Professional Documents
Culture Documents
אמנות ההונאה PDF
אמנות ההונאה PDF
קווין ד .מיטניק
&וילאם ל .סיימון
הספר המקורי:
sbisc.ut.ac.ir/wp-
content/uploads/2015/10/mitnick.pdf
שליטה בחוליה האנושית באבטחה
תוכן העניינים
פתח דבר
מבוא
הקדמה
מבט לאבטחה
מקורות
תודות
פתח דבר 3
פתח דבר
כבני אדם קיים בנו דחף פנימי אדיר לחקור ולגלות את הדברים הסובבים אותנו
ולהבין את טבעם .כשקווין מיטניק ואני היינו צעירים ,היינו מאוד סקרנים .רצינו
לדעת הכל על הכל והיינו להוטים להוכיח את עצמנו .לעיתים קרובות היינו
מאתגרים את עצמנו בהרפתקאות חדשות – למדנו דברים חדשים ,פתרנו חידות,
ובכלל תמיד רצינו "לנצח את המשחק" .אך באותו זמן ,העולם שסביבנו לימד
אותנו כללי התנהגות שאילצו את הדחף הפנימי שלנו להיות מופנה לכיוון חקירה
עצמאית .בשביל המדענים הנועזים ,היזמים הטכנולוגים ואנשים כמו קווין,
הליכה אחרי הדחף הפנימי מציעה ריגושים אדירים שמאפשרים להם לבצע דברים
שאנשים אחרים לא יכולים להאמין שאפשר לעשות.
קווין מיטניק הוא אחד האנשים הכי טובים שאני מכיר .אם תשאל אותו הוא יספר
לך בכנות שחלק ניכר מהפריצות שלו למערכות מחשב וההישגים שלו כהאקר
כללו רמאות של לא מעט אנשים .או בשם המכובס שלה "הנדסה חברתית" .אבל
קווין כבר לא משתמש בהנדסה חברתית ,וגם כאשר הוא היה משתמש בה המניע
שלו אף פעם לא היה להעשיר את עצמו או לגרום נזק כזה או אחר.
זה שקווין לא השתמש בזה לרעה לא אומר שאנשים אחרים ,פחות טובים מקווין,
שמכירים את הטכניקות של ההנדסה החברתית לא ישתמשו בה כדי לעשות כסף
ולהשיג את המטרות הכלכליות שלהם על חשבונך .למעשה ,זאת בדיוק הסיבה
שבגללה קווין כתב את הספר הזה -כדי להזהיר אותך מפניהם.
אומנות ההונאה מראה כיצד כולנו :ממשלות ,עסקים וכל אחד באופן אישי,
חשופים לפגיעה של אומנות ההונאה .בעידן זה בו גוברת המודעות לחשיבות
האבטחה ,אנו משקיעים סכומים עצומים בטכנולוגיות להגנה על רשתות
המחשבים ועל הנתונים שלנו .ספר זה מדגיש עד כמה קל להונות את האדם
שאחראי על הגישה למידע השמור וכך לעקוף את כל ההגנות הטכנולוגיות .בין
אם אתה עובד בחברה ובין אם אתה עובד מדינה ,הספר הזה יספק לך מפת דרכים
רבת עוצמה שתעזור לך להבין כיצד עובדת ה"הנדסה החברתית" ומה אתה יכול
לעשות כדי להתגונן מפניה .קווין משתמש בסיפורים בדויים שהם גם משעשעים
וגם "פוקחי עניים" כדי להמחיש ולהדגים לכם את הטכניקות של התוקפים בצורה
טובה .באמצעות סיפורים אלו קווין ועמיתו ביל סיימון מביאים את הטכניקה של
הנדסה חברתית הלכה למעשה ,לחיים האמיתיים .אחרי כל סיפור הם מציעים
הדרכות מעשיות שיעזרו לך להתגונן מפני הפריצות והאיומים שתוארו.
שליטה בחוליה האנושית באבטחה
אבטחה באמצעות טכנולוגיה משאירה פרצות רציניות שאנשים כמו קווין יכולים
לעזור לנו לסגור .אחרי קריאת הספר תבין שכל מה שאנחנו צריכים לעשות זה
לפנות למיטניקים שבנינו כדי שידריכו אותנו.
-סטיב ווזניאק
מבוא 5
מבוא
יש האקרים שמשמידים קבצים של אנשים או מוחקים כוננים קשיחים שלמים; הם
נקראים קראקרים או ונדליסטים .יש האקרים מתחילים שלא טורחים ללמוד את
הטכנולוגיה ,אלא פשוט מורידים כלי האקינג כדי לפרוץ למערכות מחשב ,הם
נקראים "סקריפט קידיס" .האקרים מנוסים יותר עם יכולות תכנות מפתחים תוכנות
האקינג ומפרסמים אותם באינטרנט ובפורומים סגורים של האקרים .ויש בודדים
שאין להם שום עניין בתחום הטכנולוגיה ,אלא הם משתמשים במחשב רק ככלי
לסייע להם לגנוב כסף ,סחורות או שירותים.
למרות המיתוס התקשורתי שנוצר סביב קווין מיטניק כהאקר אגדי ,אני לא האקר
עם כוונות רעות .אבל אני מקדים את המאוחר.
תחילת דרכי
מסלול החיים שלי נקבע בשלב מוקדם בחיי .הייתה לי ילדות שמחה וחסרת דאגות
אבל משעממת .לאחר שאבי עזב אותי ואת אימי כשהייתי בן שלוש ,אימי נאלצה
לעבוד כמלצרית לפרנסתנו .במבט לאחור הייתי ילד בודד שאשה קשת יום גדלה
אותו תוך כדי שהיא עובדת בשעות לא מסודרות .לפעמים היא עבדה בכל השעות
שבהן הייתי ער .אז נאלצתי להיות הבייביסיטר של עצמי.
גדלתי בקהילת עמק סן פרננדו ,מה שאפשר לי לחקור את כל לוס אנג'לס .בגיל 12
גיליתי דרך לנסוע חינם בכל רחבי לוס אנג'לס .יום אחד כשנסעתי באוטובוס
הבנתי לפתע ,שההגנה של כרטיס המעבר שקניתי ,מורכבת מתבנית מיוחדת של
ניקובים ,שסימנו -יום ,שעה ,תאריך ותחנת מעבר .נהג חביב ענה לשאלה התמימה
שלי וסיפר לי היכן אוכל לקנות סוג כזה של מנקב.
כרטיסי המעבר נועדו לאפשר לנוסעים להחליף אוטובוס ולהמשיך בנסיעה ליעדם
ללא תשלום נוסף .אבל אני למדתי להשתמש בהם כך שאוכל להגיע איתם לכל
מקום שארצה ללא תשלום בכלל .השגת הכרטיסים הריקים הייתה משימה קלה
במיוחד.
פחי האשפה במסוף האוטובוסים תמיד היו גדושים בספרי כרטיסיות מלאים
למחצה ,שהנהגים זרקו בסוף המשמרות לפני שנגמרו .עם המרצע והכרטיסים
הריקים יכולתי לסמן את הכרטיסים שלי ולנסוע לכל מקום שהאוטובוסים הגיעו
אליו -בחינם .לא עבר זמן רב עד שהשגתי את לוחות הזמנים של כל האוטובוסים,
ובכל זאת זכרתי את הכל בעל-פה) .זו דוגמה מוקדמת לזיכרון הפנומנלי שלי
לסוגים מסוימים של מידע ,עד היום אני זוכר מספרי טלפון ,סיסמאות ,ועוד
פרטים טריוויאליים לכאורה מתקופת הילדות שלי(
שליטה בחוליה האנושית באבטחה
עוד תחום שעניין אותי מאוד כבר מגיל צעיר היה קסמים .בכל פעם שלמדתי איך
טריק חדש עובד ,הייתי מתאמן עליו שוב ושוב עד ששלטתי בו לגמרי .במידה
מסוימת ,להנאה שבהשגת מידע סודי ,נחשפתי מעולם הקסמים.
מפריקר להאקר
המפגש הראשון שלי עם מה שאני אלמד לכנות מאוחר יותר הנדסה חברתית,
התרחש בשנות לימודי בתיכון ,כשפגשתי תלמיד שהתחביב שלו היה פריקינג.
פריקינג הוא סוג של פריצה למערכות טלפוניה באמצעות ניצול מערכות
הטלפוניה ועובדי חברת הטלפון .הבחור החביב הראה לי כמה טריקים נחמדים
שהוא ידע לעשות עם הטלפון .הוא הראה לי איך הוא משיג את כל המידע שהיה
לחברת הטלפון על כל אחד מלקוחותיה ,ואיך הוא משתמש בקוד סודי שנועד
במקור לבדיקות של טכנאים ,כדי לערוך שיחות בינלאומיות בחינם) .האמת שזה
היה חינם רק בשבילנו .למעשה ,גיליתי אחרי שנים ,שזה בכלל לא היה קוד בדיקה
ואיזה מסכן חויב על השיחות האלו(.
זה היה בשבילי קורס מבוא מזורז להנדסה חברתית .חבר שלי ועוד פריקר
שפגשתי זמן קצר אח"כ ,היו מתכננים ביניהם מה הם יאמרו לחברת הטלפונים.
הקשבתי לדברים שהם אמרו וגרמו להם להישמע אמינים ,למדתי על משרדים
שונים בחברת הטלפון ,על הסלנגים הפנימיים ועל נהלי העבודה השונים .אבל
ההקשבה הפסיבית לחברים שלי לא נמשכה זמן רב ,עד מהרה למדתי לעשות זאת
בעצמי ,והייתי עושה זאת אפילו יותר טוב מהם.
החיים שלי בחמש עשרה השנים הבאות המשיכו כסדרם .בתיכון ,אחת המתיחות
האהובות עלי הייתה השגת גישה לסוויץ' הטלפון ,ושינוי סוג השירות לפריקר
אחר .כשהוא הרים את השפופרת בביתו הוא שמע הודעה שמבשרת לו שהוא צריך
להכניס מטבע בגלל שהטלפון שלו הוא טלפון ציבורי.
התעסקתי בכל מה שקשור לטלפונים ,לא רק באלקטרוניקה ,בסוויצ'ים
ובמחשבים ,אלא גם בהכרת חברות הטלפון עצמם ,התהליכים והמינוחים .לאחר
זמן מה ,כנראה שידעתי על טלפונים יותר מכל פקיד .פיתחתי את כישורי ההנדסה
החברתית שלי לרמה כזו ,שבגיל ,17יכולתי לדבר עם רוב עובדי חברות הטלפון
כמעט על כל דבר ,בין אם דיברתי איתם בטלפון ובין אם דיברתי איתם פנים אל
פנים.
קריירת ההאקינג המפורסמת מדי שלי החלה כשהייתי בתיכון ,אני לא יכול לפרט
כאן יותר מדי ,אבל מספיק לומר שאחד המניעים בפריצות הראשונות שלי היה כדי
להתקבל כחבר לקבוצת האקרים .בימים ההם ,היינו משתמשים במושג האקר כדי
לתאר אדם שכילה את זמנו בהתעסקות עם חומרה ותוכנה ,כדי לפתח תוכנות
יעילות יותר או כדי לעקוף שלבים לא נחוצים ולסיים עבודות מהר יותר .היום
מבוא 7
למונח יש משמעות מזלזלת ופירושו "פושע זדוני" .בספר זה אשתמש במושג כמו
שתמיד השתמשתי בו -במשמעות הראשונה והתמימה שלו.
אחרי התיכון למדתי מחשבים במרכז ללימודי מחשב בלוס אנג'לס .אחרי כמה
חודשים מנהל הרשת של המרכז הבין שניצלתי חולשה במערכת ההפעלה והשגתי
גישה מלאה למחשב ה IBMשפעל במרכז .המומחים של המרכז שברו את הראש
בניסיון להבין איך ביצעתי את הפריצה אך הם לא הצליחו להבין והרימו ידיים.
ואז ,קיבלתי הצעה שלא יכולתי לסרב לה .כנראה ההצעה הזאת הייתה אחת
מהפעמים הראשונות שביקשו מהאקר לאבטח את המערכת .המנהל הציע לי
להיות אחראי על אבטחת המחשבים במרכז ,כפרוייקט מצויינות ,או שהמרכז
יאלץ להשעות אותי בגין הפריצה ,כמובן שבחרתי לאבטח את המערכת וכך
סיימתי את הלימודים כמצטיין.
כך תיארתי זאת בעדותי לקונגרס בפני הסנאטורים ליברמן ותומפסון ,כמה שנים
מאוחר יותר:
"השגתי גישה בלתי מורשית למערכות המחשוב של כמה מהתאגידים הכי גדולים
בעולם .פרצתי למערכות מחשב המאובטחות והרגישות ביותר שפותחו אי פעם.
השתמשתי באמצעים טכניים ולא טכניים על מנת להשיג את קוד המקור של
מערכות הפעלה והתקני טלקומוניקציה שונים וכך גיליתי חולשות שונות שהיו
בהן"
האמת היא שכל מה שעשיתי היה רק כדי לספק את הסקרנות שלי; כדי לראות מה
אני יכול לעשות; כדי להבין את הסודות של מערכות הפעלה ,טלפונים סלולריים
וכל דבר אחר שהסעיר אותי.
כבר הודיתי לאחר שנעצרתי שמה שעשיתי היה לא חוקי וכלל פלישה לפרטיות.
המוטיבציה למעשיי הייתה הסקרנות .רציתי לדעת כל מה שיכולתי על איך רשתות
טלפון עובדות ולהבין לפניי ולפנים את נושא אבטחת המחשבים .הפכתי מילד
שאוהב לעשות קסמים ,להאקר הידוע ביותר לשמצה שנרדף ע"י תאגידים
וממשלות .אם אני מסתכל על החיים שלי בפרספקטיבה של 30שנה אחורה ,אני
מודה שעשיתי כמה החלטות מאוד טיפשיות תחת השפעת הסקרנות האדירה שלי,
הרצון ללמוד על טכנולוגיה והצורך שלי באתגרים אינטלקטואליים משמעותיים.
כיום אני אדם שונה .אני מנתב את הכישרון והידע הנרחב שצברתי בטקטיקות של
אבטחת מידע והנדסה חברתית כדי לעזור לממשלה ,לעסקים ולאנשים פרטיים.
אני מסייע להם למנוע ,לזהות ולהגיב על איומי אבטחת המידע.
ספר זה הוא אחת מהדרכים שלי לעזור לאחרים להבין איך פועלים ההאקרים
המתוחכמים ולהימנע מליפול בפח שלהם .אני מקווה שתמצא את הסיפורים בספר
שלפניך מהנים ,פוקחי עיניים וחינוכיים.
מבוא 9
שליטה בחוליה האנושית באבטחה
הקדמה
ספר זה מכיל מידע רב על אבטחת מידע והנדסה חברתית .כדי לעזור לך להתמצא
בספר ,הנה סקירה מהירה של מבנה הספר:
בחלק הראשון אצביע על החוליה החלשה באבטחה ואסביר לך למה אתה
והחברה שלך נמצאים בסכנת התקפה של הנדסה חברתית.
בחלק השני תראה איך מהנדסים חברתיים משחקים באמון שלך ,ברצון שלך
לעזור ,בנחמדות שלך ובתמימות האנושית הטבועה בך כדי להשיג מה שהם
רוצים .סיפורים בדיוניים על התקפות טיפוסיות ידגימו לך שלמהנדסים החברתיים
יכולים להיות כמה פרצופים .אם אתה חושב שמעולם לא נתקלת באחד כזה ,אתה
כנראה טועה .האם תזהה מקרה דומה שקרה לך בין הסיפורים הללו ותתהה אם
מהנדס חברתי ניצל אותך? כנראה שכן .אבל אחרי שתקרא את פרקים ,2-9תדע
איך לצאת שידך על העליונה בפעם הבאה.
החלק שלישי הוא החלק שבו תגלה איך המהנדס החברתי עובד באמצעות
סיפוריים דמיוניים שיראו לך כיצד הוא יכול לקבל גישה למידע השמור שלך
ולגנוב מידע שעשוי לעזור לו לרסק את החברה שלך תוך עקיפת מנגנוני האבטחה
הטכנולוגים .המקרים בחלק זה יזהירו אותך מפני איומים שמתחילים בנקמה של
עובד זוטר ומגיעים עד לטרור אלקטרוני .אם תדע להעריך את המידע שיעזור לך
לשמור על החברה שלך ועל אבטחת המידע שלה ,תרצה לקרוא את פרקים 10-14
בשלמותם.
חשוב לשים לב שאם לא מצוין אחרת הסיפורים הם בדויים.
בחלק הרביעי אני מסביר כיצד ניתן להתגונן מפני מתקפת הנדסה חברתית
מוצלחת על הארגון שלך .פרק 15יספק לך תוכנית טובה לאימוני אבטחה .ופרק
16אולי יציל אותך -זוהי מדיניות אבטחה מקיפה שתוכל להתאים לארגון שלך
ולממש מייד כדי לשמור על החברה שלך ועל המידע שלה בטוחים.
בסוף הבאתי את חלק ה"מבט לאבטחה" שכולל שרטוטים וטבלאות כדי לקצר
מידע חשוב שיעזור לעובדים שלך להתגונן מפני מתקפת הנדסה חברתית .הכלים
הללו גם יספקו לך מידע חשוב שיעזור לך לבנות את תוכנית האימונים שלך.
במהלך הספר תמצא מספר אלמנטים חשובים כמו" :תיבות ז'רגון" שמבארות
מונחים בהנדסה חברתית ובהאקינג; "המסר של מיטניק" שמביא במילים קצרות
דרכים לשיפור האבטחה והערות שיספקו רקע מעניין או מידע נוסף.
הקדמה 11
חלק ראשון
מאחורי הקלעים
שליטה בחוליה האנושית באבטחה
חברה יכולה לרכוש את טכנולוגיות האבטחה הטובות ביותר שכסף יכול לקנות,
לאמן את אנשיה כל כך טוב עד שלפני שהם הולכים הביתה בלילה הם ינעלו את
כל סודות החברה בכספות מאובטחות .היא יכולה לשכור את השומרים של חברת
האבטחה הטובה ביותר בתחום.
ועדיין החברה הזאת תהיה פגיעה.
אנשים יכולים למלא אחר כל נהלי האבטחה שהומלצו ע"י המומחים ,להתקין
בהכנעה כל מוצר אבטחה מומלץ ,ולהתקין את כל עדכוני האבטחה הנדרשים
בקפדנות.
אנשים אלה עדיין יהיו פגיעים לחלוטין.
הגורם האנושי
בעדותי בפני הקונגרס לפני זמן לא רב ,הסברתי שאני יכול לקבל לעתים קרובות
סיסמאות ופיסות מידע רגישות נוספות מחברות ע"י התחזות למישהו אחר שיש לו
זכות לדעת את הנתונים האלו.
זה טבעי לרצות לחוש ביטחון מוחלט ,וזה גורם להרבה אנשים להסתפק בתחושה
מזויפת של ביטחון .קחו למשל בעל בית אחראי ואוהב שרכש מנעול צילינדר
איכותי שידוע כאחד שקשה מאוד לפרוץ ,והתקין אותו בחזית הדלת שלו כדי
להגן על אשתו ,ילדיו ,וביתו .עכשיו הוא מרגיש בנוח כי הוא גרם למשפחתו
להיות מוגנת הרבה יותר מפני פולשים .אבל מה עם הפורץ ישבור חלון ,או יפצח
את הקוד שפותח את דלת החניה? תשאלו אותי עכשיו :אז אתה נגד להתקין
מערכת אבטחה חזקה? ואני אענה לכם שזה מצוין להתקין אחת כזאת ,אבל עדיין
אין ערובה לכלום .מנעולים יקרים או לא ,בעל הבית נשאר פגיע.
למה? בגלל הגורם האנושי שלאמיתו של דבר ,הוא החוליה החלשה ביותר
במערכת האבטחה.
אבטחה היא לעתים קרובות מדי רק אשליה ,האשליה לפעמים נעשית אפילו יותר
גרועה כאשר ,פתיות ,נאיביות ובורות מצטרפים לעניין .המדען המפורסם ביותר
בעולם במאה העשרים ,אלברט איינשטיין ,צוטט באומרו "רק שני דברים הם
פרק -1החוליה החלשה באבטחה 13
אינסופיים :היקום והטמטום האנושי ,ואני עדיין לא בטוח לגבי הראשון ".בסופו
של דבר ,התקפות הנדסה חברתית יכולים להצליח כאשר אנשים נוהגים בטיפשות
או ,בדרך כלל ,פשוט לא מודעים לנהלי אבטחה טובים.
בגישה דומה לזו של בעל הבית שלנו ,הרבה אנשי ITמחזיקים בתפיסה המוטעית
שהחברה שלהם מחוסנת מפני תקיפות כי הם בנו מערך שמורכב בעיקר ממוצרי
אבטחה סטנדרטיים -חומות אש ,מערכות לגילוי פריצה ,או התקני אימות חזקים,
כמו התקני זיהוי מבוססי זמן או כרטיסים ביומטריים חכמים .מי שחושב שמוצרי
האבטחה לבדם מספקים אבטחה אמתית צפוי להתבדות.
זאת רק אשליה של אבטחה .זה מקרה קלאסי של אנשים שחיים בעולם של
פנטזיה :הם בהכרח ,במוקדם או במאוחר ,יפגעו מאירוע אבטחה כלשהו .כמו
שיועץ אבטחת המידע ברוס שנייר מנסח זאת" ,אבטחה אינה מוצר ,היא תהליך".
יותר מזה ,אבטחה היא לא בעיה טכנולוגית -זאת בעיה של אנשים ושל ניהול.
כאשר מפתחים ללא הרף טכנולוגיות אבטחה טובות יותר ,קשה יותר ויותר לנצל
נקודות תורפה טכניות ,ולכן התוקפים יפנו יותר ויותר לניצול הגורם האנושי .לרוב
זה עניין פשוט לעקוף את חומת האש האנושית ,לא נדרשת השקעה מעבר העלות
של שיחת טלפון ,והמתקפה כרוכה בסיכון מינימלי.
ההונאה הקלאסית
מהו האיום הגדול ביותר על ביטחונם של נכסי העסק שלך? זה קל :מהנדס חברתי
-קוסם חסר מצפון שכאשר אתה מסתכל על ידו השמאלית בימנית הוא גונב
הסודות שלך .דמות כזו היא בדרך כלל כה ידידותית ,חלקלקה ,ונוחה לבריות
שאתה תהיה אסיר תודה על כך שנתקלת בו.
בואו נראה דוגמא להנדסה חברתית .כיום אין הרבה אנשים שעדיין זוכרים בחור
צעיר בשם מארק סטנלי ריפקין ואת ההרפתקה הקטנה שהייתה לו עם בנק בלוס
אנג'לס שעונה לשם . Security Pacific Nationalיש מספר גרסאות שונות
לסיפור הזה ,ריפקין )כמוני( מעולם לא סיפר את הסיפור שלו ,כך שהשורות
הבאות מבוססות על הפרסומים בעיתונות.
פריצת הקוד
יום אחד בשנת ,1978חמק ריפקין לחדר ההעברות הבנקאיות של הבנק הנ"ל .חדר
שרק אנשים מסוימים הורשו להיכנס אליו ,שם נשלחו והתקבלו הוראות להעברות
אשראי בהיקף של כמה מיליארדי דולרים בכל יום .תפקידו בחברה היה לפתח
מערכת גיבוי לנתונים שבמחלקת ההעברות למקרה שהמחשב יקרוס .במסגרת
תפקידו הוא נחשף לתהליך העברת הכספים כולל איך בדיוק פקידי הבנק נותנים
הוראה כדי שההעברה תישלח .הוא למד שפקידי הבנק שבסמכותם להורות על
שליטה בחוליה האנושית באבטחה
העברות בנקאיות מקבלים בבוקרו של יום קוד סודי תחת שמירה קפדנית שהם
משתמשים בו כאשר הם מתקשרים לחדר ההעברות הבנקאיות.
בחדר ההעברות הפקידים חסכו לעצמם את הטרחה הכרוכה בניסיון לשנן את
הקוד בכל יום :הם רשמו את הקוד על פיסת נייר ותלו אותה במקום שבו יוכלו
לראות אותה בקלות .באותו היום בנובמבר לריפקין הייתה מטרה מאוד ספציפית
בביקור שלו .הוא רצה להעיף מבט על הפתק.
כאשר הוא הגיע לחדר ההעברות ,הוא עשה את עצמו מתעסק עם מערכת הגיבוי
כדי לוודא כביכול שמערכת הגיבוי מסונכרנת כראוי עם המערכות הרגילות.
בינתיים ,הוא קרא בחשאי את קוד האבטחה שהיה רשום על פיסת הנייר הגלויה
ושינן אותו בעל פה עד שזכר אותו .כעבור כמה דקות הוא יצא .כמו שהוא אמר
אחר כך ,הוא הרגיש כאילו הוא זכה בלוטו.
עובד בחדר ההעברות .הוא השיג את המספר המיוחל והתקשר לבחורה שוב .היא
לקחה את מספר והוא אמר לה" :תודה) ".בנסיבות אלה ,משמעות התודה אירונית
במיוחד(.
סגירת מעגל
כעבור כמה ימים ריפקין טס לשווייץ ,לקח את המזומנים שלו ,ומסר $ 8,000,000
לסוכנות רוסית עבור ערימה של יהלומים .הוא טס בחזרה ,ועבר את המכס
בארה"ב עם היהלומים מוסתרים בחגורת מיוחדת .הוא ביצע את שוד הבנק הגדול
ביותר בהיסטוריה -ועשה את זה בלי להשתמש באקדח ,ובלי להשתמש במחשב.
למרבה הפלא ,התעלול שלו הכניס אותו לספר השיאים של גינס בקטגוריה של
"הונאת המחשב הגדולה ביותר" .סטנלי ריפקין השתמש באמנות ההונאה -
מיומנויות וטכניקות שנקראים היום הנדסה חברתית.
וזה הנושא של הספר שלפניך -טכניקות של הנדסה חברתית )בו עבדכם הנאמן
מיומן( וכיצד להתגונן מפניהם בחברה שלך.
מהות האיום
הסיפור של ריפקין מבהיר היטב עד כמה מטעה יכולה להיות תחושת הביטחון.
אירועים כמו זה -בסדר ,אולי לא בסדר גודל של , $ 10,000,000אך תקריות
מזיקות בכל זאת -קורים כל יום .ייתכן שאתה מפסיד כסף עכשיו ,או שמישהו
יכול לגנוב את התוכניות של המוצר החדש שלך ,ואתה אפילו לא יודע את זה .אם
זה לא קרה כבר לחברה שלך ,זה לא שאלה של אם זה יקרה ,אלא מתי.
החשש גדל והולך
המכון לאבטחת המחשב ,ערך סקר בשנת 2001על פשעי מחשב .על פי הדו"ח
85אחוז מהארגונים שענו לסקר זיהו פרצות אבטחה במחשביהם בשנים עשר
החודשים הקודמים .זה מספר מדהים :רק חמש עשרה מתוך כל מאה ארגונים
יכלו לומר שהם לא חוו פרצת אבטחה במהלך השנה .מדהים לא פחות היה מספר
הארגונים שדיווחו כי הם חוו הפסדים כספיים עקב פרצות מחשב 64 :אחוז .יותר
ממחצית מהארגונים סבלו כלכלית בשנה אחת .הניסיון שלי גורם לי להאמין
שהמספרים בדוחות כאלה מנופחים במקצת .אני חושד באג'נדה של האנשים
שניהלו את הסקר .אבל זה לא אומר שהנזק אינו רב ,כי הוא כן .מי שלא מתכונן
לניסיונות פריצה נידון לכישלון.
מוצרי האבטחה המסחריים שפרוסים ברוב החברות נועדו בעיקר לספק הגנה מפני
פורץ מחשב חובבן ,כמו בני הנוער שמכונים סקריפט קידס .למעשה ,השאיפות
של ההאקרים האלו שרק הורידו תוכנה היא רק להטריד .ההפסדים הגדולים יותר,
האיומים האמיתיים ,באים מתוקפים מתוחכמים עם מטרות מוגדרות היטב אשר
שליטה בחוליה האנושית באבטחה
מונעים על ידי רווח כספי .אנשים אלה מתמקדים ביעד אחד בכל פעם ,ולא כמו
חובבנים ,מנסים להסתנן למערכות רבות ככל האפשר .בעוד חובבנים פולשים
למחשבים רק כדי לפרוץ כמות גדולה ,המטרות של אנשי מקצוע הינם בעלי איכות
וערך.
טכנולוגיות כמו התקני אימות )להוכחת זהות( ,בקרת גישה )לניהול גישה לקבצים
של משאבי מערכת( ,וכן מערכות גילוי פריצות )המקבילה האלקטרונית של
אזעקה( דרושים למערך האבטחה הארגוני .עדיין ,חברות מוציאות יותר כסף על
קפה מאשר על פריסת אמצעי אבטחה כדי להגן על הארגון מפני התקפות של
האקרים.
בדיוק כמו שמוח של פושע לא יכול לעמוד בפני פיתויים ,כך המוח של ההאקר
מחפש כל הזמן דרכים לעקוף את אמצעי האבטחה הטכנולוגיים .ובמקרים רבים,
הם עושים זאת על ידי הכוונת האנשים להשתמש בטכנולוגיה.
שיטות עבודה מטעות
ישנו פתגם פופולרי שאומר שמחשב מאובטח רק כשהוא כבוי .מתוחכם ,אבל לא
נכון :הנוכל ידבר עם מישהו שנכנס למשרד ותוך כדי הוא ידליק את המחשב .יריב
שרוצה להשיג את המידע שלך יכול להשיג אותו ,בדרך כלל בכמה דרכים שונות.
זה רק עניין של זמן ,סבלנות ,אישיות והתמדה .זה המקום שבו אמנות ההונאה
נכנסת.
כדי להביס את אמצעי האבטחה ,התוקף ,הפורץ ,או המהנדס החברתי חייבים
למצוא דרך לרמות את המשתמש בעל הגישה למידע המסווג ולגרום לו להעביר
את המידע לידיו ,או למצוא סימן תמים שיעזור לספק לו גישה .כאשר פורץ גורם
לעובדים נאמנים ע"י רמאות או מניפולציה לחשוף מידע רגיש ,או לבצוע פעולות
שיצרו חור אבטחה שדרכו התוקף יוכל לפרוץ ,אין טכנולוגיה בעולם שתוכל להגן
על החברה .כמו שקריפטוגרפים מצליחים לפעמים לחשוף את הטקסט הנקי של
הודעה מוצפנת על ידי מציאת חולשה המאפשרת להם לעקוף את טכנולוגיית
הצפנה ,כך המהנדסים החברתיים משתמשים בהונאה ובמניפולציות על העובדים
שלך כדי לעקוף את האבטחה הטכנולוגית.
פתרונ ות אבטחת מידע כדי למזער את הסיכונים הקשורים לשימוש במחשבים ,אך
השאירו מבלי שנתנו מענה לבעיה ,את הפגיעות המשמעותיות ביותר ,הגורם
האנושי .למרות האינטלקט שלנו ,אנחנו בני האדם -אתה ,אני ,וכל אחד אחר -
נשארנו האיום החמור ביותר על כל סוג של אבטחה.
האופי הלאומי שלנו
במיוחד בעולם המערבי אנחנו לא מודעים לאיום .בפרט בארצות הברית ,אנחנו
לא רגילים לחשוד אחד בשני .אנו גדלים על "ואהבת לרעך כמוך" .יש אמון
ואמונה זה בזה .חישבו עד כמה קשה לגרום לאנשים לנעול את הבתים והמכוניות
שלהם .זה מסוג הדברים שברור שיש להם פוטנציאל להיות הרסניים ,ובכל זאת
נראה כי הרבה מתעלמים ומעדיפים לחיות בעולם הפנטזיה שלהם -עד שהם
יכוו.
אנו יודעים שלא כל בני האדם הם מהסוג ההגון ,אבל לעיתים קרובות מדי אנחנו
מתנהגים כאילו כולם כאלה .זו תמימות מקסימה במרקם חייהם של האמריקאים
וכואב לוותר עליה .כאומה שדוגלת בחירות ,ברור שהמקומות הטובים ביותר הם
אלה שבהם מנעולים ומפתחות לא משחקים תפקיד מרכזי.
רוב האנשים מניחים שהם לא יולכו שולל על ידי אחרים ,בהתבסס על האמונה
שהסבירות שהם ירומו הוא נמוך מאוד :התוקף ,מכיר את האמונה הרווחת ,מבקש
דברים סבירים והגיוניים ,כך שהוא לא מעלה חשד ,תוך ניצול האמון של הקורבן.
ארגוני התמימות
העובדה שהתמימות היא חלק מהאופי הלאומי שלנו בלטה מאוד כאשר
המחשבים הראשונים התחילו להתחבר מרחוק .נזכיר כי רשת הARPANET-
קודמתה של האינטרנט ,תוכננה כדי ליצור שיתוף מידע מחקרי בין הממשלה,
חוקרים ,ומוסדות חינוך .המטרה הייתה חופש המידע ,כמו גם התקדמות
טכנולוגית.
מסיבה זאת מוסדות חינוך רבים הקימו את מערכות המחשבים המוקדמות עם
מעט אבטחה או בכלל בלי אבטחה .אחד מסמלי התוכנות החופשיות ,ריצ'ארד
סטולמן ,אף סירב להגן על החשבון שלו באמצעות סיסמה.
הבעיה היא לא המכונות .הבעיה היא הגורם האנושי :האנשים המאיישים את
המכונות .שדות תעופה יכולים לגייס את המשמר הלאומי ולהתקין גלאי מתכות
ומערכות זיהוי פנים ,אבל לחנך את אנשי הביטחון בחזית על איך לעבוד עם
הנוסעים כמו שצריך יועיל הרבה יותר.
אותה בעיה קיימת במוסדות ממשלתיים ,עסקיים ,וחינוכיים ברחבי העולם .למרות
המאמצים של מומחי אבטחת מידע ,המידע בכל מקום נותר פגיע וימשיך להוות
מטרה בשלה עבור אותם תוקפים עם כישורי הנדסה חברתית ,וכל עוד החוליה הכי
חלשה בשרשרת האבטחה תהיה החולשה האנושית האיום ילך ויתחזק.
עכשיו יותר מתמיד ,עלינו ללמוד להפסיק לחיות באשליות ולהיות מודעים יותר
לטכניקות המשמשות את מי שמנסה לתקוף ופגוע בשלמות בחיסיון ובזמינות של
מערכות המחשבים והרשתות שלנו.
כבר השלמנו עם הצורך ללמוד נהיגה הגנתית ,זה הזמן לקבל וללמוד את
הפרקטיקה של מחשוב הגנתי.
האיום של פריצה שתפגע בפרטיות שלך ,במחשבות שלך ,או במערכות המידע של
החברה שלך אולי לא נראה אמיתי .עד שזה קורה .כדי להימנע מלימוד יקר על
בשרנו ,כולנו צריכים להיות מודעים ,משכילים ,ולעמוד על המשמר באגרסיביות
כדי להגן על הנכסים הרוחניים שלנו ,הפרטים האישיים שלנו ,ועל תשתיות
חיוניות של האומה שלנו .אנחנו צריכים ליישם את אמצעי הזהירות עוד היום.
מחבלים והונאה
כמובן ,הונאה אינה הכלי הבלעדי של מהנדס חברתי .הטרור בעולם האמיתי עושה
את הכותרות הגדולות ביותר בעיתונים ,ואנחנו צריכים להגיע להכרה יותר מאי
פעם כי העולם הוא מקום מסוכן .הציוויליזציה הינה ,אחרי הכל ,ציפוי עדין.
ההתקפות על ניו יורק וושינגטון ,בספטמבר 2001החדירו עצב ופחד בלב כל אחד
מאיתנו -לא רק האמריקאים ,אלא בכל העמים .אנחנו עכשיו מתריעים על
העובדה שישנם טרוריסטים שממוקמים ברחבי העולם ,גם כאלו מאומנים
שמחכים להוציא לפועל התקפות נוספות נגדנו.
המאמץ החריף לאחרונה כאשר הממשלה הגבירה את רמת האבטחה .אנחנו
צריכים להישאר ערניים ,ולעמוד על המשמר נגד כל גילויי הטרור .עלינו להבין
פרק -1החוליה החלשה באבטחה 19
כיצד טרוריסטים בוגדניים יוצרים זהויות בדויות ,ומעמידים פנים שהם מתפקדים
כמו סטודנטים ושכנים ,ובכך נטמעים בתוך הקהל.
הם מסתירים את האמונות האמיתית שלהם בזמן שהם פועלים נגדנו -על תרגילי
הונאה אמיתיים שדומים לאלו של הטרוריסטים תקרא בעמודים הבאים.
ולדאוג מכך שיכול להיות שמנסים לרמות ולהונות אותנו .בעולם מושלם היינו
צריכים להאמין לזולת ,ולסמוך שאנחנו פוגשים באנשים כנים ואמינים .אבל
אנחנו לא חיים בעולם מושלם ולכן אנחנו צריכים להפעיל רמת ערנות סבירה כדי
לא ליפול בפח מאמצי ההטעיה של אויבנו.
החלקים העיקריים של הספר ,חלקים 2ו ,3-מורכבים מסיפורים שיראו לך את
המהנדסים החברתיים בפעולה .בקטעים אלה תוכל לקרוא על:
מה גילו פריקים של טלפון לפני שנים :שיטה חלקלקה להשיג מחברות
הטלפון מספר טלפון חסוי.
שיטות שונות שתוקפים משתמשים בהן כדי לשכנע עובדים לחשוף את
השם משתמש והסיסמא שלהם.
כיצד מנהל מרכז תפעול שיתף פעולה עם הפורץ כך שהוא הצליח
להוציא ממנו את הסוד השמור ביותר של המוצר שהחברה שלו מפתחת.
שיטות של פורצים שגרמו לגברת אחת להוריד תוכנה ששומרת את כל
ההקלדות במחשב ואת פרטי ההתחברות לאימייל שלה.
כיצד חוקרים פרטיים משיגים מידע על החברה שלך ,ועליך באופן
אישי .אני כמעט יכול להבטיח לך שזה יגרום לך לצמרמורת במעלה
גבך.
אתה עלול לחשוב כאשר אתה קורא חלק מהסיפורים שבחלקים 2ו 3-שהם לא
הגיוניים במציאות ,כי אף אחד לא יכול באמת להצליח להתחמק עם השקרים
והטריקים המלוכלכים שמתוארים שם .המציאות היא שהסיפורים האלו מתארים
אירועים שיכולים לקרות וקרו בפועל; רבים מהם מתרחשים מדי יום אי שם על
פני כדור הארץ ,אולי אפילו לעסק שלך בזמן שאתה קורא את הספר הזה.
החומר בספר הזה יהיה מאיר עיניים בכל הנוגע להגנה על העסק שלך .גם באופן
אישי הוא יעזור לך לזהות מהנדס חברתי כדי שתוכל להגן על המידע האישי שלך.
בחלק הרביעי של הספר אני משנה כיוון .המטרה שלי כאן היא לעזור לך לעצב
את המדיניות העסקית הדרושה כדי למזער את הסיכוי של העובדים שלך להיות
מרומים אי פעם על ידי מהנדס חברתי .הבנת האסטרטגיות ,השיטות והטקטיקות
של מהנדס חברתי תעזור לך להכין את פריסת בקרי האבטחה כדי להגן על נכסי
העסק שלך ,מבלי לפגוע בפריון של החברה שלך.
בקיצור ,כתבתי את הספר במטרה להעלות את המודעות שלך לאיום החמור
הנשקף מהנדסה חברתית ,כדי לסייע לך לצמצם את הסיכוי שעובדי החברה שלך
ינוצלו בדרך זו.
פרק -1החוליה החלשה באבטחה 21
ואולי אני צריך לומר ,לצמצם את הסיכוי לאפס כדי שלא ינוצלו עוד פעם בצורה
כזו.
שליטה בחוליה האנושית באבטחה
חלק שני
האומנות של התוקף
פרק - 2מידע לא מזיק 23
קרדיט צ'קס
במשך זמן רב ,הבריטים סבלו ממערכת בנקאית מחניקה מאוד .בתור אזרח
מהשורה ,לא היית יכול להיכנס סתם כך מהרחוב ולפתוח חשבון בנק .לא ,הבנק
לא יעלה על דעתו לקבל אותך כלקוח אלא אם כן אדם מבוסס ומוכר שהוא גם
לקוח שלהם סיפק לך מכתב המלצה.
שליטה בחוליה האנושית באבטחה
"אוקיי – באיזה שעות הסניף שלך פתוח לעסקים?" היא עונה לו ,וממשיכה לענות
על רצף השאלות שלו.
"כמה עובדים בסניף שלך משתמשים בשירות שלנו?"
"באיזו תדירות אתם מתקשרים אלינו עם בדיקה?"
"האם הנציגים שלנו תמיד היו אדיבים?"
"מהו זמן התגובה שלנו?"
"כמה זמן את עובדת עם הבנק?"
"מהו מזהה הסוחר שבו את משתמש כעת?"
"האם אי פעם מצאת אי דיוקים במידע שסיפקנו לך?"
"אם היה לך הצעות לשיפור השירות שלנו ,מה הם היו?"
וגם:
"האם תהיי מוכנה למלא שאלונים תקופתיים במידה ואנו נשלח לך אותם לסניף?"
היא הסכימה ,הם פטפטו קצת ,המתקשר ניתק את השיחה ,וכריס חזרה לעבוד.
המתקשר אומר שהוא מהבנק הלאומי .הוא מוסר מספר "מזהה סוחר" תקין,
ולאחר מכן הוא מציין את השם ואת מספר הזהות של האדם שהוא חיפש עליו
מידע .הנרי ביקש תאריך לידה ,והמתקשר נתן לו גם את זה.
כל שלושת השיחות האלה בוצעו על ידי אותו אדם :חוקר פרטי שאנחנו נקרא לו
אוסקר גרייס .לגרייס היה לקוח חדש ,אחד הראשונים שלו .גרייס היה שוטר עד
לפני כמה חודשים ,הוא גילה שחלק מהעבודה החדשה הזו באה באופן טבעי,
אבל חלק מהעבודה אתגרה את כושר ההמצאה שלו ודרשה ממנו משאבים רבים.
השיחות האחרונות נכנסות היטב תחת הקטגוריה "עבודה מאתגרת".
הלקוחה החדשה של גרייס היתה גברת שנראתה כאילו יש לה תקציב מכובד מאוד
לתכשיטים ובגדים .היא נכנסה למשרד יום אחד ,והתיישבה בכורסת העור שהייתה
המקום היחיד בחדר שלא היה מכוסה בערימת ניירות .היא הניחה את תיק היד
שלה מתוצרת גוצ'י על השולחן כשהלוגו מופנה כלפיו והכריזה שהיא מתכננת
לספר לבעלה שהיא רוצה להתגרש ,אך הודתה בפניו שיש "איזו שהיא בעיה
קטנה".
נראה היה שבעלה הקדים אותה במה צעדים .הוא כבר משך כסף מחשבון החיסכון
שלהם וסכום גדול עוד יותר מחשבון הברוקראז' שלהם .היא רצתה לדעת היכן
רכושם מסתתר ,ועורך הדין שטיפל בתיק הגירושין לא עזר לה בכלל .גרייס שיער
שעורך הדין היה אחד מאלה שיושבים בצפון העיר בגורדי שחקים ,ולא ילכלכו
את הידיים שלהם כדי לברר לאן הכסף נעלם.
הוא הבטיח לה שזה יהיה ממש קל ,פירט לה את המחיר שהיא תצטרך לשלם עבור
ההוצאות והשירות ,ולקח ממנה צ'ק על התשלום הראשון.
ואז הוא היה צריך להתמודד עם הבעיה שניצבה בפניו .מה אתה עושה אם אף פעם
לא התעסקת בחיים בסוג כזה של משימה ואתה לא ממש יודע איך עוקבים אחרי
השובל שהכסף מותיר? בואו נתקדם בצעדי תינוק ,נכנס לראשו של גרייס ונראה
מה אפשר לעשות.
שלב ראשון :צריך לברר את הטרמינולוגיה המדויקת ולמצוא דרך להציג את
הבקשה כך שהיא תישמע כאילו אני יודע על מה אני מדבר .התקשרתי לבנק,
הבחורה הראשונה שענתה לי ,קים ,חשדה קצת כששאלתי על איך הם מזהים את
עצמם כשהם מתקשרים ל .CreditChexהיא היססה ,ולא ידעה אם לספר לי.
האם אני חיכיתי שתחליט? אפילו לא שנייה .למעשה ,ההיסוס שלה נתן לי מפתח
חשוב לפתרון ,הבנתי שאני צריך לספק לה סיבה אמינה והיא תשתכנע .כששיקרתי
לה שאני עורך מחקר לשם כתיבת ספר ,חשדותיה הוקלו .כשאתה אומר שאתה
סופר או כותב תסריט ,כולם מאמינים ומספקים לך את המידע שביקשת.
הייתה לה עוד הרבה אינפורמציה שיכלה לעזור לי -דברים כמו איזה פרטי זיהוי
של האדם CreditChexדורשים כדי לקבל עליו מידע ,איזה מידע אפשר לבקש
מהם ,ועוד דבר מאוד חשוב -מה מזהה הסוחר האישי שלה .רציתי לשאול אותה
את השאלות האלו ,אבל ההיסוס שלה הניף מול עיני דגל אדום שסימן לי לחדול.
היא אמנם קנתה את הסיפור על מחקר לספר ,אבל נראה שחשד קל החל לנקר
במוחה .אם היא הייתה מראה שהיא בכיוון הנכון הייתי מבקש ממנה לספק לי
פרטים נוספים על הנהלים שלהם.
ז'רגון
אתה צריך לפעול ע"פ תחושות בטן ,להקשיב היטב ולבחון מה הקול של הקורבן
משדר .הבחורה הזאת נשמעה מספיק חכמה כך שאם הייתי שואל עוד הרבה
שאלות יוצאות דופן ,פעמוני האזהרה במוחה היו מתחילים לצלצל .ואפילו שהיא
לא יודעת מי אני או מאיזה מספר אני מתקשר ,עדיין ,בעסק הזה אתה אף פעם לא
רוצה שמישהו יזרוק מילה לחבר'ה שלו שצריך להיזהר כי איזה אחד מחפש מידע
על החברה .הסיבה לכך היא שאתה לא רוצה לשרוף את המקור -ייתכן שתרצה
להתקשר לאותו משרד בפעם אחרת.
תמיד אני מחפש סימנים קטנים שיעזרו לי להבין עד כמה האדם שמולי מאמין לי
ויסכים לשתף פעולה .זה נע בין "אתה נשמע כמו אדם נחמד ואני מאמין לכל מה
שאתה אומר" לבין "תזעיקו את השוטרים ,ותשלחו התראה למשמר הלאומי,
הבחור הזה זומם משהו".
שליטה בחוליה האנושית באבטחה
שמתי לב שקים היא מקרה קצת גבולי ,אז פשוט התקשרתי למישהו בסניף אחר.
בשיחה השנייה שלי עם כריס ,הטריק של הסקר פעל כמו קסם .הטקטיקה כאן היא
להשחיל את השאלות החשובות בין השאלות חסרי החשיבות כדי ליצור תחושה
של אמינות .לפני שזרקתי את השאלה החשובה על מספר זיהוי הסוחר שלה עם
,CreditChexהרצתי מבחן קטן של הרגע האחרון ושאלתי אותה שאלה בעלת
גוון אישי -כמה זמן היא עובדת בבנק.
שאלה אישית היא כמו מוקש -חלק מהאנשים ידרכו ישר על המוקש ולא יבחינו
בכך ולאנשים אחרים תדלק נורה אדומה והם יתחילו לחשוד ולהיזהר .לכן אני
שואל שאלה בעלת גוון אישי ואם היא עונה על השאלה ונימת קולה לא השתנתה,
זה אומר שהיא כנראה לא חושדת שמאחורי הבקשה עומדת כוונה לא תמימה .ואז
אני יכול לשאול את השאלה המבוקשת בבטחה מבלי לעורר את חשדה ,וככל
הנראה היא תיתן לי את התשובה שאני מחפש.
אחד הדברים היותר חשובים שחוקר פרטי יודע :לעולם לא לסיים את השיחה ישר
אחרי שהוא קיבל את המידע הרצוי .צריך לשאול עוד שתיים או שלוש שאלות,
לפטפט קצת ,ואז זה בסדר להגיד שלום .מאוחר יותר ,אם הקורבן ייזכר במשהו
לגבי מה ששאלת ,זה יהיה כנראה השאלות האחרונות .את השאר הוא בדרך כלל
ישכח.
אז כריס נתנה לי את מספר זיהוי הסוחר שרציתי ,ואת מספר הטלפון שאליו הם
מתקשרים כדי לבקש לבדוק על לקוח .הייתי שמח אם הייתי שואל אותה עוד כמה
שאלות על איזה מידע אפשר לקבל מ .CreditChex-אבל העדפתי שלא להגזים.
זה היה כמו צ'ק פתוח על .CreditChexעכשיו אני יכול להתקשר ולקבל מידע
בכל פעם שארצה בכך .אפילו אני לא צריך לשלם עבור השירות .כפי שהתברר,
הנציג של CreditChexשמח לחלוק איתי את המידע שבדיוק רציתי :בעלה של
הלקוחה שלי פתח חשבונות בשתי מקומות לאחרונה.
אז איפה היו הנכסים שחיפשה הגברת שעוד מעט הופכת להיות גרושה? איפה אם
לא במוסדות הפיננסיים שביררו עליו בדיוק עכשיו ב?CreditChex
ניתוח ההונאה
כל התחבולה הזאת הייתה מבוססת על אחד הטקטיקות הבסיסיות בהנדסה
חברתית :קבלת גישה למידע שעובד החברה מתייחס אליו כלא מזיק ,כאשר הוא
כן מזיק.
כל זה הכשיר את הקרקע לשיחה השלישית .כל מה שגרייס היה צריך לעשות זה
להתקשר ל ,CreditChexלהתחזות לנציג של אחד הבנקים שהוא לקוח שלהם,
הבנק הלאומי ,ופשוט לבקש את המידע וזהו .הוא אחרי כל הסיפור.
כמו נוכל מתוחכם שגונב את הכסף שלך ,לגרייס היה כישרון מפותח לקריאת
אנשים .הוא הכיר את הטקטיקה הנפוצה של הטמעת שאלות המפתח בין השאלות
התמימות .הוא ידע ששאלה אישית תהיה מבחן טוב לבדיקת הנכונות של הפקידה
לשתף פעולה ,לפני שהוא מבקש בתמימות את מספר מזהה הסוחר.
המסר של מיטניק
מזהה הסוחר במצב כזה הוא המקבילה של סיסמה .אם אנשי הבנק היו מתייחסים
אליו כאל קוד אישי בכספומט ,הם היו יכולים להבין את האופי הרגיש של המידע.
האם יש מספר שמשמש כקוד אישי בארגון שלך שאנשים לא מתייחסים אליו
בתשומת הלב הראויה?
הבחורה החליטה לפשוט על ספק סלולרי כדי לראות אם היא יכולה לאתר שם
כמה מהנדסים שיתפתו ויסכימו לעבור לחברה המתחרה .ברור שהיא לא יכלה
להתקשר סתם ככה למרכזייה ולבקש" ,תנו לי לדבר עם כל המהנדסים בעלי ניסיון
של חמש שנים לפחות ".במקום זאת ,מסיבות שיתבררו בעוד מספר רגעים ,היא
התחילה את מסע הציד של הכישרונות בבקשת מידע שעל פניו אינו רגיש כלל,
מידע שאנשי החברה ימסקו כמעט לכל מי שיבקש.
התוקפת השתמשה בשם דידי סאנדס והתקשרה למשרדי חברת הסלולר .השיחה
הלכה בערך ככה:
פקידת הקבלה :צהריים טובים .זו מארי ,במה אני אוכל לעזור לך?
דידי :האם אתה יכול להעביר אותי למחלקת התחבורה?
פקידת הקבלה :אני לא בטוח שקיימת אצלנו מחלקת תחבורה ,אני אחפש במדריך
שלי .מי מדברת?
דידי :זאת דידי.
פקידת הקבלה :האם את בבניין ,או ? ...
דידי :לא ,אני מחוץ לבניין.
פקידת הקבלה :דידי מה?
דידי :דידי סאנדס .היה לי את מספר הטלפון של התחבורה ,אבל שכחתי אותו.
פקידת הקבלה :רגע אחד.
כדי להפיג את החשדות דידי שאלה באגביות שאלה שנועדה להבהיר לפקידה
שהיא מהחברה והיא מכירה את מבנה הבניין.
ואז דידי השתמשה במונח מוכר בעולם העסקים שמתאר קוד שניתן לכל מחלקה
או קבוצת עבודה ואיתו משלמים על שירותים שונים שהקבוצה צורכת:
דידי :מצוין .יש לי שאלה בשבילך .איך אני מוצאת את "מרכז העלות" של מחלקה
מסוימת?
פגי :את צריכה להשיג את האנליסט שאחראי על התקציב במחלקה.
דידי :אתה יודעת מי האנליסט של התקציב במטה ב ?Thousand Oaksאני
מנסה למלא פה איזה טופס ואני לא יודעת את מרכז העלות הנכון.
פגי :לא ..אני רק יודעת שאת המספר מרכז עלות אפשר לברר אצל האנליסט
במחלקה שלך.
דידי :יש לך את ה"מרכז עלות" של המחלקה שלך?
פגי :יש לנו את "מרכז העלות" שלנו אבל אין לנו רשימה של הקוד של מחלקות
אחרות.
דידי :כמה ספרות יש למרכז העלות? מה מרכז העלות שלך לדוגמה?
1
בהנהלת חשבונות ,חשבונות המיצגים סכומים שאותם חייבים לקוחות מסחריים של עסק
ושצריכים להיפרע בתוך תקופה של שנה או פחות .כלומר ,סכומים המגיעים לעסק מפעילות יום
יומית בעד סחורות או שירותים שסופקו ללקוחות על ידי הזכאי ,והם מופיעים בפנקסי הזכאי בדרך
כלל כחובות פתוחים .כאשר העסק רושם מכירה ,נוצר באופן סימולטני תשלום במזומן ,או שטר
לקבל או חשבון חייבים .במקרה שהתשלום הוא לא במזומן ,הרי כאשר התשלום מתקבל לבסוף,
חשבון החייבים נסגר .חשבונות חייבים ניתן לשעבד כבטחון כנגד הלוואה מבנק ,ובמקרה כזה יש
צורך למסור לבנק העתקי חשבונות ורשות לעיין בפנקסי הלווה ולעמוד בדרישות אחרות של
המלווה .לצורך המאזן .,חשבונות חייבים מוערכים על פי סך הכל שלהם בניכוי הפרשה לחובות
מסופקים .חשבונות חייבים הם גורם מפתח בניתוח נזילות פירמה -יכולתה לעמוד בהתחייבויות
שוטפות ללא הכנסות נוספות.
שליטה בחוליה האנושית באבטחה
וכך דידי השיגה את המספר של מרכז העלות שהיא צריכה רק בגלל שהיא שוחחה
מספיק זמן עם מישהו בעל נכונות לעזור -אחת מאותן פיסות מידע שאף אחד לא
חושב להסתיר כי זה נראה כמו פרט שלא יכול להיות בעל ערך כלשהו למישהו
מבחוץ .
עבודת ההכנה המוקדמת עזרה לה עכשיו :היא אפילו לא תצטרך לשלם על העלות
והמשלוח של המדריך .כמובן שדידי נתנה את מרכז העלות של Thousand
:Oaks
כעבור כמה ימים ,כאשר מדריך החברה הגיע ,דידי ראתה שזה אפילו יותר טוב
ממה שהיא חשבה :לא רק השמות ומספרי הטלפון הופיעו ,אלא גם מי עובד תחת
מי – ממש כל המבנה התאגידי של הארגון.
הגברת עם הקול הסקסי הייתה מוכנה להתחיל במסע הצייד שלה ,עכשיו היא
יכלה להתחיל בשיחות הטלפון למהנדסים שהיא חיפשה לצוד ...העבודה הקשה
השתלמה לה .עכשיו כל המידע שהיא חיפשה מונח לפניה שחור על גבי לבן.
ז'רגון
כתובת למכתבים :מונח בהנדסה חברתית שמתאר תיבת דואר מושכרת ,שבדרך
כלל מושכרת תחת שם בדוי ,ומטרתה לקבל מכתבים או חבילות מהקורבן.
המסר של מיטניק
בדיוק כמו חלקים של פאזל ,כל פיסת מידע עשויה להיות לא רלוונטית בפני
עצמה .עם זאת ,כאשר מחברים את כל החלקים יחד ,עולה תמונה ברורה .במקרה
הזה התמונה שהמהנדס החברתי קיבל היה המבנה הפנימי של החברה.
ניתוח ההונאה
דידי התחילה את ההתקפה שלה בהשגת שלושה מספרי הטלפון של מחלקות
בחברה שהיא בחרה למטרה .זה היה קל ,משום שהמספרים שהיא ביקשה לא היו
סודיים ,במיוחד לא לעובדים .מהנדס חברתי לומד להישמע כמו אחד מבפנים,
ודידי הייתה מיומנת במשחק הזה .אחד ממספרי הטלפון הוביל אותה למספר
מרכז העלות ,ולאחר מכן היא השתמשה בו על מנת להשיג עותק של מדריך
העובדים של החברה.
הכלים העיקריים שהיא נזקקה להם :צליל ידידותי ,תוך שימוש בז'רגון המקובל
בחברה כזאת ,לקורבן האחרון ,היא 'עשתה עיניים' בקולה המאנפף.
שליטה בחוליה האנושית באבטחה
המסר של מיטניק
מוסר ההשכל של הסיפור הוא ,לא לתת שום מידע אישי או פנים חברתי או פרטי
זיהוי לאף אחד ,אלא אם כן הקול שלו או שלה מוכרת לך ויש הגיון בבקשה.
מניעת ההונאה
על החברה שלך מוטלת האחריות לגרום לעובדים להיות מודעים לאופן שבה
טעות חמורה יכולה להתרחש בשל טיפול רשלני במידע שאינו ציבורי .מדיניות
אבטחת מידע מחושבת ,בשילוב עם חינוך והכשרה מתאימים ,יגדילו באופן
משמעותי את המודעות של העובד לטיפול נאות במידע העסקי של החברה.
מדיניות סיווג נתונים תעזור לך לשלוט היטב בחשיפת מידע .בלי מדיניות סיווג
נתונים ,יצטרעו להתייחס לכל מידע פנימי כאל חסוי ,אלא אם כן צוין אחרת.
תפעל לפי השלבים הבאים כדי להגן על החברה שלך מפני שחרור של מידע בלתי
מזיק לכאורה:
על האדם או הצוות שתפקידם ואחריותם לנסח את מדיניות סיווג הנתונים לבחון
את סוג הפרטים שנראים בלתי מזיקים שיכולים לשמש תוקפים ביצירת אמון עם
עובדי החברה ,ועלולים להוביל לחשיפת מידע רגיש .למרות שאתה אף פעם לא
תספק למישהו את הקוד הסודי של כרטיס האשראי שלך ,מדוע תהיה מוכן לספר
למישהו באיזה שרת אתה משתמש כדי לפתח את מוצרי התוכנה של החברה?
האם המידע הזה לא יעזור לאדם שמעמיד פנים שהוא מישהו שיש לו גישה
מורשת לרשת של החברה?
המסר של מיטניק
כמו שאומר הפתגם העתיק -גם לפרנואידים כנראה שיש אויבים אמיתיים .אנו
חייבים לצאת מנקודת הנחה שלכל עסק יש את האויבים שלו ,תוקפים שמתמקדים
בתשתית הרשת של החברה ומסכנים את הסודות העסקיים שלה .בסופו של דבר
חבל להיות חלק מהסטטיסטיקה העגומה של פשעי מחשב -זה הזמן לחזק את
ההגנה ההכרחית על ידי יישום של מדיניות אבטחה טובה.
כמעט אין חברה שתיתן את הטלפון הישיר של המנכ"ל או יו"ר מועצת המנהלים.
רוב החברות ,לעומת זאת ,לא חוששות לתת את מספרי הטלפון של רוב המחלקות
והחטיבות בארגון ,במיוחד למי שנראה כמו עובד בחברה.
אפשרי לנקוט בצעדי נגד :יישום מדיניות שאוסרת לתת לאנשים מבחוץ את מספרי
הטלפון הפנימיים של עובדים ,קבלנים ,יועצים ועובדים זמניים .עוד יותר חשוב
לפתח הליך מסודר שיובהר לכולם שלב אחר שלב על מנת לזהות אם המתקשר
שמבקש מספרי טלפון הוא באמת עובד החברה.
קודי החשבונאות של קבוצות עבודה ומחלקות ,כמו גם עותקים של מדריך
הטלפונים של החברה )בין אם מדובר בעותק קשיח ,קובץ נתונים או ספר טלפונים
אלקטרוני שנמצא באינטרנט( הם מטרות מבוקשות למהנדס חברתי .על כל חברה
לפרסם לכולם מדיניות כתובה על גילוי מידע כזה .אמצעי האבטחה צריכים לכלול
אבטחת יומן הביקורת שבו נרשמים מקרים שבהם מידע רגיש נחשף לאנשים
מחוץ לחברה.
מידע כגון מספר העובדים ,בפני עצמו ,לא אמור לשמש כסוג של אימות .כל עובד
חייב לדעת לא רק איך לאמת את זהותו של המבקש ,אלא גם לבחון אם הסיבה
שהמבקש נתן נראית הגיונית.
באימוני האבטחה ,תשקול ללמד את עובדים שלך את הגישה הבאה :בכל פעם
שאדם זר ישאל אותם שאלה או יבקש מהם לעשות עבורו איזו טובה הם יסרבו
באדיבות לענות לו עד שיהיה אפשר לאמת את זהותו .ואז – לפני שרצון הטבעי
להיות אנשים נחמדים ולעזור יגרום להם ליפול במלכודת -הם יפעלו לפי מדיניות
אבטחת המידע בחברה בנוגע לאימות זהות וגילוי של מידע שאינו ציבורי .שיטה
זו יכולה להתנגד מעט לנטייה הטבעית שלנו לעזור לאחרים ,אבל מעט פרנויה
בריאה תועיל למניעת ההונאה הבאה מצד מהנדס חברתי.
כמו שהסיפורים בפרק הזה הראו ,מידע לא מזיק לכאורה יכול להיות המפתח
לסודות היקרים ביותר של החברה שלך.
פרק - 2מידע לא מזיק 37
שליטה בחוליה האנושית באבטחה
מספר ,בבקשה
התוקף מחייג את מספר הטלפון הפנימי של מחלקת ,MLACמרכז הקצאות
הקווים .לאישה שעונה הוא אומר" :היי ,זה פאול אנתוני ואני טכנאי כבלים.
תקשיבי ,התיבה של הטלפון כאן נשרפה .השוטרים חושבים שאיזה טיפוס מגעיל
ניסה לשרוף את הבית שלו בשביל הביטוח .הם השאירו אותי כאן לבד ועכשיו אני
צריך לנסות לחבר 200חוטים למקום .אני ממש צריך קצת עזרה עכשיו .את יכולה
לעזור לי להתאים את הכבלים לכתובות בבניין 8ברחוב צי'קן?"
אדם שיתקשר למחלקות אחרות בחברת הטלפון ויבקש מידע על מספר חסוי,
יקבל אותו רק אם המתקשר מדבר מטלפון פנימי בחברה אבל המספר של מחלקת
MLACאמור להיות ידוע רק לעובדי החברה .ובעוד היא מעולם לא תמסור
מידע לזרים ,מי יסרב לעזור קצת לטכנאי של החברה להתמודד עם משימה כה
קשה? .היא מרחמת עליו ,גם לה היו לה ימים רעים בעבודה ,והיא מוכנה לכופף
קצת את החוקים כדי לעזור לבחור עם הבעיה .ואז היא אומרת לו בפירוט איזה
מספר שייך לכל לכתובות.
המסר של מיטניק
האדם מאמין לזולת מטבעו ,במיוחד כשבקשה עוברת את מבחן הסבירות.
מהנדסים משתמשים בידע הזה כדי לנצל את הקורבנות שלהם ולהשיג את
מטרותיהם.
ניתוח ההונאה
פרק - 3התקפה ישירה :פשוט לבקש 39
כפי שתוכל לשים לב שוב ושוב בסיפורים האלה ,שידע של הסלנג המקובל
בחברה והכרת המבנה הארגוני של החברה – איזה מחלקות ומשרדים קיימים ומה
כל אחד עושה -הם חלק משמעותי בארסנל הכלים של מהנדס חברתי מוצלח.
בשלב מסוים פרנק הגיע לעיר שבה לא הכירו אותו ,והוא החליט לחפש עבודה.
למישהו כמו פרנק ,עם כישורי תכנות מפותחים )וגם כישורי הנדסה חברתית
למרות שהוא מעולם לא ציין זאת בקורות חיים( ,מציאת עבודה טובה לא היוותה
בעיה בדרך כלל .למעט מקרים שהשוק מאוד רווי ,לאנשים עם ידע טכני טוב
במחשבים בדרך כלל יש ביקוש גבוה וכמעט אין להם בעיה לעמוד על הרגליים.
פרנק מצא לאחר זמן קצר -הזדמנות משתלמת לעבודה בחברה גדולה ויוקרתית
עם חוזה ארוך טווח ,שהייתה ממוקמת בסמוך למקום מגוריו.
הוא חשב שהוא רק יזדקק למלאת כרטיס עובד .אבל כאשר הוא התחיל את מילוי
הטפסים המייגע הוא נתקל בבעיה :המעסיק דרש שיספק לו עותק שמעיד על
העבר הפלילי שלו ,הוא היה צריך להוציא את המסמך הזה מהמשטרה במדינה.
ערימת הניירות שעליו למלא כללה טופס בקשה של מסמך זה ,שחלק ממנו היה
תיבה קטנה למתן טביעת אצבע .למרות שהם מבקשים טביעת אצבעות רק כדי
לבדוק שאינם נמצאות במאגר המקומי של המדינה ,אם יש סינכרון בין המאגרים
שלהם לשל ה ,FBI-הוא כנראה יעבוד בקרוב כמלצר באתר נופש במימון פדרלי.
מצד שני עלה בדעתו של פרנק שאולי ,רק אולי ,הוא יוכל להסתדר עם זה .אולי
בכלל המדינה לא שולחת את דגימות טביעת האצבע ל .FBI-איך הוא יכול לברר
זאת?
איך? הוא היה מהנדס חברתי -ואיך אתה חושב שהוא גילה את זה? הוא ביצע
שיחת טלפון למשטרה המקומית" :היי אנחנו עורכים מחקר עבור מחלקת המדינה
במשרד המשפטים .אנחנו חוקרים את הדרישות לפיתוח מערכת חדשה לזיהוי
טביעות אצבע .אני יכול לדבר עם מישהו שמכיר ממש טוב את מה שאתם עושים
שיכול אולי לעזור לנו? "
כשהמומחה המקומי הגיע לטלפון ,שאל אותו פרנק סדרה של שאלות לגבי
המערכות שבהם הם משתמשים ,ולגבי היכולות לחפש נתוני טביעת אצבע .האם
שליטה בחוליה האנושית באבטחה
היו בעיות כלשהן בציוד? כאשר מחפשים נתונים על טביעות אצבע החיפוש
מתבצע גם במסדי הנתונים של מרכז המידע הלאומי לפשיעה ) (NCICאו רק
בתוך המדינה? האם הציוד ידידותי למשתמש?
התשובה נדמתה לו כמנגינה ערבה לאוזן :לא ,הם לא היו מחוברים אל ,NCIC
הם השוו רק מול אינדקס המידע הפלילי של המדינה ).(CII
המסר של מיטניק
לנוכלים מנוסים אין נקיפות מצפון לצלצל לשלטונות הפדרליים ,או לפקידי ממשל
מקומיים כדי ללמוד על הליכי אכיפת החוק .עם מידע כזה ביד ,מהנדס חברתי
יוכל לעקוף את בדיקות האבטחה של החברה שלך.
זה כל מה שפרנק היה צריך לדעת .לא היה לו אף רישום פלילי באותה מדינה ,ולכן
הוא הגיש את בקשתו ,התקבל לעבודה ,ואף אחד לא הופיע שולחנו באחד הימים
ואמר" :הג'נטלמנים האלה ,הם מ ה FBI-והם רוצים לדבר איתך קצת" .
הונאה בלופ
מדי שנה מפרסמות חברות הטלפון ספר שנקרא המדריך לבדיקת מספר )ככה
לפחות נהגו בזמנו ,ובגלל שאני עדיין תחת פיקוח ,אני לא מתכוון לשאול אותם
אם עדין זה נקרא כך( .המסמך הזה היה משאת נפשם של פריקרים מפני שהוא
כלל את הרשימה של כל מספרי הטלפון השמורים היטב שהטכנאים בחברה
השתמשו בו לכל מיני בדיקות מעניינות ,כמו בדיקה של קווים שכל הזמן תפוסים.
אחד ממספרי הבדיקה האלו ,שהיה מוכר בשם לופ ,היה שימושי במיוחד.
פריקרים השתמשו בו כדי למצוא פריקרים נוספים ולשוחח איתם בחינם .פריקרים
פרק - 3התקפה ישירה :פשוט לבקש 41
השתמשו בו גם כדי להשאיר מספר שאפשר לחזור אליו ,למשל ,לבנק .כשמהנדס
חברתי התקשר למישהו בבנק שביקש ממנו להשאיר לו מספר טלפון שהוא יוכל
לחזור אליו הוא היה נותן לו את מספר הלופ הנ"ל .כאשר הבנק התקשר שוב
למספר הבדיקה )לופ( הפריקר היה מקבל את השיחה ,אבל לא היה אפשר לעקוב
אחריה ולגלות אותו.
המדריך לבדיקת מספרים סיפק הרבה מידע מסודר שיכול לעזור לכל פריקר שצמא
לאינפורמציה על מערכות טלפוניה .לכן ,כאשר מדריכים חדשים פורסמו מדי
שנה ,הרבה צעירים שהתחביב שלהם היה לחקור את רשת הטלפון ,חשקו בו.
המסר של מיטניק
על תדריכי האבטחה של מדיניות החברה שנועדו להגן על הנכסים הרוחניים של
החברה ,להיות מופנים לכל העובדים ולא רק לאלו שיש להם גישה אלקטרונית
או פיזית לנכסים הרוחניים בחברה.
התרמית של סטיבי
מטבע הדברים חברות הטלפון שומרות היטב על המדריך וזה לא עניין פשוט
להשיג אחד כזה ,לכן אם פריקר רוצה את המדריך הוא יצטרך להיות מאוד יצירתי.
איך בכל זאת אפשר להשיג מדריך? צעיר נלהב עם רצון עז להשיג את המדריך
יכול לגרום לתרחיש הבא לקרות במציאות.
יום אחד בשעת ערב מאוחרת של סתיו בדרום קליפורניה ,בחור שנקרא לו סטיבי
התקשר לחברת טלפונים קטנה במרכז המשרדים ,שבעצם היה הבניין שממנו
משכו קווי טלפון לכל הבתים והעסקים באזור.
כשהפקיד במרכזייה ענה לשיחה ,סטיבי הודיע שהוא מחטיבת הפרסום וההפצה
של חומרים מודפסים בחברת הטלפון" .אנו רוצים לתת לך את הגרסה החדשה של
המדריך לבדיקת מספר " ,הוא אומר" .אבל מסיבות של אבטחת מידע ,אנחנו לא
יכולים לספק לך אותו לפני שנאסוף את המדריך הישן אבל בדיוק היום האחראי
על המשלוחים מאחר .האם ברצונך להשאיר את העותק ממש מחוץ לדלת שלך,
ואנחנו נאסוף אותו ,בנתיים אני אשלח לך את המדריך החדש ".
הפקיד התמים כנראה חשב שזה נשמע הגיוני .הוא עושה בדיוק את שהתבקש,
ושם על מפתן הדלת של הבניין את העותק של המדריך שלו ,שעל העטיפה שלו
היה מסומן בבירור באותיות אדומות גדולות "סודי ביותר -כאשר אין עוד צורך
במסמך זה יש לגרוס אותו".
סטיבי נהג ברכבו תוך כדי שהוא מסתכל מסביב בזהירות כדי לוודא ששוטרים או
אנשי אבטחה של החברה לא אורבים לו מאחורי העצים או עוקבים אחריו
שליטה בחוליה האנושית באבטחה
ממכונית חונה .אף אחד לא נראה באופק .הוא מרים באדישות את המדריך הנכסף
ונוסע משם.
הנה דוגמה נוספת לקלות שבה מהנדס חברתי יכול להשיג את מה שהוא רוצה רק
ע"י שימוש בעיקרון הפשוט של "רק לבקש".
התקפת הגז
לא רק נכסי החברה נמצאים בסיכון בהונאה של הנדסה חברתית .לפעמים
הלקוחות של החברה הם הקורבנות.
עבודה כנציג שירות לקוחות כוללת לפעמים תסכולים ,לפעמים צחוקים ,ולפעמים
טעויות תמימות -שלחלקן יכולות להיות השלכות מרחיקות לכת עבור לקוחות
החברה.
הסיפור של ג'יין אקטון
ג'יין אקטון הייתה נציגת שירות לקוחות שאיישה תא קטן בחברת החשמל
בוושינגטון ,במשך קצת יותר משלוש שנים .היא נחשבה לאחד הפקידות הטובות,
משום שהפגינה חכמה ומוסריות.
בשבוע שבו חל חג ההודיה ,היא קיבלה את השיחה הבאה .המתקשר אמר" :זה
אדוארדו ממחלקה החיובים .יש לי גברת שממתינה על הקו ,היא מזכירה במשרדי
ההנהלה והיא עובדת אצל אחד מסגני הנשיא ,היא מבקשת קצת מידע ,ואני לא
יכול להשתמש במחשב שלי כי הוא נדבק בווירוס .אל תשאלי איך זה קרה...
קיבלתי מייל מבחורה ממשאבי אנוש ,עם הכותרת "אני אוהבת אותך" ,וכשפתחתי
את הקובץ המצורף ,המחשב שלי נדבק בווירוס ועכשיו אני לא יכול להשתמש
במחשב שלי .בכל אופן ,את יכולה לחפש בשבילי קצת מידע על הלקוחה? "
"בטח ",ענתה ג'יין" .המחשב שלך קרס? ממש מבאס".
"כן".
"איך אני אוכל לעזור לך?" שאלה ג'יין.
כאן התוקף שלף מידע מהמחקר המקדים שלו ,כדי להישמע אמין .הוא למד
שהמידע שהוא מחפש מאוחסן במערכת שנקראת 'מערכת מידע לחיוב לקוחות'
) ,(CBISוהוא ידע איך העובדים מכנים את המערכת הזו .הוא שאל "האם את
יכולה להעלות את החשבון ב "? CBIS
"השם הוא הת'ר מארנינג" .הוא איית לה את השם ,וג'ייני הקלידה אותו במחשב.
"אוקיי ,יש לי אותו".
"נהדר .האם זה החשבון השוטף?"
"אהה ,זה השוטף".
"מה מספר החשבון?" הוא שאל.
"יש לך עיפרון?"
"מוכן לכתוב".
"מספר חשבון ." BAZ6573NR27Q
הוא קרא את המספר בחזרה ואז אמר" ,ומה הכתובת?"
היא נתנה לו את הכתובת.
"ומה מספר הטלפון?"
ג'ייני הקריאה את המידע באדיבות ,ביותר מידי אדיבות.
המתקשר הודה לה ,אמר שלום ,וניתק .ג'יין המשיכה למתקשר הבא ,ולא חשבה
על זה יותר.
איש אחד שעסק בכתיבת ספר על הממשלה בתקופת ניקסון יצר איתי קשר ,הוא
חיפש חוקר שיכול להשיג לו סקופ על ויליאם א .סיימון ,שהיה שר האוצר של
ניקסון .מר סיימון מת ,אבל למחבר היה שם של אישה שהייתה במטה שלו .הוא
היה די בטוח שהיא עדיין גרה בוושינגטון ,אך לא הצליח להשיג את כתובתה .לא
היה טלפון על שמה ,או לפחות לא היה ברשימה .לכן הוא התקשר אלי .אמרתי
לו ,בטח ,אין בעיה.
זה מסוג העבודות שאפשר לסיים בשיחת טלפון אחת או שניים ,אם אתה יודע מה
אתה עושה .אפשר להוציא את המידע הזה מכל חברת שירותים ציבוריים מקומית.
כמובן ,אתה צריך לשקר קצת .אבל מה זה שקר לבן קטן פה ושם -נכון?
אני אוהב להשתמש בשיטה שונה בכל פעם רק כדי לשמור על החיים מעניינים.
"זה כך וכך ממשרדי ההנהלה" תמיד פועלת לי טוב .אבל גם יש את השיטה של
"יש לי מישהו שממתין על הקו ממשרד סגן הנשיא של מישהו" שעבדה גם הפעם.
שליטה בחוליה האנושית באבטחה
המסר של מיטניק
מעולם לא חשבתי שכל התקפה של הנדסה חברתית צריכה להיות מבצע מתוחכם
ומורכב מאין כמותו עד כדי כך שסביר שיעלו עליו לפני שהוא מסתיים .יש הרבה
התקפות מאוד פשוטות ולא פחות טובות של 'להכות ולהיעלם' כמו השיטה
שלפיה צריך פשוט לבקש את מה שאתה רוצה.
אתה צריך לפתח אינסטינקטים של מהנדס חברתי ,לחוש עד כמה האדם שמעבר
לקו ישתף איתך פעולה .הפעם ניסיתי את מזלי עם בחורה נחמדה שאוהבת לעזור.
בשיחת טלפון אחת ,השגתי את הכתובת ומספר הטלפון .המשימה הושלמה.
ניתוח ההונאה
אין ספק שג'ייני ידעה מידע רגיש על לקוחותיה .היא לעולם לא הייתה מדברת על
חשבון של אחד הלקוחות עם לקוח אחר ,או מפרסמת את המידע האישי בציבור.
אבל באופן טבעי ,כשהמתקשר בא מתוך החברה ,הכללים משתנים .לסייע לעמית
מהעבודה זה עניין של להיות שחקן קבוצתי ולעזור אחד לשני לעשות את
העבודה .האיש ממחלקת חיוב לקוחות היה יכול למצוא את הפרטים בעצמו אם
המחשב שלו לא היה קורס בגלל הווירוס ,והיא שמחה שהיא יכולה לעזור לחבר
מהעבודה.
ארט חתר למידע המבוקש בזהירות ,הוא שאל שאלות על דברים שהוא לא באמת
צריך כמו מספר חשבון ,לאורך כל השיחה .עם זאת ,המידע על המספר חשבון
סיפק לו תוכנית גיבוי :אם הפקידה הייתה מתחילה לחשוד ,הוא היה מתקשר
לפקיד אחר ואז גם סיכויי ההצלחה שלו היו גבוהים יותר ,כי העובדה שהוא יודע
את מספר החשבון תגרום לו להישמע הרבה יותר אמין בעיני הפקיד הבא שאליו
יגיע.
מעולם לא עלה על דעתה של ג'ייני שמישהו באמת יכול לשקר בדברים כאלו,
ושהמתקשר ,לא באמת ממחלקת חיוב .כמובן ,שהאשמה אינה נעוצה בג'יין .היא
לא הייתה מודעת לכלל שעליה לוודא שהיא יודעת עם מי היא בדיוק מדברת לפני
שהם מדברים על המידע שבקובץ של הלקוח .אף אחד מעולם לא סיפר לה על
הסכנה שטמונה בשיחת טלפון כמו זו שביצע ארט .זה לא היה חלק ממדיניות
החברה ,וזה לא היה חלק מההכשרה שלה ,הממונה עליה מעולם לא הזכיר
אפשרות כזאת.
מניעת ההונאה
הנקודה שחייבת להיכלל בתדרכי האבטחה שלך :העובדה שהמתקשר או המבקר
יודע את שמותיהם של אנשים מסוימים בחברה ,או יודע כמה מילים מהז'רגון או
מהנהלים בחברה ,ממש לא אומרת שהוא באמת מי שהוא טוען שהוא .ולכן ברור
פרק - 3התקפה ישירה :פשוט לבקש 45
שזה לא גורם לו להיות מוסמך לקבל מידע פנימי ,או גישה למערכות ממוחשבות
או לרשת.
צריך להדגיש בתדריכי האבטחה :במקרה של ספק צריך לאמת ,לאמת ושוב
לאמת .בימים עברו ,גישה למידע בתוך חברה העידה על מעמד בהיררכיה
הארגונית .העובדים הסיקו את התנורים ,הפעילו את המכונות ,הקלידו את
המכתבים ,והגישו את הדו"חות .מנהל העבודה או הבוס אמרו להם מה לעשות,
מתי ואיך .מנהל העבודה או הבוס ידעו את כל הפרטים .מה כל עובד צריך לייצר
במשמרת שלו ,באיזה כמות ובאיזה צבעים ומידות .כמה המפעל צריך לייצר
השבוע ,בשבוע הבא ,ועד סוף החודש.
היום התמונה קצת שונה ,לא? עובדי מפעל רבים משתמשים בצורה כלשהי
במחשב או במכונות שנשלטות ע"י מחשב.
חלק גדול מכוח העבודה ,מקבל את כל המידע הדרוש לו ישירות למחשב האישי
שלו ,כך שהוא יכול להיות האחראי הבלעדי לביצוע של עבודתו .במציאות של
היום ,כמעט כל העובדים עוסקים בדברים שקשורים לטיפול במידע.
לכן צריך להפיץ את מדיניות האבטחה של החברה ברחבי הארגון ,ללא קשר
לתפקיד .כולם צריכים להבין שלא רק לבוסים ולמנהלים יש את המידע שהתוקף
רוצה להשיג .כיום ,העובדים בכל הרמות ,גם אלה שלא משתמשים במחשב,
עלולים להוות מטרה .נציג שהחל לעבוד לאחרונה בקבוצת שירות הלקוחות עשוי
להיות החוליה החלשה שדרכה המהנדס החברתי יחדור כדי להשיג את מטרתו.
תדריכי האבטחה שמסבירים את מדיניות האבטחה הארגונית צריכים להדק ולחזק
את טבעת האבטחה.
שליטה בחוליה האנושית באבטחה
אחדים מהסיפורים האלה עלולים לגרום לך לחשוב שאני מאמין שכל מי שעובד
בחברה הוא אידיוט מושלם ,שמוכן ,ואפילו להוט ,למסור את כל הסודות
שברשותו .המהנדס החברתי יודע שזה לא נכון .למה התקפות הנדסה חברתית
מצליחות כל כך? זה לא בגלל שאנשים הם טיפשים או חסרי שכל ישר .אבל מה
לעשות שאנחנו ,כבני אדם פגיעים לרמאות בגלל שאנו נוטים לאבד את
החשדנות הטבעית שלנו כאשר מפעילים עלינו מניפולציות שונות.
המהנדס החברתי מעריך את רמת החשדנות ואת עוצמת ההתנגדות ,והוא תמיד
מוכן להפוך את חוסר האמון לאמון .מהנדס חברתי טוב מתכנן את ההתקפה שלו
כמו משחק שחמט ,הוא חושב איזה שאלות המטרה שלו עלולה לשאול ואז הוא
מכין תשובות נכונות ומתאימות.
אחת הטכניקות הנפוצות כוללת בניית תחושה של אמון בקרב הקורבנות .איך נוכל
יכול לגרום לך לסמוך עליו? תאמין לי ,הוא יכול.
ברגע שהוא רכש את אמונך ,החומות נפלו ודלת המבצר נפתחת לרווחה כך שהוא
יכול לקחת כל מידע שבו הוא חפץ.
הערה
בוודאי שמת לב שאני מתייחס למהנדסים החברתיים,לפריקרים ,ולמבצעי
ההונאות בלשון זכר ברוב הסיפורים .זה לא נובע משוביניזם .זה פשוט משקף את
המציאות בשטח ,שרוב האנשים האלה הם גברים .אבל למרות שאין הרבה נשים
שמתעסקות בהנדסה חברתית ,מספרם הולך וגדל .יש מספיק נשים שמתעסקות
בהנדסה חברתית שם בחוץ ,כך שאתה לא צריך לנטרל את ההגנות שלך רק בגלל
שאתה שומע קול נשי .למעשה ,לנשים יש יתרון בהנדסה חברתית כי הם יכולים
להשתמש במיניות שלהן כדי להשיג שיתוף פעולה .תוכלו למצוא בספר ,מספר
מצומצם של סיפורים שכוללים שימוש במה שנקרא סקס עדין.
השיחה הראשונה :אנדראה לופז
אנדריאה לופז ענתה לטלפון בחנות להשכרת סרטי הוידיאו שבה עבדה ,ולאחר
רגע התפשט חיוך על פניה :תמיד נעים לשמוע לקוח שטורח לומר שהוא מרוצה
פרק - 4יצירת אמון 47
מהשירות .המטלפן אמר שהוא התרשם מאוד לטובה מהטיפול המסור של החנות,
והוא רוצה לשלוח מכתב למנהל בקשר לזה.
הוא ביקש את שם המנהל ואת כתובת הדואר שלו ,והיא אמרה לו שלמנהל קוראים
טומי אליסון ,ונתנה לו את הכתובת .לפני שהוא ניתק היה לו עוד רעיון ,והוא
אמר" :אולי אני אכתוב גם למטה הראשי של החברה שלך.
"מה מספר החנות שלך?" היא נתנה לו גם את הנתון הזה .הוא אמר תודה ,הוסיף
משהו נעים על כך שהיא מאוד עזרה לו ,ונפרד לשלום.
"שיחות כמו זאת" היא חשבה" ,תמיד גורמים למשמרת לעבור מהר יותר .היה
נחמד אם אנשים יעשו זאת לעתים קרובות יותר".
ג'יני קיבלה מטומי שלוש או ארבע שיחות במהלך השבועות הבאים ,בבקשה
שתעזור לו בעניין כזה או אחר .בקשותיו נראו לגיטימיות ,והוא תמיד היה מאוד
ידידותי מבלי שנשמע כאילו הוא מנסה להתחיל איתה .מדי פעם הוא גם פטפט
איתה קצת ,למשל " -שמעת על השריפה הגדולה בפארק אלון? סגרו אשכול שלם
של רחובות באזור" וכדומה .השיחות הללו היוו עבורה הפסקה קצרה משגרת
היום ,וג'יני תמיד שמחה לשמוע את קולו.
באחד הימים טומי התקשר ונשמע לחוץ .הוא שאל" :המחשבים שלכם כבר עשו
לכם צרות?"
"כן ,בטח".
טומי נתן לה את שם הלקוח וכתובתו ,וג'יני מצאה אותו במחשב .היא נתנה לטומי
את מספר החשבון.
"הוא איחר בהחזרות האחרונות או שהוא החזיר בזמן?" שאל טומי.
"אין שום רישום בעייתי".
"אוקיי ,נהדר .אני יחתים אותו כאן ידנית על חיוב חשבון וכשהמחשבים יחזרו
לעבוד שוב אני אעדכן את זה במסד הנתונים שלנו .הוא רוצה לשלם באמצעות
כרטיס הויזה שאיתו הוא משלם בחנות שלך ,רק הוא לא עליו.
מה מספר כרטיס האשראי ותאריך התפוגה שלו?"
היא נתנה לו את המספר ,יחד עם תאריך פקיעת התוקף .ואז טומי אמר" ,היי ,תודה
על העזרה .אני אדבר איתך בקרוב" וניתק.
כמובן שהצ'ק חזר .למה ציפית? אז הם התקשרו אלי ושאלו אם אני יכול לעזור?
אני כבר לא סוגר דלתות על ידיים של אנשים .חוץ מזה ,יש דרכים טובות יותר
בימינו .אמרתי להם 30 ,אחוז עמלה ,כי ידעתי בדיוק מה אני יכול לעשות .אז הם
נתנו לי את שמו ואת כתובתו של הבחור .ואז נגשתי למחשב כדי לבדוק איזה חנות
להשכרת סרטי וידאו הכי קרובה אליו .לא מיהרתי לשום מקום .ביצעתי ארבע
שיחות טלפון על מנת להתחנף קצת למנהלת החנות ,ולאחר מכן ,בינגו ,השגתי
את המספר של הכרטיס ויזה.
פרק - 4יצירת אמון 49
ידיד שלי הוא הבעלים של בר טופלס .בעבור חמישים דולר ,הוא הכניס את הכסף
של הבחור מהפוקר בתור תשלום לבר .אין מצב שהברנש יספר לאשתו על
הרמאות הזאת .אתה חושב שהוא עלול לנסות לספר לחברת האשראי שלא הוא
אחראי לתשלום הזה? תחשוב שוב .הוא יודע שאנחנו יודעים מי הוא .ואם אנחנו
יכולים להשיג את מספר הויזה שלו ,הוא יבין לבד שאנחנו מסוגלים לעשות דברים
הרבה יותר גדולים מזה .אין מה לדאוג בעניין.
ניתוח ההונאה
השיחות הראשונית של טומי לג'יני היו רק בשביל לבנות אמון .כדי שכאשר יגיע
זמן המתקפה בפועל ,היא לא תחשוד במאום ותקבל את טומי כמו מי שהוא טוען
שהוא ,מנהל בחנות אחרת של הרשת.
ובאמת ,מדוע שלא תקבל אותו כפי שהוא הציג את עצמו -היא כבר הכירה אותו.
אמנם היא פגשה אותו רק בטלפון ,אבל החברות העסקית שלהם היוותה בסיס
לאמון .ברגע שהיא קיבלה אותו כדמות סמכותית ,מנהל באותה חברה ,האמון
נוצר וכל השאר היה משחק ילדים.
המסר של מיטניק
שיטת העוקץ של בניית אמון היא אחת הטקטיקות היעילות ביותר בהנדסה
חברתית .אתה צריך לחשוב אם אתה באמת מכיר את האדם שאיתו אתה משוחח.
במקרים נדירים ,האדם אינו מי שהוא טוען שהוא.
בהתאם לכך ,כולנו צריכים ללמוד להתבונן ,לחשוב ,ולערער על סמכות.
הפתעה ,אבא
פעם אחת ישבתי ליד שולחן במסעדה עם הנרי ואביו .במהלך השיחה ,הנרי גער
באביו על כך שהוא נותן את מספר כרטיס האשראי שלו כאילו היה מספר הטלפון
שלו" .בוודאי שאתה צריך לתת את מספר כרטיס האשראי שלך כשאתה קונה
משהו" ,אמר" .אבל מי שנותן אותו לחנות ששומרת את המספר במאגר הנתונים
שלה -הוא מטומטם אמיתי".
"המקום היחיד שאני עושה זה הוא בוידאו סטודיו " אמר מר קונקלין "זאת רשת
גדולה של חנויות וידאו .אבל אני עובר על חשבון הויזה שלי בכל חודש .כך שאם
מישהו משתמש לי בכרטיס ,הייתי יודע מזה".
"נכון" אמר הנרי" ,אבל ברגע שיש להם את המספר שלך ,זה מאוד קל לגנוב אותו
"
"אתה מתכוון לעובד רמאי" .
שליטה בחוליה האנושית באבטחה
מר קונקלין גלגל עיניים ,ונראה כמו מישהו שבטוח בעצמו ,אבל לא רוצה להראות
את זה" .אני אומר שאתה לא יודע על מה אתה מדבר" הוא נבח ,שלף מהארנק
שלו שטר של חמישים דולר וזרק אותו על השולחן" .אם אתה יכול לעשות מה
שאתה אומר ,זה שלך".
"אני לא רוצה את הכסף שלך ,אבא ",אמר הנרי.
הוא הוציא את הטלפון הנייד שלו ,שאל את אביו מאיזה סניף הוא משכיר סרטים,
והתקשר למודיעין הטלפונים על מנת לקבל את הטלפון של החנות שבה אביו נהג
לבקר וגם את הטלפון של החנות בשרמן אוקס.
לאחר מכן הוא התקשר לסניף בשרמן אוקס .תוך שהוא משתמש פחות או יותר
באותה גישה המתוארת בסיפור הקודם ,וכך הוא קיבל מהר מאוד את שמו של
המנהל ואת מספר החנות.
לאחר מכן הוא התקשר לחנות שבה היה חשבון לאביו .הוא שלף את הטריק הישן
והתחזה למנהל באמצעות שם המנהל ומספר החנות שהוא כרגע השיג .ואז הוא
השתמש באותה תחבולה" :המחשבים אצלך עובדים טוב? כי שלנו קרסו" .הוא
הקשיב לתשובתה ואז אמר" ,ובכן ,תראי ,אחד הלקוחות שלך נמצא אצלי ורוצה
לשכור סרט וידאו ,אבל המחשבים שלנו יצאו מכלל פעולה .אני צריך לבדוק את
החשבון של הלקוח ולוודא שהוא לקוח בסניף שלך".
הנרי מסר לה את השם של אביו .ואז ,עם שינוי קל בטכניקה ,הוא ביקש ממנה
לקרוא את פרטי החשבון :כתובת ,מספר טלפון ,ותאריך פתיחת החשבון .ואז הוא
אמר" ,היי ,תשמעי ,יש לי פה תור ארוך של לקוחות .מה מספר כרטיס אשראי
ותאריך התפוגה?"
הנרי החזיק את הטלפון הסלולרי צמוד לאוזנו ביד אחת תוך כדי שהוא רושם בידו
השנייה על מפית נייר .כשסיים את השיחה ,הוא החליק את מפית אל מול פרצופו
של אביו ,שהביט בה בפה פעור .אביו נראה המום לגמרי ,כאילו כל האמון שלו
במערכת ירד לטמיון.
ניתוח ההונאה
תחשוב איך היית מתייחס למישהו שאתה לא מכיר שמבקש ממך משהו .אם זר
לבוש בבגדים מרופטים מגיע לדלת שלך לא סביר להניח שתיתן לו את מבוקשו,
אבל אם הזר שהגיע לדלת שלך לבוש יפה ,נעליים מצוחצחות ,שיער מסודר,
פרק - 4יצירת אמון 51
בצורה מנומסת עם חיוך ,סביר להניח שתהיה הרבה פחות חשדן .ייתכן שבאמת
הוא ג'ייסון מסדרת הסרטים 'יום שישי ה ,'13-אבל אתה מוכן להתחיל לסמוך
עליו כל עוד הוא נראה נורמלי ואין לו סכין חיתוך ביד.
מה שפחות ברור זה שאנו שופטים אנשים בטלפון באותו אופן .האם הוא נשמע
כמו מישהו שמנסה למכור לי משהו? האם הוא ידידותי ונחמד או ששומעים
בקולו סוג של עוינות או לחץ? האם הוא מדבר כמו אדם משכיל? אנו שופטים את
הדברים האלה ,ואולי עוד תריסר דברים נוספים שלא במודע ,במהירות הבזק,
לעיתים קרובות ברגעים הראשונים של השיחה.
המסר של מיטניק
טבעי לחשוב שאין זה סביר שהולכת שולל בעסקה מסוימת ,לפחות כל עוד יש לך
סיבה לחשוב אחרת .אנו שוקלים את הסיכונים ולאחר מכן ,רוב הפעמים ,נותנים
לבני שיחנו ליהנות מהספק .זוהי התנהגות טבעית של אנשים מתורבתים ,או
לפחות אנשים מתורבתים שמעולם לא היו קורבן לתרמית או מניפולציה שגרמה
להם להפסיד הרבה כסף.
כילדים ההורים שלנו לימדו אותנו לא לסמוך על זרים .אולי כדאי שניישם את
עיקרון עתיק יומין זה במקום העבודה של היום.
ונחשו מה :לפעמים אנשים שמבקשים את הבקשות אלה הם אנשים שאינך מכיר
אישית ,אנשים שעובדים בחלק אחר של החברה ,או טוענים שזה מה שהם עושים.
אבל אם המידע שהם נותנים נכון ,והם נראים כמו אנשים שיודעים על מה הם
מדברים )"מריאן אמרה" ;"...זה בשרת ... ";"... K-16הגרסה ה 26 -של
התוכניות של המוצר החדש"( ,אנו מרחיבים את מעגל האמון שלנו כך שיכלול
אותם ,ונותנים להם בשמחה את מה שהם מבקשים.
נכון ,אנו עשויים לחשוד קצת ,ולשאול את עצמנו "למה שמישהו במפעל בדאלאס
יזדקק לתוכניות של המוצר חדש?" או "האם מסירת השם של השרת יכולה להזיק
למשהו?" ואז אנחנו שואלים עוד שאלה או שתיים .אם התשובות נשמעות
הגיוניות ומתקבלות על הדעת אנחנו נרגעים ,מנטרלים את כל מנגנוני ההגנה שלנו
וחוזרים לנטייתנו הטבעית לתת אמון באיש או באישה שאיתם אנו מדברים ,ונהיה
מוכנים לעשות )בגבולות ההיגיון( כל מה שנתבקש.
ואל תחשבו לרגע שהיעד של התוקף הם רק אנשים שקשורים למערכת המחשב
הארגונית .מה עם הבחור שעובד בחדר הדואר? "אתה יכול לעשות לי טובה
קטנה? שים את זה בתיק הדואר הפנימי של החברה?" האם פקיד חדר הדואר יודע
שליטה בחוליה האנושית באבטחה
לפני זמן לא רב ,חברה סלולארית בפריסה ארצית יצאה בקמפיין שיווקי למודל
חדש שהיא הציעה .טלפון סלולארי בעלות סנט אחד בלבד כאשר נרשמים לאחת
מתוכניות ההתקשרות שלהם.
הרבה אנשים גילו מאוחר מדי ,שיש הרבה שאלות שצרכן נבון צריך לשאול לפני
ההרשמה לתוכנית ההתקשרות .האם השירות הוא אנלוגי ,דיגיטלי או שילוב
ביניהם; בכמה דקות תוכל להשתמש בחודש; האם זה כולל חיובי נדידה ועוד
ועוד .חשוב במיוחד להבין מראש את חוזה התחייבות -לכמה חודשים או שנים
עליך להתחייב?
דמיינו מהנדס חברתי בפילדלפיה שרוצה את הטלפון הזול שמוצע ע"י חברת
הסלולאר למי שנרשם ,אבל שונא את התוכנית תוכנית ההתקשרות שמגיעה יחד
עם זה .אין בעיה .הנה דרך אחת שבאמצעותה הוא יכול להתמודד עם המצב.
" אני לא יודע את לוח הזמנים שלו השבוע ,אבל משמרת ערב מתחילה בערך
בשעה חמש".
"טוב .אני אנסה לתפוס אותו הערב .אז תודה ,טד".
"שלום ,אלקטרוני סיטי .מדברת קייטי ,איך אני יכולה לעזור לך?"
"היי קייטי .זה ויליאם האדלי ,מהחנות שמעל ה .West Girardמה שלומך
היום?"
"קצת עייפה ,מה קורה איתך?"
"יש לי לקוחות שבאו בשביל התוכנית של טלפון סלולארי בסנט אחד .את יודעת
למה אני מתכוונת?"
"בוודאי .מכרתי כמה כאלה בשבוע האחרון".
"עדיין יש לך כמה מכשירי טלפון מהתוכנית הזאת?"
"יש לי ערימה של כאלה".
"נהדר כי אני בדיוק מכרתי ללקוח אחד כזה ,כבר חתמנו על חוזה ההתקשרות אך
כשבדקתי במלאי הארור גיליתי שלא נשארו מכשירים .אני כל כך נבוך .את יכול
לעשות לי טובה? אני אשלח אותו לחנות שלך לאסוף את טלפון .אתה יכול למכור
לו את הטלפון בסנט אחד ולכתוב לו קבלה? הוא אמור להתקשר אלי בחזרה ברגע
שהטלפון יגיע לידיו כדי שאוכל להסביר לו איך לתפעל אותו" .
"כן ,בטח .תשלח אותו".
"מצוין .לבחור קוראים טד .טד ינקי ".
כאשר הבחור שקרא לעצמו טד ינקי יופיע בחנות ברחוב ,North Broadקייטי
תכתוב לו חשבונית ותמכור לו טלפון נייד בעבור סנט אחד ,כפי ש"עמיתה
לעבודה" ביקש ממנה לעשות .היא תיפול במלכודת שהוא טמן לה.
כשהגיע הזמן לשלם ,לא הייתה ללקוח אף מטבע בכיסו .הוא שלח יד לתוך צלחת
קטנה של מטבעות שעמדה על הדלפק של הקופאית ,לקח מטבע של סנט ונתן
אותו לבחורה בקופה .הוא קיבל את הטלפון מבלי לשלם אפילו סנט אחד בעבורו.
עכשיו הוא חופשי ללכת לחברת סלולארי אחרת שמשתמשת באותו דגם של
טלפון ולבחור את תוכנית השירות שהוא אוהב .רצוי על בסיס של חודש-חודשים,
ללא התחייבות נוספת.
ניתוח ההונאה
שליטה בחוליה האנושית באבטחה
אנשים מקבלים ביתר קלות את מי שטוען שהוא חבר לעבודה ,ואת מי שמכיר את
נהלי החברה והסלנג שלה.
המהנדס החברתי בסיפור הזה ,ניצל את העובדה הזאת בכך שאיתר את הפרטים
של איש קידום המכירות ,זיהה את עצמו כעובד החברה ,וביקש טובה מסניף אחר.
זה קורה בין סניפים של חנויות קמעונאיות ובין מחלקות בחברות ,אנשים
שמופרדים פיזית מעמיתיהם ועובדים יחד מרחוק ,ולמעשה ,הם מעולם לא נפגשו
פנים אל פנים.
המדריך הוא חוברת שמיועדת לרשויות אכיפת החוק ונותנת את התבניות והקודים
לאחזור מידע על פושעים ופשעים מהמאגר הלאומי .סוכנויות ביטחון בכל רחבי
המדינה יכולות לחפש באותו המאגר כדי לפענח את הפשעים בתחום השיפוט
שלהם .המדריך מכיל את הקודים שבם משתמשים במסד הנתונים.
כל אחד עם גישה למדריך יכול לחפש את תחביר הפקודות כדי לחלץ מידע ממסד
הנתונים הלאומי .לאחר מכן ,עליו לפעול ע"פ ההוראות במדריך הנהלים ועם קצת
אומץ ,כל אחד יצליח לשלוף מידע ממסד הנתונים .המדריך מספק גם מספרי
טלפון שאפשר להתקשר אליהם ולקבל תמיכה בשימוש במערכת .ייתכן שיש
מדריכים דומים בחברה שלך שמספקים קודי-מוצר או קודים לאחזור מידע רגיש.
קרוב לוודאי שה FBI-מעולם לא גילה שהמדריך הרגיש שלהם זמנים להורדה
באינטרנט ,ואני לא חושב שהם ישמחו על כך אילו היו יודעים .עותק אחד פורסם
ידי המחלקה הממשלתית באורגון ,והשני על ידי סוכנות אכיפת החוק בטקסס.
למה? בכל אחד מהמקרים מישהו כנראה חשב שהמידע חסר ערך והפרסום לא
יכול להזיק .אולי מישהו פרסם את זה ברשת הפנימית מטעמי נוחות ,ולא הבין
שמעשיו גרמו שהמידע יהיה זמין לכל מי שגולש למנוע חיפוש טוב כמו גוגל -
כולל סקרנים ,שוטרים שאפתנים ,האקרים ,וראשי הפשע המאורגן.
התחברות למערכת
העיקרון של שימוש במידע כזה כדי להונות מישהו בממשלה או בחברה מסוימת,
זהה :כאשר מהנדס חברתי יודע איך לגשת למסדי נתונים ספציפיים או
לאפליקציות ,או שהוא יודע את שמות השרתים בחברה ,או משהו בסגנון הוא
פרק - 4יצירת אמון 55
זוכה באמינות .ואמינות מובילה אמון .ברגע שלמהנדס החברתי יש קודים כאלה,
קבלת המידע שהוא זקוק לו זה תהליך קל .בדוגמה זו ,הוא יכול להתחיל על ידי
התקשרות לפקיד המשטרה המקומית ולשאול שאלה על אחד הקודים במדריך –
לדוגמה :קוד עבירה .הוא יכול לומר משהו כמו" :כשאני עושה תחקיר OFFב
,NCICאני מקבל הודעת שגיאה "המערכת קרסה" .אתה מקבל גם את אותו
הדבר כשאתה עושה ?OFFאתה מוכן לבדוק את זה בשבילי?" או אולי הוא היה
אומר שהוא מנסה לחפש את – WPFהכינוי המשטרתי לקובץ של המבוקשים.
ניתוח ההונאה
מהנדס חברתי טוב לעולם לא יחשוב על דרכים לפרוץ למסד הנתונים של ה-
.NCICמדוע שיעשה זאת כאשר שיחה פשוטה לתחנת המשטרה המקומית
בתוספת דיבור חלקלק ,כדי שישמע כאילו הוא אחד מבפנים בצורה משכנעת ,זה
כל מה שנדרש כדי להשיג את המידע שהוא רוצה? בפעם הבאה ,הוא יתקשר
לתחנת משטרה אחרת וישתמש באותה אמתלה.
ז'רגון
:SOSHהכינוי של אנשי אכיפת החוק למספר הביטוח הלאומי.
ייתכן ואתה תוהה לעצמך אם זה לא מסוכן להתקשר למשטרה ,לתחנת השריף ,או
למשרדי משטרת התנועה? האם התוקף לא פועל תחת סיכון גדול מדי?
שליטה בחוליה האנושית באבטחה
התשובה היא לא ...ויש סיבה ספציפית לכך .אנשי אכיפת החוק כמו אנשים
בצבא ,לומדים מיומם הראשון במערכת לתת כבוד לדרגה ,זה מושרש בהם בצורה
עמוקה .כל עוד מהנדס חברתי מתחזה לסמל או קצין -דרגות גבוהות יותר מאלו
של האדם שאיתו הוא מדבר -הקורבן יפעל לפי השיעור שהוא למד היטב שאומר
ש לא מפקפקים בדברי אנשים בעלי דרגה גבוהה ממך .או במילים אחרות ,לאדם
בעל דרגות יש פריבילגיה רצינית :אנשים בדרגה נמוכה לא יעזו לעמוד בדרכו .
מניעת ההונאה
באילו צעדים הארגון שלך יכולים לנקוט כדי להפחית את הסבירות שהמהנדסים
החברתיים ינצלו האינסטינקט הטבעי של עובדיך לבטוח באנשים? להלן כמה
הצעות.
הגן על לקוחותיך
בעידן האלקטרוני ,חברות רבות מוכרות ישירות לצרכן ושומרות את כרטיסי
האשראי של הלקוחות על קובץ .ישנן סיבות לכך :זה חוסך ללקוח את הטרחה
בלספק את פרטי כרטיס האשראי בכל פעם שהוא מבקר בחנות או באתר
האינטרנט על מנת לבצע רכישה .עם זאת ,בפועל הדבר מהווה בעיית אבטחה
חמורה.
אם אתה מוכרח לשמור את מספרי כרטיסי אשראי בקובץ ,התהליך צריך להיות
מלווה בהוראות ביטחון שהן מעבר להצפנה או שימוש בבקרת גישה .העובדים
צריכים להיות מיומנים בזיהוי הונאות של הנדסה חברתית כמו אלו בפרק זה .עובד
עמית שמעולם לא פגשת פנים אל פנים אבל הפך לחבר טלפוני עלול להיות לא מי
שהוא מתיימר להיות .ייתכן שהוא לא "צריך לדעת" איך מקבלים גישה למידע
רגיש של לקוח ,בגלל שיכול להיות שהוא בכלל לא עובד בחברה.
המסר של מיטניק
כולם צריכים להיות מודעים לשיטת הפעולה של מהנדס חברתי :איסוף מידע רב
ככל שניתן על המטרה ושימוש במידע הזה כדי לרכוש אמון שהוא בא מתוך
החברה .ואז להתחיל לתקוף בלי מעצורים!
אמון בחוכמה
פרק - 4יצירת אמון 57
לא רק אנשים שיש להם גישה למידע שברור שהוא רגיש -מהנדסי תוכנה ,אנשים
בתחום המו"פ ,וכן הלאה – צריכים לדעת להתגונן מפני חדירות .כמעט כל אחד
בארגון שלך צריך לעבור הכשרה שתלמד אותו להגן על הארגון מפני מרגלים
תעשייתיים וגנבי מידע.
פריסת תשתית כזו צריכה להתחיל בבדיקה מקיפה :מהם נכסי המידע של החברה
ובחינה של כל נכס בנפרד תוך בדיקה עד כמה הוא רגיש ,חיוני לפעילות החברה
ובעל ערך כספי .כמו כן יש לחשוב מהן השיטות שבאמצעותם תוקף עלול לסכן
את אותם נכסים ע"י טקטיקות של הנדסה חברתית .לפי התשובות לשאלות אלו יש
לבנות מערך הכשרה מתאים.
כאשר מישהו שאתה לא מכיר אישית מבקש מידע או חומר ,או מבקש ממך לבצע
משימה כלשהיא במחשב שלך,על העובדים שלך לשאול את עצמם כמה שאלות.
אם הייתי נותן את המידע הזה לאויב הגרוע ביותר שלי ,הוא היה יכול להשתמש
בו כדי לפגוע בי או בחברה שלי? האם אני לגמרי מבין את ההשפעה
הפוטנציאלית של הפקודות שאני מתבקש להכניס למחשב שלי?
אנחנו לא רוצים לבלות את החיים בלחשוד בכל אדם חדש שאנו פוגשים .אבל
כמה שניתן יותר אמון ,כך סביר שמהנדס החברתי הבא שיהיה בסביבה יצליח
לרמות אותנו ולגרום לנו למסור לו את המידע הקנייני של החברה שלנו.
במידה והחברה שלך הטמיעה שרתי פרוקסי על מנת להגן על הארגון מפני איומי
אבטחה ,האם השרתים האלו נבדקו לאחרונה כדי לוודא שהם מוגדרים כהלכה?
כאשר אנחנו סובלים מבעיה כלשהיא ומישהו עם ידע ,כישרון ונכונות לעזור מציע
את עזרתו ,כולנו מרגישים אסירי תודה כלפיו.
מהנדס חברתי מבין זאת ,ויודע איך לנצל את זה.
הוא גם יודע איך לייצר בשבילך בעיה ,..ואז לגרום לך להיות אסיר תודה כלפיו
כשהוא פותר את הבעיה ,..ובסופו של דבר גם לשחק על רגש הכרת התודה שלך
כדי לחלץ קצת מידע או טובה קטנה ממך שישאירו את החברה שלך )או אותך(
חשופה לפגיעה .ואתה אף פעם לא תוכל לדעת שאיבדת דבר בעל ערך .להלן
מספר דרכים טיפוסיות שבאמצעותן מנסים מהנדסים חברתיים "עוזרים" לך.
הרשת מנותקת
תאריך ושעה :יום שני 12 ,בפברואר15:25 ,
מקום :משרדי .Starboard Shipbuilding
"שמי אדי .רק עוד דבר אחד -אני צריך לבדוק לאיזו יציאה המחשב שלך מחובר.
אז תסתכל על המחשב שלך ותבדוק אם יש עליו מדבקה שכתוב עליה משהו כמו
"מספר יציאה".
"חכה לא ,אני לא רואה דבר כזה".
"אוקיי ,אז בחלק האחורי של המחשב אתה מזהה את כבל הרשת".
"כן".
"תעקוב אחריו למקום שבו הוא מתחבר לרשת ותראה אם יש תווית על השקע
שהוא מחובר אליו".
"חכה שנייה כן ,חכה רגע -אני צריך להתכופף כאן כדי שאוכל להתקרב מספיק
כדי לקרוא את זה .אוקיי –כתוב פה יציאה "6-47
"מעולה -זה מה שמופיע אצלי ,רק רציתי לוודא".
הסיפור של התוקף
בובי וואלאס תמיד חשב שזה מצחיק איך שהלקוחות שלו מתקשים להסביר לו,
בכל פעם שהם מטילים עליו משימה טובה ,כמו זאת" ,למה הם צריכים את
המידע" .זאת שאלה שלא שואלים ,אפילו שברור לכולם שקל לנחש את התשובה.
במקרה הזה אפשר לחשוב רק על שתי סיבות :או שהלקוח מייצג רוכש פוטנציאלי
שמעוניין לקנות את חברת המטרה ,Starboard Shipbuilding ,ורוצה לדעת
איך באמת החברה מתנהלת מבחינה פיננסית -במיוחד מעניינים אותו הדברים
שהחברה תרצה לשמור סמויים מעין רוכשים פוטנציאליים .או שהוא מייצג
משקיעים שחושבים שיש משהו חשוד בניהול כספי החברה והם רוצים לברר אם
מישהו מצוות ההנהלה שולח ידיים למקומות לא לו.
ואולי גם הקליינט שלו לא רוצה לספר לו את הסיבה האמיתית ,כי אם בובי ידע
כמה יקר ערך המידע ,הוא ירצה יותר כסף עבור עבודתו.
יש הרבה דרכים לחדור לקבצים הסודיים ביותר של חברה .בובי בילה כמה ימים
ושקל את האפשרויות ובסוף החליט לערוך בדיקה קטנה לפני שהוא בוחר תוכנית.
שליטה בחוליה האנושית באבטחה
הוא השתמש בטקטיקה שאהב במיוחד ,שבה גורמים למטרה לבקש עזרה
מהתוקף.
בתור התחלה ,בובי רכש מכשיר סלולארי ב 39.95דולר מחנות נוחות .הוא חייג
לאיש שהוא בחר כמטרה ,הציג את עצמו כאחד העובדים מהתמיכה הטכנית ,ודאג
שהבחור יתקשר אליו לפלאפון כשהוא נתקל בבעיה בהתחברות לרשת.
הוא הניח לו ליומיים כדי לא להיות שקוף יותר מדי .ביום השלישי הוא הרים
צלצול למרכז הפעלת הרשת ) (NOCשבחברה .הוא טען שהוא מתקן תקלה אצל
טום ,המטרה שלו ,וביקש לנתק את חיבור הרשת של טום .בובי ידע שזה החלק
הבעייתי ביותר בהתקפה שלו משום שבהרבה חברות ,אנשי התמיכה הטכנית
עובדים צמוד עם ה .NOC-למעשה הוא ידע שבהרבה חברות התמיכה הטכנית
היא חלק ממחלקת ה IT-בארגון .אבל הבחור האדיש מ NOC -שהוא דיבר
איתו ,לא בקש את שם האדם שאמור לטפל בבעיות הרשת והסכים לנתק את
מחשב המטרה מהרשת .כשהוא ניתק אותו ,טום היה מנותק לגמרי מהרשת
הפנימית בארגון .הוא לא יכל לגשת לקבצים בשרת ,לעבוד על קבצים יחד עם
אנשים אחרים בחברה ,לקרוא את האימייל שלו ואפילו לא לשלוח עמוד להדפסה.
בעולם של היום זה כמו לחיות במערה.
כמו שבובי ציפה ,לא עבר זמן רב עד שהפלאפון שלו צלצל .כמובן שהוא נשמע
כאחד שמשתוקק לעזור לחבר בעבודה .ואז הוא התקשר חזרה ל NOCוביקש
לחבר את הרשת שהם ניתקו .לבסוף הוא צלצל לאיש הנהלת החשבונות והפעיל
עליו מניפולציה פעם נוספת ,עכשיו כשהוא הרגיש הכרת תודה כלפיו ,בובי ביקש
ממנו לעשות לו טובה .טום הסכים לבקשתו והוריד תוכנה קטנה למחשב שלו.
כמובן שהתוכנה שהוא הוריד לא הייתה בדיוק כמו שהיא נראתה .התוכנה שטום
חשב לתומו שתבטיח שהוא לא יתנתק מהרשת עוד פעם ,הייתה למעשה סוס
טרויאני -תוכנה שרצה על המחשב של טום ושחזרה בדיוק את ההונאה המקורית
של הסוס הטרויאני :היא אפשרה לאויב להיכנס לתוככי הארגון .טום דיווח שלא
קורה כלום כשהוא עושה דאבל קליק על האייקון של התוכנה; למעשה זה עשה,
אמנם לא ראו שקורה משהו ,אבל האפליקציה התקינה מאחורי הקלעים תוכנה
סודית שתאפשר לתוקף לחדור למחשב של טום.
כשהתוכנה רצה ,בובי היה צריך להשלים את משימת ההשתלטות על המחשב של
טום דרך שורת פקודה מרוחקת ) .(remote command shellכשבובי נכנס
למחשב של טום הוא חיפש אחרי קבצי חשבונות שעשויים לעניין את הלקוח שלו
והעתיק אותם .לאחר מכן ,הוא יבדוק בניחותא את הקבצים וייתן ללקוח שלו את
מה שהוא מחפש.
פרק " - 5תן לי לעזור לך" 63
ז'רגון
סוס טרויאני :תוכנה שמכילה קוד זדוני או מזיק ,שמאפשר גישה למידע במחשב
הקורבן או ברשת הארגונית .הרבה מהטרויאנים מתוכנתים לעלות יחד עם מערכת
ההפעלה בצורה נסתרת ,ולעקוב אחרי כל ההקלדות או הפעולות ,או לקבל גישה
לרשת כדי לבצע משימה מסוימת ,כל זה מבלי שהקורבן מודע לנוכחותו.
וזה עוד לא הכל .הוא יכול לחזור בכל עת לחפש בהודעות אימייל ובתזכירים
הפרטיים של בכירי החברה ולהריץ חיפוש טקסט של מילים שיכולות לחשוף
מידע מעניין על החברה.
מאוחר בלילה ,אחרי שהמטרה שלו כבר התקינה את הסוס טרויאני ,בובי זרק את
הפלאפון לפח אשפה .בוודאי שהוא הקפיד למחוק את השיחות האחרונות
ולהוציא את הבטרייה לפני שעשה זאת ,את הדבר האחרון הוא עשה כדי למנוע
מצב שבו מישהו יתקשר בטעות לפלאפון שלו והוא יתחיל לצלצל בפח!
ניתוח ההונאה
התוקף משכנע את המטרה שלו שיש לו בעיה ,שלמעשה לא קיימת -או במקרה
שלנו ,בעיה שעדיין לא התרחשה ,אבל התוקף ידע שהיא תתרחש בגלל שהוא
הולך לגרום לה לקרות .הוא הציג את עצמו כאדם שיכול לפתור את הבעיה.
היופי בהתקפה כזאת הוא שהקורבן נופל כפרי עסיסי בידי התוקף :בזכות הזרע
שהוא טמן באדמה מבעוד מועד ברגע שהמטרה גילתה את התקלה ,הוא התקשר
בעצמו להתחנן לעזרה .התוקף רק ישב וחיכה לצלצול הפלאפון .טקטיקה שידועה
לטובה במכירות ועובדת נהדר גם בהנדסה חברתית הפוכה .התוקף גרם לקורבן
להתקשר אליו במטרה ליצור אמינות :אם אני מתקשר למישהו שאני בטוח שהוא
מהתמיכה הטכנית ,אני לא יתחיל לשאול אותו שאלות כדי לאמת את זהותו .וזה
מה שהתוקף רצה שיקרה.
ז'רגון
שורת פקודה מרוחקת :ממשק לא גרפי שמבוסס על הקלדת פקודות טקסטואליות
לביצוע פעולות או הרצת תוכנות .תוקף שמנצל פרצה טכנית או הצליח להתקין
סוס טרויאני על מחשב הקורבן יכול להשתמש בשורת הפקודה המרוחקת כדי
לשלוט במחשב הקורבן.
הנדסה חברתית הפוכה :התקפה של הנדסה חברתית שבה התוקף גורם לקורבן
להתקשר אליו לקבלת עזרה כשהוא נתקל בבעיה .צורה אחרת של הנדסה חברתית
הפוכה ,הופכת את התוקף למותקף :במידה והיעד מזהה את ניסיון התקיפה הוא
דולה מהתוקף כמה שיותר מידע באמצעות שימוש בעקרונות פסיכולוגיים.
שליטה בחוליה האנושית באבטחה
המסר של מיטניק
אם ביקשו ממך לעשות טובה ,אחרי שעשו לך טובה ,אל תסכים לעשות אותה בלי
לחשוב על ההשלכות שיכולות להיות לה.
בהונאה כמו זאת ,המהנדס החברתי מנסה לבחור במטרה שהידע שלה במחשבים
צפוי להיות מוגבל .ככל שהמטרה מבינה יותר היא תחשוד או אפילו תבין שמנסים
לעשות עליה מניפולציה .עובדים שאני מכנה אותם "מאותגרי טכנולוגיה" שכמעט
לא מבינים במחשבים וטכנולוגיה ,יכולים ליפול למלכודת הזאת בקלות רבה
מכיוון שהם אינם מבינים את הנזק הפוטנציאלי שטמון בהתקנת תוכנה במחשב.
אנדריאה המועילה
"משאבי אנוש ,אנדריאה קאלהון".
"אנדריאה ,היי זה אלכס מחברת האבטחה".
"כן?"
"מה שלומך?"
"מצויין .במה אני יכולה לעזור לך?"
"תקשיבי ,אנחנו מפתחים סמינר אבטחה לעובדים החדשים ואנחנו צריכים לבדוק
אותו על כמה אנשים .אני רוצה שתביאי לי שמות ומספרי טלפון של כל העובדים
שהצטרפו בחודש האחרון .את יכולה לעזור לי עם זה?"
"אני לא אגיע לזה עד אחרי הצהריים .זה בסדר?"
"מה הסיומת של הטלפון שלך?"
"בטח ,בסדר ,הסיומת היא 52אבל רוב היום אני בפגישות .אני אתקשר אליך
כשאני אחזור למשרד שלי ,כנראה אחרי ארבע".
כשאלכס התקשר בערך ב 4:30אנדריאה כבר הכינה את הרשימה .והקריאה לו את
השמות ואת הסיומות של הטלפונים.
הודעה לרוזמרי
רוזמרי מורגן הייתה מאושרת מעבודתה החדשה .היא מעולם לא עבדה במגזין
קודם לכן ,והיא גילתה אנשים יותר חברותיים משהיא ציפתה ,זה מפתיע בהתחשב
בלחץ העצום שהיה על רוב חברי הצוות להגיש את החומרים לפני הדד ליין
החודשי.
השיחה שהיא קבלה בבוקר יום שלישי ,אישרה שוב את זה התרשמותה הטובה.
פרק " - 5תן לי לעזור לך" 65
ניתוח ההונאה
הסיפור הזה מחזק את הנקודה הבסיסית שתמצא לאורך הספר :המידע הנפוץ
ביותר שמהנדס חברתי רוצה להשיג מהעובד ,בלי קשר למטרתו הסופית ,זה נתוני
ההזדהות שלו .עם שם משתמש וסיסמה של עובד אחד באזור הנכון של החברה,
לתוקף יש את כל מה שהוא צריך כדי לפרוץ למערכת .מידע כזה שקול למציאת
מפתחות הממלכה; ברגע שמצאת אותם תוכל לנוע בחופשיות ברחבי הממלכה
ולמצוא את האוצר שאתה מחפש.
המסר של מיטניק
לפני שאתם נותנים לעובדים חדשים גישה למערכת המחשבים בחברה ,אתם
מוכרחים להדריך אותם עם נהלי אבטחה טובים ,במיוחד שלא חושפים סיסמא
בשום מצב.
על כך שהוא צריך לקחת את פיט בן ה 12-לחוג השחייה .מעכשיו הוא צריך ללכת
לאימון או להיפגש כל יום שבת כדי לא להיתקע עם המטלות המחורבנות.
השעה הייתה כמעט 11:30באותה שבת ,וסטיב היה מוטרד מהעובדה שהוא
כמעט מסיים לכסח את הדשא ,והוא עדיין לא מצא פיתרון למשוכה האחרונה
שנותרה לו להשלמת הפיתוח של תומך הלב -הפחתת צריכת החשמל .בעיה
מושלמת להרהר בה בזמן הכיסוח אך הפיתרון לא נראה באופק.
אנה הופיעה בפתח הדלת ,שערה מכוסה כרגיל בבנדנה אדומה של קאובוי" .יש
לך טלפון" היא צעקה אליו" .זה מישהו מהעבודה".
"מי?" צעק סטיב בחזרה.
"משהו ראלף .אני חושבת".
ראלף? סטיב לא זכר מישהו בשם ראלף מ , GeminiMedשעלול להתקשר
אליו בסוף שבוע .כנראה שאנה לא שמעה טוב.
"סטיב ,זה רמון פרץ מהתמיכה הטכנית" .רמון -איך לכל הרוחות אנה הגיעה
לשם ההיספאני ראלף ,תהה סטיב.
"עדכון קצר" אמר רמון "שלושה שרתים קרסו ואנחנו חושבים שיש לנו תולעת
שמחקה את כל הקבצים .אנחנו צריכים לשחזר את כל הקבצים מהגיבוי .את
הקבצים שלך נוכל לקבל ביום רביעי או חמישי .אם יהיה לנו מזל".
"ממש לא מקובל" אמר סטיב בתקיפות מנסה לא לתת לתסכולו להשתלט עליו.
איך האנשים האלה יכולים להיות כל כך טיפשים? האם הם באמת חושבים שהוא
יכול להסתדר בלי גישה לקבצים שלו כל סוף השבוע ורוב שבוע הבא? "אין
סיכוי .אני הולך לעבוד במסוף בבית שלי בערך שעתיים ואז אני אצטרך גישה
לקבצים שלי .האם הבהרתי את עצמי? "
"כן ,טוב ,כל אלו שהתקשרתי אליהם עד כה רוצים להיות בראש הרשימה .ויתרתי
על סוף השבוע שלי לבוא ולעבוד על זה ,וזה ממש לא כיף שכל מי שאני מדבר
איתו כועס עלי" .
"אני צריך להספיק לגמור את העבודה עד לדד-ליין והוא מאוד קרוב .החברה
בונה על זה ,אני חייב לעשות את העבודה היום אחר הצהריים .איזה חלק אתה לא
מבין?"
"יש לי להתקשר לעוד הרבה אנשים לפני שאני יכול להתחיל לעבוד על השחזור",
נאנח רמון.
שליטה בחוליה האנושית באבטחה
התחיל לחשוב על דרכים אחרות לנצל את הכישרון ,מה שבסופו של דבר הוביל
אותו לשדה רווחי ורחוק :ריגול תאגידי.
זאת הייתה משימה חמה מאוד .ולא נראה לי שהיא תיקח לי הרבה זמן מה שכן
ישלמו לי עליה מספיק כדי לממן טיול להוואי ,או אולי טהיטי.
הבחור ששכר אותי לא סיפר לי מי הלקוח ,כמובן ,אבל הבנתי שזאת חברה שרוצה
להדביק את התחרות בזינוק קל .כל מה שהייתי צריך לעשות זה להשיג את התכנון
והמפרט הטכני של מוצר חדש שנקרא תומך לב ,שיהיה .לחברה קוראים
.GeminiMedמעולם לא שמעתי עליה אבל מסתבר שהיא ברשימת פורצ'ן 500
ויש לה משרדים בחצי תריסר מקומות -מה שהופך את העבודה לקלה יותר מאשר
בחברה קטנה יותר ששם יש סיכוי סביר שהבחור שאתה מדבר איתו מכיר את
הבחור שאתה טוען שאתה הוא והוא יודע שאתה משקר .כמו שהטייסים אומרים
על התנגשות באוויר ,זה יכול להרוס לך את כל היום.
הלקוח שלי שלח לי פקס ,כתבה מאיזה מגזין של רופאים שהיה כתוב בה
ש GeminiMedעובדים על סטנט שמתוכנן לגמרי מחדש שנקרא .STHIO0
כדי שלא יהיה לי קשה ,איזה עיתונאי עשה בשבילי חלק גדול מעבודת השטח .לא
היה דבר שהייתי צריך לדעת לפני שאני מתחיל חוץ מהשם של המוצר החדש.
כשהוא ענה ,אמרתי" ,היי ,זה מייק ,ממחלקת הדואר .יש לנו משלוח של FedEx
כאן והוא מיועד לצוות הפרויקט של סטנט הלב .STH-100יש לך מושג מי
אמור לקבל אותו?" הוא נתן לי את שמו של מנהל הפרויקט ,ג'רי מנדל .אפילו
בקשתי ממנו לחפש את מספר הטלפון בשבילי.
התקשרתי .מנדל לא היה זמין אבל בתא הקולי שלו הוא השאיר הודעה ואמר
שהוא בחופשה עד השלוש עשרה בחודש כי הוא נשאר לעוד שבוע סקי ,וכל מי
שצריך משהו בינתיים צריך להתקשר למישל ב .9137מועילים מאוד האנשים
האלה .מאוד מועילים.
שליטה בחוליה האנושית באבטחה
ניתקתי את השיחה וחייגתי למישל .כשהיא ענתה לטלפון אמרתי "מדבר ביל
תומאס .ג'רי אמר לי שאני צריך להתקשר אליך כשהמפרט הטכני מוכן .הוא רוצה
שהחבר'ה בקבוצה שלו יסקרו אותו .את עובדת על הסטנט ללב ,נכון?" היא
השיבה בחיוב.
עכשיו אנחנו מגיעים לחלק המיזע בתרמית .אם היא תתחיל להישמע חשדנית אני
מוכן לשלוף את הקלף של "אני רק מנסה לעשות טובה שג'רי ביקש ממני".
שאלתי אותה" :על איזו מערכת את עובדת?"
"מערכת?"
"באיזה שרתים הקבוצה שלך משתמשת?"
"אה ",היא אמרה .RM22" ,וחלק מהקבוצה גם משתמשים ב ."GM16
טוב .הייתי זקוק לזה ,וזאת פיסת מידע שלא תעורר את חשדה .את החלק הבא
אמרתי בסתמיות כאילו אני יכול להסתדר לבד"" .ג'רי אמר שאת יכולה לתת לי
רשימה של כתובות דוא"ל של אנשים בצוות הפיתוח" אמרתי ועצרתי את נשימתי.
"בטח .רשימת התפוצה ארוכה מדי לקריאה ,אני יכולה לשלוח לך אותה?"
"מכשיר הפקס שלנו מקולקל .אצטרך לקבל מספר של אחד אחר .אני אתקשר
אליך בחזרה עוד מעט ",אמרתי ,וניתקתי.
עכשיו אתה עלול לחשוב שנתקלתי בבעיה קשה ,אבל זה רק עוד טריק רגיל של
סוחר .חיכיתי זמן מה כדי שקולי לא ישמע מוכר לפקידת הקבלה ,ואז התקשרתי
אליה ואמרתי" :היי ,זה ביל תומאס ,מכשיר הפקס שלנו לא עובד כאן ,אני יכול
לשלוח פקס למכשיר שלך?" היא אמרה בטח ,ונתנה לי את המספר.
אז פשוט הלכתי ואספתי את הפקס ,נכון? כמובן שלא .כלל ראשון :לעולם אל
תבקר במקום אלא אם כן אתה ממש חייב .הם יתקשו לזהות אותך אם אתה רק קול
בטלפון .ואם הם לא יכולים לזהות אותך ,הם לא יכולים לעצור אותך .קשה לשים
אזיקים סביב קול .אז התקשרתי לפקידת הקבלה בחזרה כעבור שעה קלה ושאלתי
אותה ,האם הפקס שלי הגיע? "כן" היא אמרה.
"תראי" ,אמרתי לה" ,אני חייב לשלוח את זה למישהו שמייעץ לנו .את יכול
לשלוח את זה בשבילי?" היא הסכימה .ולמה לא -איך פקידת קבלה יכולה לזהות
שזה מידע רגיש? בעוד היא שולחת את הפקס אל "היועץ" עשיתי את ההתעמלות
היומית שלי בהליכה לחנות מכשירי הכתיבה שליד ביתי ,זאת עם השלט בחזית
"שליחה/קבלה של פקסים" .הפקס שלי היה אמור להגיע לפני ,כצפוי הוא חיכה
פרק " - 5תן לי לעזור לך" 71
קבלת פנים
עד עכשיו דיברתי עם שלושה או ארבעה אנשים שונים בתוך כמה שעות וכבר
התקדמתי בצעדי ענק לקראת קבלת גישה למחשבי החברה .אבל אני צריך עוד
כמה פיסות מידע לפני שאני חוזר הביתה.
אחד המספרים היה מספר טלפון של התמיכה בהתחברות מרחוק לשרתי מחלקת
ההנדסה .התקשרתי ל GeminiMed -שוב וביקשתי שיעבירו אותי למחלקת ה-
, ITושם ביקשתי מהבחור שענה שיביא לי מישהו שיכול לעזור לי קצת
במחשבים .הוא העביר אותי ,והתנהגתי כאילו אני כסיל גמור בכל מה שקשור
למחשבים" .קניתי לפטופ חדש ואני רוצה להגדיר אותו כך שאני יוכל להתחבר
מהבית לשרתי החברה".
ז'רגון
:HASH PASSWOPRDמחרוזת ג'יבריש שמתקבלת מהעברת הסיסמה
בפונקצית הצפנה חד כיוונית .התהליך ,כביכול ,בלתי הפיך .בגלל שבלתי אפשרי
לחלץ את הסיסמא מהאש.
הודות לחשבון האורח ,הייתה לי עכשיו גישה לאחד המחשבים ,שהריץ את
מערכת ההפעלה יוניקס .מערכת ההפעלה שמרה את כל הסיסמאות של משתמשי
המחשב המורשים על 'קובץ סיסמאות' .הסיסמאות בקובץ היו מוצפנים ע"י
שליטה בחוליה האנושית באבטחה
פונקצית הצפנה חד כיוונית )שאמורה להיות בלתי ניתנת לפיצוח( .עם פונקצית
ההצפנה החד כיוונית ,הסיסמא בפועל ,נניח " , "justdoitתיוצג ע"י ההאש
המוצפן ,במקרה שלנו יוניקס ימיר אותה ל 13תווים אלפא נומריים.
כשבילי בוב מסוף המסדרון ,רוצה להעביר קבצים למחשב ,הוא צריך לזהות את
עצמו בשם משתמש וסיסמא .המערכת לבדיקת ההרשאה ,לוקחת את הסיסמא
שהוא הכניס ,מצפינה אותה ומשווה עם הסיסמא המוצפנת שקיימת ב 'קובץ
הסיסמאות' .עם קיימת התאמה ,המערכת מאפשרת לו להיכנס.
בגלל שהסיסמאות ב 'קובץ הסיסמאות' מוצפנות ,הקובץ עצמו היה נגיש לכל
משתמש במחשב ,משום שבתיאוריה ,אין דרך לפרוץ את הסיסמאות .העניין
המצחיק בכל הסיפור -שהורדתי את הקובץ ,הרצתי עליו התקפת מילון )עיין פרק
12להסבר נוסף על השיטה( ומצאתי סיסמא של אחד המהנדסים בצוות הפיתוח,
בחור בשם סטיבן קריימר שיש לו שם משתמש על השרת עם הסיסמא ג'ניס .רק
כדי לנצל את הזדמנות ,ניסיתי להיכנס לחשבון שלו בשרת של הפיתוח עם
הסיסמא הזאת ,זה היה חוסך לי הרבה זמן והסיכון היה קטן ,אבל זה לא הלך.
פירוש הדבר הוא שהייתי צריך להערים על הבחור ולגרום לו למסור לי את שם
המשתמש והסיסמא שלו .בשביל זה הייתי צריך לחכות עד סוף השבוע .אתה כבר
יודע את ההמשך .בשבת התקשרתי לקריימר וסיפרתי לו סיפורים על תולעת
שמחקה את המידע ועכשיו אני צריך לשחזר את כל המידע שהיה בשרת מהגיבוי,
כל זה כדי שלא יחשוד כשאבקש את הפרטים שלו.
עם שם המשתמש והסיסמא שלו ,נכנסתי לשרת ,חיפשתי במשך כמה דקות ולאחר
מכן מצאתי את קבצי התכנון של .STH-100לא הייתי בטוח איזה מהקבצים
בדיוק הוא הקובץ העיקרי ,לכן פשוט העברתי את כל הקבצים ל ,dead drop
אתר FTPחינמי שיושב בסין .שם הקבצים יכולים להיות מאוחסנים בלי שאף
אחד יחשוד במשהו .כך אוכל לתת ללקוח שלי לברור את המוץ מהתבן בניחותא.
ז'רגון
פרק " - 5תן לי לעזור לך" 73
ניתוח ההונאה
עבור האיש שקראנו לו קרייג קוגברן ,או מישהו אחר שמיומן באותה מידה ב
'אמנות הוצאת המידע הלא תמיד חוקית' ,אמנים בהנדסה חברתית ,האתגר שהוצג
כאן הוא כמעט שגרתי .מטרתו הייתה לאתר ולהוריד קבצים שמאוחסנים
במחשבים המאובטחים של החברה ,מוגנים ע"י חומת אש וכל טכנולוגיות
האבטחה הרגילות.
רוב עבודתו הייתה קלה כמעט כמו לתפוס מי גשמים בחבית .הוא התחיל בכך
שהתחזה לעובד מחדר הדואר והוסיף ממד של דחיפות בטענה שחבילה של פדקס
מחכה למשלוח .בשיחה הזאת הוא הצליח לאתר את שמו של ראש צוות
המהנדסים שפיתחו את הסטנט ללב .אמנם הוא היה בחופשה אבל כזה מידע מאוד
מועיל עבור מהנדס חברתי .הוא התקשר למישל ונטרל את חשדותיה בכך שטען
שהוא בסך הכול נענה לבקשתו של ראש הצוות .כשראש הצוות מחוץ לעיר,
למשיל לא הייתה שום דרך לאמת את טענתו .היא קיבלה אותה כאמת מוחלטת
ולא הייתה לה בעיה לספק לקרייג את רשימת האנשים בקבוצה .מידע שכמובן
היה יקר ערך עבורו.
היא אפילו לא חשדה כשקרייג ביקש ממנה לשלוח את הרשימה לפקס ולא לדואר
האלקטרוני .מדוע היא כה נאיבית? כמו עובדים רבים היא לא רצתה שהבוס שלה
יחזור לעיר ויגלה שהיא תקעה מקלות בגלגלים של המתקשר שרק ניסה לעשות
דבר שהבוס שלה ביקש ממנו .בנוסף ,המתקשר אמר שהבוס לא רק אישר את
הבקשה אלא גם ביקש את עזרתו .שוב אנו רואים דוגמא למישהו שמגלה רצון עז
להיות שחקן קבוצתי ,מה שגורם לרוב האנשים להיות פגיעים להונאה.
קרייג נמנע מהסיכון בכניסתו הפיזית לבניין פשוט ע"י שליחת הפקס לפקידת
הקבלה ,בידיעה שיכול להיות שהיא תעזור לו .פקידי קבלה ,אחרי הכל ,נבחרים
בדרך כלל לתפקידם בגלל שיש להם יחסי אנוש טובים ויכולת להשאיר רושם טוב.
עשיית טובות קטנות כמו שליחת פקס זה התחום של פקידת הקבלה .עובדה
שקרייג ניצל עד תום .ברור שהסוף היה שונה עם למישהו שמכיר בערך המידע
היו נדלקים פעמוני אזהרה -אך איך אפשר לצפות מפקידת קבלה שתדע לאבחן
איזה מידע הוא רגיש?
באמצעות סוג אחר של מניפולציה ,קרייג הציג כאילו הוא מבולבל ותמים כדי
לשכנע את הבחור מהתמיכה לספק לו את מספר הגישה לטרמינל שרתי החברה,
חומרה שמשמשת כנקודת חיבור לשאר המחשבים ברשת הפנימית.
שליטה בחוליה האנושית באבטחה
המסר של מיטניק
העדיפות הראשונה של כולם בעבודה היא לבצע את העבודה .תחת לחץ כזה ,נהלי
האבטחה מקבלים מקום משני בחשיבות והרבה פעמים מתעלמים מהם .מהנדסים
חברתיים נסמכים על כך כשהם מתכננים את המתקפה שלהם.
קרייג היה מסוגל להתחבר בקלות באמצעות שימוש בסיסמת ברירת מחדל שאף
אחד לא טרח לשנות אותה .הרבה ארגונים סומכים על האבטחה של חומת האש
ומשאירים את האבטחה הפנים ארגונית פרוצה בכך שהם משתמשים בסיסמאות
ברירת מחדל .למעשה ,הרשימה המלאה של סיסמאות ברירת המחדל של מערכות
הפעלה ,נתבים וסוגים אחרים של מוצרים ,כולל ,PBXsזמינים ברשת לכולם .כל
האקר -מהנדס חברתי ,מרגל תעשייתי או סתם אדם סקרן יכול למצוא את הרשימה
ב ) http://www.phenoelit.de/dpl/dpl.htmlזה פשוט מדהים כמה
האינטרנט עושה את החיים קלים למי שיודע איפה לחפש .עכשיו גם אתה יודע(.
ואז קרייג הצליח לשכנע איש זהיר וחשדן )"מה אמרת שם המשפחה שלך? מי
המנהל שלך?"( לגלות לו את השם משתמש והסיסמא שלו כדי שיוכל לגשת
לשרתים שצוות הפיתוח של סטנט הלב משתמשים בהם .זה היה כמו להשאיר את
קרייג עם דלת פתוחה לכל הסודות הכי שמורים בחברה ולאפשר לו להוריד את
התוכניות של המוצר החדש.
מה עם סטיב קריימר ימשיך לחשוד בשיחה שלו עם קרייג? סביר להניח שהוא
ידווח על חשדותיו ,רק כנראה שזה יקרה ביום שני בבוקר כשהוא יגיע לעבודה,
אבל אז יהיה מאוחר מדי לנסות למנוע את ההתקפה.
אחד המפתחות להצלחה בחלק האחרון של ההונאה :בהתחלה קרייג נשמע אדיש
וחסר עניין כלפי החששות של סטיב ,אך לאחר מכן הוא שינה את טעמו ונשמע
כאילו הוא מנסה לעזור לסטיב בכל כוחו עד שהכל יסתדר .ברוב המקרים
כשהקורבן מאמין שאתה עוזר לו או עושה לו איזו טובה הוא יסכים לחלוק איתך
מידע סודי שבמצב אחר הוא היה שומר עליו היטב.
מניעת ההונאה
אחד הטריקים הכי חזקים של מהנדס חברתי כרוך סיוע ומתן פיתרון לבעיה שהוא
יצר.
וזה מה שראיתם בפרק הזה .המהנדס החברתי יוצר את הבעיה ,ואז כבמטה קסם
פותר את הבעיה ומרמה את הקורבן עד שהוא מקבל גישה לסודות השמורים
ביותר של החברה .העובדים שלך היו נופלים בסוג כזה של תחבולה? האם טרחת
לנסח ולהפיץ כללי אבטחה ספציפיים שיכולים לעזור ולמנוע סיטואציה דומה?
לחנך ,לחנך ועוד פעם לחנך
פרק " - 5תן לי לעזור לך" 75
יש סיפור ישן על אדם שביקר בניו יורק ,עצר אדם ברחוב ושאל אותו "איך אני
מגיע לקרנגי הול?" האיש השיב "לתרגל ,לתרגל ועוד פעם לתרגל" .כולם כל כך
פגיעים להתקפות הנדסה חברתית עד שההגנה היעילה לחברה היא לחנך ולאמן
את העובדים שלה ולתת להם את הפרקטיקה לזיהוי מהנדס חברתי .ואז להזכיר
לאנשים על בסיס עקבי את מה שלמדו באימונים ,משום שכולנו נוטים לשכוח
מהר מדי.
כולם בארגון חייבים לדעת שכאשר הם יוצרים קשר עם מישהו שהם לא מכירים
באופן אישי ,במיוחד כאשר המישהו הזה מבקש כל סוג של גישה למחשב או
לרשת ,הם חייבים לאמת את זהותו .טבע האדם הוא לתת אמון באחרים ,אבל כמו
שהיפנים אומרים "עסקים זה מלחמה" .העסק שלך לא יכול להרשות לעצמו לא
לעמוד על המשמר .מדיניות האבטחה בחברות צריכה להיות מנוסחת בבירור -מה
מותר לעשות ומה אסור.
אבטחה היא לא "מידת נעליים אחת לכולם" .בדרך כלל לכל אדם בחברה יש
תפקיד ואחריות שונים ,ולכל עמדה ישנם נקודות תורפה מיוחדות .קיימת רמה
בסיסית של אימונים שכל אחד בחברה צריך לעבור ,אבל אחר כך צריך לעבוד עם
כל אחד באופן פרטני ולהדריך אותו בהתאם לפרופיל העבודה שלו ,בנהלים
מסוימים שיקטינו את הסיכוי שהחדירה לארגון תעבור דרכו .לאנשים שעובדים
עם מידע רגיש או ממוקמים בעמדות מפתח יש לתת הכשרה מיוחדת נוספת.
הערה
אישית אני לא מאמין שחברות צריכות לאפשר מצב של העברת סיסמאות .הרבה
יותר קל לקבוע חוק ברור ,שאוסר על כל אחד מהעובדים לתת אי פעם למישהו את
הסיסמא שלו .זה יהיה הרבה יותר בטוח .בכל מקרה ,כל עסק צריך להעריך את
התרבות ואת החששות הביטחוניים שלו כאשר הוא קובע חוקים שלא לשתף
פעולה עם אדם זר שמבקש ממך לחפש מידע ,להזין פקודות לא מוכרות לתוך
המחשב ,לבצע שינויים בהגדרות התוכנה או -הגרוע מכל -לפתוח קובץ מצורף
לדוא"ל או להוריד תוכנה לא בדוקה .כל תוכנה -אפילו כזאת שנראית על פניו
שלא מסוגלת לעשות כלום -יכולה להתגלות כלא כל כך תמימה.
ישנם הליכים מסוימים ,לא משנה כמה טובים האימונים שלנו ,שבמשך הזמן
הנטייה היא לזנוח אותם .ואז אנחנו שוכחים את הכללים דווקא כשאנחנו צריכים
אותם .אפשר לחשוב שלא לתת את שם החשבון והסיסמה שלך זה משהו שכמעט
כולם יודעים )או צריכים לדעת( ולא צריך לומר את זה :זהו היגיון פשוט .אבל
שליטה בחוליה האנושית באבטחה
למעשה ,צריך להזכיר את זה לכל העובדים כי הוא כן עלולים למסור בטעות את
שם המשתמש והסיסמה למחשב המשרדי שלהם ,המחשב הביתי שלהם ,או אפילו
למכונת הביול בחדר הדואר שזה שקול ללתת את המספר הסודי של כרטיס
הכספומט שלהם.
יש לפעמים -לעתים רחוקות -שמתעורר צורך ,לתת למישהו אחר מידע חסוי.
מסיבה זו ,אי אפשר לקבוע חוק של "לעולם לא" למסור מידע חסוי .עם זאת,
מדיניות האבטחה והנהלים צריכים להיות מאוד ספציפיים ולהבהיר במדויק את
הנסיבות שבהן רשאי העובד לתת את הסיסמה שלו ,והכי חשוב -מי רשאי לבקש
מידע.
ברוב הארגונים ,הכלל הבסיסי צריך להיות שכל מידע שעלול לגרום נזק לחברה
או לאחד העובדים ,יימסר רק למישהו שמוכר על בסיס פנים אל פנים ,או שקולו
מוכר כל כך שאתה מזהה אותו ללא עוררין.
....
פרק -6אתה יכול לעזור לי? 77
בפרק 3ראינו כיצד תוקף יכול לדובב את הקורבן שלו כדי שהלה ימסור לו את
מספר העובד שלו .כעת נראה איך תוקף משיג את אותה התוצאה ע"י שימוש
בגישה שונה.
בעמק הסיליקון יש חברה גלובלית מסוימת שלא ננקוב בשמה .לחברה יש משרדי
מכירות וסניפים שונים של פעילות המפוזרים ברחבי העולם .כל הנקודות השונות
של החברה מחוברות למשרדי החברה על גבי רשת האינטרנט .הפולש ,בחור חכם
ונמרץ בשם בריאן אטרבי ,יודע שכמעט תמיד קל יותר לפרוץ לרשת של החברה
באחד האתרים המרוחקים ,שבהם האבטחה כמעט תמיד פחות חזקה מהמטה
הראשי.
היא העבירה את השיחה .כשג'ונס ענה ,התוקף אמר" ,מר ג'ונס? היי ,זה טוני
מהשכר .רק רציתי להודיע שהמשכורת שלך הועברה ישירות לחשבון איגוד
האשראי שלך כמו שביקשת".
"מה?? אתה בטח צוחק עלי ...מעולם לא ביקשתי בקשה כזאת! אפילו אין לי
חשבון באיגוד אשראי ".
"הו ,לעזאזל ,כבר העברתי את המשכורת".
ג 'ונס היה מאוד מוטרד מהרעיון שהמשכורת שלו עברה לחשבון של מישהו אחר,
אך עוד בטרם הספיק להשיב התוקף אמר" ,כדאי שאני אבדוק שוב מה בדיוק קרה
כאן ,אני נכנס למערכת ניהול השכר לבדוק את העניין .מה מספר העובד שלך?"
שליטה בחוליה האנושית באבטחה
ג'ונס נתן את המספר .המתקשר אמר" ,לא ,אתה צודק ,אז הבקשה בכלל לא הייתה
שלך ".הם נהיים מטומטמים מדי שנה ,חשב ג'ונס.
"תראה ,אני אדאג שהעניין יטופל ,עכשיו אני אכניס תיקון ,אז אל תדאג -תקבל
את המשכורת הבאה שלך כרגיל " ,אמר הבחור בקול מרגיע.
נסיעת עסקים
זמן לא רב לאחר מכן ,מנהל המערכת במשרד המכירות באוסטין ,טקסס ,קיבל
שיחת טלפון" .שלום לך ,מדבר ג'וזף ג'ונס" ,הכריז המתקשר" .אני ממחלקת
פיתוח עסקי בארגון ,והשבוע אני נוסע לנסיעת עסקים .אני אתארח במלון
דריסקיל ,והייתי רוצה שתגדיר לי חשבון זמני כדי שאוכל לגשת לדואר
האלקטרוני שלי מרחוק ".
"תאמר לי עוד פעם את השם שלך ,ותן לי גם את מספר העובד שלך" אמר
המנהל .המתחזה לג'ונס נתן את המספר והמשיך" ,יש לך אפשרות לתת לי חיבור
מהיר?".
"רק רגע ,חבר ,אני צריך לאמת אותך במאגר" .אחרי רגע הוא אמר" ,בסדר ,ג'ו .רק
תגיד לי ,מה מספר הבניין שלך? "התוקף הכין את שיעורי הבית שלו והשיב את
התשובה שהכין מראש.
המסר של מיטניק
אל תסתמך על אמצעי הגנה ברשת וחומות אש כדי להגן על המידע שלך .חפש את
המקום הפגיע ביותר שלך .בדרך כלל תמצא שהפגיעות קיימת אצל האנשים שלך.
ניתוח התקיפה
עם כמה שיחות טלפון ורבע שעה של עבודה ,התוקף קיבל גישה לרשת הפנימית
של החברה .זו היתה חברה ,שכמו הרבה חברות ,הייתה עם מה שאני מכנה
אבטחת סוכריה ,השאלתי את המונח הזה ממאמר שפרסמו 2חוקרים במעבדות
בל ,סטיב בלויין וסטיבן צ'סוויק .הם תארו אבטחה שכזו כמו "ציפוי קשה עם
גרעין רך וטעים" -כמו ממתקי .M&M
המעטפת החיצונית ,חומת האש ,טוענים בלובין וצ'סוויק ,לא מהווה הגנה
מספקת ,כי ברגע שפולש עקף אותה ונכנס לתוך הרשת ,האבטחה שם רופפת
והתוקף יכול להגיע לאן שיחפוץ.
סיפור זה עונה להגדרה של החוקרים הנ"ל .חמוש בטלפון פשוט ,התוקף אפילו
לא טרח לנסות להביס את חומת האש של החברה ,וכאשר הוא חדר לתוך הרשת
פרק -6אתה יכול לעזור לי? 79
הארגונית ,הוא היה יכל להתגבר בקלות על ההגנות החלשות ברשת הפנימית .על
פי המקורות שלי ,אני מבין שהטריק המדויק הזה עבד על אחד מחברות התוכנה
הגדולות ביותר בעולם .אתה יכול לחשוב שמנהלי המערכות בחברה כזו יוכשרו
לזהות סוג זה של תחבולה .אבל מניסיוני ,אף אחד לא בטוח לגמרי אם המהנדס
החברתי שניצב מולו הוא חכם ומשכנע מספיק.
ז'רגון
אבטחת סוכריה -מונח שטבעו סטיב בלויין וסטיבן צ'סוויק חוקרים במעבדות בל.
המונח מתאר תרחיש אבטחה שבו האבטחה מפני תוקפים חיצוניים ,כגון חומת
אש ,היא חזקה ,אבל התשתית מאחוריה חלשה .המונח מתייחס לסוכרית ,M&M
שיש לה מעטפת חיצונית קשה ובמרכזה היא רכה.
אבטחה על בסיס סימן מוסכם -זוהי אבטחה שנשענת על ידיעת המידע הרצוי,
ושימוש במילה או בשם כדי לקבל גישה למידע או למערכת המחשב.
אבטחה של ספיק איזי -2בימים ההם של תקופת היובש צצו מועדנים שכונו ספיק
איזי )דבר בשקט( מועדנים אלו סיפקו שתייה חריפה כמו ג'ין בניגוד לחוק .על
מנת להיכנס למועדון היה הלקוח צריך לדפוק במקום מסויים .כעבור כמה רגעים
הייתה נפתחת דלת קטנה ,ופנים קשוחות ומאיימות היו מציצות החוצה .אם
האורח היה יודע ,הוא היה אומר מיד שם של מישהו ממקרובי המועדון ששלח
אותו )"ג'ו שלח אותי" היה לעתים קרובות מספיק( ,ואז השומר בפנים היה פותח
את הדלת ומניח לו להיכנס.
החוכמה הגדולה הייתה לדעת את המיקום של המועדונים כי הדלת לא הייתה
מסומנת ,והבעלים לא בדיוק תלו שלטי ניאון כדי לציין את נוכחותם .על פי רוב,
כדי להיכנס למועדון היה מספיק רק להופיע במקום הנכון .בדומה לכך בעולם
התאגידי קיימות מוסכמות של אמון לפי שאלה מזהה פשוטה ,ולהגנה החובבנית
הזאת אני קורא אבטחה של ספיק איזי.
ראיתי את זה בסרטים
הנה דוגמא מתוך סרט אהוב שאנשים רבים יזכרו .ב 3ימי הקונדור ,הדמות
המרכזית ,טרנר )שמגולם על ידי רוברט רדפורד( ,עובד עבור חברת מחקר קטנה
שמופעלת על ידי ה .CIA -יום אחד הוא חוזר מארוחת צהריים ומגלה שכל
עמיתיו לעבודה נרצחו .הוא מתחיל לחקור כדי להבין מי עשה את זה ולמה ,כשכל
הזמן הוא יודע שהרעים ,מי שהם ,מחפשים אותו .בסוף הסיפור ,טרנר מצליח
2
ספיק איזי (באנגלית" – speakeasy :דבר בשקט"; נקראו גם חזיר עיוור – blind
pigאו טיגריס עיוור – )blind tigerהיו מוסדות שמכרו באופן בלתי חוקי משקאות
חריפים .מוסדות אלו בלטו במיוחד בארצות הברית במהלך תקופת היובש (0291-
0211ובמדינות מסוימות לאחר מכן) .בתקופה זו נאסרו בחוק מכירה ,ייצור
והובלה של משקאות חריפים בכל רחבי ארצות הברית .מקור :ויקיפדיה.
שליטה בחוליה האנושית באבטחה
להשיג את מספר הטלפון של אחד הרעים .אבל מי הוא האדם הזה ,וכיצד יכול
טרנר לאתר את מיקומו? יש לו מזל :התסריטאי ,דייויד רייפיאל ,העניק לטרנר
רקע של איש קשר בצבא ,מה שהופך אותו לבעל בפרקטיקות של חברות הטלפון.
עם מספר הטלפון של האיש הרע ,טרנר יודע בדיוק מה לעשות .בתסריט ,הסצנה
נראית כך:
אם נתעלם מהעובדה שהתסריטאי משתמש בטעות באזור חיוג של וושינגטון עבור
כתובת במרילנד ,אתה יכול להבין בדיוק מה קרה כאן?
טרנר ,בגלל האימונים שלו בתור איש קשר ,ידע לאיזה מספר לחייג כדי להגיע
למשרד של חברת טלפונים שתוכל לתת לו את כתובת הלקוח לפי מספר הטלפון
שלו .שירות הלקוחות הזה קיים לנוחיותם של מתקינים ואנשי צוות טלפון מורשים
אחרים .המתקין יכול להתקשר לשירות הלקוחות ,ולתת להם מספר טלפון .ועם
מידע זה ישלוף הפקיד את מיקום בעל הטלפון.
ז'רגון
אבטחה באמצעות עמימות -שיטה לא יעילה של אבטחת מחשבים שמסתמכת על
השמירה בסוד על הפרטים של איך המערכת עובדת )פרוטוקולים ,אלגוריתמים,
מערכות פנימיות( .אבטחה באמצעות עמימות מסתמכת על ההנחה המוטעית שאף
אחד מחוץ לקבוצה של אנשים נאמנים לא יכול להבין את המערכת ולחדור אליה.
המסר של מיטניק
לאבטחה באמצעות עמימות אין כל השפעה על חסימת התקפות של הנדסה
חברתית .לפחות אדם אחד משתמש בכל מערכת מחשב בעולם .לכן ,אם התוקף
מסוגל לתמרן את אנשים שמשתמשים במערכות ,האלמוניות של המערכת אינה
רלוונטית.
פרק -6אתה יכול לעזור לי? 81
לא היה צורך לאמת או לזהות את עצמך ,לא צריך לתת מספר העובד ,אין צורך
בסיסמה שמשתנה מדי יום .אם ידעת את המספר אחיו צריך להתקשר ואתה נשמע
אותנטי ,אז ההנחה היא שבוודאות יש לך הרשאות לקבלת המידע.
זו לא היתה הנחה מאוד סולידית מצד חברת הטלפונים .המאמץ היחיד שלהם
לאבטח את השירות היה שינוי מספר הטלפון על בסיס תקופתי -לפחות פעם
בשנה .למרות זאת ,המספר הנוכחי בכל רגע מסוים ,היה ידוע ברבים מקרב
הפריקרים ,שהתענגו על ניצול מקור מעולה של מידע .הפריקרים אף שיתפו את
המספר בשמחה עם חבריהם בקהילת הפריקרים .הטריק הזה היה אחד הדברים
הראשונים שלמדתי כשהתחלתי עם הפריקינג כנער.
ברחבי העולם של עסקים וממשל ,אבטחה של ספיק איזי היא פרקטיקה נפוצה.
ולפעמים אפילו פחות מזה מספיק :מספר טלפון פנימי הוא כל מה שנדרש.
אתה לא מצפה שמנהל בדרג כה בכיר עם ידע טכנולוגי רב יפול בתכסיס פשוט של
הנדסה חברתית ,במיוחד שהתוקף הוא נער בשנות העשרה שלו .אבל לפעמים
המציאות עולה על כל דמיון.
כוונון
לפני שנים רבות אנשים רבים אימצו תחביב נחמד של כיוונון מקלט הרדיו שלהם
לתדרים של המשטרה המקומית או תדרים מכבי האש ,הם היו מקשיבים לשיחות
ומידי פעם הם קלטו אירועים מסעירים כמו דיווח על שוד בנק שהתרחש בשידור
חי ,בניין משרדים שעולה האש ,או מרדף משטרתי אחרי פושע .תדרי הרדיו
המשמשים את רשויות אכיפת החוק ואת מכבי האש היו זמינים בספרים שהיו
זמינים בחנויות הספרים; היום אפשר למצוא את רשימת התדרים באינטרנט ,עבור
רשויות אכיפה מקומיות ,מחוזיות ,ארציות ,ובמקרים מסוימים ,אפילו תדרים של
סוכנויות פדרליות.
כמובן ,לא רק הסקרנים הקשיבו .נוכלים ששדדו חנות באמצע הלילה יכלו לשמוע
אם ניידת משטרה נשלחת למקום .סוחרי סמים יכלו לעקוב אחרי פעילותם של
סוכני אכיפת החוק .מצית היה יכול להגביר את הנאתו הסדיסטית מההצתה
כשהוא מהאזין לקשר של מכבי האש בעוד הם נאבקים לכבות אותה.
במהלך השנים האחרונות התפתחויות בטכנולוגיית המחשב אפשרו להצפין
הודעות קוליות .בנוסף ,מהנדסים מצאו דרכים לדחוס יותר ויותר כוח מחשוב על
שליטה בחוליה האנושית באבטחה
שבב אחד ,הם הצליחו לפתח קשר קטן ,מוצפן עבור אכיפת החוק ,מה שמנע
מגורמים פליליים וסקרנים להקשיב לתשדורות.
דני המצותת
חובב רדיו נלהב שהיה גם האקר מיומן שנקרא לו דני החליט לראות אם הוא
יצליח להשיג את קוד המקור של תוכנת ההצפנה הסודית ביותר מאחד היצרנים
המובילים של מערכות רדיו מאובטחת .הוא קיווה שמחקר של הקוד יאפשר לו
ללמוד כיצד לצותת לגורמי אכיפת החוק ,ואולי גם הוא יוכל ,כך קיווה ,להשתמש
בטכנולוגיה כך שאפילו סוכנויות הממשלה החזקות ביותר יתקשו לעקוב אחר
שיחותיו עם חבריו.
הדני ם של עולם ההאקינג המסתורי נופלים לקטגוריה מיוחדת אי שם בין סקרנות
טהורה לבין סיכון מיותר .לדנים הללו יש את המומחיות ,בשילוב עם תשוקה
שובבה לפרוץ למערכות ורשתות לשם האתגר האינטלקטואלי וההנאה מהבנה
עמוקה של איך הטכנולוגיה פועלת ..האקרים אלה הם אנשים טובים ,הם נכנסים
באופן בלתי חוקי לאתרים בשביל הכיף והתרוממות הרוח של ההוכחה שהם
יכולים לעשות את זה .הם לא גונבים שום דבר ,הם לא עושים כסף מהניצול
שלהם; הם לא הורסים את כל הקבצים ,לא משבשים את חיבורי הרשת ,ולא
מקריסים את מערכות המחשב.
בהתאם לפרופיל הזה ,דני רצה לבחון את הפרטים הטכניים של המוצר השמור
ביותר של חברת היעד שלו ,רק כדי לספק את סקרנותו הבוערת ולהבין את כל
הטכנולוגיות החדשות והמבריקות שהיצרן הטמיע במוצר החדש .קבצי התכנון
של המוצר ,מיותר לציין ,היו סודות מסחריים שמורים ,יקרים ומוגנים היטב .דני
ידע זאת .ולא היה אכפת לו בכלל .אחרי הכל ,זאת היתה רק חברה גדולה ,חסרת
פנים.
אבל איך להשיג את קוד המקור של התוכנה? כפי שהתברר ,היה קל למדי לפרוץ
לחברה ,למרות שהחברה היתה אחת מאלה שמימשו אימות של שני גורמים.
כלומר מערכת בה המשתמשים צריכים לספק שתי מזהים נפרדים כדי להוכיח את
זהותם .הנה דוגמה שאתה בטח כבר מכיר .כאשר מגיע כרטיס האשראי החדש
שלך ,תתבקש להתקשר לחברת האשראי שהנפיקה אותו כדי להודיע להם
שהכרטיס נמצא ברשותך -הלקוח המיועד ,ולא מישהו שגנב את המעטפה
מהדואר .ההוראות שמצורפות לכרטיס בדרך כלל מדריכות אותך להתקשר
מהבית .כאשר אתה מתקשר ,התוכנה של חברת כרטיסי האשראי מנתחת את ה-
,ANIהזיהוי המספרי האוטומטי.
החברה .לכן בשלב זה הפקיד כבר יודע שהשיחה יוצאת מביתו של לקוח ספציפי;
זהו סוג אחד של אימות.
ז'רגוֹן
אימות של שני גורמים -שימוש בשני סוגים שונים של אימות כדי לאמת זהות.
לדוגמה ,אדם עשוי להזדהות על ידי התקשרות ממיקום מסוים וגם ע"י סיסמה.
ואז הפקיד בוחר פריט מהמידע המוצג עליך -לרוב מספר תעודת זהות ,תאריך
לידה או שם הנעורים של האם -ומבקש ממך מידע זה .אם אתה נותן את התשובה
הנכונה ,אתה עובר את המבחן השני של אימות.
בחברה לייצור מערכות רדיו מאובטחות בסיפור שלנו ,לכל עובד עם גישה
למחשב היה שם משתמש וסיסמה רגילים ,אבל בנוסף סופק לו מכשיר אלקטרוני
קטן שנקרא .Secure IDזה מה שנקרא אסימון-מבוסס-זמן .מכשירים אלה
מגיעים בשני תצורות :אחד הוא בערך חצי מגודל של כרטיס אשראי אבל קצת
עבה יותר; והשני קטן מספיק שאנשים פשוט מצרפים אותו למחזיקי המפתחות
שלהם.
עקיפת האימות של הגורם השני ,אסימון מבוסס זמן שמצריך את הקשת קוד ה-
PINהסודי של המשתמש נשמע כמו משימה בלתי אפשרית .אבל עבור מהנדסים
חברתיים ,האתגר דומה לזה של שחקן פוקר שיודע לקרוא את יריביו .עם קצת
מזל ,כשהוא מתיישב ליד שולחן הוא יודע שהוא צפוי ללכת עם ערימה של כסף
של אנשים אחרים.
מסתערים על המצודה
דני התחיל לעשות את שיעורי הבית שלו .עד מהרה הוא הצליח לאסוף די פרטים
כדי להתחזות לעובד אמיתי .היו לו שם של עובד ,מחלקה ,מספר טלפון ומספר
עובד ,וכן את שם המנהל ומספר הטלפון שלו.
שליטה בחוליה האנושית באבטחה
זה היה השקט שלפני הסערה ,פשוטו כמשמעו .על פי התוכנית שהגה ,דני נזקק
לעוד דבר אחד לפני שיוכל להתקדם לצעד הבא ,וזה היה משהו שלא היה לו
שליטה עליו :הוא היה זקוק לסופת שלגים .דני נזקק לעזרה קטנה מאמא טבע
בצורה של מזג אוויר כל כך גרוע ,כזה שימנע מהעובדים להיכנס למשרד .בחורף
שבדרום דקוטה ,שם נמצא מפעל הייצור המדובר ,כל מי שמצפה למזג אוויר גרוע
לא צריך לחכות זמן רב מידי .ביום שישי בלילה הגיעה הסערה .מה שהתחיל
כשלג הפך במהירות לגשם קפוא ,כך שבבוקר היו הכבישים מצופים בשכבת קרח
חלקלקה ומסוכנת .עבור דני ,זו הייתה הזדמנות מושלמת.
הוא טלפן אל המפעל ,ובקש את חדר המחשבים כך הגיע לאחד הנמלים החרוצות
של מחלקת ה ,IT -מפעיל מחשב שקרא לעצמו רוג'ר קובלסקי.
כשהוא נותן את שמו של העובד האמיתי שקיבל ,אמר דני" ,זה בוב בילינגס ,אני
עובד מקבוצת התקשורת המאובטחת ,אני כרגע בבית ואני לא יכול להגיע לעבודה
בגלל הסערה ,והבעיה היא שאני צריך לגשת לתחנת העבודה שלי שבשרת מהבית,
השארתי את ה secure-idהמאובטח שלי על שולחן העבודה שלי .אתה יכול
ללכת להביא את זה בשבילי? או שאולי מישהו אחר יכול לעשות את זה? ואז
לקרוא לי את הקוד שאני צריך בשביל להיכנס למערכת? אני צריך את זה דחוף כי
לקבוצה שלי יש תאריך יעד קריטי ואין שום דרך שאני יכול לעשות את העבודה
שלי .אין שום סיכוי שאגיע למשרד בסערה הזו -הכבישים מסוכנים מדי.
מפעיל המחשב אמר" :אני לא יכול לעזוב את מרכז המחשבים" .דני קפץ על
המציאה" :יש לך תעודת זהות בטוחה משלך?".
"יש כאן אחד במרכז המחשבים" הוא אמר" .אנחנו מחזיקים אחד בשביל
המפעילים למקרי חירום".
"תשמע ",אמר דני "אתה יכול לעשות לי טובה גדולה? אני צריך לחייג לרשת
הפנימית ,אתה יכול לתת לי את secure-idשלך רק עד שיהיה בטוח לנהוג
למפעל?".
"מי אתה שוב?" שאל קובלסקי.
"עבור מי אתה עובד?".
"בשביל אד טרנטון".
"אה ,כן ,אני מכיר אותו".
כאשר הוא עלול לעמוד בפני אתגרים גדולים ,מהנדס חברתי טוב עושה מחקר
רציני ביותר" .אני בקומה השנייה" ,המשיך דני" .ליד רוי טאקר".
הוא הכיר גם את השם הזה .דני חזר לעבוד עליו" .זה יהיה הרבה קל ופשוט ללכת
לשולחן שלי ולהביא את secure-idשלי בשבילי.
פרק -6אתה יכול לעזור לי? 85
דני היה בטוח למדי שהבחור לא ירוץ לעשות את זה .קודם כל ,בטח לא היה לו
כוח לעזוב את המחלקה שלו באמצע המשמרת כדי לשוטט במסדרונות אל חלק
מרוחק של הבניין .בוודאי הוא גם לא ירצה לחטט בשולחן של מישהו אחר .לא,
זה היה הימור בטוח שהוא לא ירצה לעשות את זה.
קובלסקי לא רצה להגיד לא לאיש הזקוק לעזרה ,אבל הוא לא רצה לומר כן
ולהסתבך .אז הוא החליט להימנע מההחלטה" :אני אצטרך לשאול את הבוס שלי.
חכה רגע"
הוא הניח את השפופרת ,ודני שמע אותו מרים טלפון נוסף ,מתקשר למישהו
ומסביר את הבקשה .ואז קובלסקי עשה משהו בלתי מוסבר :הוא ממש ערב אישית
לבחור שהזדהה בתור בוב בילינגס" .אני מכיר אותו" אמר למנהל" .הוא עובד
אצל אד טרנטון ,אפשר לתת לו להשתמש בתעודה המאובטחת של מרכז
המחשבים ".דני ,אחז בטלפון ,נדהם לשמוע את התמיכה המיוחדת והבלתי צפויה
הזאת :הוא לא האמין למשמע אוזניו .אחרי עוד כמה רגעים חזר קובלסקי אל הקו
ואמר" ,המנהל שלי רוצה לדבר איתך בעצמו" ,ונתן לו את שמו של האיש ואת
מספר הטלפון הנייד שלו.
דני התקשר למנהל וסיפר את כל הסיפור פעם נוספת .הוא הוסיף פרטים על
הפרויקט ,ומדוע צוות המוצר שלו צריך לעמוד בדרישה קריטית" .זה יהיה קל
יותר אם מישהו ילך ויביא את הכרטיס שלי" הוא אמר" .אני לא חושבת שהדלפק
נעול ,הוא צריך להיות שם במגירה השמאלית העליונה".
"טוב" ,אמר המנהל" ,רק לסוף השבוע ,אני חושב שנוכל לתת לך במזהה של
'מרכז המחשבים' ,אני אגיד לחברים התורניים שבזמן שתתקשר ,עליהם לקרוא את
קוד הגישה האקראית בשבילך" ,והוא נתן לו את מספר ה PIN -כדי להשתמש בו.
במשך כל סוף השבוע ,בכל פעם שדני רצה להיכנס למערכת המחשב הארגונית,
הוא היה צריך רק להתקשר למרכז המחשבים ולבקש מהם לקרוא את שש הספרות
שמוצגות באסימון מזהה האבטחה.
עבודה פנימית
אז דני הצליח לחדור למערכת המחשב של החברה ,אבל מה עכשיו? איך דני ימצא
את דרכו לשרת עם התוכנה שהוא חיפש? הוא כבר התכונן לכך .משתמשי מחשב
רבים מכירים קבוצות דיון ופורמים ,שבהם אנשים יכולים לפרסם שאלות שאנשים
אחרים עונים עליהם ,או למצוא חברים וירטואלים בעלי עניין משותף במוסיקה,
במחשבים או בכל אחד ממאות נושאים אחרים.
מעטים האנשים שמפנימים שכאשר הם מפרסמים הודעה כלשהי בפורום או
בקבוצת דיון ההודעה שלהם נשארת זמינה אונליין למשך שנים אבות .גוגל,
שליטה בחוליה האנושית באבטחה
למשל ,יש ארכיון של שבע מאות מיליון הודעות ,חלקן נכתבו לפני עשרים שנה!
דני התחיל את המחקר בכתובת .http://groups.google.com
הוא הכניס לתיבת החיפוש ,את המילים "תקשורת רדיו מוצפנת" ואת שם
החברה ,ומצא הודעה בת עשר שנים על הנושא ,שאחד העובדים פרסם .זה היה
פרסום מהתקופה בה החברה הייתה הראשונה לפתח מוצר מסוג כזה ,כנראה זמן
רב לפני שגורמי משטרה וסוכנויות פדרליות שקלו להצפין אותות רדיו .ההודעה
כללה את חתימת השולח ,לא רק את שמו של האיש ,סקוט פרס ,אלא את מספר
הטלפון שלו ואפילו את שם קבוצת העבודה שלו ,קבוצת התקשורת המאובטחת.
דני הרים את השפופרת וחייג את המספר .זה נראה כמו הימור -האם הוא עדיין
עובד באותו ארגון על אף שעברו שנים רבות מפרסום ההודעה? האם הוא יהיה
בעבודה בסוף שבוע סוער כל כך? הטלפון צילצל פעם ,פעמיים ,שלוש פעמים,
ואז נשמע קול על הקו" .זהו סקוט ",הוא אמר .בטענה שהוא ממחלקת ה IT -של
החברה ,דני הפעיל מניפולציות )באחת הדרכים החברה מוכרת ממך בפרקים
הקודמים( על סקוט על מנת לחשוף את שמות השרתים שמשמשים לעבודת
הפיתוח .אלה היו השרתים שניתן לצפות שבהם היה קוד המקור המכיל את
אלגוריתם ההצפנה הקניינית ושרטוטי הקושחה הייחודית המשמשים את מוצרי
הרדיו המאובטחים של החברה.
דני התקרב יותר ויותר לרגע המיוחל ,וההתרגשות שלו הייתה בשיאה .הוא ציפה
לרגש המטורף שהוא כל כך אהב ,לתחושת ההיי המדהימה שתמיד הרגיש
כשהצליח להשיג דבר שרק מספר מצומצם מאוד של אנשים יכולים להשיג .ובכל
זאת ,הוא עדיין לא יכול לנוח על זרי הדפנה .במשך סוף השבוע הוא יכנס לרשת
של החברה בכל פעם שירצה ,הודות למנהל מרכז המחשבים המשותף .הוא ידע
לאיזה שרתים הוא רוצה לגשת .אבל כאשר הוא ניסה לחייג ,שרת הטרמינל שהוא
מחובר אליו לא אפשר לו להתחבר למערכות הפיתוח של קבוצת התקשורת
המאובטחת .בוודאי הייתה שם חומת אש פנימית או נתב שהגן על מערכות
המחשב של הקבוצה .הוא יצטרך למצוא דרך אחרת.
השלב הבא דרש אומץ :דני התקשר בחזרה אל קובלסקי ממחלקת ה ITוהתלונן:
"השרת שלי לא מאפשר לי להתחבר" ואז אמר לבחור מה" IT -אני צריך שתגדיר
לי חשבון באחד המחשבים של המחלקה שלך כדי שאוכל להשתמש בTelnet -
כדי להתחבר למערכת שלי ".
המנהל כבר אישר לחשוף את קוד הגישה המוצג באסימון מבוסס הזמן ,ולכן
הבקשה החדשה לא נראתה בלתי סבירה .קובלסקי הגדיר חשבון וסיסמה זמניים
על אחד ממחשבי המחלקה ,ואמר לדני "תתקשר אלי בחזרה כשאינך זקוק
לחשבון עוד ואני אסיר אותו".
פרק -6אתה יכול לעזור לי? 87
לאחר שנכנס לחשבון הזמני ,דני הצליח להתחבר דרך הרשת למערכות המחשוב
של קבוצת התקשורת המאובטחת .לאחר שעה של חיפוש באינטרנט אחר חור
אבטחה שייתן לו גישה לשרת הפיתוח עיקרי ,הוא מצא אותו .נראה כי שמנהל
הרשת או המערכת לא התעדכנו בחדשות האחרונות על חור אבטחה במערכת
ההפעלה שמאפשר גישה מרחוק .אבל דני היה מעודכן .בתוך זמן קצר הוא איתר
את קוד המקור לקבצים שהוא חיפש והעביר אותם לאתר רחוק שהציע שטח
אחסון חינם .באתר זה ,גם אם הקבצים יתגלו אי פעם ,הם לעולם לא יקושרו אליו.
היה לו רק עוד צעד אחד אחרון לפני החגיגות :התהליך השיטתי של מחיקת
העקבות שהשאיר .הוא סיים לפני שהמופע של ג'יי לנו התחיל .דני הרגיש שזה
היה סוף שבוע נהדר בשבילו .הוא כלל לא נאלץ להסתכן אישית .אבל עדיין זה
היה ריגוש משכר ,אפילו טוב יותר מאשר סנובורד או צניחה חופשית.
דני השתכר בלילה ההוא ,לא על ויסקי ,או על ג'ין ,על בירה או על סאקה ,אלא על
תחושת הכוח וההישג שלו כשנמסכה בו על הקבצים שגנב ועל התוכנה הסודית
שהצליח להשיג.
ניתוח ההונאה
כמו בסיפור הקודם ,תחבולה זו עבדה רק בגלל עובד חברה אחד שהיה מוכן לקבל
כפשוטם של דברים את טענת המתקשר שהוא העובד שהוא טען שהוא.
ההשתוקקות לעזור לקולגה בצרה היא ,מצד אחד ,חלק ממה שמשמן את גלגלי
התעשייה ,וחלק ממה שעושה את האווירה הטובה שיש בחלק מהחברות .אבל
מצד השני ,זה פותח סיכון אבטחה רציני שמהנדס חברתי ינסה לנצל .טכניקה אחת
של מניפולציה שהשתמש בה דני הייתה מיוחדת :כשביקש שמישהו יביא לו
תעודת הזהות המאובטחת שלו מהשולחן שלו ,הוא אמר כל הזמן שהוא רוצה
שמישהו יביא את זה בשבילו .אף אחד לא רוצה שיאמרו לו להביא משהו .עם
מילה אחת ,דני גרם לכך שהבקשה תידחה ופתרון אחר יעלה במקומה ,וזה בדיוק
מה שהוא רצה.
מרכז מרכז המחשוב" ,קובלסקי ,נלקח על ידי דני ושמט את שמות האנשים
שקובלסקי ידע במקרה ,אבל למה המנהל של קובלסקי -מנהל ,ITלא פחות -
מאפשר גישה זרה לרשת הפנימית של החברה? עבור עזרה יכול להיות כלי רב
עוצמה ,משכנע בארסנל של מהנדס חברתי.
שליטה בחוליה האנושית באבטחה
המסר של מיטניק
הסיפור הזה מראה כי אסימונים מבוססי זמן וצורות אימות דומות אינם מהווים
הגנה נגד המהנדס החברתי הערמומי .ההגנה היחידה היא עובד אחראי שעוקב
אחר מדיניות הביטחון ומבין כיצד אחרים יכולים להשפיע בצורה זדונית על
התנהגותו.
האם משהו כזה יכול לקרות בחברה שלך? האם זה כבר קרה?
מניעת ההונאה
נראה כי זהו אלמנט החוזר על עצמו לעתים קרובות בסיפורים אלה -תוקף
שמתחבר לרשת מחשבים מחוץ לחברה ,ע"י עובד מהחברה שמאפשר לו את
הגִ ישָ ה .מדוע אני חוזר לנושא זה לעתים כה קרובות? כי זה באמת גורם לכל כך
הרבה התקפות הנדסה חברתית .עבור המהנדס החברתי ,זוהי הדרך הקלה ביותר
להגיע למטרה שלו .למה תוקף צריך לבלות שעות בנסיונות פריצה ,כאשר הוא
יכול לעשות את זה בשיחת טלפון פשוטה?
אחת השיטות החזקות ביותר עבור המהנדס החברתי לבצע סוג זה של התקפה היא
תחבולה פשוטה של העמדת פנים של אדם שזקוק לעזרה -גישה שנמצאת
בשימוש תכוף על ידי התוקפים .אתה לא רוצה למנוע מהעובדים שלך לעזור
לעובדים אחרים או ללקוחות ,ולכן אתה חייב לחמש אותם בנהלי אימות
ספציפיים שישמשו אותם כאשר מישהו מבקש גישה למחשב או למידע סודי.
בדרך זו הם יכולים להיות מועילים לאלה צריך לעזור להם ,ועדיין נכסי המידע של
הארגון ומערכות המחשב יישארו מוגנים.
נהלי האבטחה של החברה צריכים לפרט בפירוט איזה סוג של מנגנוני אימות יש
להשתמש בנסיבות שונות.
פרק 17מספק רשימה מפורטת של נהלים ,אבל הנה כמה קווים מנחים :דרך אחת
טובה כדי לאמת את הזהות של אדם הוא להתקשר למספר הטלפון המופיע
במדריך החברה עבור אותו אדם .אם האדם שמבצע את הבקשה הוא למעשה
תוקף ,שיחת האימות תאפשר לך לדבר עם האדם האמיתי בטלפון בזמן שהמתחזה
נמצא בהמתנה ,או שתגיע לדואר הקולי של העובד כדי שתוכל להאזין לצליל
קולו ,ולהשוות אותו לקול התוקף.
אם מספרי הטלפון של העובדים משמשים את החברה שלך לאמת זהות ,אזי
מספרים אלה צריכים להיות מוגדרים כמידע רגיש ,שנשמר בקפידה ולא נמסר
ל זרים .כנ"ל לגבי כל סוגי המזהים הפנימיים האחרים ,כגון מספרי טלפון פנימיים,
מזהי חיוב מחלקתיים ואפילו כתובות דוא"ל .הכשרה ארגונית צריך להפנות את
תשומת הלב של כולם נוהג מקובל של קבלת אנשים לא מוכרים כעובדים
לגיטימיים בטענה כי הם נשמעים סמכותי או ידע .רק בגלל שמישהו מכיר חברה
בפועל או משתמש במינוח פנימי אין סיבה להניח כי הזהות שלו לא צריך להיות
מאומת בדרכים אחרות .קציני הביטחון ומנהלי המערכת אינם צריכים לצמצם את
פרק -6אתה יכול לעזור לי? 89
המיקוד שלהם ,כך שהם רק ערניים לאופן שבו כל אדם אחר מודע לכך .הם גם
צריכים לוודא שהם עצמם פועלים לפי אותם כללים ,נהלים ,שיטות עבודה.
אין להעביר לאף אחד סיסמאות כמובן ,כמו כן צריך להבהיר שאין לשתף אף אדם
בקוד של אסימונים מבוססי זמן וצורות אימות מאובטחות אחרות .זה צריך להיות
עניין של השכל הישר שההעברה אחד מהדברים הללו גורם לכל מערכות
האבטחה של החברה להיות לא רלוונטיות.
כפי שאני חוזר על כל הספר הזה ,העובדים צריכים להיות מודעים לאסטרטגיות
של הנדסה חברתית .יש לשקול שימוש במשחקי תפקידים כחלק סטנדרטי
מההכשרה של האבטחה בחברה ,כדי שהעובדים יוכלו להגיע להבנה טובה יותר
של האופן שבו פועל מהנדס חברתי.
שליטה בחוליה האנושית באבטחה