הנדסה חברתית, או Social Engineering באנגלית, היא מושג מתחום אבטחת המידע המוגדר כשילוב של טכניקות הונאה, התחזות ושכנוע הגורמות לאנשים לציית לבקשת הפורץ. למשל, לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. מומחי אבטחה רבים יגידו לכם שהחוליה החלשה באבטחת מחשבים באינטרנט היא למעשה המשתמשים עצמם – הם מקליקים על דברים, מריצים תוכנות או מבקרים באתרים לא רצויים ובכך חושפים את עצמם לאיומים בצורה מתמדת. למעשה רוב הונאות האינטרנט כיום מופצות בסוג כלשהו של הנדסה חברתית, ובעיקר באמצעות הרשתות החברתיות.

הוריאציות השונות שבהן הונאות של הנדסה חברתית יכולות להופיע הן כמעט אינסופיות. תכונה טובה של גולש זהיר תהיה חשדנות, אם משהו נראה לכם קצת חשוד, או אם קיבלתם בקשה שלא נראית לכם סבירה או הגיונית, כנראה שמדובר בהונאה. על מנת לזהות הונאות של הנדסה חברתית צריך להבין את המטרה שלה, שכן הנדסה חברתית שלעצמה היא אמצעי שדרכו מבקשים ה"מהנדסים" להשיג מידע – סיסמאות, פרטי חשבון בנק, מספר כרטיס אשראי ועוד. בנוסף, הונאות של הנדסה חברתית לא מוגבלות רק לתחום המחשבים והן עלולות להתבצע גם דרך הטלפון ואפילו ברחוב.

לכן אחרי שהתקנתם את תכונת החשדנות לסרגל הכלים שלכם יש עוד כמה דברים שאולי תרצו לדעת שיכולים למנוע מכם ליפול קורבן לתעשיית ההנדסה החברתית. הדבר הראשון שאולי תרצו לדעת הוא שלעולם, אבל לעולם, חברות מסחריות, ממשלתיות או בנקים לא ישאלו אתכם מה היא הסיסמא שלכם, הקוד הסודי של כרטיס האשראי שלכם "לצורך זיהוי" או פרטים סודיים אחרים. היוצא דופן היחיד יהיה אם חזרו אליכם בעקבות פניה שאתם יזמתם לשירות הלקוחות של הבנק או החברה וגם אז הם ישתמשו בפרטי זיהוי אחרים כגון תעודת זהות או ארבע ספרות אחרונות של כרטיס האשראי וכו'. דוגמא מפורסמת לכתבה זו- הייתה הונאת ה"פישניג" נגד לקוחות בנק הפועלים שבה קיבלו לקוחות רבים אימייל עם לינק אשר מפנה אותם לדף אינטרנט המתחזה לדף הבית של הבנק, בו הם היו אמורים "לעדכן פרטים" ולשם כך נדרשו להזין את שם המשתמש והסיסמא שלהם. מה שמשתמש זהיר וחשדן היה עושה במקרה זה, הוא לסגור את האימייל שקיבל ולהיכנס לאתר הבנק בעצמו בניגוד ללחיצה על הלינק או לחלופין מתקשר לשירות הלקוחות של הבנק כדי להבין במה מדובר.

הנדסה חברתית – החוליה החלשה בכל היבט

הדבר הבא שקרוב לודאי תרצו לדעת הוא שהצעות מפתות ברשת שהן טובות-מדי-כדי-להיות-אמיתיות הן בדיוק הסימפטומים מהם צריכים לחשוש, וגם כאן המטרה היא לגרום לכם ללחוץ על לינקים או לספק פרטים אישיים, סיסמאות וכו' כדי שבסופו של דבר יוכלו להגיע אל הכיס שלכם בצורה זו או אחרת.

עידן הרשתות החברתיות הוא תור הזהב של הונאות הרשת. איפה עוד תמצא מיליוני משתמשים מחוברים למיליוני משתמשים אחרים, ומשתפים אחד את השני בכל דבר אפשרי? מאז פריצת הרשתות החברתיות לתודעת הרבים, הן הפכו לפלטפורמה העיקרית למתקפות פישינג והנדסה חברתית. משתמשים רבים לא מודעים לפוטנציאל ההרסני הטמון בחשיפת מידע ברשתות החברתיות ולכן לא טורחים להגן על המידע או לחלופין חושפים אותו בחופשיות. לא חסרות דוגמאות להנדסה חברתית ברשת הפייסבוק, המפורסמות ביניהן היא לינק לאפליקציה "מי צפה בפרופיל שלי" שמסיבה כלשהי מושכת משתמשים רבים להתקין אותה.

לסיכום
הנדסה חברתית היא שיטת הונאה שנסמכת על התכונות הטובות של האופי האנושי. אנשים רוצים להאמין שלאחרים יש כוונות טובות ושהם רוצים בטובתם ולכן מתפתים לספק את מבוקשם. בעוד שמפיצי הונאות אלה הם מיעוט זעיר, עדיין הם מצליחים לעורר מהומה גדולה בעקבות מעשיהם הנפשעים.

כשטיילתי באוסטרליה ניגשה אליי ערב אחד אישה בערך בשנות ה 40 לחייה שנראתה נורמאלית לחלוטין, היא סיפרה לי שהיא נתקעה עם האוטו ואין עליה ארנק או טלפון ושהיא זקוקה למעט כסף כדי שתוכל לחזור הביתה. היא דאגה גם לקחת ממני את מספר הטלפון שלי כדי שהיא תוכל להתקשר אליי ולהחזיר לי את כספי בחזרה. למרות שכל העסק נראה לי חשוד החלטתי להאמין ולעזור לה. לא שמעתי ממנה עד היום. יכול להיות שהיום הייתי נוהג בדיוק באותה הצורה, אבל זוהי רק עוד דוגמא קטנה להנדסה החברתית במיטבה.