים את התרמית, חלקם בכלל לא מדבר את השפה שבה המייל כתוב. אבל פה ושם מישהו יבלע את הפתיון. אולי זה מישהו שבמקרה מחכה להודעה חשובה מהבנק, או שאולי הוא חושד שפעולה לא-חוקית התבצעה בחשבונו והמייל המטעה נחת בתיבת הדואר שלו בתזמון מושלם. הנוכל צריך לתפוס רק קורבן אחד או שניים כדי שהתרמית תשתלם לו. את המילה 'פישינג', דרך אגב, לא מאייתים עם f בהתחלה כמו במובן המקובל של המילה אלא עם ph . כי היא מושפעת מהמילה phreaking – ביטוי סלנג המתאר פריצה למערכות טלפוניה ושימוש לא חוקי בהן.

כעת, כשהוא יכול להכנס לחשבון הבנק של הקורבן, מה יכול הנוכל לעשות? הוא יכול, כמובן, להעביר את הכסף לחשבון הפרטי שלו- אבל זה מסוכן, ויש סיכוי טוב שיעלו עליו. הנה אפשרות אחרת, יעילה לא פחות. הנוכל רוכש מראש, עוד לפני התרמית, מניות של חברה קטנה ולא מוכרת- מניות חוקיות ולגיטימיות לחלוטין, אבל כאלה שבדרך כלל אין סביבן הרבה מסחר. אחרי שפרץ לחשבונו של הקורבן, הוא יכול לתת לבנק הוראה לקנות כמות גדולה של המניות הללו עם הכסף הגנוב. מכיוון שאין הרבה מסחר במניה הקטנה, הוראת הקניה הפתאומית הזו מקפיצה את שער המניה בבת אחת פי כמה וכמה- ואז הנוכל מוכר את המניה שהחזיק ברשותו ברווח נאה. הקורבן מוצא את עצמו מחזיק בידיו ערימה של מניות כמעט חסרות ערך שקנה בסכום גבוה, והרמאי נעלם עם ערימה נאה של מזומנים. הנזקים הכלל-עולמיים מתרמיות פישינג מוערכים במיליארדי דולרים בכל שנה.

סוג מיוחד של תרמית פישינג הוא זה המכונה Spear Phising, 'דיוג בחנית' – או לפעמים Whaling, 'ציד לוויתנים'. בתרמית הזו הקורבנות נבחרים בקפידה והמייל המפוברק נשלח אליהם בלבד. בדרך כלל מדובר במנהלים בכירים, כאלה שיש להם גישה לחשבונות הבנק של הארגון- היכן שנמצא הכסף הגדול באמת. הנוכל מבצע עבודת תחקיר מקדימה כדי למצוא מידע רב ככל האפשר על הקורבן. למשל, הוא רואה שהמנהל המדובר כתב בפייסבוק- 'סיימתי היום קורס מנהלים, היה מצוין!'. או אז הוא שולח לו מייל בסגנון- 'שלום, כאן מזכירת הקורס שבו השתתפת: אנא היכנס לחשבון הקורס שלך כדי להסדיר את החוב הכספי.' הקישור במייל יוביל, כמובן, אל אתר שהוא שכפול של האתר האמיתי של הקורס. מכיוון שרוב האנשים נוטים להשתמש באותה הסיסמא לכל חשבונות האינטרנט שלהם, ישנו סיכוי סביר שהסיסמא שיכניס המנהל תהיה גם הסיסמא שלו בבנק, במחשב של העבודה וכולי. דרכו של הנוכל אל הכסף הגדול סלולה.

איך ניתן להמנע מנפילה ברשת הפישינג? אם הקשבתם לי עד לנקודה זו, אתם כבר עם רגל אחת מחוץ למלכודת. מי שמכיר את התרמית הזו ויודע לזהות את הסימנים המעידים שלה, יכול להתחמק ממנה בקלות. ידע הוא כח. פתרונות נוספים הם טכנולוגיים בעיקרם. ספקיות הדואר האלקטרוני מסננות מראש מיילים שנחשדים כתרמיות פישינג וזורקות אותם לתיבת הספאם. כמעט בכל דפדפן מודרני משולבת טכנולוגיה שבודקת את האתר שאליו המשתמש מנסה להגיע, ומזהירה אותו מראש שמדובר באתר חשוד בפישינג.

אבל הפתרונות הטכנולוגיים רחוקים מלהיות מושלמים ועל כן אין תחליף להכרות מקדימה עם הטכניקות הנפוצות של הנדסה חברתית. ואם אנחנו רוצים ללמוד על טכניקות של הנדסה חברתית, כדאי ללמוד מהטובים ביותר. הטובים ביותר למדו את מה שהם יודעים מהמומחים. והמומחים? המומחים הולכים אל קווין מיטניק.

כשהצליחו סוכני ה-FBI, אחרי מצוד ממושך ודרמטתי, ללכוד את קווין מיטניק- הם לא התייחסו אליו כאל עוד האקר שגרתי. במשך כארבע וחצי שנים מתוך חמש שנות המאסר שנגזרו עליו מיטניק הוחזק בבידוד, מנותק לחלוטין מהעולם החיצון. ה-FBI ביקש מהשופט למנוע ממנו כל גישה אל אמצעי תקשורת מכיוון שמיטניק, על פי הסברה, מסוגל לפרוץ אל מחשבי הפטנגון באמצעות שריקות דרך טלפון ציבורי רגיל ולהתחיל במלחמת עולם שלישית. השופט השתכנע בקלות: לקווין מיטניק היה מוניטין של ההאקר הטוב ביותר והמסוכן ביותר אי פעם. הדיווחים בעיתונים על מעלליו העניקו לו יכולות על אנושיות. סיפרו עליו שהוא מסוגל לפרוץ לכל מחשב, לחדור לכל ארגון, לגנוב כל מידע שיעלה ברצונו. הוא היה באטמן, סופרמן וניאו בחבילה אחת.

ומה היא האמת? האמת, כנראה, קצת יותר מסובכת. קווין מיטניק היה האקר טוב, בכך אין כל ספק. הוא פרץ למחשביהם של שורה ארוכה של ארגונים וחברות, גנב מידע חסוי ולנזקים שונים במאגרי המידע (לטענתו, מעולם לא גנב כסף). אפשר להקדיש פרקים שלמים למעלליו של מיטניק ולסיפור המרדף הארוך אחריו. היו לו, כמובן, יכולות טכנולוגיות מרשימות מאוד: כבר בגיל 17, לדבריו, הוא ידע יותר על מרכזיות טלפון מאשר כל עובד של חברת הטלפון עצמה. הידע הזה איפשר לו לדבר עם כל טכנאי ומוקדן ולשכנע אותם שהוא חלק מהמערכת.  אבל מיטניק עצמו הוא הראשון להודות שהוא אינו המתכנת הטוב ביותר או שהידע שלו בענייני מחשבים הוא הנרחב ביותר.

וזהו, כנראה, סוד כוחו של קווין מיטניק: הוא היה מטובי המהנדסים החברתיים בהיסטוריה, אולי אפילו הטוב ביותר. בספרים שכתב לאחר ששוחרר מכלאו הוא מסביר את הפילוסופיה שלו במילים פשוטות: מיטניק תקף תמיד את החוליה החלשה בשרשרת האבטחה. אם החולייה החלשה הזו הייתה תוכנה או מכשיר שקל לפרוץ אותו- מה טוב. אבל ברוב המקרים החולייה החלשה הייתה האדם שידע את הסיסמא למערכת. למעשה, מיטניק כותב שהוא מעולם לא הצליח למצוא סיסמאת מחשב באמצעים טכנולוגיים- הוא תמיד קיבל אותה דרך הטלפון, או מצא אותה משורבטת על פיסת נייר ליד המחשב כשהתחזה לאיש ניקיון או טכנאי. הוא טוען שהמוניטין שלו כגדול ההאקרים בכל הזמנים הוא תוצאה של ניפוח כותרות מלאכותיות בתקשורת וגרם לו יותר צרות מאשר רווחים: אלמלא היה כה ידוע לשמצה, סביר להניח שהממשלה לא הייתה מנהלת אחריו מרדף כה ממושך ויקר. כיום קווין מיטניק הוא יועץ לענייני אבטחת מידע, אבל העבר שלו ממשיך לרדוף אחריו- כל ילד שחולם להיות האקר מנסה לפרוץ לאתר האינטרנט של 'מיטניק הגדול', וספקיות השירות שלו כבר לא ממש רוצות להתמודד עם כל הברדק.

הטכניקות שאותן מתאר מיטניק בספריו הן פשוטות, ועם זאת יעילות ביותר. חיוך, בדיחה ידידותית וקריצה הן דרך מצוינת להפחית מתחים ולזכות באמונו של הקורבן. אם התוקפת היא אישה, יש לה יתרון פסיכולוגי אדיר על פני קורבנות גברים: מעט גברים יקשיחו את ליבם ולא יסייעו לעלמה במצוקה. מצוקה, דרך אגב, היא מילת מפתח חשובה. אם התוקף ינסה להוציא את המידע באגרסיביות ובתוקפנות, הוא יעורר אנטגוניזם וקרוב לוודאי ייכשל. עדיף לבקש מהקורבן עזרה, ובכך להכניס אותו לתפקיד 'האביר המושיע': כולנו אוהבים להרגיש חשובים, וקל לנו לשחרר מידע מסווג מתוך עמדה של כוח- גם אם היא מדומה.

אם התוקף בוחר בכל זאת להגיע אל השיחה מעמדה של כוח, עליו להכין את הקרקע היטב. שיטה בדוקה היא 'צלילה' לתוך פחי האשפה של הארגון כדי לדלות משם ספרי טלפונים ישנים, כרטיסי ביקור ומסמכים לא מסווגים אחרים. התוקף יכול לגלות שמנהל כלשהו נמצא מחוץ לעיר ואז להתקשר למרכז התמיכה הטכנית, להתחזות לאותו מנהל ולבקש גישה חיצונית לרשת החברה מכיוון שהסיסמא שלו אבדה או כל תירוץ אחר המתקבל על הדעת. התחפושת לא חייבת להיות מושלמת: הקורבן נוטה להשלים את פערי המידע בעצמו. כמה איזכורי שמות, של עובדים אחרים או פרוייקטים חשובים, טון של דחיפות מנומסת וקול תקיף ובוטח עשויים להספיק. אם הניסיון הראשון נתגלה וסוכל, התוקף פשוט מנתק ונעלם אל תוך הלילה- ובכל אופן, לבקש ממישהו סיסמא זו אינה עבירה פלילית…

כפי שניתן לשער, קשה מאוד להגן על מידע רגיש מפני התקפה המבוססת על הנדסה חברתית. מחלקת האבטחה של הארגון יכולה להשקיע מיליוני דולרים בחומות אש, שרתים מאובטחים ודלתות בעלות מנעולי קומבינציה, אבל כל מה שהתוקף צריך לעשות זה להשאיר על הריצפה דיסק ועליו הכיתוב "משכורות עובדים". מעטים האנשים שלא יעמדו בפיתוי לדעת כמה בדיוק מרוויחים עמיתיהם. הם יכניסו את הדיסק לכונן המחשב, יפעילו קבצים נגועים וסוסים טרוייאנים חבויים ובכך יעקפו בבת אחת את כל ההגנות המתוחכמות שהציבה מחלקת האבטחה.

מה כן אפשר לעשות? הצעד הראשון והחשוב ביותר הוא חינוך. כל עובדי החברה, ובמיוחד אותם אנשים שעומדים בקשר רציף עם העולם החיצון, חייבים להיות מסוגלים לזהות התקפה באמצעות הנדסה חברתית. כל מבקר או מתקשר שלא נותן מספיק פרטים מזהים, שואל שאלות עמומות או משונות בטון שמצביע על דחיפות- הוא חשוד מיידי. החינוך הוא סוג של חיסון, כמו נגד אבעבועות רוח: ברגע שנחשפת לטכניקות ההתקפה, תהיה פחות פגיע אליהן בעתיד.

נהלי העבודה של הארגון חייבים ליישם מידור של מידע: לא כל עובד צריך לדעת את כל הסיסמאות והיכן נמצא המידע המסווג. המידור צריך להישמר גם ברמה הפיסית: מידור בין רשתות מחשבים בדרגות סיווג שונות, אישורי כניסה לאיזורים מסויימים בקומה רק למי שיש לו תעודות זיהוי מתאימות וכדומה. יש להבהיר באופן שאינו משתמע לשתי פנים שלא נותנים לעולם סיסמאות דרך הטלפון. אם עולה חשד לגבי זהותו של אדם בצד השני של השפורפרת, יש לבקש את מספר הטלפון שלו ולהתקשר אליו חזרה: פעולה זו לבדה עשויה להרתיע תוקף ולהבריח אותו. כאמור, התוקף עשוי לנסות את מזלו אצל כמה וכמה עובדים לפני שיצליח להשיג את מבוקשו- ולכן על המערכת להיות מסוגלת לזהות שהיא תחת מתקפה. כל עובד שנתקל בפעילות חשודה צריך לדווח למקום מרכזי אחד- הצטברות של כמה מקרים כאלו עשויה להדליק את נוריות האזהרה אצל אחראי האבטחה.

ועדיין, אחרי כל זה, אנשים מסוגו של קווין מיטניק- מהנדסים חברתיים מומחים- לעולם יהוו איום מתמיד ומוחשי. באחד הימים איתגר מישהו את מיטניק בהתערבות. אם תצליח להשיג את מספר כרטיס הטלפון הסודי שלי מחברת הטלפון, הוא אמר לו, אני מבטיח לך ארוחה טובה. מיטניק הוא לא אחד שיסרב לארוחה טובה. הוא התקשר למוקד השירות של חברת הטלפון והתחזה לטכנאי ממחלקת התמיכה הטכנית. 'האם נתקלתם בבעיה עם המחשבים?' הוא שאל, ממש כמו אותו האקר צעיר שפרץ למכשיר של פריס הילטון. אבל המוקדנית הייתה קשוחה מהרגיל. כשהחל לשאול שאלות לגבי פרטי כרטיס הטלפון המבוקש, היא החלה לחשוד ולהתקיל אותו בשאלות: מי אתה בדיוק? מי הבוס שלך? איפה אתה נמצא ועוד שאלות דומות. מיטניק הבין שנתפס וניתק את הטלפון.

ואז הוא ביקש מחבר אחר שלו לחייג עבורו למרכז השירות. החבר, תחת הנחייתו של מיטניק, ביקש להגיע אל אותה המוקדנית. "שלום,” הוא אמר לה, “שמי כך וכך ממחלקת ביטחון שדה. קיבלתי דיווח שמישהו ניסה להוציא ממך מידע חסוי בדרכים לא כשרות.” המוקדנית, גאה בסיכול המוצלח שלה, סיפרה לו את הסיפור כולו והחבר העמיד פנים שהוא רושם את הכל בדו"ח מסודר. “ודרך אגב…” הוא שאל לפני תום השיחה, “איזה מידע בדיוק חיפש אותו אדם?”. “את המספר הזה…” ענתה המוקדנית, ונתנה לו את פרטי כרטיס הטלפון הסודי. מיטניק זכה בארוחה.


לרכישת הפרק •  הרשמה לעדכונים בדוא"ל על פרקים חדשים


קרא עוד בנושאים דומים:

אודות:

ספריו של רן:

כתיבת תגובה

האימייל לא יוצג באתר.