‫אמנות ההונאה‬

‫שליטה בחוליה האנושית באבטחה‬

‫קווין ד‪ .‬מיטניק‬
‫&וילאם ל‪ .‬סיימון‬

‫הספר המקורי‪:‬‬
‫‪sbisc.ut.ac.ir/wp-‬‬
‫‪content/uploads/2015/10/mitnick.pdf‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫תוכן העניינים‬

‫פתח דבר‬

‫מבוא‬

‫הקדמה‬

‫חלק ראשון מאחורי הקלעים‬

‫פרק ‪ 1‬החוליה החלשה באבטחה‬

‫חלק שני האומנות של התוקף‬

‫פרק ‪ 2‬מה אפשר לעשות עם מידע תמים‬
‫פרק ‪ 3‬התקפה ישירה‪" :‬רק בקשה קטנה"‬
‫פרק ‪ 4‬בניית אמון‬
‫פרק ‪" 5‬תן לי לעזור לך"‬
‫פרק ‪" 6‬אתה יכול לעזור לי?"‬
‫פרק ‪ 7‬על קבצים מסוכנים ואתרים מזויפים‬
‫פרק ‪ 8‬ניצול רגשות האשמה‪ ,‬הפחד והסימפטיה‬
‫פרק ‪ 9‬העוקץ ההפוך‬
‫חלק שלישי התראה על פולש‬
‫פרק ‪ 10‬כניסה לשטח‬
‫פרק ‪ 11‬שילוב טכנולוגיה והנדסה חברתית‬
‫פרק ‪ 12‬ניצול העובדים החדשים‬
‫פרק ‪ 13‬הונאות מתוחכמות‬
‫פרק ‪ 14‬ריגול תעשייתי‬

‫חלק רביעי להעלות את הרף‬

‫פרק ‪ 15‬מודעות והכשרה לסוגיות האבטחה‬
‫פרק ‪ 16‬קביעת מדיניות אבטחה בארגון‬

‫מבט לאבטחה‬
‫מקורות‬

‫תודות‬
 ‫פתח דבר‬ ‫‪3‬‬

‫פתח דבר‬

‫כבני אדם קיים בנו דחף פנימי אדיר לחקור ולגלות את הדברים הסובבים אותנו‬
‫ולהבין את טבעם‪ .‬כשקווין מיטניק ואני היינו צעירים‪ ,‬היינו מאוד סקרנים‪ .‬רצינו‬
‫לדעת הכל על הכל והיינו להוטים להוכיח את עצמנו‪ .‬לעיתים קרובות היינו‬
‫מאתגרים את עצמנו בהרפתקאות חדשות – למדנו דברים חדשים‪ ,‬פתרנו חידות‪,‬‬
‫ובכלל תמיד רצינו "לנצח את המשחק"‪ .‬אך באותו זמן‪ ,‬העולם שסביבנו לימד‬
‫אותנו כללי התנהגות שאילצו את הדחף הפנימי שלנו להיות מופנה לכיוון חקירה‬
‫עצמאית‪ .‬בשביל המדענים הנועזים‪ ,‬היזמים הטכנולוגים ואנשים כמו קווין‪,‬‬
‫הליכה אחרי הדחף הפנימי מציעה ריגושים אדירים שמאפשרים להם לבצע דברים‬
‫שאנשים אחרים לא יכולים להאמין שאפשר לעשות‪.‬‬

‫קווין מיטניק הוא אחד האנשים הכי טובים שאני מכיר‪ .‬אם תשאל אותו הוא יספר‬
‫לך בכנות שחלק ניכר מהפריצות שלו למערכות מחשב וההישגים שלו כהאקר‬
‫כללו רמאות של לא מעט אנשים‪ .‬או בשם המכובס שלה "הנדסה חברתית"‪ .‬אבל‬
‫קווין כבר לא משתמש בהנדסה חברתית‪ ,‬וגם כאשר הוא היה משתמש בה המניע‬
‫שלו אף פעם לא היה להעשיר את עצמו או לגרום נזק כזה או אחר‪.‬‬

‫זה שקווין לא השתמש בזה לרעה לא אומר שאנשים אחרים‪ ,‬פחות טובים מקווין‪,‬‬
‫שמכירים את הטכניקות של ההנדסה החברתית לא ישתמשו בה כדי לעשות כסף‬
‫ולהשיג את המטרות הכלכליות שלהם על חשבונך‪ .‬למעשה‪ ,‬זאת בדיוק הסיבה‬
‫שבגללה קווין כתב את הספר הזה‪ -‬כדי להזהיר אותך מפניהם‪.‬‬

‫אומנות ההונאה מראה כיצד כולנו‪ :‬ממשלות‪ ,‬עסקים וכל אחד באופן אישי‪,‬‬
‫חשופים לפגיעה של אומנות ההונאה‪ .‬בעידן זה בו גוברת המודעות לחשיבות‬
‫האבטחה‪ ,‬אנו משקיעים סכומים עצומים בטכנולוגיות להגנה על רשתות‬
‫המחשבים ועל הנתונים שלנו‪ .‬ספר זה מדגיש עד כמה קל להונות את האדם‬
‫שאחראי על הגישה למידע השמור וכך לעקוף את כל ההגנות הטכנולוגיות ‪ .‬בין‬
‫אם אתה עובד בחברה ובין אם אתה עובד מדינה‪ ,‬הספר הזה יספק לך מפת דרכים‬
‫רבת עוצמה שתעזור לך להבין כיצד עובדת ה"הנדסה החברתית" ומה אתה יכול‬
‫לעשות כדי להתגונן מפניה‪ .‬קווין משתמש בסיפורים בדויים שהם גם משעשעים‬
‫וגם "פוקחי עניים" כדי להמחיש ולהדגים לכם את הטכניקות של התוקפים בצורה‬
‫טובה‪ .‬באמצעות סיפורים אלו קווין ועמיתו ביל סיימון מביאים את הטכניקה של‬
‫הנדסה חברתית הלכה למעשה‪ ,‬לחיים האמיתיים‪ .‬אחרי כל סיפור הם מציעים‬
‫הדרכות מעשיות שיעזרו לך להתגונן מפני הפריצות והאיומים שתוארו‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫אבטחה באמצעות טכנולוגיה משאירה פרצות רציניות שאנשים כמו קווין יכולים‬
‫לעזור לנו לסגור‪ .‬אחרי קריאת הספר תבין שכל מה שאנחנו צריכים לעשות זה‬
‫לפנות למיטניקים שבנינו כדי שידריכו אותנו‪.‬‬

‫‪-‬סטיב ווזניאק‬
 ‫מבוא‬ ‫‪5‬‬

‫מבוא‬

‫יש האקרים שמשמידים קבצים של אנשים או מוחקים כוננים קשיחים שלמים; הם‬
‫נקראים קראקרים או ונדליסטים‪ .‬יש האקרים מתחילים שלא טורחים ללמוד את‬
‫הטכנולוגיה‪ ,‬אלא פשוט מורידים כלי האקינג כדי לפרוץ למערכות מחשב‪ ,‬הם‬
‫נקראים "סקריפט קידיס"‪ .‬האקרים מנוסים יותר עם יכולות תכנות מפתחים תוכנות‬
‫האקינג ומפרסמים אותם באינטרנט ובפורומים סגורים של האקרים‪ .‬ויש בודדים‬
‫שאין להם שום עניין בתחום הטכנולוגיה‪ ,‬אלא הם משתמשים במחשב רק ככלי‬
‫לסייע להם לגנוב כסף‪ ,‬סחורות או שירותים‪.‬‬

‫למרות המיתוס התקשורתי שנוצר סביב קווין מיטניק כהאקר אגדי‪ ,‬אני לא האקר‬
‫עם כוונות רעות‪ .‬אבל אני מקדים את המאוחר‪.‬‬

‫תחילת דרכי‬
‫מסלול החיים שלי נקבע בשלב מוקדם בחיי‪ .‬הייתה לי ילדות שמחה וחסרת דאגות‬
‫אבל משעממת‪ .‬לאחר שאבי עזב אותי ואת אימי כשהייתי בן שלוש‪ ,‬אימי נאלצה‬
‫לעבוד כמלצרית לפרנסתנו‪ .‬במבט לאחור הייתי ילד בודד שאשה קשת יום גדלה‬
‫אותו תוך כדי שהיא עובדת בשעות לא מסודרות‪ .‬לפעמים היא עבדה בכל השעות‬
‫שבהן הייתי ער‪ .‬אז נאלצתי להיות הבייביסיטר של עצמי‪.‬‬

‫גדלתי בקהילת עמק סן פרננדו‪ ,‬מה שאפשר לי לחקור את כל לוס אנג'לס‪ .‬בגיל ‪12‬‬
‫גיליתי דרך לנסוע חינם בכל רחבי לוס אנג'לס‪ .‬יום אחד כשנסעתי באוטובוס‬
‫הבנתי לפתע‪ ,‬שההגנה של כרטיס המעבר שקניתי‪ ,‬מורכבת מתבנית מיוחדת של‬
‫ניקובים‪ ,‬שסימנו‪ -‬יום‪ ,‬שעה‪ ,‬תאריך ותחנת מעבר‪ .‬נהג חביב ענה לשאלה התמימה‬
‫שלי וסיפר לי היכן אוכל לקנות סוג כזה של מנקב‪.‬‬

‫כרטיסי המעבר נועדו לאפשר לנוסעים להחליף אוטובוס ולהמשיך בנסיעה ליעדם‬
‫ללא תשלום נוסף‪ .‬אבל אני למדתי להשתמש בהם כך שאוכל להגיע איתם לכל‬
‫מקום שארצה ללא תשלום בכלל‪ .‬השגת הכרטיסים הריקים הייתה משימה קלה‬
‫במיוחד‪.‬‬

‫פחי האשפה במסוף האוטובוסים תמיד היו גדושים בספרי כרטיסיות מלאים‬
‫למחצה‪ ,‬שהנהגים זרקו בסוף המשמרות לפני שנגמרו‪ .‬עם המרצע והכרטיסים‬
‫הריקים יכולתי לסמן את הכרטיסים שלי ולנסוע לכל מקום שהאוטובוסים הגיעו‬
‫אליו‪ -‬בחינם‪ .‬לא עבר זמן רב עד שהשגתי את לוחות הזמנים של כל האוטובוסים‪,‬‬
‫ובכל זאת זכרתי את הכל בעל‪-‬פה‪) .‬זו דוגמה מוקדמת לזיכרון הפנומנלי שלי‬
‫לסוגים מסוימים של מידע‪ ,‬עד היום אני זוכר מספרי טלפון‪ ,‬סיסמאות‪ ,‬ועוד‬
‫פרטים טריוויאליים לכאורה מתקופת הילדות שלי(‬
‫שליטה בחוליה האנושית באבטחה‬

‫עוד תחום שעניין אותי מאוד כבר מגיל צעיר היה קסמים‪ .‬בכל פעם שלמדתי איך‬
‫טריק חדש עובד‪ ,‬הייתי מתאמן עליו שוב ושוב עד ששלטתי בו לגמרי‪ .‬במידה‬
‫מסוימת‪ ,‬להנאה שבהשגת מידע סודי‪ ,‬נחשפתי מעולם הקסמים‪.‬‬

‫מפריקר להאקר‬
‫המפגש הראשון שלי עם מה שאני אלמד לכנות מאוחר יותר הנדסה חברתית‪,‬‬
‫התרחש בשנות לימודי בתיכון‪ ,‬כשפגשתי תלמיד שהתחביב שלו היה פריקינג‪.‬‬
‫פריקינג הוא סוג של פריצה למערכות טלפוניה באמצעות ניצול מערכות‬
‫הטלפוניה ועובדי חברת הטלפון‪ .‬הבחור החביב הראה לי כמה טריקים נחמדים‬
‫שהוא ידע לעשות עם הטלפון‪ .‬הוא הראה לי איך הוא משיג את כל המידע שהיה‬
‫לחברת הטלפון על כל אחד מלקוחותיה‪ ,‬ואיך הוא משתמש בקוד סודי שנועד‬
‫במקור לבדיקות של טכנאים‪ ,‬כדי לערוך שיחות בינלאומיות בחינם‪) .‬האמת שזה‬
‫היה חינם רק בשבילנו‪ .‬למעשה‪ ,‬גיליתי אחרי שנים‪ ,‬שזה בכלל לא היה קוד בדיקה‬
‫ואיזה מסכן חויב על השיחות האלו(‪.‬‬
‫זה היה בשבילי קורס מבוא מזורז להנדסה חברתית‪ .‬חבר שלי ועוד פריקר‬
‫שפגשתי זמן קצר אח"כ‪ ,‬היו מתכננים ביניהם מה הם יאמרו לחברת הטלפונים‪.‬‬
‫הקשבתי לדברים שהם אמרו וגרמו להם להישמע אמינים‪ ,‬למדתי על משרדים‬
‫שונים בחברת הטלפון‪ ,‬על הסלנגים הפנימיים ועל נהלי העבודה השונים‪ .‬אבל‬
‫ההקשבה הפסיבית לחברים שלי לא נמשכה זמן רב‪ ,‬עד מהרה למדתי לעשות זאת‬
‫בעצמי‪ ,‬והייתי עושה זאת אפילו יותר טוב מהם‪.‬‬
‫החיים שלי בחמש עשרה השנים הבאות המשיכו כסדרם‪ .‬בתיכון‪ ,‬אחת המתיחות‬
‫האהובות עלי הייתה השגת גישה לסוויץ' הטלפון‪ ,‬ושינוי סוג השירות לפריקר‬
‫אחר‪ .‬כשהוא הרים את השפופרת בביתו הוא שמע הודעה שמבשרת לו שהוא צריך‬
‫להכניס מטבע בגלל שהטלפון שלו הוא טלפון ציבורי‪.‬‬
‫התעסקתי בכל מה שקשור לטלפונים‪ ,‬לא רק באלקטרוניקה‪ ,‬בסוויצ'ים‬
‫ובמחשבים‪ ,‬אלא גם בהכרת חברות הטלפון עצמם‪ ,‬התהליכים והמינוחים‪ .‬לאחר‬
‫זמן מה‪ ,‬כנראה שידעתי על טלפונים יותר מכל פקיד‪ .‬פיתחתי את כישורי ההנדסה‬
‫החברתית שלי לרמה כזו‪ ,‬שבגיל ‪ ,17‬יכולתי לדבר עם רוב עובדי חברות הטלפון‬
‫כמעט על כל דבר‪ ,‬בין אם דיברתי איתם בטלפון ובין אם דיברתי איתם פנים אל‬
‫פנים‪.‬‬
‫קריירת ההאקינג המפורסמת מדי שלי החלה כשהייתי בתיכון‪ ,‬אני לא יכול לפרט‬
‫כאן יותר מדי‪ ,‬אבל מספיק לומר שאחד המניעים בפריצות הראשונות שלי היה כדי‬
‫להתקבל כחבר לקבוצת האקרים‪ .‬בימים ההם‪ ,‬היינו משתמשים במושג האקר כדי‬
‫לתאר אדם שכילה את זמנו בהתעסקות עם חומרה ותוכנה‪ ,‬כדי לפתח תוכנות‬
‫יעילות יותר או כדי לעקוף שלבים לא נחוצים ולסיים עבודות מהר יותר‪ .‬היום‬
 ‫מבוא‬ ‫‪7‬‬

‫למונח יש משמעות מזלזלת ופירושו "פושע זדוני"‪ .‬בספר זה אשתמש במושג כמו‬
‫שתמיד השתמשתי בו‪ -‬במשמעות הראשונה והתמימה שלו‪.‬‬
‫אחרי התיכון למדתי מחשבים במרכז ללימודי מחשב בלוס אנג'לס‪ .‬אחרי כמה‬
‫חודשים מנהל הרשת של המרכז הבין שניצלתי חולשה במערכת ההפעלה והשגתי‬
‫גישה מלאה למחשב ה‪ IBM‬שפעל במרכז‪ .‬המומחים של המרכז שברו את הראש‬
‫בניסיון להבין איך ביצעתי את הפריצה אך הם לא הצליחו להבין והרימו ידיים‪.‬‬
‫ואז‪ ,‬קיבלתי הצעה שלא יכולתי לסרב לה‪ .‬כנראה ההצעה הזאת הייתה אחת‬
‫מהפעמים הראשונות שביקשו מהאקר לאבטח את המערכת‪ .‬המנהל הציע לי‬
‫להיות אחראי על אבטחת המחשבים במרכז‪ ,‬כפרוייקט מצויינות‪ ,‬או שהמרכז‬
‫יאלץ להשעות אותי בגין הפריצה‪ ,‬כמובן שבחרתי לאבטח את המערכת וכך‬
‫סיימתי את הלימודים כמצטיין‪.‬‬

‫להיות מהנדס חברתי‬

‫הרבה אנשים קמים בבוקר לעוד יום עבודה משעמם‪ ,‬לעומת זאת לי היה מזל גדול‬
‫והעבודה שלי הייתה מאוד מהנה ומספקת עבורי‪ .‬קשה לי לתאר כמה אהבתי את‬
‫האתגרים שסיפקה לי עבודתי כחוקר פרטי‪ .‬חידדתי שם את מיומנויות ההנדסה‬
‫החברתית שלי )היכולת לגרום לאנשים לעשות דברים שאין מצב שהיו עושים‬
‫בשביל אדם זר( ועוד שילמו לי על זה‪ .‬התחום של הנדסה חברתית בא לי בקלות‪,‬‬
‫המשפחה של אבי התעסקו במכירות במשך דורות‪ ,‬וכישרון השכנוע עבר כנראה‬
‫בתורשה גם אלי‪ ,‬וכשמשלבים את התכונה הזאת עם נטייה לתעתע באנשים‬
‫מקבלים פרופיל של מהנדס חברתי טיפוסי‪.‬‬
‫אפשר לחלק את "המקצוע" של אומנות ההונאה לשתי תתי תחומים‪ .‬הראשון הוא‬
‫תחום הפשע בו אומן ההונאה יעבוד על אנשים ויגנוב מהם כסף ע"י שימוש‬
‫בטכניקות שונות‪ ,‬והשני הוא תחום ההנדסה החברתית בו ירכז אומן ההונאה את‬
‫כושר השכנוע ואת הקסם האישי שלו כנגד עסקים וחברות‪ .‬מהרגע שעליתי על‬
‫איך לזייף כרטיסיות לאוטובוס‪ ,‬כשהייתי עדיין צעיר כדי להבין שמשהו לא בסדר‬
‫עם מה שאני עושה‪ ,‬התחלתי להבין שיש לי כישרון להגיע לסודות שאני לא אמור‬
‫להיחשף אליהם‪ .‬פיתחתי את הכישרון הזה תוך שאני משתמש במניפולציות‬
‫מתוחכמות ובלימוד של הסלנג והביטויים המיוחדים לכל ארגון‪.‬‬
‫אחת הדרכים שבעזרתם שיפרתי מאוד את המקצועיות שלי‪ ,‬הייתה להתקשר‬
‫למישהו ולהוציא ממנו מידע שלא באמת הייתי צריך רק כדי לראות כמה מידע אני‬
‫מצליח לסחוט‪ .‬בדיוק כמו שהייתי מתאמן המון פעמים על הקסמים שלמדתי‬
‫הייתי מתאמן בלהוציא מידע מאנשים‪ .‬עד מהרה הצלחתי להוציא כל מידע שבו‬
‫חפצתי‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫כך תיארתי זאת בעדותי לקונגרס בפני הסנאטורים ליברמן ותומפסון‪ ,‬כמה שנים‬
‫מאוחר יותר‪:‬‬
‫"השגתי גישה בלתי מורשית למערכות המחשוב של כמה מהתאגידים הכי גדולים‬
‫בעולם‪ .‬פרצתי למערכות מחשב המאובטחות והרגישות ביותר שפותחו אי פעם‪.‬‬
‫השתמשתי באמצעים טכניים ולא טכניים על מנת להשיג את קוד המקור של‬
‫מערכות הפעלה והתקני טלקומוניקציה שונים וכך גיליתי חולשות שונות שהיו‬
‫בהן"‬
‫האמת היא שכל מה שעשיתי היה רק כדי לספק את הסקרנות שלי; כדי לראות מה‬
‫אני יכול לעשות; כדי להבין את הסודות של מערכות הפעלה‪ ,‬טלפונים סלולריים‬
‫וכל דבר אחר שהסעיר אותי‪.‬‬
‫כבר הודיתי לאחר שנעצרתי שמה שעשיתי היה לא חוקי וכלל פלישה לפרטיות‪.‬‬
‫המוטיבציה למעשיי הייתה הסקרנות‪ .‬רציתי לדעת כל מה שיכולתי על איך רשתות‬
‫טלפון עובדות ולהבין לפניי ולפנים את נושא אבטחת המחשבים‪ .‬הפכתי מילד‬
‫שאוהב לעשות קסמים‪ ,‬להאקר הידוע ביותר לשמצה שנרדף ע"י תאגידים‬
‫וממשלות‪ .‬אם אני מסתכל על החיים שלי בפרספקטיבה של ‪ 30‬שנה אחורה‪ ,‬אני‬
‫מודה שעשיתי כמה החלטות מאוד טיפשיות תחת השפעת הסקרנות האדירה שלי‪,‬‬
‫הרצון ללמוד על טכנולוגיה והצורך שלי באתגרים אינטלקטואליים משמעותיים‪.‬‬
‫כיום אני אדם שונה‪ .‬אני מנתב את הכישרון והידע הנרחב שצברתי בטקטיקות של‬
‫אבטחת מידע והנדסה חברתית כדי לעזור לממשלה‪ ,‬לעסקים ולאנשים פרטיים‪.‬‬
‫אני מסייע להם למנוע‪ ,‬לזהות ולהגיב על איומי אבטחת המידע‪.‬‬
‫ספר זה הוא אחת מהדרכים שלי לעזור לאחרים להבין איך פועלים ההאקרים‬
‫המתוחכמים ולהימנע מליפול בפח שלהם‪ .‬אני מקווה שתמצא את הסיפורים בספר‬
‫שלפניך מהנים‪ ,‬פוקחי עיניים וחינוכיים‪.‬‬
‫מבוא‬ ‫‪9‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫הקדמה‬
‫ספר זה מכיל מידע רב על אבטחת מידע והנדסה חברתית‪ .‬כדי לעזור לך להתמצא‬
‫בספר‪ ,‬הנה סקירה מהירה של מבנה הספר‪:‬‬
‫בחלק הראשון אצביע על החוליה החלשה באבטחה ואסביר לך למה אתה‬
‫והחברה שלך נמצאים בסכנת התקפה של הנדסה חברתית‪.‬‬
‫בחלק השני תראה איך מהנדסים חברתיים משחקים באמון שלך‪ ,‬ברצון שלך‬
‫לעזור‪ ,‬בנחמדות שלך ובתמימות האנושית הטבועה בך כדי להשיג מה שהם‬
‫רוצים‪ .‬סיפורים בדיוניים על התקפות טיפוסיות ידגימו לך שלמהנדסים החברתיים‬
‫יכולים להיות כמה פרצופים‪ .‬אם אתה חושב שמעולם לא נתקלת באחד כזה‪ ,‬אתה‬
‫כנראה טועה‪ .‬האם תזהה מקרה דומה שקרה לך בין הסיפורים הללו ותתהה אם‬
‫מהנדס חברתי ניצל אותך? כנראה שכן‪ .‬אבל אחרי שתקרא את פרקים ‪ ,2-9‬תדע‬
‫איך לצאת שידך על העליונה בפעם הבאה‪.‬‬
‫החלק שלישי הוא החלק שבו תגלה איך המהנדס החברתי עובד באמצעות‬
‫סיפוריים דמיוניים שיראו לך כיצד הוא יכול לקבל גישה למידע השמור שלך‬
‫ולגנוב מידע שעשוי לעזור לו לרסק את החברה שלך תוך עקיפת מנגנוני האבטחה‬
‫הטכנולוגים‪ .‬המקרים בחלק זה יזהירו אותך מפני איומים שמתחילים בנקמה של‬
‫עובד זוטר ומגיעים עד לטרור אלקטרוני‪ .‬אם תדע להעריך את המידע שיעזור לך‬
‫לשמור על החברה שלך ועל אבטחת המידע שלה‪ ,‬תרצה לקרוא את פרקים ‪10-14‬‬
‫בשלמותם‪.‬‬
‫חשוב לשים לב שאם לא מצוין אחרת הסיפורים הם בדויים‪.‬‬
‫בחלק הרביעי אני מסביר כיצד ניתן להתגונן מפני מתקפת הנדסה חברתית‬
‫מוצלחת על הארגון שלך‪ .‬פרק ‪ 15‬יספק לך תוכנית טובה לאימוני אבטחה‪ .‬ופרק‬
‫‪ 16‬אולי יציל אותך‪ -‬זוהי מדיניות אבטחה מקיפה שתוכל להתאים לארגון שלך‬
‫ולממש מייד כדי לשמור על החברה שלך ועל המידע שלה בטוחים‪.‬‬
‫בסוף הבאתי את חלק ה"מבט לאבטחה" שכולל שרטוטים וטבלאות כדי לקצר‬
‫מידע חשוב שיעזור לעובדים שלך להתגונן מפני מתקפת הנדסה חברתית‪ .‬הכלים‬
‫הללו גם יספקו לך מידע חשוב שיעזור לך לבנות את תוכנית האימונים שלך‪.‬‬
‫במהלך הספר תמצא מספר אלמנטים חשובים כמו‪" :‬תיבות ז'רגון" שמבארות‬
‫מונחים בהנדסה חברתית ובהאקינג; "המסר של מיטניק" שמביא במילים קצרות‬
‫דרכים לשיפור האבטחה והערות שיספקו רקע מעניין או מידע נוסף‪.‬‬
 ‫הקדמה‬ ‫‪11‬‬

‫חלק ראשון‬
‫מאחורי הקלעים‬
‫שליטה בחוליה האנושית באבטחה‬

‫פרק ‪ -1‬החוליה החלשה באבטחה‬

‫חברה יכולה לרכוש את טכנולוגיות האבטחה הטובות ביותר שכסף יכול לקנות‪,‬‬
‫לאמן את אנשיה כל כך טוב עד שלפני שהם הולכים הביתה בלילה הם ינעלו את‬
‫כל סודות החברה בכספות מאובטחות‪ .‬היא יכולה לשכור את השומרים של חברת‬
‫האבטחה הטובה ביותר בתחום‪.‬‬
‫ועדיין החברה הזאת תהיה פגיעה‪.‬‬
‫אנשים יכולים למלא אחר כל נהלי האבטחה שהומלצו ע"י המומחים‪ ,‬להתקין‬
‫בהכנעה כל מוצר אבטחה מומלץ‪ ,‬ולהתקין את כל עדכוני האבטחה הנדרשים‬
‫בקפדנות‪.‬‬
‫אנשים אלה עדיין יהיו פגיעים לחלוטין‪.‬‬

‫הגורם האנושי‬
‫בעדותי בפני הקונגרס לפני זמן לא רב‪ ,‬הסברתי שאני יכול לקבל לעתים קרובות‬
‫סיסמאות ופיסות מידע רגישות נוספות מחברות ע"י התחזות למישהו אחר שיש לו‬
‫זכות לדעת את הנתונים האלו‪.‬‬
‫זה טבעי לרצות לחוש ביטחון מוחלט‪ ,‬וזה גורם להרבה אנשים להסתפק בתחושה‬
‫מזויפת של ביטחון‪ .‬קחו למשל בעל בית אחראי ואוהב שרכש מנעול צילינדר‬
‫איכותי שידוע כאחד שקשה מאוד לפרוץ‪ ,‬והתקין אותו בחזית הדלת שלו כדי‬
‫להגן על אשתו‪ ,‬ילדיו‪ ,‬וביתו‪ .‬עכשיו הוא מרגיש בנוח כי הוא גרם למשפחתו‬
‫להיות מוגנת הרבה יותר מפני פולשים‪ .‬אבל מה עם הפורץ ישבור חלון‪ ,‬או יפצח‬
‫את הקוד שפותח את דלת החניה? תשאלו אותי עכשיו‪ :‬אז אתה נגד להתקין‬
‫מערכת אבטחה חזקה? ואני אענה לכם שזה מצוין להתקין אחת כזאת‪ ,‬אבל עדיין‬
‫אין ערובה לכלום‪ .‬מנעולים יקרים או לא‪ ,‬בעל הבית נשאר פגיע‪.‬‬
‫למה? בגלל הגורם האנושי שלאמיתו של דבר‪ ,‬הוא החוליה החלשה ביותר‬
‫במערכת האבטחה‪.‬‬
‫אבטחה היא לעתים קרובות מדי רק אשליה‪ ,‬האשליה לפעמים נעשית אפילו יותר‬
‫גרועה כאשר‪ ,‬פתיות‪ ,‬נאיביות ובורות מצטרפים לעניין‪ .‬המדען המפורסם ביותר‬
‫בעולם במאה העשרים‪ ,‬אלברט איינשטיין‪ ,‬צוטט באומרו "רק שני דברים הם‬
 ‫פרק ‪ -1‬החוליה החלשה באבטחה‬ ‫‪13‬‬

‫אינסופיים‪ :‬היקום והטמטום האנושי‪ ,‬ואני עדיין לא בטוח לגבי הראשון‪ ".‬בסופו‬
‫של דבר‪ ,‬התקפות הנדסה חברתית יכולים להצליח כאשר אנשים נוהגים בטיפשות‬
‫או‪ ,‬בדרך כלל‪ ,‬פשוט לא מודעים לנהלי אבטחה טובים‪.‬‬
‫בגישה דומה לזו של בעל הבית שלנו‪ ,‬הרבה אנשי ‪ IT‬מחזיקים בתפיסה המוטעית‬
‫שהחברה שלהם מחוסנת מפני תקיפות כי הם בנו מערך שמורכב בעיקר ממוצרי‬
‫אבטחה סטנדרטיים ‪ -‬חומות אש‪ ,‬מערכות לגילוי פריצה‪ ,‬או התקני אימות חזקים‪,‬‬
‫כמו התקני זיהוי מבוססי זמן או כרטיסים ביומטריים חכמים ‪ .‬מי שחושב שמוצרי‬
‫האבטחה לבדם מספקים אבטחה אמתית צפוי להתבדות‪.‬‬
‫זאת רק אשליה של אבטחה‪ .‬זה מקרה קלאסי של אנשים שחיים בעולם של‬
‫פנטזיה‪ :‬הם בהכרח‪ ,‬במוקדם או במאוחר‪ ,‬יפגעו מאירוע אבטחה כלשהו‪ .‬כמו‬
‫שיועץ אבטחת המידע ברוס שנייר מנסח זאת‪" ,‬אבטחה אינה מוצר‪ ,‬היא תהליך"‪.‬‬
‫יותר מזה‪ ,‬אבטחה היא לא בעיה טכנולוגית ‪ -‬זאת בעיה של אנשים ושל ניהול‪.‬‬
‫כאשר מפתחים ללא הרף טכנולוגיות אבטחה טובות יותר‪ ,‬קשה יותר ויותר לנצל‬
‫נקודות תורפה טכניות‪ ,‬ולכן התוקפים יפנו יותר ויותר לניצול הגורם האנושי‪ .‬לרוב‬
‫זה עניין פשוט לעקוף את חומת האש האנושית‪ ,‬לא נדרשת השקעה מעבר העלות‬
‫של שיחת טלפון‪ ,‬והמתקפה כרוכה בסיכון מינימלי‪.‬‬
‫ההונאה הקלאסית‬
‫מהו האיום הגדול ביותר על ביטחונם של נכסי העסק שלך? זה קל‪ :‬מהנדס חברתי‬
‫‪ -‬קוסם חסר מצפון שכאשר אתה מסתכל על ידו השמאלית בימנית הוא גונב‬
‫הסודות שלך‪ .‬דמות כזו היא בדרך כלל כה ידידותית‪ ,‬חלקלקה‪ ,‬ונוחה לבריות‬
‫שאתה תהיה אסיר תודה על כך שנתקלת בו‪.‬‬
‫בואו נראה דוגמא להנדסה חברתית‪ .‬כיום אין הרבה אנשים שעדיין זוכרים בחור‬
‫צעיר בשם מארק סטנלי ריפקין ואת ההרפתקה הקטנה שהייתה לו עם בנק בלוס‬
‫אנג'לס שעונה לשם ‪ . Security Pacific National‬יש מספר גרסאות שונות‬
‫לסיפור הזה‪ ,‬ריפקין )כמוני( מעולם לא סיפר את הסיפור שלו‪ ,‬כך שהשורות‬
‫הבאות מבוססות על הפרסומים בעיתונות‪.‬‬
‫פריצת הקוד‬
‫יום אחד בשנת ‪ ,1978‬חמק ריפקין לחדר ההעברות הבנקאיות של הבנק הנ"ל‪ .‬חדר‬
‫שרק אנשים מסוימים הורשו להיכנס אליו‪ ,‬שם נשלחו והתקבלו הוראות להעברות‬
‫אשראי בהיקף של כמה מיליארדי דולרים בכל יום‪ .‬תפקידו בחברה היה לפתח‬
‫מערכת גיבוי לנתונים שבמחלקת ההעברות למקרה שהמחשב יקרוס‪ .‬במסגרת‬
‫תפקידו הוא נחשף לתהליך העברת הכספים כולל איך בדיוק פקידי הבנק נותנים‬
‫הוראה כדי שההעברה תישלח‪ .‬הוא למד שפקידי הבנק שבסמכותם להורות על‬
‫שליטה בחוליה האנושית באבטחה‬

‫העברות בנקאיות מקבלים בבוקרו של יום קוד סודי תחת שמירה קפדנית שהם‬
‫משתמשים בו כאשר הם מתקשרים לחדר ההעברות הבנקאיות‪.‬‬
‫בחדר ההעברות הפקידים חסכו לעצמם את הטרחה הכרוכה בניסיון לשנן את‬
‫הקוד בכל יום‪ :‬הם רשמו את הקוד על פיסת נייר ותלו אותה במקום שבו יוכלו‬
‫לראות אותה בקלות‪ .‬באותו היום בנובמבר לריפקין הייתה מטרה מאוד ספציפית‬
‫בביקור שלו‪ .‬הוא רצה להעיף מבט על הפתק‪.‬‬
‫כאשר הוא הגיע לחדר ההעברות‪ ,‬הוא עשה את עצמו מתעסק עם מערכת הגיבוי‬
‫כדי לוודא כביכול שמערכת הגיבוי מסונכרנת כראוי עם המערכות הרגילות‪.‬‬
‫בינתיים‪ ,‬הוא קרא בחשאי את קוד האבטחה שהיה רשום על פיסת הנייר הגלויה‬
‫ושינן אותו בעל פה עד שזכר אותו‪ .‬כעבור כמה דקות הוא יצא‪ .‬כמו שהוא אמר‬
‫אחר כך‪ ,‬הוא הרגיש כאילו הוא זכה בלוטו‪.‬‬

‫זה חשבון בנק שוויצרי ‪...‬‬

‫הוא עזב את החדר בסביבות ‪ 15:00‬אחר הצהריים‪ ,‬ופנה היישר אל הטלפון‬

‫הציבו רי שניצב בלובי השיש של הבניין‪ ,‬שם הוא שלשל מטבע וחייג אל חדר‬
‫ההעברות הבנקאיות‪ .‬ואז הוא החליף כובעים‪ ,‬במקום להציג את עצמו כסטנלי‬
‫ריפקין‪ ,‬עובד זוטר בבנק‪ ,‬הוא העמיד פנים שהוא מייק האנסן‪ ,‬חבר במחלקה‬
‫הבינלאומית של הבנק‪.‬‬
‫לפי אחד המקורות‪ ,‬השיחה הלכה בערך ככה‪:‬‬
‫"היי‪ ,‬זה מייק האנסן מהבינלאומי"‪ ,‬אמר לאישה הצעירה שענתה לטלפון‪ .‬היא‬
‫ביקשה את מספר הסניף‪ .‬זה היה הנוהל המקובל‪ ,‬והוא היה מוכן לכך‪,"286" :‬‬
‫אמר‪ .‬ואז שאל הבחורה‪" :‬אוקיי‪ ,‬ומה הקוד?"‬
‫ריפקין אמר שבנקודה הזאת האדרנלין בגופו פעל בעוצמה וגרם לקצב פעימות‬
‫הלב שלו לנסוק לגבהים‪ .‬הוא ענה בלי להתבלבל "‪ ."4789‬ואז הוא המשיך לתת‬
‫את הוראות ההעברה "עשר מיליון‪ ,‬ומאתיים אלף דולר בדיוק" מבנק ‪Irving‬‬
‫‪ Trust Company‬בניו יורק‪ ,‬להעביר ל ‪ Wozchod Bank‬בציריך‪ ,‬שוויץ‪ ,‬שם‬
‫הוא כבר פתח חשבון‪.‬‬
‫ואז אמרה הבחורה‪" ,‬אוקיי‪ ,‬קיבלתי את הפרטים‪ .‬ועכשיו אני צריכה את המספר‬
‫הסידורי של הסניף"‪.‬‬
‫ריפקין התכסה זיעה קרה‪ :‬זאת הייתה שאלה שהוא לא ציפה לה‪ ,‬פרט שנפל בין‬
‫הכיסאות במחקר שלו‪ .‬אבל הוא הצליח להישאר רגוע והתנהג כאילו הכל בסדר‪,‬‬
‫ועל המקום ענה מבלי להסס‪" ,‬תני לי לבדוק‪ ,‬אני אתקשר אליך מיד"‪ .‬הוא החליף‬
‫כובעים פעם נוספת‪ .‬הוא התקשר למחלקה אחרת של הבנק ‪ ,‬הפעם בטענה שהוא‬
 ‫פרק ‪ -1‬החוליה החלשה באבטחה‬ ‫‪15‬‬

‫עובד בחדר ההעברות‪ .‬הוא השיג את המספר המיוחל והתקשר לבחורה שוב‪ .‬היא‬
‫לקחה את מספר והוא אמר לה‪" :‬תודה‪) ".‬בנסיבות אלה‪ ,‬משמעות התודה אירונית‬
‫במיוחד‪(.‬‬
‫סגירת מעגל‬
‫כעבור כמה ימים ריפקין טס לשווייץ‪ ,‬לקח את המזומנים שלו‪ ,‬ומסר ‪$ 8,000,000‬‬
‫לסוכנות רוסית עבור ערימה של יהלומים‪ .‬הוא טס בחזרה‪ ,‬ועבר את המכס‬
‫בארה"ב עם היהלומים מוסתרים בחגורת מיוחדת‪ .‬הוא ביצע את שוד הבנק הגדול‬
‫ביותר בהיסטוריה ‪ -‬ועשה את זה בלי להשתמש באקדח‪ ,‬ובלי להשתמש במחשב‪.‬‬
‫למרבה הפלא‪ ,‬התעלול שלו הכניס אותו לספר השיאים של גינס בקטגוריה של‬
‫"הונאת המחשב הגדולה ביותר"‪ .‬סטנלי ריפקין השתמש באמנות ההונאה ‪-‬‬
‫מיומנויות וטכניקות שנקראים היום הנדסה חברתית‪.‬‬
‫וזה הנושא של הספר שלפניך ‪ -‬טכניקות של הנדסה חברתית )בו עבדכם הנאמן‬
‫מיומן( וכיצד להתגונן מפניהם בחברה שלך‪.‬‬
‫מהות האיום‬
‫הסיפור של ריפקין מבהיר היטב עד כמה מטעה יכולה להיות תחושת הביטחון‪.‬‬
‫אירועים כמו זה ‪ -‬בסדר‪ ,‬אולי לא בסדר גודל של ‪ , $ 10,000,000‬אך תקריות‬
‫מזיקות בכל זאת ‪ -‬קורים כל יום‪ .‬ייתכן שאתה מפסיד כסף עכשיו‪ ,‬או שמישהו‬
‫יכול לגנוב את התוכניות של המוצר החדש שלך‪ ,‬ואתה אפילו לא יודע את זה‪ .‬אם‬
‫זה לא קרה כבר לחברה שלך‪ ,‬זה לא שאלה של אם זה יקרה‪ ,‬אלא מתי‪.‬‬
‫החשש גדל והולך‬
‫המכון לאבטחת המחשב‪ ,‬ערך סקר בשנת ‪ 2001‬על פשעי מחשב‪ .‬על פי הדו"ח‬
‫‪ 85‬אחוז מהארגונים שענו לסקר זיהו פרצות אבטחה במחשביהם בשנים עשר‬
‫החודשים הקודמים‪ .‬זה מספר מדהים‪ :‬רק חמש עשרה מתוך כל מאה ארגונים‬
‫יכלו לומר שהם לא חוו פרצת אבטחה במהלך השנה‪ .‬מדהים לא פחות היה מספר‬
‫הארגונים שדיווחו כי הם חוו הפסדים כספיים עקב פרצות מחשב‪ 64 :‬אחוז‪ .‬יותר‬
‫ממחצית מהארגונים סבלו כלכלית בשנה אחת‪ .‬הניסיון שלי גורם לי להאמין‬
‫שהמספרים בדוחות כאלה מנופחים במקצת‪ .‬אני חושד באג'נדה של האנשים‬
‫שניהלו את הסקר‪ .‬אבל זה לא אומר שהנזק אינו רב‪ ,‬כי הוא כן‪ .‬מי שלא מתכונן‬
‫לניסיונות פריצה נידון לכישלון‪.‬‬
‫מוצרי האבטחה המסחריים שפרוסים ברוב החברות נועדו בעיקר לספק הגנה מפני‬
‫פורץ מחשב חובבן‪ ,‬כמו בני הנוער שמכונים סקריפט קידס‪ .‬למעשה‪ ,‬השאיפות‬
‫של ההאקרים האלו שרק הורידו תוכנה היא רק להטריד‪ .‬ההפסדים הגדולים יותר‪,‬‬
‫האיומים האמיתיים‪ ,‬באים מתוקפים מתוחכמים עם מטרות מוגדרות היטב אשר‬
‫שליטה בחוליה האנושית באבטחה‬

‫מונעים על ידי רווח כספי‪ .‬אנשים אלה מתמקדים ביעד אחד בכל פעם‪ ,‬ולא כמו‬
‫חובבנים‪ ,‬מנסים להסתנן למערכות רבות ככל האפשר‪ .‬בעוד חובבנים פולשים‬
‫למחשבים רק כדי לפרוץ כמות גדולה‪ ,‬המטרות של אנשי מקצוע הינם בעלי איכות‬
‫וערך‪.‬‬
‫טכנולוגיות כמו התקני אימות )להוכחת זהות(‪ ,‬בקרת גישה )לניהול גישה לקבצים‬
‫של משאבי מערכת(‪ ,‬וכן מערכות גילוי פריצות )המקבילה האלקטרונית של‬
‫אזעקה( דרושים למערך האבטחה הארגוני‪ .‬עדיין‪ ,‬חברות מוציאות יותר כסף על‬
‫קפה מאשר על פריסת אמצעי אבטחה כדי להגן על הארגון מפני התקפות של‬
‫האקרים‪.‬‬
‫בדיוק כמו שמוח של פושע לא יכול לעמוד בפני פיתויים‪ ,‬כך המוח של ההאקר‬
‫מחפש כל הזמן דרכים לעקוף את אמצעי האבטחה הטכנולוגיים‪ .‬ובמקרים רבים‪,‬‬
‫הם עושים זאת על ידי הכוונת האנשים להשתמש בטכנולוגיה‪.‬‬
‫שיטות עבודה מטעות‬
‫ישנו פתגם פופולרי שאומר שמחשב מאובטח רק כשהוא כבוי‪ .‬מתוחכם‪ ,‬אבל לא‬
‫נכון‪ :‬הנוכל ידבר עם מישהו שנכנס למשרד ותוך כדי הוא ידליק את המחשב‪ .‬יריב‬
‫שרוצה להשיג את המידע שלך יכול להשיג אותו‪ ,‬בדרך כלל בכמה דרכים שונות‪.‬‬
‫זה רק עניין של זמן‪ ,‬סבלנות‪ ,‬אישיות והתמדה‪ .‬זה המקום שבו אמנות ההונאה‬
‫נכנסת‪.‬‬
‫כדי להביס את אמצעי האבטחה‪ ,‬התוקף‪ ,‬הפורץ‪ ,‬או המהנדס החברתי חייבים‬
‫למצוא דרך לרמות את המשתמש בעל הגישה למידע המסווג ולגרום לו להעביר‬
‫את המידע לידיו‪ ,‬או למצוא סימן תמים שיעזור לספק לו גישה‪ .‬כאשר פורץ גורם‬
‫לעובדים נאמנים ע"י רמאות או מניפולציה לחשוף מידע רגיש‪ ,‬או לבצוע פעולות‬
‫שיצרו חור אבטחה שדרכו התוקף יוכל לפרוץ‪ ,‬אין טכנולוגיה בעולם שתוכל להגן‬
‫על החברה‪ .‬כמו שקריפטוגרפים מצליחים לפעמים לחשוף את הטקסט הנקי של‬
‫הודעה מוצפנת על ידי מציאת חולשה המאפשרת להם לעקוף את טכנולוגיית‬
‫הצפנה‪ ,‬כך המהנדסים החברתיים משתמשים בהונאה ובמניפולציות על העובדים‬
‫שלך כדי לעקוף את האבטחה הטכנולוגית‪.‬‬

‫ניצול לרעה של אמון‬

‫ברוב המקרים‪ ,‬למהנדסים החברתיים המצליחים יש כישורי אנוש מדהימים‪ .‬הם‬
‫מקסימים‪ ,‬מנומסים‪ ,‬וקל לחבב אותם ‪ -‬תכונות חברתיות שדרושות לביסוס מהיר‬
‫של יחסי קירבה ואמון‪ .‬מהנדס חברתי מנוסה יכול לקבל גישה לכל סוג מידע‬
‫באמצעות אסטרטגיות וטקטיקות שונות‪ .‬אנשי טכנולוגיה מנוסים פיתחו בעמל רב‬
 ‫פרק ‪ -1‬החוליה החלשה באבטחה‬ ‫‪17‬‬

‫פתרונ ות אבטחת מידע כדי למזער את הסיכונים הקשורים לשימוש במחשבים‪ ,‬אך‬
‫השאירו מבלי שנתנו מענה לבעיה‪ ,‬את הפגיעות המשמעותיות ביותר‪ ,‬הגורם‬
‫האנושי‪ .‬למרות האינטלקט שלנו‪ ,‬אנחנו בני האדם ‪ -‬אתה‪ ,‬אני‪ ,‬וכל אחד אחר ‪-‬‬
‫נשארנו האיום החמור ביותר על כל סוג של אבטחה‪.‬‬
‫האופי הלאומי שלנו‬
‫במיוחד בעולם המערבי אנחנו לא מודעים לאיום‪ .‬בפרט בארצות הברית‪ ,‬אנחנו‬
‫לא רגילים לחשוד אחד בשני‪ .‬אנו גדלים על "ואהבת לרעך כמוך"‪ .‬יש אמון‬
‫ואמונה זה בזה‪ .‬חישבו עד כמה קשה לגרום לאנשים לנעול את הבתים והמכוניות‬
‫שלהם‪ .‬זה מסוג הדברים שברור שיש להם פוטנציאל להיות הרסניים‪ ,‬ובכל זאת‬
‫נראה כי הרבה מתעלמים ומעדיפים לחיות בעולם הפנטזיה שלהם ‪ -‬עד שהם‬
‫יכוו‪.‬‬
‫אנו יודעים שלא כל בני האדם הם מהסוג ההגון‪ ,‬אבל לעיתים קרובות מדי אנחנו‬
‫מתנהגים כאילו כולם כאלה‪ .‬זו תמימות מקסימה במרקם חייהם של האמריקאים‬
‫וכואב לוותר עליה‪ .‬כאומה שדוגלת בחירות‪ ,‬ברור שהמקומות הטובים ביותר הם‬
‫אלה שבהם מנעולים ומפתחות לא משחקים תפקיד מרכזי‪.‬‬
‫רוב האנשים מניחים שהם לא יולכו שולל על ידי אחרים‪ ,‬בהתבסס על האמונה‬
‫שהסבירות שהם ירומו הוא נמוך מאוד‪ :‬התוקף‪ ,‬מכיר את האמונה הרווחת‪ ,‬מבקש‬
‫דברים סבירים והגיוניים‪ ,‬כך שהוא לא מעלה חשד‪ ,‬תוך ניצול האמון של הקורבן‪.‬‬

‫ארגוני התמימות‬
‫העובדה שהתמימות היא חלק מהאופי הלאומי שלנו בלטה מאוד כאשר‬
‫המחשבים הראשונים התחילו להתחבר מרחוק‪ .‬נזכיר כי רשת ה‪ARPANET-‬‬
‫קודמתה של האינטרנט‪ ,‬תוכננה כדי ליצור שיתוף מידע מחקרי בין הממשלה‪,‬‬
‫חוקרים‪ ,‬ומוסדות חינוך‪ .‬המטרה הייתה חופש המידע‪ ,‬כמו גם התקדמות‬
‫טכנולוגית‪.‬‬
‫מסיבה זאת מוסדות חינוך רבים הקימו את מערכות המחשבים המוקדמות עם‬
‫מעט אבטחה או בכלל בלי אבטחה‪ .‬אחד מסמלי התוכנות החופשיות‪ ,‬ריצ'ארד‬
‫סטולמן‪ ,‬אף סירב להגן על החשבון שלו באמצעות סיסמה‪.‬‬

‫אבל עם התרחבות האינטרנט למסחר אלקטרוני‪ ,‬הסכנות באבטחה חלשה בעולם‬

‫שבו כל המחשבים מחוברים אחד לשני‪ ,‬השתנו באופן דרמטי‪ .‬הטכנולוגיה לא‬
‫הולכת לפתור את בעיית הביטחון האנושי‪.‬‬
‫רק תסתכלו על שדות תעופה שלנו היום‪ .‬האבטחה הפכה לבעלת חשיבות עליונה‪,‬‬
‫אך אנו מודאגים מדיווחי התקשורת על נוסעים אשר הצליחו לעקוף את מנגון‬
‫שליטה בחוליה האנושית באבטחה‬

‫האבטחה ולשאת נשק פוטנציאלי מבלי שיתגלה במחסומים‪ .‬כיצד זה ייתכן‬

‫בתקופה שבה שדות תעופה שלנו הם על מוד של כוננות כזו גבוהה? האם גלאי‬
‫המתכות נכשלו? לא‪.‬‬

‫הבעיה היא לא המכונות‪ .‬הבעיה היא הגורם האנושי‪ :‬האנשים המאיישים את‬
‫המכונות‪ .‬שדות תעופה יכולים לגייס את המשמר הלאומי ולהתקין גלאי מתכות‬
‫ומערכות זיהוי פנים‪ ,‬אבל לחנך את אנשי הביטחון בחזית על איך לעבוד עם‬
‫הנוסעים כמו שצריך יועיל הרבה יותר‪.‬‬

‫אותה בעיה קיימת במוסדות ממשלתיים‪ ,‬עסקיים‪ ,‬וחינוכיים ברחבי העולם‪ .‬למרות‬
‫המאמצים של מומחי אבטחת מידע‪ ,‬המידע בכל מקום נותר פגיע וימשיך להוות‬
‫מטרה בשלה עבור אותם תוקפים עם כישורי הנדסה חברתית‪ ,‬וכל עוד החוליה הכי‬
‫חלשה בשרשרת האבטחה תהיה החולשה האנושית האיום ילך ויתחזק‪.‬‬

‫עכשיו יותר מתמיד‪ ,‬עלינו ללמוד להפסיק לחיות באשליות ולהיות מודעים יותר‬
‫לטכניקות המשמשות את מי שמנסה לתקוף ופגוע בשלמות בחיסיון ובזמינות של‬
‫מערכות המחשבים והרשתות שלנו‪.‬‬
‫כבר השלמנו עם הצורך ללמוד נהיגה הגנתית‪ ,‬זה הזמן לקבל וללמוד את‬
‫הפרקטיקה של מחשוב הגנתי‪.‬‬

‫האיום של פריצה שתפגע בפרטיות שלך‪ ,‬במחשבות שלך‪ ,‬או במערכות המידע של‬
‫החברה שלך אולי לא נראה אמיתי‪ .‬עד שזה קורה‪ .‬כדי להימנע מלימוד יקר על‬
‫בשרנו‪ ,‬כולנו צריכים להיות מודעים‪ ,‬משכילים‪ ,‬ולעמוד על המשמר באגרסיביות‬
‫כדי להגן על הנכסים הרוחניים שלנו‪ ,‬הפרטים האישיים שלנו‪ ,‬ועל תשתיות‬
‫חיוניות של האומה שלנו‪ .‬אנחנו צריכים ליישם את אמצעי הזהירות עוד היום‪.‬‬

‫מחבלים והונאה‬

‫כמובן‪ ,‬הונאה אינה הכלי הבלעדי של מהנדס חברתי‪ .‬הטרור בעולם האמיתי עושה‬
‫את הכותרות הגדולות ביותר בעיתונים‪ ,‬ואנחנו צריכים להגיע להכרה יותר מאי‬
‫פעם כי העולם הוא מקום מסוכן‪ .‬הציוויליזציה הינה‪ ,‬אחרי הכל‪ ,‬ציפוי עדין‪.‬‬

‫ההתקפות על ניו יורק וושינגטון‪ ,‬בספטמבר ‪ 2001‬החדירו עצב ופחד בלב כל אחד‬
‫מאיתנו ‪ -‬לא רק האמריקאים‪ ,‬אלא בכל העמים‪ .‬אנחנו עכשיו מתריעים על‬
‫העובדה שישנם טרוריסטים שממוקמים ברחבי העולם‪ ,‬גם כאלו מאומנים‬
‫שמחכים להוציא לפועל התקפות נוספות נגדנו‪.‬‬
‫המאמץ החריף לאחרונה כאשר הממשלה הגבירה את רמת האבטחה‪ .‬אנחנו‬
‫צריכים להישאר ערניים‪ ,‬ולעמוד על המשמר נגד כל גילויי הטרור‪ .‬עלינו להבין‬
 ‫פרק ‪ -1‬החוליה החלשה באבטחה‬ ‫‪19‬‬

‫כיצד טרוריסטים בוגדניים יוצרים זהויות בדויות‪ ,‬ומעמידים פנים שהם מתפקדים‬
‫כמו סטודנטים ושכנים‪ ,‬ובכך נטמעים בתוך הקהל‪.‬‬
‫הם מסתירים את האמונות האמיתית שלהם בזמן שהם פועלים נגדנו ‪ -‬על תרגילי‬
‫הונאה אמיתיים שדומים לאלו של הטרוריסטים תקרא בעמודים הבאים‪.‬‬

‫אמנם‪ ,‬למיטב ידיעתי‪ ,‬הטרוריסטים לא השתמשו עדיין בתחבולות הנדסה חברתית‬

‫כדי לחדור לתאגידים‪ ,‬למפעלים להתפלת מים‪ ,‬ולמתקני ייצור חשמל‪ ,‬או מרכיבים‬
‫חיוניים אחרים של התשתית הלאומית שלנו‪ ,‬הפוטנציאל קיים‪ .‬זה פשוט קל מדי‪.‬‬
‫מודעות הביטחון ומדיניות האבטחה שאני מקווה להכניס צריכה להיאכף על ידי‬
‫ההנהלה הבכירה של החברה‪ ,‬כי ספר זה אף פעם לא יבוא מוקדם מדי‪.‬‬
‫אודות הספר‬
‫אבטחת מידע בחברה היא שאלה של איזון‪ .‬מעט מדי אבטחה תשאיר את החברה‬
‫שלך פגיעה‪ ,‬אבל אבטחה מוגזמת תביא לעיכוב הצמיחה של החברה ולהאטה‬
‫בשגשוגה‪.‬‬
‫האתגר הוא להשיג איזון בין אבטחה לבין התפוקה‪.‬‬
‫ספרים אחרים על אבטחת מידע מתמקדים בפגיעות החומרה והתוכנה‪ ,‬הם אינם‬
‫מכסים בצורה רצינית את האיום הרציני ביותר‪ :‬הונאה‪ .‬מטרתו של הספר הזה‪,‬‬
‫לעומת זאת‪ ,‬היא לעזור לך להבין כיצד אתה‪ ,‬עמיתים לעבודה ואחרים בחברה‬
‫שלך עלולים להיות מותקפים ע"י מניפולציה‪ ,‬ואת המחסומים שאתה יכול להקים‬
‫כדי להפסיק להיות קורבן‪ .‬הספר הזה מתמקד בעיקר בשיטות לא טכניות‬
‫שמשמשות פולשים עוינים לגנוב מידע‪ ,‬לסכן את שלמות המידע ולגרום לך‬
‫לחשוב שמידע שלך בטוח בשעה שהוא רחוק מכך‪ .‬או להרוס עבודה שהושקעה‬
‫במוצר החברה‪.‬‬
‫המשימה שלי נעשית קשה יותר בגלל אמת אחת פשוטה‪ :‬כל הקוראים היו קורבן‬
‫למניפולציות על ידי המומחים הגדולים בכל הזמנים בהנדסת אנוש ‪ -‬ההורים‬
‫שלהם‪.‬‬
‫הם מצאו דרכים להגיע אליך ‪" -‬לטובתך" ‪ -‬לעשות את מה שהם חשבו שהוא‬
‫הטוב ביותר‪ .‬להיות הורים זה להיות מספרי סיפורים גדולים בדיוק באותה צורה‬
‫שהמהנדסים החברתיים מפתחים מיומנות לסיפור סיפורים ולהמציא סיבות‬
‫והצדקות להשגת מטרותיהם‪ .‬כן‪ ,‬אנחנו מעוצבים על ידי ההורים שלנו‪:‬‬
‫המהנדסים החברתיים הנדיבים )ולפעמים לא כל כך נדיבים( ‪.‬‬
‫אנחנו יצורים מותני הרגל‪ ,‬והורגלנו להיות פגיעים למניפולציות‪ .‬החיים שלנו יהיו‬
‫חיים קשים אם נצטרך לעמוד כל הזמן על המשמר‪ ,‬לחשוד במניעים של אחרים‬
‫שליטה בחוליה האנושית באבטחה‬

‫ולדאוג מכך שיכול להיות שמנסים לרמות ולהונות אותנו‪ .‬בעולם מושלם היינו‬
‫צריכים להאמין לזולת‪ ,‬ולסמוך שאנחנו פוגשים באנשים כנים ואמינים‪ .‬אבל‬
‫אנחנו לא חיים בעולם מושלם ולכן אנחנו צריכים להפעיל רמת ערנות סבירה כדי‬
‫לא ליפול בפח מאמצי ההטעיה של אויבנו‪.‬‬
‫החלקים העיקריים של הספר‪ ,‬חלקים ‪ 2‬ו ‪ ,3-‬מורכבים מסיפורים שיראו לך את‬
‫המהנדסים החברתיים בפעולה‪ .‬בקטעים אלה תוכל לקרוא על‪:‬‬

‫מה גילו פריקים של טלפון לפני שנים‪ :‬שיטה חלקלקה להשיג מחברות‬ ‫‪‬‬
‫הטלפון מספר טלפון חסוי‪.‬‬
‫שיטות שונות שתוקפים משתמשים בהן כדי לשכנע עובדים לחשוף את‬ ‫‪‬‬
‫השם משתמש והסיסמא שלהם‪.‬‬
‫כיצד מנהל מרכז תפעול שיתף פעולה עם הפורץ כך שהוא הצליח‬ ‫‪‬‬
‫להוציא ממנו את הסוד השמור ביותר של המוצר שהחברה שלו מפתחת‪.‬‬
‫שיטות של פורצים שגרמו לגברת אחת להוריד תוכנה ששומרת את כל‬ ‫‪‬‬
‫ההקלדות במחשב ואת פרטי ההתחברות לאימייל שלה‪.‬‬
‫כיצד חוקרים פרטיים משיגים מידע על החברה שלך‪ ,‬ועליך באופן‬ ‫‪‬‬
‫אישי‪ .‬אני כמעט יכול להבטיח לך שזה יגרום לך לצמרמורת במעלה‬
‫גבך‪.‬‬
‫אתה עלול לחשוב כאשר אתה קורא חלק מהסיפורים שבחלקים ‪ 2‬ו ‪ 3-‬שהם לא‬
‫הגיוניים במציאות‪ ,‬כי אף אחד לא יכול באמת להצליח להתחמק עם השקרים‬
‫והטריקים המלוכלכים שמתוארים שם‪ .‬המציאות היא שהסיפורים האלו מתארים‬
‫אירועים שיכולים לקרות וקרו בפועל; רבים מהם מתרחשים מדי יום אי שם על‬
‫פני כדור הארץ‪ ,‬אולי אפילו לעסק שלך בזמן שאתה קורא את הספר הזה‪.‬‬
‫החומר בספר הזה יהיה מאיר עיניים בכל הנוגע להגנה על העסק שלך‪ .‬גם באופן‬
‫אישי הוא יעזור לך לזהות מהנדס חברתי כדי שתוכל להגן על המידע האישי שלך‪.‬‬
‫בחלק הרביעי של הספר אני משנה כיוון‪ .‬המטרה שלי כאן היא לעזור לך לעצב‬
‫את המדיניות העסקית הדרושה כדי למזער את הסיכוי של העובדים שלך להיות‬
‫מרומים אי פעם על ידי מהנדס חברתי‪ .‬הבנת האסטרטגיות‪ ,‬השיטות והטקטיקות‬
‫של מהנדס חברתי תעזור לך להכין את פריסת בקרי האבטחה כדי להגן על נכסי‬
‫העסק שלך‪ ,‬מבלי לפגוע בפריון של החברה שלך‪.‬‬
‫בקיצור‪ ,‬כתבתי את הספר במטרה להעלות את המודעות שלך לאיום החמור‬
‫הנשקף מהנדסה חברתית‪ ,‬כדי לסייע לך לצמצם את הסיכוי שעובדי החברה שלך‬
‫ינוצלו בדרך זו‪.‬‬
 ‫פרק ‪ -1‬החוליה החלשה באבטחה‬ ‫‪21‬‬

‫ואולי אני צריך לומר‪ ,‬לצמצם את הסיכוי לאפס כדי שלא ינוצלו עוד פעם בצורה‬
‫כזו‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫חלק שני‬
‫האומנות של התוקף‬
 ‫פרק ‪ - 2‬מידע לא מזיק‬ ‫‪23‬‬

‫פרק ‪ - 2‬מידע לא מזיק‬

‫מאיזה איום של המהנדסים החברתיים רוב האנשים חוששים? מה עליך‬

‫לעשות כדי לעמוד על המשמר?‬
‫אם המטרה היא לתפוס משהו בעל ערך רב ‪ -‬למשל‪ ,‬מרכיב חיוני בקניין הרוחני‬
‫של החברה ‪ -‬אז אולי מה שצריך‪ ,‬בהשאלה‪ ,‬זה כספת יותר חזקה ושמירה יותר‬
‫מסיבית‪ ,‬נכון?‬
‫אבל במציאות החדירה תחת מעטה האבטחה של החברה מתחילה בדרך כלל‬
‫כשאדם בעל כוונות זדון שם את ידו על פיסת מידע או מסמך שנראים כל כך‬
‫תמימים‪ ,‬כל כך שגרתיים ולא חשובים‪ ,‬עד שרוב האנשים בארגון לא ייראו שום‬
‫סיבה מדוע הפריט הזה צריך להיות מוגן ומוגבל‪.‬‬

‫הערך הנסתר שבמידע‬

‫חלק גדול מהמידע הלכאורה תמים שברשות החברה יכול להוות אוצר בעל ערך‬
‫רב עבור תוקף משום שהוא יכול לשחק תפקיד חשוב במאמציו לעטות על עצמו‬
‫גלימה שתגרום לך להאמין לו‪.‬‬
‫במהלך הספר‪ ,‬אני הולך להראות לך איך המהנדסים החברתיים עושים מה שהם‬
‫עושים ולאפשר לך להתבונן מהצד על ההתקפות ‪ -‬לפעמים אני יציג את הפעולה‬
‫מנקודת המבט של הקורבן‪ ,‬זה יאפשר לך לשים את עצמך בנעליו ולהעריך איך‬
‫אתה עצמך )או אולי אחד העובדים שלך או עמית לעבודה( היית מגיב ובהרבה‬
‫מהסיפורים תוכל גם לחוות את אותם אירועים מנקודת המבט של המהנדס‬
‫החברתי‪.‬‬
‫הסיפור הראשון מדגים את הפגיעות בתעשיית הפיננסים‪.‬‬

‫קרדיט צ'קס‬
‫במשך זמן רב‪ ,‬הבריטים סבלו ממערכת בנקאית מחניקה מאוד‪ .‬בתור אזרח‬
‫מהשורה‪ ,‬לא היית יכול להיכנס סתם כך מהרחוב ולפתוח חשבון בנק‪ .‬לא‪ ,‬הבנק‬
‫לא יעלה על דעתו לקבל אותך כלקוח אלא אם כן אדם מבוסס ומוכר שהוא גם‬
‫לקוח שלהם סיפק לך מכתב המלצה‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫במערכת הבנקאות המודרנית של היום המצב שונה מעט‪ ,‬כמובן‪ .‬באמריקה‬

‫הדמוקרטית‪ ,‬קל לעשות עסקים ולא צריך המלצה מחבר כדי לפתוח חשבון‪.‬‬
‫כמעט כל אחד יכול להיכנס לבנק ולפתוח חשבון עובר ושב בקלות‪ ,‬נכון ? ובכן‪,‬‬
‫לא בדיוק‪ .‬האמת היא שלבנקים יש רתיעה טבעית מובנת מפתיחת חשבון‪ .‬לפתוח‬
‫חשבון למישהו שיש לו היסטוריה של צ'קים מזויפים ‪ -‬יהיה בערך כמו לקבל‬
‫בברכת שלום אדם שמורשע בשוד בנקים או מואשם במעילה‪ .‬לכן מקובל בבנקים‬
‫רבים לקבל חוות דעת אם משתלם לקבל את הלקוח הפוטנציאלי החדש‪.‬‬
‫אחת החברות הגדולות שלבנקים יש איתם הסכם לקבלת מידע על לקוחות חדשים‬
‫נקראת ‪ .CreditChex‬הם מספקים ללקוחות שלהם שירות רב ערך‪ ,‬אבל כמו‬
‫חברות רבות הם עלולים לסייע שלא ביודעין למהנדס החברתי‪.‬‬

‫השיחה הראשונה‪ :‬קים אנדרוס‬

‫"הבנק הלאומי שלום מדברת קים‪ .‬האם תרצה לפתוח חשבון?"‬
‫"היי‪ ,‬קים‪ .‬יש לי שאלה בשבילך‪ .‬האם אתם עובדים עם ‪"?CreditChex‬‬
‫"כן‪".‬‬
‫"כשאת מתקשרת אל ‪ CreditChex‬כדי לקבל מידע על לקוח את צריכה‬
‫להזדהות ע"י מספר‪ ,‬איך נקרא המספר שאת נותנת להם ‪ -‬קוראים לו "מזהה‬
‫סוחר"?"‬
‫שתיקה‪ .‬היא שוקלת את השאלה‪ ,‬ותוהה מה זה אמור להביע והאם היא צריכה‬
‫לענות‪.‬‬
‫המטלפן ממשיך במהירות מבלי להחסיר פעימה‪:‬‬
‫"פשוט‪ ,‬קים‪ ,‬אני עובד על ספר שעוסק בחקירות פרטיות‪".‬‬
‫"כן‪ ",‬היא אמרה‪ ,‬עונה על השאלה בביטחון מחודש‪ ,‬שמחה לעזור לסופר‪.‬‬
‫"אז זה נקרא "מזהה סוחר"‪ ,‬נכון?"‬
‫"אהה"‪.‬‬
‫"בסדר‪ ,‬נהדר‪ .‬רק רציתי להיות בטוח שזה המונח המדויק בשביל הספר‪ .‬תודה על‬
‫עזרתך‪ .‬שלום‪ ,‬קים‪" .‬‬

‫השיחה השנייה‪ :‬כריס טאלברט‬

‫"הבנק הלאומי‪ ,‬מחלקת חשבונות חדשים‪ ,‬מדברת כריס‪".‬‬

‫"היי‪ ,‬כריס‪ .‬זה אלכס‪ ",‬אומר המטלפן‪" .‬אני נציג שירות לקוחות מטעם‬
‫‪ .CreditChex‬אנחנו עושים סקר על מנת לשפר את השירותים שלנו‪ .‬תוכלי‬
‫להקדיש לי כמה דקות?"‬

‫היא שמחה לעזור והמטלפן ממשיך‪:‬‬

 ‫פרק ‪ - 2‬מידע לא מזיק‬ ‫‪25‬‬

‫"אוקיי – באיזה שעות הסניף שלך פתוח לעסקים?" היא עונה לו‪ ,‬וממשיכה לענות‬
‫על רצף השאלות שלו‪.‬‬
‫"כמה עובדים בסניף שלך משתמשים בשירות שלנו?"‬
‫"באיזו תדירות אתם מתקשרים אלינו עם בדיקה?"‬
‫"האם הנציגים שלנו תמיד היו אדיבים?"‬
‫"מהו זמן התגובה שלנו?"‬
‫"כמה זמן את עובדת עם הבנק?"‬
‫"מהו מזהה הסוחר שבו את משתמש כעת?"‬
‫"האם אי פעם מצאת אי דיוקים במידע שסיפקנו לך?"‬
‫"אם היה לך הצעות לשיפור השירות שלנו‪ ,‬מה הם היו?"‬

‫וגם‪:‬‬

‫"האם תהיי מוכנה למלא שאלונים תקופתיים במידה ואנו נשלח לך אותם לסניף?"‬
‫היא הסכימה‪ ,‬הם פטפטו קצת‪ ,‬המתקשר ניתק את השיחה‪ ,‬וכריס חזרה לעבוד‪.‬‬

‫שיחה שלישית‪ :‬הנרי מקינזי‬

‫"‪ ,CreditChex‬מדבר הנרי מקינזי‪ ,‬איך אני יכול לעזור לך?"‬

‫המתקשר אומר שהוא מהבנק הלאומי‪ .‬הוא מוסר מספר "מזהה סוחר" תקין‪,‬‬
‫ולאחר מכן הוא מציין את השם ואת מספר הזהות של האדם שהוא חיפש עליו‬
‫מידע‪ .‬הנרי ביקש תאריך לידה‪ ,‬והמתקשר נתן לו גם את זה‪.‬‬

‫כעבור רגעים אחדים‪ ,‬הנרי קרא את הרישום ממסך המחשב שלו‪.‬‬

‫"וולס פארגו דיווחו על ‪ NSF‬חד פעמי בשנת ‪ ,1998‬על סכום של ‪".$2066‬‬

‫‪ – NSF‬אין מספיק כסף – זהו מונח מוכר בעגה הבנקאית שמתאר צ'קים שנכתבו‬
‫כאשר לא היה מספיק כסף בחשבון כדי לכסות אותם‪.‬‬
‫"ואין עוד חריגות מאז?"‬
‫"אין עוד חריגות"‪.‬‬
‫" היו עוד בדיקות שלכם על הלקוח בזמן האחרון?"‬
‫"בוא נראה‪ .‬אוקיי‪ ,‬עשו אצלנו שתי בדיקות בחודש שעבר‪ .‬הראשון שבדק היה‬
‫אווניון בנק של שיקגו‪ ".‬והשני שבדק‪ ...‬היה "שנקטאדי נאמנות להשקעות"‪ .‬הוא‬
‫הסתבך עם השם‪ ,‬והיה צריך לאיית אותו‪" .‬זה במדינת ניו יורק"‪ ,‬הוא הוסיף‪.‬‬
‫חוקר פרטי בעבודה‬
‫שליטה בחוליה האנושית באבטחה‬

‫כל שלושת השיחות האלה בוצעו על ידי אותו אדם‪ :‬חוקר פרטי שאנחנו נקרא לו‬
‫אוסקר גרייס‪ .‬לגרייס היה לקוח חדש‪ ,‬אחד הראשונים שלו‪ .‬גרייס היה שוטר עד‬
‫לפני כמה חודשים‪ ,‬הוא גילה שחלק מהעבודה החדשה הזו באה באופן טבעי‪,‬‬
‫אבל חלק מהעבודה אתגרה את כושר ההמצאה שלו ודרשה ממנו משאבים רבים‪.‬‬
‫השיחות האחרונות נכנסות היטב תחת הקטגוריה "עבודה מאתגרת"‪.‬‬

‫בסיפורי הבלשים‪ -‬אנשים כמו סם ספייד ופיליפ מארלו )בלשים מפורסמים(‪-‬‬

‫מבלים לילות ארוכים כשהם ישובים במכוניות שלהם ועוקבים אחרי בני זוג‬
‫בוגדים‪ .‬גם בלשים פרטיים בעולם האמיתי עושים דברים כאלו‪ .‬אבל הם גם עושים‬
‫דברים שפחות נכתב עליהם בספרים אך הם חשובים לא פחות‪ -‬הם מרחרחים‬
‫סביב בני הזוג היריבים‪ .‬שיטה זו מתבססת רבות על הנדסה חברתית ולא על‬
‫מעקבים משעממים בשעת לילה‪.‬‬

‫הלקוחה החדשה של גרייס היתה גברת שנראתה כאילו יש לה תקציב מכובד מאוד‬
‫לתכשיטים ובגדים‪ .‬היא נכנסה למשרד יום אחד‪ ,‬והתיישבה בכורסת העור שהייתה‬
‫המקום היחיד בחדר שלא היה מכוסה בערימת ניירות‪ .‬היא הניחה את תיק היד‬
‫שלה מתוצרת גוצ'י על השולחן כשהלוגו מופנה כלפיו והכריזה שהיא מתכננת‬
‫לספר לבעלה שהיא רוצה להתגרש‪ ,‬אך הודתה בפניו שיש "איזו שהיא בעיה‬
‫קטנה‪".‬‬

‫נראה היה שבעלה הקדים אותה במה צעדים‪ .‬הוא כבר משך כסף מחשבון החיסכון‬
‫שלהם וסכום גדול עוד יותר מחשבון הברוקראז' שלהם‪ .‬היא רצתה לדעת היכן‬
‫רכושם מסתתר‪ ,‬ועורך הדין שטיפל בתיק הגירושין לא עזר לה בכלל‪ .‬גרייס שיער‬
‫שעורך הדין היה אחד מאלה שיושבים בצפון העיר בגורדי שחקים‪ ,‬ולא ילכלכו‬
‫את הידיים שלהם כדי לברר לאן הכסף נעלם‪.‬‬

‫האם גרייס יוכל לעזור?‬

‫הוא הבטיח לה שזה יהיה ממש קל‪ ,‬פירט לה את המחיר שהיא תצטרך לשלם עבור‬
‫ההוצאות והשירות‪ ,‬ולקח ממנה צ'ק על התשלום הראשון‪.‬‬

‫ואז הוא היה צריך להתמודד עם הבעיה שניצבה בפניו‪ .‬מה אתה עושה אם אף פעם‬
‫לא התעסקת בחיים בסוג כזה של משימה ואתה לא ממש יודע איך עוקבים אחרי‬
‫השובל שהכסף מותיר? בואו נתקדם בצעדי תינוק‪ ,‬נכנס לראשו של גרייס ונראה‬
‫מה אפשר לעשות‪.‬‬

‫ידעתי על ‪ CreditChex‬ואת זה שהבנקים בודקים דרכם את העבר של הלקוחות‬

‫‪ -‬אשתי לשעבר עבדה פעם בבנק‪ .‬אבל לא ידעתי את הז'רגון המקובל ולא הכרתי‬
‫את הנהלים‪ ,‬ולנסות לשאול את האקסית שלי זה יהיה בזבוז זמן‪.‬‬
 ‫פרק ‪ - 2‬מידע לא מזיק‬ ‫‪27‬‬

‫שלב ראשון‪ :‬צריך לברר את הטרמינולוגיה המדויקת ולמצוא דרך להציג את‬
‫הבקשה כך שהיא תישמע כאילו אני יודע על מה אני מדבר‪ .‬התקשרתי לבנק‪,‬‬
‫הבחורה הראשונה שענתה לי‪ ,‬קים‪ ,‬חשדה קצת כששאלתי על איך הם מזהים את‬
‫עצמם כשהם מתקשרים ל ‪ .CreditChex‬היא היססה‪ ,‬ולא ידעה אם לספר לי‪.‬‬
‫האם אני חיכיתי שתחליט? אפילו לא שנייה‪ .‬למעשה‪ ,‬ההיסוס שלה נתן לי מפתח‬
‫חשוב לפתרון‪ ,‬הבנתי שאני צריך לספק לה סיבה אמינה והיא תשתכנע‪ .‬כששיקרתי‬
‫לה שאני עורך מחקר לשם כתיבת ספר‪ ,‬חשדותיה הוקלו‪ .‬כשאתה אומר שאתה‬
‫סופר או כותב תסריט‪ ,‬כולם מאמינים ומספקים לך את המידע שביקשת‪.‬‬

‫הייתה לה עוד הרבה אינפורמציה שיכלה לעזור לי‪ -‬דברים כמו איזה פרטי זיהוי‬
‫של האדם ‪ CreditChex‬דורשים כדי לקבל עליו מידע‪ ,‬איזה מידע אפשר לבקש‬
‫מהם‪ ,‬ועוד דבר מאוד חשוב‪ -‬מה מזהה הסוחר האישי שלה‪ .‬רציתי לשאול אותה‬
‫את השאלות האלו‪ ,‬אבל ההיסוס שלה הניף מול עיני דגל אדום שסימן לי לחדול‪.‬‬
‫היא אמנם קנתה את הסיפור על מחקר לספר‪ ,‬אבל נראה שחשד קל החל לנקר‬
‫במוחה‪ .‬אם היא הייתה מראה שהיא בכיוון הנכון הייתי מבקש ממנה לספק לי‬
‫פרטים נוספים על הנהלים שלהם‪.‬‬

‫ז'רגון‬

‫היעד‪ :‬הקורבן של ההונאה‪.‬‬

‫לשרוף את המקור‪ :‬אומרים על תוקף שהוא שרף את המקור כאשר הוא מאפשר‬
‫לקורבן להבין שהתרחשה התקפה‪ .‬אחרי שהקורבן יודע על ההתקפה הוא יודיע‬
‫לעובדים האחרים ולהנהלה על ניסיון התקיפה ומעכשיו יהיה קשה מאוד לנצל את‬
‫אותו מקור בהתקפות עתידיות‪.‬‬

‫אתה צריך לפעול ע"פ תחושות בטן‪ ,‬להקשיב היטב ולבחון מה הקול של הקורבן‬
‫משדר‪ .‬הבחורה הזאת נשמעה מספיק חכמה כך שאם הייתי שואל עוד הרבה‬
‫שאלות יוצאות דופן‪ ,‬פעמוני האזהרה במוחה היו מתחילים לצלצל‪ .‬ואפילו שהיא‬
‫לא יודעת מי אני או מאיזה מספר אני מתקשר‪ ,‬עדיין‪ ,‬בעסק הזה אתה אף פעם לא‬
‫רוצה שמישהו יזרוק מילה לחבר'ה שלו שצריך להיזהר כי איזה אחד מחפש מידע‬
‫על החברה‪ .‬הסיבה לכך היא שאתה לא רוצה לשרוף את המקור ‪ -‬ייתכן שתרצה‬
‫להתקשר לאותו משרד בפעם אחרת‪.‬‬

‫תמיד אני מחפש סימנים קטנים שיעזרו לי להבין עד כמה האדם שמולי מאמין לי‬
‫ויסכים לשתף פעולה‪ .‬זה נע בין "אתה נשמע כמו אדם נחמד ואני מאמין לכל מה‬
‫שאתה אומר" לבין "תזעיקו את השוטרים‪ ,‬ותשלחו התראה למשמר הלאומי‪,‬‬
‫הבחור הזה זומם משהו"‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫שמתי לב שקים היא מקרה קצת גבולי‪ ,‬אז פשוט התקשרתי למישהו בסניף אחר‪.‬‬
‫בשיחה השנייה שלי עם כריס‪ ,‬הטריק של הסקר פעל כמו קסם‪ .‬הטקטיקה כאן היא‬
‫להשחיל את השאלות החשובות בין השאלות חסרי החשיבות כדי ליצור תחושה‬
‫של אמינות‪ .‬לפני שזרקתי את השאלה החשובה על מספר זיהוי הסוחר שלה עם‬
‫‪ ,CreditChex‬הרצתי מבחן קטן של הרגע האחרון ושאלתי אותה שאלה בעלת‬
‫גוון אישי ‪ -‬כמה זמן היא עובדת בבנק‪.‬‬

‫שאלה אישית היא כמו מוקש ‪ -‬חלק מהאנשים ידרכו ישר על המוקש ולא יבחינו‬
‫בכך ולאנשים אחרים תדלק נורה אדומה והם יתחילו לחשוד ולהיזהר‪ .‬לכן אני‬
‫שואל שאלה בעלת גוון אישי ואם היא עונה על השאלה ונימת קולה לא השתנתה‪,‬‬
‫זה אומר שהיא כנראה לא חושדת שמאחורי הבקשה עומדת כוונה לא תמימה‪ .‬ואז‬
‫אני יכול לשאול את השאלה המבוקשת בבטחה מבלי לעורר את חשדה‪ ,‬וככל‬
‫הנראה היא תיתן לי את התשובה שאני מחפש‪.‬‬

‫אחד הדברים היותר חשובים שחוקר פרטי יודע‪ :‬לעולם לא לסיים את השיחה ישר‬
‫אחרי שהוא קיבל את המידע הרצוי‪ .‬צריך לשאול עוד שתיים או שלוש שאלות‪,‬‬
‫לפטפט קצת‪ ,‬ואז זה בסדר להגיד שלום‪ .‬מאוחר יותר‪ ,‬אם הקורבן ייזכר במשהו‬
‫לגבי מה ששאלת‪ ,‬זה יהיה כנראה השאלות האחרונות‪ .‬את השאר הוא בדרך כלל‬
‫ישכח‪.‬‬

‫אז כריס נתנה לי את מספר זיהוי הסוחר שרציתי‪ ,‬ואת מספר הטלפון שאליו הם‬
‫מתקשרים כדי לבקש לבדוק על לקוח‪ .‬הייתי שמח אם הייתי שואל אותה עוד כמה‬
‫שאלות על איזה מידע אפשר לקבל מ‪ .CreditChex-‬אבל העדפתי שלא להגזים‪.‬‬

‫זה היה כמו צ'ק פתוח על ‪ .CreditChex‬עכשיו אני יכול להתקשר ולקבל מידע‬
‫בכל פעם שארצה בכך‪ .‬אפילו אני לא צריך לשלם עבור השירות‪ .‬כפי שהתברר‪,‬‬
‫הנציג של ‪ CreditChex‬שמח לחלוק איתי את המידע שבדיוק רציתי‪ :‬בעלה של‬
‫הלקוחה שלי פתח חשבונות בשתי מקומות לאחרונה‪.‬‬
‫אז איפה היו הנכסים שחיפשה הגברת שעוד מעט הופכת להיות גרושה? איפה אם‬
‫לא במוסדות הפיננסיים שביררו עליו בדיוק עכשיו ב‪?CreditChex‬‬

‫ניתוח ההונאה‬
‫כל התחבולה הזאת הייתה מבוססת על אחד הטקטיקות הבסיסיות בהנדסה‬
‫חברתית‪ :‬קבלת גישה למידע שעובד החברה מתייחס אליו כלא מזיק‪ ,‬כאשר הוא‬
‫כן מזיק‪.‬‬

‫פקידת הבנק הראשונה אישרה שהמונח המקובל שבאמצעותו מתארים את המספר‬

‫המזהה שאותו מוסרים ל‪ CreditChex‬כדי לקבל מידע נקרא‪ :‬מזהה סוחר‪.‬‬
 ‫פרק ‪ - 2‬מידע לא מזיק‬ ‫‪29‬‬

‫השנייה סיפקה את מספר הטלפון של ‪ ,CreditChex‬ואת פיסת המידע החשובה‬

‫ביותר‪ ,‬את מזהה הסוחר של הבנק‪ .‬כל המידע הזה נראה לפקיד לא מזיק‪ .‬אחרי‬
‫הכל‪ ,‬הפקידה בבנק חשבה שהיא מדברת עם מישהו מטעם ‪ ,CreditChex‬אז‬
‫איזו בעיה יכולה להיות אם היא תגיד את המספר?‬

‫כל זה הכשיר את הקרקע לשיחה השלישית‪ .‬כל מה שגרייס היה צריך לעשות זה‬
‫להתקשר ל ‪ ,CreditChex‬להתחזות לנציג של אחד הבנקים שהוא לקוח שלהם‪,‬‬
‫הבנק הלאומי‪ ,‬ופשוט לבקש את המידע וזהו‪ .‬הוא אחרי כל הסיפור‪.‬‬
‫כמו נוכל מתוחכם שגונב את הכסף שלך‪ ,‬לגרייס היה כישרון מפותח לקריאת‬
‫אנשים‪ .‬הוא הכיר את הטקטיקה הנפוצה של הטמעת שאלות המפתח בין השאלות‬
‫התמימות‪ .‬הוא ידע ששאלה אישית תהיה מבחן טוב לבדיקת הנכונות של הפקידה‬
‫לשתף פעולה‪ ,‬לפני שהוא מבקש בתמימות את מספר מזהה הסוחר‪.‬‬

‫כמעט אי אפשר להתגונן מפני השגיאה של הפקידה הראשונה שאישרה את‬

‫המינוח של מספר מזהה בשביל ‪ CreditChex‬משום שהמידע הזה כל כך ידוע‬
‫בתעשיית הבנקאות כך שזה נראה חסר כל ערך לפקידה‪.‬‬
‫אבל הפקידה השנייה‪ ,‬כריס‪ ,‬לא הייתה צריכה להיות מוכנה לענות על שאלות בלי‬
‫שתוודא קודם אם המתקשר הוא באמת מי שהוא מתיימר להיות‪ .‬היא הייתה‬
‫צריכה‪ ,‬לכל הפחות‪ ,‬לקחת את שמו ואת מספר הטלפון שלו ולהתקשר אליו חזרה‬
‫בעצמה‪ :‬כך‪ ,‬במקרה שיתעוררו שאלות מאוחר יותר‪ ,‬מספר הטלפון של התוקף‬
‫יהיה מתועד אצלם‪ .‬במקרה כזה‪ ,‬ביצוע שיחה כזאת חזרה‪ ,‬היה מקשה מאוד על‬
‫התוקף להתחזות כנציג של ‪.CreditChex‬‬

‫המסר של מיטניק‬
‫מזהה הסוחר במצב כזה הוא המקבילה של סיסמה‪ .‬אם אנשי הבנק היו מתייחסים‬
‫אליו כאל קוד אישי בכספומט‪ ,‬הם היו יכולים להבין את האופי הרגיש של המידע‪.‬‬
‫האם יש מספר שמשמש כקוד אישי בארגון שלך שאנשים לא מתייחסים אליו‬
‫בתשומת הלב הראויה?‬

‫עדיין עדיף היה שהתקשורת של ‪ CreditChex‬מול הבנק תעבור רק דרך מספר‬

‫מוכר לבנק ‪ -‬ולא דרך מספר שהמתקשר סיפק‪ -‬זאת על מנת לוודא שהמתקשר‬
‫באמת עובד שם‪ ,‬ושהחברה באמת עורכת סקר לקוחות‪ .‬אך בהתחשב במציאות‬
‫בשטח ובעובדה שרוב האנשים עובדים תחת לחץ זמן‪ ,‬יהיה מוגזם לצפות שכל‬
‫פעם תתבצע שיחת אימות ומספיק שהנוהל יהיה שמבצעים שיחת אימות כאשר‬
‫עובד חושד שהתקפה כלשהיא מתבצעת‪.‬‬
‫מלכודת המהנדס‬
‫כולם יודעים שציידי‪-‬ראשים של חברות נוהגים להשתמש בהנדסה חברתית כדי‬
‫לגייס כישרונות לארגונים שאיתם הם עובדים‪ .‬בדוגמא הבאה נראה איך זה יכול‬
‫שליטה בחוליה האנושית באבטחה‬

‫לקרות‪ .‬בשלהי ‪ ,1990‬סוכנות תעסוקה לא אתית במיוחד חתמו חוזה עם לקוח‬

‫חדש‪ ,‬חברה שחיפשה מהנדסי חשמל עם ניסיון ספציפי בתעשיית הטלפון‪ .‬על‬
‫הפרוייקט הופקדה בחורה שניחנה בקול סקסי‪ ,‬קול שהיא ידעה להשתמש בו כדי‬
‫ליצור אמון וקירבה בשיחת טלפון‪.‬‬

‫הבחורה החליטה לפשוט על ספק סלולרי כדי לראות אם היא יכולה לאתר שם‬
‫כמה מהנדסים שיתפתו ויסכימו לעבור לחברה המתחרה‪ .‬ברור שהיא לא יכלה‬
‫להתקשר סתם ככה למרכזייה ולבקש‪" ,‬תנו לי לדבר עם כל המהנדסים בעלי ניסיון‬
‫של חמש שנים לפחות‪ ".‬במקום זאת‪ ,‬מסיבות שיתבררו בעוד מספר רגעים‪ ,‬היא‬
‫התחילה את מסע הציד של הכישרונות בבקשת מידע שעל פניו אינו רגיש כלל‪,‬‬
‫מידע שאנשי החברה ימסקו כמעט לכל מי שיבקש‪.‬‬

‫שיחה ראשונה‪ :‬פקידת הקבלה‬

‫התוקפת השתמשה בשם דידי סאנדס והתקשרה למשרדי חברת הסלולר‪ .‬השיחה‬
‫הלכה בערך ככה‪:‬‬
‫פקידת הקבלה‪ :‬צהריים טובים‪ .‬זו מארי‪ ,‬במה אני אוכל לעזור לך?‬
‫דידי‪ :‬האם אתה יכול להעביר אותי למחלקת התחבורה?‬
‫פקידת הקבלה‪ :‬אני לא בטוח שקיימת אצלנו מחלקת תחבורה‪ ,‬אני אחפש במדריך‬
‫שלי‪ .‬מי מדברת?‬
‫דידי‪ :‬זאת דידי‪.‬‬
‫פקידת הקבלה‪ :‬האם את בבניין‪ ,‬או ‪? ...‬‬
‫דידי‪ :‬לא‪ ,‬אני מחוץ לבניין‪.‬‬
‫פקידת הקבלה‪ :‬דידי מה?‬
‫דידי‪ :‬דידי סאנדס‪ .‬היה לי את מספר הטלפון של התחבורה‪ ,‬אבל שכחתי אותו‪.‬‬
‫פקידת הקבלה‪ :‬רגע אחד‪.‬‬

‫כדי להפיג את החשדות דידי שאלה באגביות שאלה שנועדה להבהיר לפקידה‬
‫שהיא מהחברה והיא מכירה את מבנה הבניין‪.‬‬

‫דידי‪ :‬את נמצאת בבנין המרכזי או בחלק שפונה לאגם?‬

‫פקידת הקבלה‪ :‬בבנין המרכזי‪) .‬הפסקה( המספר שלהם הוא ‪.6469 555 805‬‬

‫כדי שתהיה לה תוכנית גיבוי במקרה שהטלפון למחלקת התחבורה לא יצליח‬

‫להשיג את מה שהיא מחפשת‪ ,‬דדי אמרה שהיא רוצה לדבר גם אם מחלקת נדל"ן‪.‬‬
‫פקידת הקבלה הביאה לה גם את המספר הזה‪ .‬כאשר דידי ביקשה מהפקידה לחבר‬
‫אותה למחלקת תחבורה‪ ,‬הפקידה ניסתה‪ ,‬אבל הקו היה תפוס‪.‬‬
 ‫פרק ‪ - 2‬מידע לא מזיק‬ ‫‪31‬‬

‫בשלב זה דידי ביקשה את מספר הטלפון השלישי‪ ,‬של מחלקת 'חשבונות‬

‫חייבים'‪ ,1‬שממוקמת במתקן החברה באוסטין‪ ,‬טקסס‪ .‬הפקידה ביקשה ממנה‬
‫לחכות רגע‪ ,‬והלכה לבדוק‪ .‬אולי היא הלכה לדווח לאבטחה שיש לה שיחת טלפון‬
‫חשודה והיא חושבת שמתרחש משהו מסריח? ממש לא‪ ,‬וגם לדידי לא היה שמץ‬
‫דאגה‪ .‬אמנם היא קצת הטריחה את הפקידה‪ ,‬אבל לפקידות הקבלה אירוע כזה הוא‬
‫דבר שבשגרה‪ .‬אחרי דקה בערך‪ ,‬פקידת הקבלה חזרה אל הקו‪ ,‬חייגה למחלקת‬
‫חשבונות חייבים‪ ,‬והעבירה את השיחה לדידי‪.‬‬

‫השיחה השנייה‪ :‬פגי‬

‫השיחה הבאה הלכה בערך ככה‪:‬‬
‫פגי‪ :‬חשבונות חייבים‪ ,‬פגי‪.‬‬
‫דידי‪ :‬היי‪ ,‬פגי‪ .‬מדברת דידי‪ ,‬מ‪) . Thousand Oaks‬עיירה בקליפורניה(‬
‫פגי‪ :‬היי‪ ,‬דידי‪.‬‬
‫דידי‪ :‬מה שלומך?‬
‫פגי‪ :‬בסדר‪.‬‬

‫ואז דידי השתמשה במונח מוכר בעולם העסקים שמתאר קוד שניתן לכל מחלקה‬
‫או קבוצת עבודה ואיתו משלמים על שירותים שונים שהקבוצה צורכת‪:‬‬

‫דידי‪ :‬מצוין‪ .‬יש לי שאלה בשבילך‪ .‬איך אני מוצאת את "מרכז העלות" של מחלקה‬
‫מסוימת?‬
‫פגי‪ :‬את צריכה להשיג את האנליסט שאחראי על התקציב במחלקה‪.‬‬
‫דידי‪ :‬אתה יודעת מי האנליסט של התקציב במטה ב ‪ ?Thousand Oaks‬אני‬
‫מנסה למלא פה איזה טופס ואני לא יודעת את מרכז העלות הנכון‪.‬‬
‫פגי‪ :‬לא‪ ..‬אני רק יודעת שאת המספר מרכז עלות אפשר לברר אצל האנליסט‬
‫במחלקה שלך‪.‬‬
‫דידי‪ :‬יש לך את ה"מרכז עלות" של המחלקה שלך?‬
‫פגי‪ :‬יש לנו את "מרכז העלות" שלנו אבל אין לנו רשימה של הקוד של מחלקות‬
‫אחרות‪.‬‬
‫דידי‪ :‬כמה ספרות יש למרכז העלות? מה מרכז העלות שלך לדוגמה?‬
‫‪1‬‬
‫בהנהלת חשבונות‪ ,‬חשבונות המיצגים סכומים שאותם חייבים לקוחות מסחריים של עסק‬
‫ושצריכים להיפרע בתוך תקופה של שנה או פחות‪ .‬כלומר‪ ,‬סכומים המגיעים לעסק מפעילות יום‬
‫יומית בעד סחורות או שירותים שסופקו ללקוחות על ידי הזכאי‪ ,‬והם מופיעים בפנקסי הזכאי בדרך‬
‫כלל כחובות פתוחים‪ .‬כאשר העסק רושם מכירה‪ ,‬נוצר באופן סימולטני תשלום במזומן‪ ,‬או שטר‬
‫לקבל או חשבון חייבים‪ .‬במקרה שהתשלום הוא לא במזומן‪ ,‬הרי כאשר התשלום מתקבל לבסוף‪,‬‬
‫חשבון החייבים נסגר‪ .‬חשבונות חייבים ניתן לשעבד כבטחון כנגד הלוואה מבנק‪ ,‬ובמקרה כזה יש‬
‫צורך למסור לבנק העתקי חשבונות ורשות לעיין בפנקסי הלווה ולעמוד בדרישות אחרות של‬
‫המלווה‪ .‬לצורך המאזן‪ .,‬חשבונות חייבים מוערכים על פי סך הכל שלהם בניכוי הפרשה לחובות‬
‫מסופקים‪ .‬חשבונות חייבים הם גורם מפתח בניתוח נזילות פירמה ‪ -‬יכולתה לעמוד בהתחייבויות‬
‫שוטפות ללא הכנסות נוספות‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫פגי‪ :‬טוב את עובדת עם ‪ 9WC‬או עם ‪?SAT‬‬

‫לדידי לא היה מושג מה הן המחלקות או הקבוצות שהיא דיברה עליהם‪ ,‬אך זה לא‬
‫עניין אותה‪ .‬היא ענתה‪:‬‬
‫דידי‪. 9WC :‬‬
‫פגי‪ :‬אז זה בדרך כלל ארבע ספרות‪ .‬מי אמרת שאת?‬
‫דידי‪ :‬מהמטה ב‪.Thousand Oaks‬‬
‫פגי‪ :‬ובכן‪ ,‬הנה הקוד של ‪ .Thousand Oaks‬זה ‪ ,A5N1‬זה ‪ N‬כמו ננסי‪.‬‬

‫וכך דידי השיגה את המספר של מרכז העלות שהיא צריכה רק בגלל שהיא שוחחה‬
‫מספיק זמן עם מישהו בעל נכונות לעזור ‪ -‬אחת מאותן פיסות מידע שאף אחד לא‬
‫חושב להסתיר כי זה נראה כמו פרט שלא יכול להיות בעל ערך כלשהו למישהו‬
‫מבחוץ ‪.‬‬

‫שיחה שלישית‪ :‬טעות יעילה במספר‬

‫הצעד הבא של דידי יהיה למצוא דרך להשתמש במספר מרכז העלות למשהו בעל‬
‫ערך אמיתי ע"י שימוש בו כקלף פוקר‪.‬‬
‫היא התחילה בשיחה למחלקת נדל"ן‪ ,‬והעמידה פנים שהיא הגיעה לשם בגלל‬
‫טעות במספר‪ .‬היא פתחה במילים "סליחה שאני מפריע לך‪ ,‬אבל ‪ "....‬היא טענה‬
‫שהיא עובדת שאיבדה את מדריך החברה שלה‪ ,‬ושאלה למי היא אמורה להתקשר‬
‫כדי לקבל עותק חדש‪ .‬האיש מעבר לקו אמר לה שהעותק המודפס אינו מעודכן‬
‫מכיוון שהעותק המעודכן זמין באתר החברה באינטרנט‪.‬‬
‫דידי אמרה שהיא מעדיפה לעבוד עם עותק מודפס‪ ,‬והאיש אמר לה להתקשר‬
‫למחלקת פרסומים‪ ,‬ולאחר מכן‪ ,‬מבלי שהתבקש ‪ -‬אולי כדי לשמוע את הקול‬
‫הסקסי של הבחורה עוד קצת – הוא חיפש את מספר ונתן לה אותו‪.‬‬

‫שיחה רביעית‪ :‬בארט מהפרסומים‬

‫במחלקת פרסומים‪ ,‬היא דיברה עם אדם בשם בארט‪ .‬דידי אמרה שהיא מ‬
‫‪ ,Thousand Oaks‬ויש להם יועץ חדש שזקוק לעותק של מדריך החברה‪ .‬היא‬
‫אמרה לו שהיועץ מעדיף עותק מודפס‪ ,‬גם אם זה קצת מיושן‪ .‬בארט אמר לה‬
‫שהיא צריכה למלא טופס הזמנה ולשלוח את הטופס אליו‪ .‬דידי אמרה לו שהיא‬
‫לא ליד הטפסים והיא נמצאת בלחץ בעבודה ואז היא שאלה אם הוא יכול להיות‬
‫נחמד ולמלא את הטופס בשבילה? הוא הסכים בקצת יותר מדי התלהבות ‪ ,‬דידי‬
‫נתנה לו את הפרטים‪ .‬בכתובת של המבקש הדמיוני היא אמרה לו כתובת‬
‫שמהנדסים חברתיים קוראים לה כתובת למכתבים ‪ ,‬במקרה הזה מדובר בתיבות‬
‫דואר‪ ,‬זהו סוג של שירות עסקי שהחברה שלה השתמשה בו למצבים בדיוק כאלו‪.‬‬
 ‫פרק ‪ - 2‬מידע לא מזיק‬ ‫‪33‬‬

‫עבודת ההכנה המוקדמת עזרה לה עכשיו‪ :‬היא אפילו לא תצטרך לשלם על העלות‬
‫והמשלוח של המדריך‪ .‬כמובן שדידי נתנה את מרכז העלות של ‪Thousand‬‬
‫‪:Oaks‬‬

‫‪ N ,IA5N"-‬זה כמו ננסי‪".‬‬

‫כעבור כמה ימים‪ ,‬כאשר מדריך החברה הגיע‪ ,‬דידי ראתה שזה אפילו יותר טוב‬
‫ממה שהיא חשבה‪ :‬לא רק השמות ומספרי הטלפון הופיעו‪ ,‬אלא גם מי עובד תחת‬
‫מי – ממש כל המבנה התאגידי של הארגון‪.‬‬
‫הגברת עם הקול הסקסי הייתה מוכנה להתחיל במסע הצייד שלה‪ ,‬עכשיו היא‬
‫יכלה להתחיל בשיחות הטלפון למהנדסים שהיא חיפשה לצוד‪ ...‬העבודה הקשה‬
‫השתלמה לה‪ .‬עכשיו כל המידע שהיא חיפשה מונח לפניה שחור על גבי לבן‪.‬‬

‫ז'רגון‬

‫כתובת למכתבים‪ :‬מונח בהנדסה חברתית שמתאר תיבת דואר מושכרת‪ ,‬שבדרך‬
‫כלל מושכרת תחת שם בדוי‪ ,‬ומטרתה לקבל מכתבים או חבילות מהקורבן‪.‬‬

‫המסר של מיטניק‬
‫בדיוק כמו חלקים של פאזל‪ ,‬כל פיסת מידע עשויה להיות לא רלוונטית בפני‬
‫עצמה‪ .‬עם זאת‪ ,‬כאשר מחברים את כל החלקים יחד‪ ,‬עולה תמונה ברורה‪ .‬במקרה‬
‫הזה התמונה שהמהנדס החברתי קיבל היה המבנה הפנימי של החברה‪.‬‬

‫ניתוח ההונאה‬
‫דידי התחילה את ההתקפה שלה בהשגת שלושה מספרי הטלפון של מחלקות‬
‫בחברה שהיא בחרה למטרה‪ .‬זה היה קל‪ ,‬משום שהמספרים שהיא ביקשה לא היו‬
‫סודיים‪ ,‬במיוחד לא לעובדים‪ .‬מהנדס חברתי לומד להישמע כמו אחד מבפנים‪,‬‬
‫ודידי הייתה מיומנת במשחק הזה‪ .‬אחד ממספרי הטלפון הוביל אותה למספר‬
‫מרכז העלות‪ ,‬ולאחר מכן היא השתמשה בו על מנת להשיג עותק של מדריך‬
‫העובדים של החברה‪.‬‬
‫הכלים העיקריים שהיא נזקקה להם‪ :‬צליל ידידותי‪ ,‬תוך שימוש בז'רגון המקובל‬
‫בחברה כזאת‪ ,‬לקורבן האחרון‪ ,‬היא 'עשתה עיניים' בקולה המאנפף‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫עוד קצת על מידע "חסר ערך"‬

‫חוץ מהמספר של מרכז העלות ומספרי הטלפון הפנימיים בחברה שלך‪ ,‬איזה עוד‬
‫מידע חסר תועלת לכאורה יכול להיות אוצר יקר לאויב שלך?‪.‬‬

‫שיחת הטלפון לפיטר הבל‬

‫"היי‪ ",‬אמר הקול בקצה השני של הקו‪" .‬זה טום מסוכנות הנסיעות הרסט פארק‪.‬‬
‫מוכנים‪ .‬האם אתה רוצה שנשלח לך אותם‪ ,‬או‬ ‫הכרטיסים שלך לסן פרנסיסקו‬
‫שתגיע לאסוף אותם בעצמך?"‬
‫"סן פרנסיסקו?" שואל פיטר‪" .‬אני לא נוסע לסן פרנסיסקו"‪.‬‬
‫"האם זה פיטר הבל?"‬
‫"כן‪ ,‬אבל לא מתוכננת לי אף נסיעה בקרוב"‪.‬‬
‫"טוב‪ ",‬אומר המתקשר בקול מתבדח‪" ,‬אתה בטוח שאתה לא רוצה לנסוע לסן‬
‫פרנסיסקו?"‬
‫"אם אתה חושב שאתה יכול לדבר עם הבוס שלי שיסדר לי משהו‪ "...‬עונה פיטר‬
‫בחיוך‪.‬‬
‫"נראה לי שיש פה איזה בלבול" אומר המתקשר‪" .‬במערכת שלנו‪ ,‬יומן הנסיעות‬
‫מסודר לפי המספר הסידורי של העובד‪ .‬אולי מישהו השתמש במספר הלא נכון‪.‬‬
‫מה מספר העובד שלך?"‬
‫פיטר מדקלם באדיבות את המספר שלו‪ .‬ולמה לא? הוא רגיל לכתוב אותו כמעט‬
‫בכל טופס אישי שהוא ממלא‪ ,‬ולהרבה אנשים בחברה יש גישה אליו ‪ -‬משאבי‬
‫אנוש‪ ,‬משכורות‪ ,‬וכמובן‪ ,‬סוכנות הנסיעות החיצונית‪ .‬אף אחד לא מתייחס למספר‬
‫העובד כמו איזשהו סוד‪ .‬מה כבר אפשר לעשות איתו?‬
‫לא קשה להבין את התשובה‪ .‬שתיים או שלוש פיסות מידע יכולות להיות כל מה‬
‫שנדרש למהנדס החברתי להתחזות ביעילות ולסגל לעצמו זהות של מישהו אחר‪.‬‬
‫השגת שם העובד‪ ,‬מספר הטלפון שלו‪ ,‬ומספר העובד שלו ‪ -‬ואולי‪ ,‬ליתר ביטחון‪,‬‬
‫שם המנהל ומספר הטלפון שלו זה כנראה כל מה שתוקף צריך כדי להישמע‬
‫אותנטי ליעד הבא שהוא מתקשר אליו‪.‬‬
‫אם מישהו שאמר לך שהוא ממחלקה אחרת בחברה שלך התקשר אליך אתמול‪,‬‬
‫סיפק לך סיבה מתקבלת על הדעת‪ ,‬וביקש את מספרי הטלפון של העובדים שלך‪,‬‬
‫האם הייתה לך רתיעה כלשהיא מלתת לו אותם?‬
‫ודרך אגב‪ ,‬מה מספר תעודת הזהות שלך?‬
 ‫פרק ‪ - 2‬מידע לא מזיק‬ ‫‪35‬‬

‫המסר של מיטניק‬
‫מוסר ההשכל של הסיפור הוא‪ ,‬לא לתת שום מידע אישי או פנים חברתי או פרטי‬
‫זיהוי לאף אחד‪ ,‬אלא אם כן הקול שלו או שלה מוכרת לך ויש הגיון בבקשה‪.‬‬

‫מניעת ההונאה‬
‫על החברה שלך מוטלת האחריות לגרום לעובדים להיות מודעים לאופן שבה‬
‫טעות חמורה יכולה להתרחש בשל טיפול רשלני במידע שאינו ציבורי‪ .‬מדיניות‬
‫אבטחת מידע מחושבת‪ ,‬בשילוב עם חינוך והכשרה מתאימים‪ ,‬יגדילו באופן‬
‫משמעותי את המודעות של העובד לטיפול נאות במידע העסקי של החברה‪.‬‬
‫מדיניות סיווג נתונים תעזור לך לשלוט היטב בחשיפת מידע‪ .‬בלי מדיניות סיווג‬
‫נתונים‪ ,‬יצטרעו להתייחס לכל מידע פנימי כאל חסוי‪ ,‬אלא אם כן צוין אחרת‪.‬‬

‫תפעל לפי השלבים הבאים כדי להגן על החברה שלך מפני שחרור של מידע בלתי‬
‫מזיק לכאורה‪:‬‬

‫מחלקת אבטחת מידע צריכה לפרט לעובדי החברה את השיטות שמהנדסים‬

‫חברתיים משתמשים בהן‪ .‬אחת השיטות‪ ,‬כמו שתואר לעיל‪ ,‬היא השגת מידע‬
‫שנראה כלא רגיש ושימוש בו כקלף פוקר כדי לרכוש אמון במהירות‪ .‬על כל עובד‬
‫ועובד להיות מודע לכך שכאשר מישהו מתקשר ושואל על ההליכים בחברה על‬
‫הסלנג או על אמצעי זיהוי פנימיים במידה והוא לא אימת את זהותו בוודאות אין‬
‫לענות לו בשום פנים ואופן‪ .‬המתקשר יכול להיות עובד קבלן לשעבר או עם‬
‫המידע הפנימי הנדרש‪ .‬לפיכך‪ ,‬על כל תאגיד מוטלת האחריות לבחור לעצמו‬
‫שיטת אימות מתאימה שכאשר העובדים מנהלים אינטראקציה עם אנשים שהם לא‬
‫מכירים באופן אישי או עם אנשים בטלפון הם יפעלו לפיה‪.‬‬

‫על האדם או הצוות שתפקידם ואחריותם לנסח את מדיניות סיווג הנתונים לבחון‬
‫את סוג הפרטים שנראים בלתי מזיקים שיכולים לשמש תוקפים ביצירת אמון עם‬
‫עובדי החברה ‪ ,‬ועלולים להוביל לחשיפת מידע רגיש‪ .‬למרות שאתה אף פעם לא‬
‫תספק למישהו את הקוד הסודי של כרטיס האשראי שלך‪ ,‬מדוע תהיה מוכן לספר‬
‫למישהו באיזה שרת אתה משתמש כדי לפתח את מוצרי התוכנה של החברה?‬
‫האם המידע הזה לא יעזור לאדם שמעמיד פנים שהוא מישהו שיש לו גישה‬
‫מורשת לרשת של החברה?‬

‫לפעמים רק עצם ההתמצאות בטרמינולוגיה הפנימית יכולים לגרום לאנשים‬

‫לחשוב שהמהנדס החברתי הוא סמכות בעלת ידע‪ .‬התוקף לרוב מסתמך על‬
‫הטעות הנפוצה הזאת כדי להוליך שולל את הקורבנות שלו‪ .‬לדוגמה‪ ,‬מזהה הסוחר‬
‫הוא מזהה שהעובדים במחלקת החשבונות החדשים של בנק רגיל משתמשים בו‬
‫ביום יום‪ .‬אבל כזה מזהה הוא בדיוק כמו סיסמה‪ .‬אם כל עובד יפנים את‬
‫המשמעות של המזהה הזה – שבאמצעותו מאמתים את זהות המבקש – כנראה‬
‫שהוא יתייחס אליו בכבוד רב יותר‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫המסר של מיטניק‬
‫כמו שאומר הפתגם העתיק ‪ -‬גם לפרנואידים כנראה שיש אויבים אמיתיים‪ .‬אנו‬
‫חייבים לצאת מנקודת הנחה שלכל עסק יש את האויבים שלו‪ ,‬תוקפים שמתמקדים‬
‫בתשתית הרשת של החברה ומסכנים את הסודות העסקיים שלה‪ .‬בסופו של דבר‬
‫חבל להיות חלק מהסטטיסטיקה העגומה של פשעי מחשב ‪ -‬זה הזמן לחזק את‬
‫ההגנה ההכרחית על ידי יישום של מדיניות אבטחה טובה‪.‬‬

‫כמעט אין חברה שתיתן את הטלפון הישיר של המנכ"ל או יו"ר מועצת המנהלים‪.‬‬
‫רוב החברות‪ ,‬לעומת זאת‪ ,‬לא חוששות לתת את מספרי הטלפון של רוב המחלקות‬
‫והחטיבות בארגון‪ ,‬במיוחד למי שנראה כמו עובד בחברה‪.‬‬
‫אפשרי לנקוט בצעדי נגד‪ :‬יישום מדיניות שאוסרת לתת לאנשים מבחוץ את מספרי‬
‫הטלפון הפנימיים של עובדים‪ ,‬קבלנים‪ ,‬יועצים ועובדים זמניים‪ .‬עוד יותר חשוב‬
‫לפתח הליך מסודר שיובהר לכולם שלב אחר שלב על מנת לזהות אם המתקשר‬
‫שמבקש מספרי טלפון הוא באמת עובד החברה‪.‬‬
‫קודי החשבונאות של קבוצות עבודה ומחלקות‪ ,‬כמו גם עותקים של מדריך‬
‫הטלפונים של החברה )בין אם מדובר בעותק קשיח‪ ,‬קובץ נתונים או ספר טלפונים‬
‫אלקטרוני שנמצא באינטרנט( הם מטרות מבוקשות למהנדס חברתי‪ .‬על כל חברה‬
‫לפרסם לכולם מדיניות כתובה על גילוי מידע כזה‪ .‬אמצעי האבטחה צריכים לכלול‬
‫אבטחת יומן הביקורת שבו נרשמים מקרים שבהם מידע רגיש נחשף לאנשים‬
‫מחוץ לחברה‪.‬‬
‫מידע כגון מספר העובדים‪ ,‬בפני עצמו‪ ,‬לא אמור לשמש כסוג של אימות‪ .‬כל עובד‬
‫חייב לדעת לא רק איך לאמת את זהותו של המבקש‪ ,‬אלא גם לבחון אם הסיבה‬
‫שהמבקש נתן נראית הגיונית‪.‬‬
‫באימוני האבטחה‪ ,‬תשקול ללמד את עובדים שלך את הגישה הבאה‪ :‬בכל פעם‬
‫שאדם זר ישאל אותם שאלה או יבקש מהם לעשות עבורו איזו טובה הם יסרבו‬
‫באדיבות לענות לו עד שיהיה אפשר לאמת את זהותו‪ .‬ואז – לפני שרצון הטבעי‬
‫להיות אנשים נחמדים ולעזור יגרום להם ליפול במלכודת ‪-‬הם יפעלו לפי מדיניות‬
‫אבטחת המידע בחברה בנוגע לאימות זהות וגילוי של מידע שאינו ציבורי‪ .‬שיטה‬
‫זו יכולה להתנגד מעט לנטייה הטבעית שלנו לעזור לאחרים‪ ,‬אבל מעט פרנויה‬
‫בריאה תועיל למניעת ההונאה הבאה מצד מהנדס חברתי‪.‬‬
‫כמו שהסיפורים בפרק הזה הראו‪ ,‬מידע לא מזיק לכאורה יכול להיות המפתח‬
‫לסודות היקרים ביותר של החברה שלך‪.‬‬
‫פרק ‪ - 2‬מידע לא מזיק‬ ‫‪37‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫פרק ‪ - 3‬התקפה ישירה‪ :‬פשוט לבקש‬

‫הרבה מהתקפות ההנדסה החברתית מורכבות וכוללות מספר שלבים ותכנון‬
‫מפורט‪ ,‬שמשלב תערובת של מניפולציה וידע טכנולוגי‪.‬‬
‫אבל בכל פעם מחדש אני נפעם מהעובדה שמהנדס חברתי מיומן יכול להשיג את‬
‫מטרתו הרבה פעמים באמצעות התקפה פשוטה וקלה‪ ,‬התקפה ישירה‪ .‬אתה רק‬
‫צריך לבקש בתקיפות את המידע וזה יכול להיות כל מה שתצטרך ‪ -‬כפי שנראה‬
‫מיד‪.‬‬
‫טלפון מהיר‬
‫רוצה לדעת מספר טלפון חסוי של מישהו? מהנדס חברתי יכול להגיד לך המון‬
‫דרכים לעשות זאת )אתה תמצא כמה מהן מתוארות בסיפורים שבין דפי הספר(‪,‬‬
‫אבל כנראה התרחיש הפשוט ביותר הוא לבצע שיחת טלפון אחת כמו זו‪.‬‬

‫מספר‪ ,‬בבקשה‬
‫התוקף מחייג את מספר הטלפון הפנימי של מחלקת ‪ ,MLAC‬מרכז הקצאות‬
‫הקווים‪ .‬לאישה שעונה הוא אומר‪" :‬היי‪ ,‬זה פאול אנתוני ואני טכנאי כבלים‪.‬‬
‫תקשיבי‪ ,‬התיבה של הטלפון כאן נשרפה‪ .‬השוטרים חושבים שאיזה טיפוס מגעיל‬
‫ניסה לשרוף את הבית שלו בשביל הביטוח‪ .‬הם השאירו אותי כאן לבד ועכשיו אני‬
‫צריך לנסות לחבר ‪ 200‬חוטים למקום‪ .‬אני ממש צריך קצת עזרה עכשיו‪ .‬את יכולה‬
‫לעזור לי להתאים את הכבלים לכתובות בבניין ‪ 8‬ברחוב צי'קן?"‬

‫אדם שיתקשר למחלקות אחרות בחברת הטלפון ויבקש מידע על מספר חסוי‪,‬‬
‫יקבל אותו רק אם המתקשר מדבר מטלפון פנימי בחברה אבל המספר של מחלקת‬
‫‪ MLAC‬אמור להיות ידוע רק לעובדי החברה‪ .‬ובעוד היא מעולם לא תמסור‬
‫מידע לזרים‪ ,‬מי יסרב לעזור קצת לטכנאי של החברה להתמודד עם משימה כה‬
‫קשה?‪ .‬היא מרחמת עליו‪ ,‬גם לה היו לה ימים רעים בעבודה‪ ,‬והיא מוכנה לכופף‬
‫קצת את החוקים כדי לעזור לבחור עם הבעיה‪ .‬ואז היא אומרת לו בפירוט איזה‬
‫מספר שייך לכל לכתובות‪.‬‬

‫המסר של מיטניק‬
‫האדם מאמין לזולת מטבעו‪ ,‬במיוחד כשבקשה עוברת את מבחן הסבירות‪.‬‬
‫מהנדסים משתמשים בידע הזה כדי לנצל את הקורבנות שלהם ולהשיג את‬
‫מטרותיהם‪.‬‬
‫ניתוח ההונאה‬
 ‫פרק ‪ - 3‬התקפה ישירה‪ :‬פשוט לבקש‬ ‫‪39‬‬

‫כפי שתוכל לשים לב שוב ושוב בסיפורים האלה‪ ,‬שידע של הסלנג המקובל‬
‫בחברה והכרת המבנה הארגוני של החברה – איזה מחלקות ומשרדים קיימים ומה‬
‫כל אחד עושה ‪ -‬הם חלק משמעותי בארסנל הכלים של מהנדס חברתי מוצלח‪.‬‬

‫בחור צעיר במנוסה‬

‫פרנק פרסונס היה מבוקש במשך שנים‪ ,‬והוא עדיין מבוקש על ידי הממשל הפדרלי‬
‫על היותו חלק מקבוצת המחתרת שהתנגדה למלחמה ב ‪ .1960-‬במסעדות הוא‬
‫ישב כשפניו אל הדלת והוא נאלץ להציץ מעבר לכתפו בכל פעם שהוא ראה‬
‫אנשים שטרדו את מנוחתו‪ .‬הוא עבר ממקום למקום כל כמה שנים‪.‬‬

‫בשלב מסוים פרנק הגיע לעיר שבה לא הכירו אותו‪ ,‬והוא החליט לחפש עבודה‪.‬‬
‫למישהו כמו פרנק‪ ,‬עם כישורי תכנות מפותחים )וגם כישורי הנדסה חברתית‬
‫למרות שהוא מעולם לא ציין זאת בקורות חיים(‪ ,‬מציאת עבודה טובה לא היוותה‬
‫בעיה בדרך כלל‪ .‬למעט מקרים שהשוק מאוד רווי‪ ,‬לאנשים עם ידע טכני טוב‬
‫במחשבים בדרך כלל יש ביקוש גבוה וכמעט אין להם בעיה לעמוד על הרגליים‪.‬‬
‫פרנק מצא לאחר זמן קצר ‪ -‬הזדמנות משתלמת לעבודה בחברה גדולה ויוקרתית‬
‫עם חוזה ארוך טווח‪ ,‬שהייתה ממוקמת בסמוך למקום מגוריו‪.‬‬

‫הוא חשב שהוא רק יזדקק למלאת כרטיס עובד‪ .‬אבל כאשר הוא התחיל את מילוי‬
‫הטפסים המייגע הוא נתקל בבעיה‪ :‬המעסיק דרש שיספק לו עותק שמעיד על‬
‫העבר הפלילי שלו‪ ,‬הוא היה צריך להוציא את המסמך הזה מהמשטרה במדינה‪.‬‬
‫ערימת הניירות שעליו למלא כללה טופס בקשה של מסמך זה‪ ,‬שחלק ממנו היה‬
‫תיבה קטנה למתן טביעת אצבע‪ .‬למרות שהם מבקשים טביעת אצבעות רק כדי‬
‫לבדוק שאינם נמצאות במאגר המקומי של המדינה‪ ,‬אם יש סינכרון בין המאגרים‬
‫שלהם לשל ה‪ ,FBI-‬הוא כנראה יעבוד בקרוב כמלצר באתר נופש במימון פדרלי‪.‬‬

‫מצד שני עלה בדעתו של פרנק שאולי‪ ,‬רק אולי‪ ,‬הוא יוכל להסתדר עם זה‪ .‬אולי‬
‫בכלל המדינה לא שולחת את דגימות טביעת האצבע ל‪ .FBI-‬איך הוא יכול לברר‬
‫זאת?‬

‫איך? הוא היה מהנדס חברתי ‪ -‬ואיך אתה חושב שהוא גילה את זה? הוא ביצע‬
‫שיחת טלפון למשטרה המקומית‪" :‬היי אנחנו עורכים מחקר עבור מחלקת המדינה‬
‫במשרד המשפטים‪ .‬אנחנו חוקרים את הדרישות לפיתוח מערכת חדשה לזיהוי‬
‫טביעות אצבע‪ .‬אני יכול לדבר עם מישהו שמכיר ממש טוב את מה שאתם עושים‬
‫שיכול אולי לעזור לנו? "‬
‫כשהמומחה המקומי הגיע לטלפון‪ ,‬שאל אותו פרנק סדרה של שאלות לגבי‬
‫המערכות שבהם הם משתמשים‪ ,‬ולגבי היכולות לחפש נתוני טביעת אצבע‪ .‬האם‬
‫שליטה בחוליה האנושית באבטחה‬

‫היו בעיות כלשהן בציוד? כאשר מחפשים נתונים על טביעות אצבע החיפוש‬
‫מתבצע גם במסדי הנתונים של מרכז המידע הלאומי לפשיעה )‪ (NCIC‬או רק‬
‫בתוך המדינה? האם הציוד ידידותי למשתמש?‬

‫הוא הצליח להשחיל את שאלת המפתח בין שאר השאלות‪.‬‬

‫התשובה נדמתה לו כמנגינה ערבה לאוזן‪ :‬לא‪ ,‬הם לא היו מחוברים אל ‪,NCIC‬‬
‫הם השוו רק מול אינדקס המידע הפלילי של המדינה )‪.(CII‬‬

‫המסר של מיטניק‬
‫לנוכלים מנוסים אין נקיפות מצפון לצלצל לשלטונות הפדרליים‪ ,‬או לפקידי ממשל‬
‫מקומיים כדי ללמוד על הליכי אכיפת החוק‪ .‬עם מידע כזה ביד‪ ,‬מהנדס חברתי‬
‫יוכל לעקוף את בדיקות האבטחה של החברה שלך‪.‬‬
‫זה כל מה שפרנק היה צריך לדעת‪ .‬לא היה לו אף רישום פלילי באותה מדינה‪ ,‬ולכן‬
‫הוא הגיש את בקשתו‪ ,‬התקבל לעבודה‪ ,‬ואף אחד לא הופיע שולחנו באחד הימים‬
‫ואמר‪" :‬הג'נטלמנים האלה‪ ,‬הם מ ה‪ FBI-‬והם רוצים לדבר איתך קצת‪" .‬‬

‫על מפתן הדלת‬

‫למרות המיתוס על משרד ללא ניירת‪ ,‬חברות ממשיכות להדפיס ערימות של דפים‬
‫מידי יום‪ .‬מידע שמודפס בחברה שלך יכול להגיע לידיים הלא נכונות‪ ,‬גם אם אתה‬
‫משתמש באמצעי אבטחה ומציין על כל מסמך את רמת האבטחה שלו‪.‬‬

‫הנה סיפור שיציג לך כיצד מהנדסים חברתיים יכולים להשיג את המסמכים‬

‫הסודיים ביותר שלך‪.‬‬

‫הונאה בלופ‬
‫מדי שנה מפרסמות חברות הטלפון ספר שנקרא המדריך לבדיקת מספר )ככה‬
‫לפחות נהגו בזמנו‪ ,‬ובגלל שאני עדיין תחת פיקוח‪ ,‬אני לא מתכוון לשאול אותם‬
‫אם עדין זה נקרא כך(‪ .‬המסמך הזה היה משאת נפשם של פריקרים מפני שהוא‬
‫כלל את הרשימה של כל מספרי הטלפון השמורים היטב שהטכנאים בחברה‬
‫השתמשו בו לכל מיני בדיקות מעניינות‪ ,‬כמו בדיקה של קווים שכל הזמן תפוסים‪.‬‬
‫אחד ממספרי הבדיקה האלו‪ ,‬שהיה מוכר בשם לופ‪ ,‬היה שימושי במיוחד‪.‬‬
‫פריקרים השתמשו בו כדי למצוא פריקרים נוספים ולשוחח איתם בחינם‪ .‬פריקרים‬
 ‫פרק ‪ - 3‬התקפה ישירה‪ :‬פשוט לבקש‬ ‫‪41‬‬

‫השתמשו בו גם כדי להשאיר מספר שאפשר לחזור אליו‪ ,‬למשל‪ ,‬לבנק‪ .‬כשמהנדס‬
‫חברתי התקשר למישהו בבנק שביקש ממנו להשאיר לו מספר טלפון שהוא יוכל‬
‫לחזור אליו הוא היה נותן לו את מספר הלופ הנ"ל‪ .‬כאשר הבנק התקשר שוב‬
‫למספר הבדיקה )לופ( הפריקר היה מקבל את השיחה‪ ,‬אבל לא היה אפשר לעקוב‬
‫אחריה ולגלות אותו‪.‬‬
‫המדריך לבדיקת מספרים סיפק הרבה מידע מסודר שיכול לעזור לכל פריקר שצמא‬
‫לאינפורמציה על מערכות טלפוניה‪ .‬לכן‪ ,‬כאשר מדריכים חדשים פורסמו מדי‬
‫שנה‪ ,‬הרבה צעירים שהתחביב שלהם היה לחקור את רשת הטלפון‪ ,‬חשקו בו‪.‬‬
‫המסר של מיטניק‬
‫על תדריכי האבטחה של מדיניות החברה שנועדו להגן על הנכסים הרוחניים של‬
‫החברה‪ ,‬להיות מופנים לכל העובדים ולא רק לאלו שיש להם גישה אלקטרונית‬
‫או פיזית לנכסים הרוחניים בחברה‪.‬‬
‫התרמית של סטיבי‬
‫מטבע הדברים חברות הטלפון שומרות היטב על המדריך וזה לא עניין פשוט‬
‫להשיג אחד כזה‪ ,‬לכן אם פריקר רוצה את המדריך הוא יצטרך להיות מאוד יצירתי‪.‬‬
‫איך בכל זאת אפשר להשיג מדריך? צעיר נלהב עם רצון עז להשיג את המדריך‬
‫יכול לגרום לתרחיש הבא לקרות במציאות‪.‬‬
‫יום אחד בשעת ערב מאוחרת של סתיו בדרום קליפורניה‪ ,‬בחור שנקרא לו סטיבי‬
‫התקשר לחברת טלפונים קטנה במרכז המשרדים‪ ,‬שבעצם היה הבניין שממנו‬
‫משכו קווי טלפון לכל הבתים והעסקים באזור‪.‬‬
‫כשהפקיד במרכזייה ענה לשיחה‪ ,‬סטיבי הודיע שהוא מחטיבת הפרסום וההפצה‬
‫של חומרים מודפסים בחברת הטלפון‪" .‬אנו רוצים לתת לך את הגרסה החדשה של‬
‫המדריך לבדיקת מספר "‪ ,‬הוא אומר‪" .‬אבל מסיבות של אבטחת מידע‪ ,‬אנחנו לא‬
‫יכולים לספק לך אותו לפני שנאסוף את המדריך הישן אבל בדיוק היום האחראי‬
‫על המשלוחים מאחר‪ .‬האם ברצונך להשאיר את העותק ממש מחוץ לדלת שלך‪,‬‬
‫ואנחנו נאסוף אותו‪ ,‬בנתיים אני אשלח לך את המדריך החדש "‪.‬‬
‫הפקיד התמים כנראה חשב שזה נשמע הגיוני‪ .‬הוא עושה בדיוק את שהתבקש‪,‬‬
‫ושם על מפתן הדלת של הבניין את העותק של המדריך שלו‪ ,‬שעל העטיפה שלו‬
‫היה מסומן בבירור באותיות אדומות גדולות "סודי ביותר‪ -‬כאשר אין עוד צורך‬
‫במסמך זה יש לגרוס אותו‪".‬‬
‫סטיבי נהג ברכבו תוך כדי שהוא מסתכל מסביב בזהירות כדי לוודא ששוטרים או‬
‫אנשי אבטחה של החברה לא אורבים לו מאחורי העצים או עוקבים אחריו‬
‫שליטה בחוליה האנושית באבטחה‬

‫ממכונית חונה‪ .‬אף אחד לא נראה באופק‪ .‬הוא מרים באדישות את המדריך הנכסף‬
‫ונוסע משם‪.‬‬
‫הנה דוגמה נוספת לקלות שבה מהנדס חברתי יכול להשיג את מה שהוא רוצה רק‬
‫ע"י שימוש בעיקרון הפשוט של "רק לבקש"‪.‬‬
‫התקפת הגז‬
‫לא רק נכסי החברה נמצאים בסיכון בהונאה של הנדסה חברתית‪ .‬לפעמים‬
‫הלקוחות של החברה הם הקורבנות‪.‬‬
‫עבודה כנציג שירות לקוחות כוללת לפעמים תסכולים‪ ,‬לפעמים צחוקים‪ ,‬ולפעמים‬
‫טעויות תמימות ‪ -‬שלחלקן יכולות להיות השלכות מרחיקות לכת עבור לקוחות‬
‫החברה‪.‬‬
‫הסיפור של ג'יין אקטון‬
‫ג'יין אקטון הייתה נציגת שירות לקוחות שאיישה תא קטן בחברת החשמל‬
‫בוושינגטון‪ ,‬במשך קצת יותר משלוש שנים‪ .‬היא נחשבה לאחד הפקידות הטובות‪,‬‬
‫משום שהפגינה חכמה ומוסריות‪.‬‬
‫בשבוע שבו חל חג ההודיה‪ ,‬היא קיבלה את השיחה הבאה‪ .‬המתקשר אמר‪" :‬זה‬
‫אדוארדו ממחלקה החיובים‪ .‬יש לי גברת שממתינה על הקו‪ ,‬היא מזכירה במשרדי‬
‫ההנהלה והיא עובדת אצל אחד מסגני הנשיא ‪ ,‬היא מבקשת קצת מידע‪ ,‬ואני לא‬
‫יכול להשתמש במחשב שלי כי הוא נדבק בווירוס‪ .‬אל תשאלי איך זה קרה‪...‬‬
‫קיבלתי מייל מבחורה ממשאבי אנוש‪ ,‬עם הכותרת "אני אוהבת אותך"‪ ,‬וכשפתחתי‬
‫את הקובץ המצורף‪ ,‬המחשב שלי נדבק בווירוס ועכשיו אני לא יכול להשתמש‬
‫במחשב שלי‪ .‬בכל אופן‪ ,‬את יכולה לחפש בשבילי קצת מידע על הלקוחה? "‬
‫"בטח‪ ",‬ענתה ג'יין‪" .‬המחשב שלך קרס? ממש מבאס‪".‬‬
‫"כן‪".‬‬
‫"איך אני אוכל לעזור לך?" שאלה ג'יין‪.‬‬

‫כאן התוקף שלף מידע מהמחקר המקדים שלו‪ ,‬כדי להישמע אמין‪ .‬הוא למד‬
‫שהמידע שהוא מחפש מאוחסן במערכת שנקראת 'מערכת מידע לחיוב לקוחות'‬
‫)‪ ,(CBIS‬והוא ידע איך העובדים מכנים את המערכת הזו‪ .‬הוא שאל "האם את‬
‫יכולה להעלות את החשבון ב ‪"? CBIS‬‬

‫"כן‪ ,‬מה מספר החשבון?"‬

‫"אין לי את המספר‪ ,‬אני צריך להעלות את זה ע"פ השם"‪.‬‬
‫"אוקיי‪ ,‬מה השם?"‬
 ‫פרק ‪ - 3‬התקפה ישירה‪ :‬פשוט לבקש‬ ‫‪43‬‬

‫"השם הוא הת'ר מארנינג"‪ .‬הוא איית לה את השם‪ ,‬וג'ייני הקלידה אותו במחשב‪.‬‬
‫"אוקיי‪ ,‬יש לי אותו‪".‬‬
‫"נהדר‪ .‬האם זה החשבון השוטף?"‬
‫"אהה‪ ,‬זה השוטף"‪.‬‬
‫"מה מספר החשבון?" הוא שאל‪.‬‬
‫"יש לך עיפרון?"‬
‫"מוכן לכתוב‪".‬‬
‫"מספר חשבון ‪." BAZ6573NR27Q‬‬
‫הוא קרא את המספר בחזרה ואז אמר‪" ,‬ומה הכתובת?"‬
‫היא נתנה לו את הכתובת‪.‬‬
‫"ומה מספר הטלפון?"‬
‫ג'ייני הקריאה את המידע באדיבות‪ ,‬ביותר מידי אדיבות‪.‬‬

‫המתקשר הודה לה‪ ,‬אמר שלום‪ ,‬וניתק‪ .‬ג'יין המשיכה למתקשר הבא‪ ,‬ולא חשבה‬
‫על זה יותר‪.‬‬

‫פרוייקט המחקר של סילי ארט‬

‫סילי ויתר על עבודתו כעורך ספרים עצמאי שעובד עם הוצאות ספרים קטנות‬
‫כאשר הוא גילה שהוא יכול להרוויח הרבה יותר כסף כחוקר לסופרים וחברות‪ .‬עד‬
‫מהרה הוא למד שהוא יכול לקחת על שירותיו יותר כסף ככל שהמשימה שהוא‬
‫לקח על עצמו קרובה יותר לגבול הדק שבין חוקי ללא חוקי‪ .‬מבלי משים‪ ,‬ובוודאי‬
‫מבלי לקרוא לזה בשם‪ ,‬הוא הפך לאמן הנדסה חברתית‪ ,‬תוך שימוש בטכניקות‬
‫מוכרות‪ ,‬כדי למכור מידע חסוי לכל המרבה במחיר‪ .‬התברר שיש לו כישרון מולד‬
‫לעניין‪ ,‬הוא הבין לבדו טכניקות שהמהנדסים החברתיים למדו מאחרים‪ .‬לאחר זמן‬
‫מה‪ ,‬הוא עבר את הגבול ללא שמץ של רגשות אשמה‪.‬‬

‫איש אחד שעסק בכתיבת ספר על הממשלה בתקופת ניקסון יצר איתי קשר‪ ,‬הוא‬
‫חיפש חוקר שיכול להשיג לו סקופ על ויליאם א‪ .‬סיימון‪ ,‬שהיה שר האוצר של‬
‫ניקסון‪ .‬מר סיימון מת‪ ,‬אבל למחבר היה שם של אישה שהייתה במטה שלו‪ .‬הוא‬
‫היה די בטוח שהיא עדיין גרה בוושינגטון‪ ,‬אך לא הצליח להשיג את כתובתה‪ .‬לא‬
‫היה טלפון על שמה‪ ,‬או לפחות לא היה ברשימה‪ .‬לכן הוא התקשר אלי‪ .‬אמרתי‬
‫לו‪ ,‬בטח‪ ,‬אין בעיה‪.‬‬

‫זה מסוג העבודות שאפשר לסיים בשיחת טלפון אחת או שניים‪ ,‬אם אתה יודע מה‬
‫אתה עושה‪ .‬אפשר להוציא את המידע הזה מכל חברת שירותים ציבוריים מקומית‪.‬‬
‫כמובן‪ ,‬אתה צריך לשקר קצת‪ .‬אבל מה זה שקר לבן קטן פה ושם ‪ -‬נכון?‬
‫אני אוהב להשתמש בשיטה שונה בכל פעם רק כדי לשמור על החיים מעניינים‪.‬‬
‫"זה כך וכך ממשרדי ההנהלה" תמיד פועלת לי טוב‪ .‬אבל גם יש את השיטה של‬
‫"יש לי מישהו שממתין על הקו ממשרד סגן הנשיא של מישהו" שעבדה גם הפעם‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫המסר של מיטניק‬
‫מעולם לא חשבתי שכל התקפה של הנדסה חברתית צריכה להיות מבצע מתוחכם‬
‫ומורכב מאין כמותו עד כדי כך שסביר שיעלו עליו לפני שהוא מסתיים‪ .‬יש הרבה‬
‫התקפות מאוד פשוטות ולא פחות טובות של 'להכות ולהיעלם' כמו השיטה‬
‫שלפיה צריך פשוט לבקש את מה שאתה רוצה‪.‬‬
‫אתה צריך לפתח אינסטינקטים של מהנדס חברתי‪ ,‬לחוש עד כמה האדם שמעבר‬
‫לקו ישתף איתך פעולה‪ .‬הפעם ניסיתי את מזלי עם בחורה נחמדה שאוהבת לעזור‪.‬‬
‫בשיחת טלפון אחת‪ ,‬השגתי את הכתובת ומספר הטלפון‪ .‬המשימה הושלמה‪.‬‬

‫ניתוח ההונאה‬
‫אין ספק שג'ייני ידעה מידע רגיש על לקוחותיה‪ .‬היא לעולם לא הייתה מדברת על‬
‫חשבון של אחד הלקוחות עם לקוח אחר‪ ,‬או מפרסמת את המידע האישי בציבור‪.‬‬

‫אבל באופן טבעי‪ ,‬כשהמתקשר בא מתוך החברה‪ ,‬הכללים משתנים‪ .‬לסייע לעמית‬
‫מהעבודה זה עניין של להיות שחקן קבוצתי ולעזור אחד לשני לעשות את‬
‫העבודה‪ .‬האיש ממחלקת חיוב לקוחות היה יכול למצוא את הפרטים בעצמו אם‬
‫המחשב שלו לא היה קורס בגלל הווירוס‪ ,‬והיא שמחה שהיא יכולה לעזור לחבר‬
‫מהעבודה‪.‬‬

‫ארט חתר למידע המבוקש בזהירות‪ ,‬הוא שאל שאלות על דברים שהוא לא באמת‬
‫צריך כמו מספר חשבון‪ ,‬לאורך כל השיחה‪ .‬עם זאת‪ ,‬המידע על המספר חשבון‬
‫סיפק לו תוכנית גיבוי‪ :‬אם הפקידה הייתה מתחילה לחשוד‪ ,‬הוא היה מתקשר‬
‫לפקיד אחר ואז גם סיכויי ההצלחה שלו היו גבוהים יותר‪ ,‬כי העובדה שהוא יודע‬
‫את מספר החשבון תגרום לו להישמע הרבה יותר אמין בעיני הפקיד הבא שאליו‬
‫יגיע‪.‬‬

‫מעולם לא עלה על דעתה של ג'ייני שמישהו באמת יכול לשקר בדברים כאלו‪,‬‬
‫ושהמתקשר‪ ,‬לא באמת ממחלקת חיוב‪ .‬כמובן‪ ,‬שהאשמה אינה נעוצה בג'יין‪ .‬היא‬
‫לא הייתה מודעת לכלל שעליה לוודא שהיא יודעת עם מי היא בדיוק מדברת לפני‬
‫שהם מדברים על המידע שבקובץ של הלקוח‪ .‬אף אחד מעולם לא סיפר לה על‬
‫הסכנה שטמונה בשיחת טלפון כמו זו שביצע ארט‪ .‬זה לא היה חלק ממדיניות‬
‫החברה‪ ,‬וזה לא היה חלק מההכשרה שלה‪ ,‬הממונה עליה מעולם לא הזכיר‬
‫אפשרות כזאת‪.‬‬

‫מניעת ההונאה‬
‫הנקודה שחייבת להיכלל בתדרכי האבטחה שלך‪ :‬העובדה שהמתקשר או המבקר‬
‫יודע את שמותיהם של אנשים מסוימים בחברה‪ ,‬או יודע כמה מילים מהז'רגון או‬
‫מהנהלים בחברה‪ ,‬ממש לא אומרת שהוא באמת מי שהוא טוען שהוא‪ .‬ולכן ברור‬
 ‫פרק ‪ - 3‬התקפה ישירה‪ :‬פשוט לבקש‬ ‫‪45‬‬

‫שזה לא גורם לו להיות מוסמך לקבל מידע פנימי‪ ,‬או גישה למערכות ממוחשבות‬
‫או לרשת‪.‬‬
‫צריך להדגיש בתדריכי האבטחה‪ :‬במקרה של ספק צריך לאמת‪ ,‬לאמת ושוב‬
‫לאמת‪ .‬בימים עברו‪ ,‬גישה למידע בתוך חברה העידה על מעמד בהיררכיה‬
‫הארגונית‪ .‬העובדים הסיקו את התנורים‪ ,‬הפעילו את המכונות‪ ,‬הקלידו את‬
‫המכתבים‪ ,‬והגישו את הדו"חות‪ .‬מנהל העבודה או הבוס אמרו להם מה לעשות‪,‬‬
‫מתי ואיך‪ .‬מנהל העבודה או הבוס ידעו את כל הפרטים‪ .‬מה כל עובד צריך לייצר‬
‫במשמרת שלו‪ ,‬באיזה כמות ובאיזה צבעים ומידות‪ .‬כמה המפעל צריך לייצר‬
‫השבוע‪ ,‬בשבוע הבא‪ ,‬ועד סוף החודש‪.‬‬

‫העובדים התעסקו במכונות בכלים ובחומרים‪ ,‬הבוסים טיפלו במידע‪ .‬העובדים‬

‫נזקקו רק למידע ספציפי שנגע לעבודות הספציפיות שלהם‪.‬‬

‫היום התמונה קצת שונה‪ ,‬לא? עובדי מפעל רבים משתמשים בצורה כלשהי‬
‫במחשב או במכונות שנשלטות ע"י מחשב‪.‬‬

‫חלק גדול מכוח העבודה‪ ,‬מקבל את כל המידע הדרוש לו ישירות למחשב האישי‬
‫שלו‪ ,‬כך שהוא יכול להיות האחראי הבלעדי לביצוע של עבודתו‪ .‬במציאות של‬
‫היום‪ ,‬כמעט כל העובדים עוסקים בדברים שקשורים לטיפול במידע‪.‬‬
‫לכן צריך להפיץ את מדיניות האבטחה של החברה ברחבי הארגון‪ ,‬ללא קשר‬
‫לתפקיד‪ .‬כולם צריכים להבין שלא רק לבוסים ולמנהלים יש את המידע שהתוקף‬
‫רוצה להשיג‪ .‬כיום‪ ,‬העובדים בכל הרמות‪ ,‬גם אלה שלא משתמשים במחשב‪,‬‬
‫עלולים להוות מטרה‪ .‬נציג שהחל לעבוד לאחרונה בקבוצת שירות הלקוחות עשוי‬
‫להיות החוליה החלשה שדרכה המהנדס החברתי יחדור כדי להשיג את מטרתו‪.‬‬
‫תדריכי האבטחה שמסבירים את מדיניות האבטחה הארגונית צריכים להדק ולחזק‬
‫את טבעת האבטחה‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫פרק ‪ - 4‬יצירת אמון‬

‫אחדים מהסיפורים האלה עלולים לגרום לך לחשוב שאני מאמין שכל מי שעובד‬
‫בחברה הוא אידיוט מושלם‪ ,‬שמוכן‪ ,‬ואפילו להוט‪ ,‬למסור את כל הסודות‬
‫שברשותו‪ .‬המהנדס החברתי יודע שזה לא נכון‪ .‬למה התקפות הנדסה חברתית‬
‫מצליחות כל כך? זה לא בגלל שאנשים הם טיפשים או חסרי שכל ישר‪ .‬אבל מה‬
‫לעשות שאנחנו‪ ,‬כבני אדם פגיעים לרמאות בגלל שאנו נוטים לאבד את‬
‫החשדנות הטבעית שלנו כאשר מפעילים עלינו מניפולציות שונות‪.‬‬

‫המהנדס החברתי מעריך את רמת החשדנות ואת עוצמת ההתנגדות‪ ,‬והוא תמיד‬
‫מוכן להפוך את חוסר האמון לאמון‪ .‬מהנדס חברתי טוב מתכנן את ההתקפה שלו‬
‫כמו משחק שחמט‪ ,‬הוא חושב איזה שאלות המטרה שלו עלולה לשאול ואז הוא‬
‫מכין תשובות נכונות ומתאימות‪.‬‬

‫אחת הטכניקות הנפוצות כוללת בניית תחושה של אמון בקרב הקורבנות‪ .‬איך נוכל‬
‫יכול לגרום לך לסמוך עליו? תאמין לי‪ ,‬הוא יכול‪.‬‬

‫אמון‪ :‬המפתח להונאה‬

‫ככל שיצירת הקשר של המהנדס החברתי תיראה כמו דבר שבשגרה‪ ,‬כך הוא פחות‬
‫יעורר חשד‪ .‬כשאין לאנשים סיבה לחשוד‪ ,‬קל למהנדס החברתי לזכות באמונם‪.‬‬

‫ברגע שהוא רכש את אמונך‪ ,‬החומות נפלו ודלת המבצר נפתחת לרווחה כך שהוא‬
‫יכול לקחת כל מידע שבו הוא חפץ‪.‬‬

‫הערה‬
‫בוודאי שמת לב שאני מתייחס למהנדסים החברתיים‪,‬לפריקרים‪ ,‬ולמבצעי‬
‫ההונאות בלשון זכר ברוב הסיפורים‪ .‬זה לא נובע משוביניזם‪ .‬זה פשוט משקף את‬
‫המציאות בשטח‪ ,‬שרוב האנשים האלה הם גברים‪ .‬אבל למרות שאין הרבה נשים‬
‫שמתעסקות בהנדסה חברתית‪ ,‬מספרם הולך וגדל‪ .‬יש מספיק נשים שמתעסקות‬
‫בהנדסה חברתית שם בחוץ‪ ,‬כך שאתה לא צריך לנטרל את ההגנות שלך רק בגלל‬
‫שאתה שומע קול נשי‪ .‬למעשה‪ ,‬לנשים יש יתרון בהנדסה חברתית כי הם יכולים‬
‫להשתמש במיניות שלהן כדי להשיג שיתוף פעולה‪ .‬תוכלו למצוא בספר‪ ,‬מספר‬
‫מצומצם של סיפורים שכוללים שימוש במה שנקרא סקס עדין‪.‬‬
‫השיחה הראשונה‪ :‬אנדראה לופז‬
‫אנדריאה לופז ענתה לטלפון בחנות להשכרת סרטי הוידיאו שבה עבדה‪ ,‬ולאחר‬
‫רגע התפשט חיוך על פניה‪ :‬תמיד נעים לשמוע לקוח שטורח לומר שהוא מרוצה‬
 ‫פרק ‪ - 4‬יצירת אמון‬ ‫‪47‬‬

‫מהשירות‪ .‬המטלפן אמר שהוא התרשם מאוד לטובה מהטיפול המסור של החנות‪,‬‬
‫והוא רוצה לשלוח מכתב למנהל בקשר לזה‪.‬‬
‫הוא ביקש את שם המנהל ואת כתובת הדואר שלו‪ ,‬והיא אמרה לו שלמנהל קוראים‬
‫טומי אליסון‪ ,‬ונתנה לו את הכתובת‪ .‬לפני שהוא ניתק היה לו עוד רעיון‪ ,‬והוא‬
‫אמר‪" :‬אולי אני אכתוב גם למטה הראשי של החברה שלך‪.‬‬
‫"מה מספר החנות שלך?" היא נתנה לו גם את הנתון הזה‪ .‬הוא אמר תודה‪ ,‬הוסיף‬
‫משהו נעים על כך שהיא מאוד עזרה לו‪ ,‬ונפרד לשלום‪.‬‬

‫"שיחות כמו זאת" היא חשבה‪" ,‬תמיד גורמים למשמרת לעבור מהר יותר‪ .‬היה‬
‫נחמד אם אנשים יעשו זאת לעתים קרובות יותר‪".‬‬

‫השיחה השנייה‪ :‬ג'יני‬

‫"תודה שהתקשרת לוידאו סטודיו‪ .‬מדברת ג'יני‪ ,‬במה אני אוכל לעזור לך?"‬
‫"היי‪ ,‬ג'יני‪ ",‬אמר המטלפן בהתלהבות‪ ,‬ונשמע כאילו הוא רגיל לדבר עם ג'יני כל‬
‫שבוע‪" .‬זה טומי אליסון‪ ,‬מנהל בפורסט פארק‪ ,‬חנות ‪ .863‬יש לנו כאן לקוח‬
‫שרוצה לשכור את 'רוקי ‪ '5‬וכל העותקים שלנו בהשכרה‪ .‬תוכלי לבדוק מה יש‬
‫לך? "‬
‫היא חזרה אל הקו לאחר כמה רגעים ואמרה‪" ,‬כן‪ ,‬יש לנו שלושה עותקים‪".‬‬
‫"בסדר‪ ,‬אני אבדוק אם הלקוח מעוניין לנסוע לשם‪ ,‬תודה לך‪ .‬אם אי פעם תזדקקי‬
‫לעזרה מהחנות שלנו‪ ,‬פשוט תתקשרי ותבקשי את טומי‪ .‬אני אשמח לעשות למענך‬
‫כל מה שאני יכול‪".‬‬

‫ג'יני קיבלה מטומי שלוש או ארבע שיחות במהלך השבועות הבאים‪ ,‬בבקשה‬
‫שתעזור לו בעניין כזה או אחר‪ .‬בקשותיו נראו לגיטימיות‪ ,‬והוא תמיד היה מאוד‬
‫ידידותי מבלי שנשמע כאילו הוא מנסה להתחיל איתה‪ .‬מדי פעם הוא גם פטפט‬
‫איתה קצת‪ ,‬למשל ‪" -‬שמעת על השריפה הגדולה בפארק אלון? סגרו אשכול שלם‬
‫של רחובות באזור" וכדומה‪ .‬השיחות הללו היוו עבורה הפסקה קצרה משגרת‬
‫היום‪ ,‬וג'יני תמיד שמחה לשמוע את קולו‪.‬‬

‫באחד הימים טומי התקשר ונשמע לחוץ‪ .‬הוא שאל‪" :‬המחשבים שלכם כבר עשו‬
‫לכם צרות?"‬

‫"לא"‪ ,‬ענתה ג'יני‪" .‬למה?"‬

‫"איזה בחור התנגש עם מכוניתו בעמוד טלפון‪ ,‬והטכנאי של חברת הטלפון אומר‬
‫שלחלק גדול מהעיר לא יהיו קווי טלפון וחיבור לאינטרנט עד שהתקלה תתוקן‪".‬‬
‫"אוי‪ ,‬לא‪ .‬האיש נפגע?"‬
‫"הם לקחו אותו באמבולנס‪ .‬בכל מקרה‪ ,‬את צריך שתעשי לי טובה קטנה‪ .‬יש לי‬
‫כאן לקוח שלכם שרוצה לשכור את הסנדק ‪ ,II‬והכרטיס שלו לו עליו‪ .‬תוכלי לאמת‬
‫בשבילי את המידע שלו?"‬
‫שליטה בחוליה האנושית באבטחה‬

‫"כן‪ ,‬בטח‪".‬‬

‫טומי נתן לה את שם הלקוח וכתובתו‪ ,‬וג'יני מצאה אותו במחשב‪ .‬היא נתנה לטומי‬
‫את מספר החשבון‪.‬‬
‫"הוא איחר בהחזרות האחרונות או שהוא החזיר בזמן?" שאל טומי‪.‬‬
‫"אין שום רישום בעייתי"‪.‬‬
‫"אוקיי‪ ,‬נהדר‪ .‬אני יחתים אותו כאן ידנית על חיוב חשבון וכשהמחשבים יחזרו‬
‫לעבוד שוב אני אעדכן את זה במסד הנתונים שלנו‪ .‬הוא רוצה לשלם באמצעות‬
‫כרטיס הויזה שאיתו הוא משלם בחנות שלך‪ ,‬רק הוא לא עליו‪.‬‬
‫מה מספר כרטיס האשראי ותאריך התפוגה שלו?"‬

‫היא נתנה לו את המספר‪ ,‬יחד עם תאריך פקיעת התוקף‪ .‬ואז טומי אמר‪" ,‬היי‪ ,‬תודה‬
‫על העזרה‪ .‬אני אדבר איתך בקרוב" וניתק‪.‬‬

‫הסיפור של דוייל לונגאן‬

‫לונגאן הוא לא אחד שהיית רוצה לפגוש כשאתה פותח את דלת ביתך‪ .‬בעבר הוא‬
‫היה גובה חובות של מהמרים בשוק האפור‪ ,‬ועדיין הוא עושה עבודות קטנות פה‬
‫ושם‪ ,‬אם התמורה הכספית שווה את המאמץ‪ .‬במקרה הזה‪ ,‬הוצעה לו חבילת‬
‫מזומנים שמנה כדי שיעשה כמה שיחות טלפון לחנות וידאו‪ .‬קלי קלות‪ -‬לא צריך‬
‫להתאמץ יותר מידי‪ .‬ובכל זאת ביקשו מלונגאן לעשות את זה פשוט כי אף אחד‬
‫"מהלקוחות" שלו לא יודע איך לעשות את זה‪ ,‬הם צריכים מישהו עם כישרון וידע‬
‫כמו לונגאן‪.‬‬
‫אף אחד לא לוקח צ'ק מאנשים שמפסידים שוב ושוב ליד שולחן הפוקר‪ .‬כולם‬
‫יודעים את זה‪ .‬אז למה החברים שלי המשיכו לשחק עם מישהו שלא שם מזומן‬
‫על השולחן? אל תשאלו‪ .‬אולי באמת זאת הייתה טעות‪ .‬אבל הם חברים שלי – מה‬
‫אפשר לעשות? אני חייב לעזור להם‪.‬‬
‫לבחור הזה לא היה כסף‪ ,‬אז הם לקחו ממנו צ'ק‪ .‬ברור שמה שהם היו צריכים‬
‫לעשות זה לקחת אותו לכספומט ולקחת את הכסף‪ .‬אבל לא‪ ,‬הם לקחו צ'ק בסכום‬
‫של ‪.$3230‬‬

‫כמובן שהצ'ק חזר‪ .‬למה ציפית? אז הם התקשרו אלי ושאלו אם אני יכול לעזור?‬
‫אני כבר לא סוגר דלתות על ידיים של אנשים‪ .‬חוץ מזה‪ ,‬יש דרכים טובות יותר‬
‫בימינו‪ .‬אמרתי להם‪ 30 ,‬אחוז עמלה‪ ,‬כי ידעתי בדיוק מה אני יכול לעשות‪ .‬אז הם‬
‫נתנו לי את שמו ואת כתובתו של הבחור‪ .‬ואז נגשתי למחשב כדי לבדוק איזה חנות‬
‫להשכרת סרטי וידאו הכי קרובה אליו‪ .‬לא מיהרתי לשום מקום‪ .‬ביצעתי ארבע‬
‫שיחות טלפון על מנת להתחנף קצת למנהלת החנות‪ ,‬ולאחר מכן‪ ,‬בינגו‪ ,‬השגתי‬
‫את המספר של הכרטיס ויזה‪.‬‬
 ‫פרק ‪ - 4‬יצירת אמון‬ ‫‪49‬‬

‫ידיד שלי הוא הבעלים של בר טופלס‪ .‬בעבור חמישים דולר‪ ,‬הוא הכניס את הכסף‬
‫של הבחור מהפוקר בתור תשלום לבר‪ .‬אין מצב שהברנש יספר לאשתו על‬
‫הרמאות הזאת‪ .‬אתה חושב שהוא עלול לנסות לספר לחברת האשראי שלא הוא‬
‫אחראי לתשלום הזה? תחשוב שוב‪ .‬הוא יודע שאנחנו יודעים מי הוא‪ .‬ואם אנחנו‬
‫יכולים להשיג את מספר הויזה שלו‪ ,‬הוא יבין לבד שאנחנו מסוגלים לעשות דברים‬
‫הרבה יותר גדולים מזה‪ .‬אין מה לדאוג בעניין‪.‬‬

‫ניתוח ההונאה‬
‫השיחות הראשונית של טומי לג'יני היו רק בשביל לבנות אמון‪ .‬כדי שכאשר יגיע‬
‫זמן המתקפה בפועל‪ ,‬היא לא תחשוד במאום ותקבל את טומי כמו מי שהוא טוען‬
‫שהוא‪ ,‬מנהל בחנות אחרת של הרשת‪.‬‬
‫ובאמת‪ ,‬מדוע שלא תקבל אותו כפי שהוא הציג את עצמו ‪ -‬היא כבר הכירה אותו‪.‬‬
‫אמנם היא פגשה אותו רק בטלפון‪ ,‬אבל החברות העסקית שלהם היוותה בסיס‬
‫לאמון‪ .‬ברגע שהיא קיבלה אותו כדמות סמכותית‪ ,‬מנהל באותה חברה‪ ,‬האמון‬
‫נוצר וכל השאר היה משחק ילדים‪.‬‬

‫המסר של מיטניק‬
‫שיטת העוקץ של בניית אמון היא אחת הטקטיקות היעילות ביותר בהנדסה‬
‫חברתית‪ .‬אתה צריך לחשוב אם אתה באמת מכיר את האדם שאיתו אתה משוחח‪.‬‬
‫במקרים נדירים‪ ,‬האדם אינו מי שהוא טוען שהוא‪.‬‬
‫בהתאם לכך‪ ,‬כולנו צריכים ללמוד להתבונן‪ ,‬לחשוב‪ ,‬ולערער על סמכות‪.‬‬

‫וריאציה נוספת של גניבת כרטיס‬

‫בניית תחושת אמון לא בהכרח דורשת סדרה של שיחות טלפון עם הקורבן‪ ,‬כפי‬
‫שהציע הסיפור הקודם‪ .‬אני זוכר מקרה אחד שבו הייתי עד שחמש דקות מספיקות‬
‫לזה‪.‬‬

‫הפתעה‪ ,‬אבא‬
‫פעם אחת ישבתי ליד שולחן במסעדה עם הנרי ואביו‪ .‬במהלך השיחה‪ ,‬הנרי גער‬
‫באביו על כך שהוא נותן את מספר כרטיס האשראי שלו כאילו היה מספר הטלפון‬
‫שלו‪" .‬בוודאי שאתה צריך לתת את מספר כרטיס האשראי שלך כשאתה קונה‬
‫משהו"‪ ,‬אמר‪" .‬אבל מי שנותן אותו לחנות ששומרת את המספר במאגר הנתונים‬
‫שלה ‪ -‬הוא מטומטם אמיתי"‪.‬‬
‫"המקום היחיד שאני עושה זה הוא בוידאו סטודיו " אמר מר קונקלין "זאת רשת‬
‫גדולה של חנויות וידאו‪ .‬אבל אני עובר על חשבון הויזה שלי בכל חודש‪ .‬כך שאם‬
‫מישהו משתמש לי בכרטיס‪ ,‬הייתי יודע מזה‪".‬‬
‫"נכון" אמר הנרי‪" ,‬אבל ברגע שיש להם את המספר שלך‪ ,‬זה מאוד קל לגנוב אותו‬
‫"‬
‫"אתה מתכוון לעובד רמאי‪" .‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫"לא‪ ,‬כל אחד ‪ -‬לא רק עובדים "‪.‬‬

‫"אתה מדבר בתיאוריות‪ ,‬בפועל זה בלתי אפשרי" אמר מר קונקלין‪.‬‬
‫"אני יכול להתקשר עכשיו ולגרום להם לתת לי את מספר הוויזה שלך" ירה הנרי‬
‫בחזרה‪.‬‬
‫"לא‪ ,‬אתה לא יכול‪" ,‬אמר אביו‪.‬‬
‫"אני יכול לעשות את זה בחמש דקות‪ ,‬ממש כאן מולך מבלי לעזוב את השולחן "‪.‬‬

‫מר קונקלין גלגל עיניים‪ ,‬ונראה כמו מישהו שבטוח בעצמו‪ ,‬אבל לא רוצה להראות‬
‫את זה‪" .‬אני אומר שאתה לא יודע על מה אתה מדבר" הוא נבח‪ ,‬שלף מהארנק‬
‫שלו שטר של חמישים דולר וזרק אותו על השולחן‪" .‬אם אתה יכול לעשות מה‬
‫שאתה אומר‪ ,‬זה שלך‪".‬‬
‫"אני לא רוצה את הכסף שלך‪ ,‬אבא‪ ",‬אמר הנרי‪.‬‬
‫הוא הוציא את הטלפון הנייד שלו‪ ,‬שאל את אביו מאיזה סניף הוא משכיר סרטים‪,‬‬
‫והתקשר למודיעין הטלפונים על מנת לקבל את הטלפון של החנות שבה אביו נהג‬
‫לבקר וגם את הטלפון של החנות בשרמן אוקס‪.‬‬

‫לאחר מכן הוא התקשר לסניף בשרמן אוקס‪ .‬תוך שהוא משתמש פחות או יותר‬
‫באותה גישה המתוארת בסיפור הקודם‪ ,‬וכך הוא קיבל מהר מאוד את שמו של‬
‫המנהל ואת מספר החנות‪.‬‬

‫לאחר מכן הוא התקשר לחנות שבה היה חשבון לאביו‪ .‬הוא שלף את הטריק הישן‬
‫והתחזה למנהל באמצעות שם המנהל ומספר החנות שהוא כרגע השיג‪ .‬ואז הוא‬
‫השתמש באותה תחבולה‪" :‬המחשבים אצלך עובדים טוב? כי שלנו קרסו"‪ .‬הוא‬
‫הקשיב לתשובתה ואז אמר‪" ,‬ובכן‪ ,‬תראי‪ ,‬אחד הלקוחות שלך נמצא אצלי ורוצה‬
‫לשכור סרט וידאו‪ ,‬אבל המחשבים שלנו יצאו מכלל פעולה‪ .‬אני צריך לבדוק את‬
‫החשבון של הלקוח ולוודא שהוא לקוח בסניף שלך‪".‬‬
‫הנרי מסר לה את השם של אביו‪ .‬ואז‪ ,‬עם שינוי קל בטכניקה‪ ,‬הוא ביקש ממנה‬
‫לקרוא את פרטי החשבון‪ :‬כתובת‪ ,‬מספר טלפון‪ ,‬ותאריך פתיחת החשבון‪ .‬ואז הוא‬
‫אמר‪" ,‬היי‪ ,‬תשמעי‪ ,‬יש לי פה תור ארוך של לקוחות‪ .‬מה מספר כרטיס אשראי‬
‫ותאריך התפוגה?"‬
‫הנרי החזיק את הטלפון הסלולרי צמוד לאוזנו ביד אחת תוך כדי שהוא רושם בידו‬
‫השנייה על מפית נייר‪ .‬כשסיים את השיחה‪ ,‬הוא החליק את מפית אל מול פרצופו‬
‫של אביו‪ ,‬שהביט בה בפה פעור‪ .‬אביו נראה המום לגמרי‪ ,‬כאילו כל האמון שלו‬
‫במערכת ירד לטמיון‪.‬‬

‫ניתוח ההונאה‬
‫תחשוב איך היית מתייחס למישהו שאתה לא מכיר שמבקש ממך משהו‪ .‬אם זר‬
‫לבוש בבגדים מרופטים מגיע לדלת שלך לא סביר להניח שתיתן לו את מבוקשו‪,‬‬
‫אבל אם הזר שהגיע לדלת שלך לבוש יפה‪ ,‬נעליים מצוחצחות‪ ,‬שיער מסודר‪,‬‬
 ‫פרק ‪ - 4‬יצירת אמון‬ ‫‪51‬‬

‫בצורה מנומסת עם חיוך‪ ,‬סביר להניח שתהיה הרבה פחות חשדן‪ .‬ייתכן שבאמת‬
‫הוא ג'ייסון מסדרת הסרטים 'יום שישי ה ‪ ,'13-‬אבל אתה מוכן להתחיל לסמוך‬
‫עליו כל עוד הוא נראה נורמלי ואין לו סכין חיתוך ביד‪.‬‬
‫מה שפחות ברור זה שאנו שופטים אנשים בטלפון באותו אופן‪ .‬האם הוא נשמע‬
‫כמו מישהו שמנסה למכור לי משהו? האם הוא ידידותי ונחמד או ששומעים‬
‫בקולו סוג של עוינות או לחץ? האם הוא מדבר כמו אדם משכיל? אנו שופטים את‬
‫הדברים האלה‪ ,‬ואולי עוד תריסר דברים נוספים שלא במודע‪ ,‬במהירות הבזק‪,‬‬
‫לעיתים קרובות ברגעים הראשונים של השיחה‪.‬‬

‫המסר של מיטניק‬
‫טבעי לחשוב שאין זה סביר שהולכת שולל בעסקה מסוימת‪ ,‬לפחות כל עוד יש לך‬
‫סיבה לחשוב אחרת‪ .‬אנו שוקלים את הסיכונים ולאחר מכן‪ ,‬רוב הפעמים‪ ,‬נותנים‬
‫לבני שיחנו ליהנות מהספק‪ .‬זוהי התנהגות טבעית של אנשים מתורבתים‪ ,‬או‬
‫לפחות אנשים מתורבתים שמעולם לא היו קורבן לתרמית או מניפולציה שגרמה‬
‫להם להפסיד הרבה כסף‪.‬‬
‫כילדים ההורים שלנו לימדו אותנו לא לסמוך על זרים‪ .‬אולי כדאי שניישם את‬
‫עיקרון עתיק יומין זה במקום העבודה של היום‪.‬‬

‫בעבודה‪ ,‬אנשים מבקשים מאיתנו בקשות כל הזמן‪ :‬האם יש לך כתובת הדוא"ל‬

‫של הבחור הזה? איפה נמצאת הגרסה המעודכנת של רשימת הלקוחות? מי קבלן‬
‫המשנה בחלק הזה של הפרויקט? אנא שלח לי את העדכון פרויקט האחרון‪ .‬אני‬
‫צריך את הגרסה החדשה של קוד המקור‪.‬‬

‫ונחשו מה‪ :‬לפעמים אנשים שמבקשים את הבקשות אלה הם אנשים שאינך מכיר‬
‫אישית‪ ,‬אנשים שעובדים בחלק אחר של החברה‪ ,‬או טוענים שזה מה שהם עושים‪.‬‬
‫אבל אם המידע שהם נותנים נכון‪ ,‬והם נראים כמו אנשים שיודעים על מה הם‬
‫מדברים )"מריאן אמרה‪" ;"...‬זה בשרת ‪ ... ";"... K-16‬הגרסה ה‪ 26 -‬של‬
‫התוכניות של המוצר החדש"(‪ ,‬אנו מרחיבים את מעגל האמון שלנו כך שיכלול‬
‫אותם‪ ,‬ונותנים להם בשמחה את מה שהם מבקשים‪.‬‬

‫נכון‪ ,‬אנו עשויים לחשוד קצת‪ ,‬ולשאול את עצמנו "למה שמישהו במפעל בדאלאס‬
‫יזדקק לתוכניות של המוצר חדש?" או "האם מסירת השם של השרת יכולה להזיק‬
‫למשהו?" ואז אנחנו שואלים עוד שאלה או שתיים‪ .‬אם התשובות נשמעות‬
‫הגיוניות ומתקבלות על הדעת אנחנו נרגעים‪ ,‬מנטרלים את כל מנגנוני ההגנה שלנו‬
‫וחוזרים לנטייתנו הטבעית לתת אמון באיש או באישה שאיתם אנו מדברים‪ ,‬ונהיה‬
‫מוכנים לעשות )בגבולות ההיגיון( כל מה שנתבקש‪.‬‬
‫ואל תחשבו לרגע שהיעד של התוקף הם רק אנשים שקשורים למערכת המחשב‬
‫הארגונית‪ .‬מה עם הבחור שעובד בחדר הדואר? "אתה יכול לעשות לי טובה‬
‫קטנה? שים את זה בתיק הדואר הפנימי של החברה?" האם פקיד חדר הדואר יודע‬
‫שליטה בחוליה האנושית באבטחה‬

‫שהחבילה מכילה תקליטור עם תוכנה מיוחדת שמיועדת למזכירה של המנכ"ל?‬

‫כעת התוקף יקבל עותק אישי של הדוא"ל של המנכ"ל‪ .‬וואו! האם זה באמת קורה‬
‫בחברה שלך? התשובה היא‪ ,‬בהחלט‪.‬‬

‫טלפון סלולארי בסנט אחד‬

‫אנשים רבים מחפשים עד שהם מוצאים עסקה משתלמת יותר; המהנדסים‬
‫החברתיים לא מחפשים עסקה יותר טובה‪ ,‬הם מוצאים דרך ליצור עסקה יותר‬
‫טובה‪ .‬לדוגמה‪ ,‬לפעמים חברה משיקה קמפיין שיווקי שאתה לא מסוגל לסרב לו‪,‬‬
‫בעוד מהנדס החברתי מביט בהצעה ותוהה איך הוא יכול לגרום לה להיות‬
‫משתלמת הרבה יותר‪.‬‬

‫לפני זמן לא רב‪ ,‬חברה סלולארית בפריסה ארצית יצאה בקמפיין שיווקי למודל‬
‫חדש שהיא הציעה‪ .‬טלפון סלולארי בעלות סנט אחד בלבד כאשר נרשמים לאחת‬
‫מתוכניות ההתקשרות שלהם‪.‬‬

‫הרבה אנשים גילו מאוחר מדי‪ ,‬שיש הרבה שאלות שצרכן נבון צריך לשאול לפני‬
‫ההרשמה לתוכנית ההתקשרות‪ .‬האם השירות הוא אנלוגי‪ ,‬דיגיטלי או שילוב‬
‫ביניהם; בכמה דקות תוכל להשתמש בחודש; האם זה כולל חיובי נדידה ועוד‬
‫ועוד‪ .‬חשוב במיוחד להבין מראש את חוזה התחייבות ‪ -‬לכמה חודשים או שנים‬
‫עליך להתחייב?‬

‫דמיינו מהנדס חברתי בפילדלפיה שרוצה את הטלפון הזול שמוצע ע"י חברת‬
‫הסלולאר למי שנרשם‪ ,‬אבל שונא את התוכנית תוכנית ההתקשרות שמגיעה יחד‬
‫עם זה‪ .‬אין בעיה‪ .‬הנה דרך אחת שבאמצעותה הוא יכול להתמודד עם המצב‪.‬‬

‫השיחה הראשונה‪ :‬טד‬

‫ראשית כל‪ ,‬המהנדס החברתי מחייג לכמה חנויות מרשת אלקטרוניקה ב ‪West‬‬
‫‪.Girard‬‬

‫"אלקטרוני סיטי‪ .‬מדבר טד"‪.‬‬

‫"היי‪ ,‬טד‪ .‬זה אדם‪ .‬תשמע‪ ,‬לפני כמה לילות דיברתי עם איש מכירות שלכם לגבי‬
‫טלפון סלולרי‪ .‬אמרתי לו שאתקשר אליו בחזרה כשאני יחליט איזו תוכנית אני‬
‫רוצה‪ ,‬ושכחתי את שמו‪ .‬מי הברנש שעובד במשמרת הלילה?‬
‫"יש יותר מאחד‪ .‬אולי אתה מדבר על וויליאם?"‬
‫"אני לא בטוח‪ .‬אולי זה היה ויליאם‪ .‬איך הוא נראה?" "בחור די גבוה ורזה"‪.‬‬
‫"אני חושב שזה הוא‪ .‬מה שם המשפחה שלו?‬
‫"‪ .‬האדלי ה ‪ -‬א ‪ -‬ד ‪ -‬ל ‪ -‬י '"‬
‫"כן‪ ,‬זה נראה לי הוא‪ .‬מתי הוא יהיה פה שוב?"‬
 ‫פרק ‪ - 4‬יצירת אמון‬ ‫‪53‬‬

‫" אני לא יודע את לוח הזמנים שלו השבוע‪ ,‬אבל משמרת ערב מתחילה בערך‬
‫בשעה חמש‪".‬‬
‫"טוב‪ .‬אני אנסה לתפוס אותו הערב‪ .‬אז תודה‪ ,‬טד‪".‬‬

‫השיחה השנייה‪ :‬קייטי‬

‫השיחה הבאה היא לחנות של אותה רשת ברחוב ‪.North Broad‬‬

‫"שלום‪ ,‬אלקטרוני סיטי ‪ .‬מדברת קייטי‪ ,‬איך אני יכולה לעזור לך?"‬

‫"היי קייטי‪ .‬זה ויליאם האדלי‪ ,‬מהחנות שמעל ה ‪ .West Girard‬מה שלומך‬
‫היום?"‬
‫"קצת עייפה‪ ,‬מה קורה איתך?"‬
‫"יש לי לקוחות שבאו בשביל התוכנית של טלפון סלולארי בסנט אחד‪ .‬את יודעת‬
‫למה אני מתכוונת?"‬
‫"בוודאי‪ .‬מכרתי כמה כאלה בשבוע האחרון‪".‬‬
‫"עדיין יש לך כמה מכשירי טלפון מהתוכנית הזאת?"‬
‫"יש לי ערימה של כאלה"‪.‬‬
‫"נהדר כי אני בדיוק מכרתי ללקוח אחד כזה‪ ,‬כבר חתמנו על חוזה ההתקשרות אך‬
‫כשבדקתי במלאי הארור גיליתי שלא נשארו מכשירים‪ .‬אני כל כך נבוך‪ .‬את יכול‬
‫לעשות לי טובה? אני אשלח אותו לחנות שלך לאסוף את טלפון‪ .‬אתה יכול למכור‬
‫לו את הטלפון בסנט אחד ולכתוב לו קבלה? הוא אמור להתקשר אלי בחזרה ברגע‬
‫שהטלפון יגיע לידיו כדי שאוכל להסביר לו איך לתפעל אותו‪" .‬‬
‫"כן‪ ,‬בטח‪ .‬תשלח אותו‪".‬‬
‫"מצוין‪ .‬לבחור קוראים טד‪ .‬טד ינקי "‪.‬‬

‫כאשר הבחור שקרא לעצמו טד ינקי יופיע בחנות ברחוב ‪ ,North Broad‬קייטי‬
‫תכתוב לו חשבונית ותמכור לו טלפון נייד בעבור סנט אחד‪ ,‬כפי ש"עמיתה‬
‫לעבודה" ביקש ממנה לעשות‪ .‬היא תיפול במלכודת שהוא טמן לה‪.‬‬

‫כשהגיע הזמן לשלם‪ ,‬לא הייתה ללקוח אף מטבע בכיסו‪ .‬הוא שלח יד לתוך צלחת‬
‫קטנה של מטבעות שעמדה על הדלפק של הקופאית‪ ,‬לקח מטבע של סנט ונתן‬
‫אותו לבחורה בקופה‪ .‬הוא קיבל את הטלפון מבלי לשלם אפילו סנט אחד בעבורו‪.‬‬

‫עכשיו הוא חופשי ללכת לחברת סלולארי אחרת שמשתמשת באותו דגם של‬
‫טלפון ולבחור את תוכנית השירות שהוא אוהב‪ .‬רצוי על בסיס של חודש‪-‬חודשים‪,‬‬
‫ללא התחייבות נוספת‪.‬‬

‫ניתוח ההונאה‬
‫שליטה בחוליה האנושית באבטחה‬

‫אנשים מקבלים ביתר קלות את מי שטוען שהוא חבר לעבודה‪ ,‬ואת מי שמכיר את‬
‫נהלי החברה והסלנג שלה‪.‬‬
‫המהנדס החברתי בסיפור הזה‪ ,‬ניצל את העובדה הזאת בכך שאיתר את הפרטים‬
‫של איש קידום המכירות‪ ,‬זיהה את עצמו כעובד החברה‪ ,‬וביקש טובה מסניף אחר‪.‬‬
‫זה קורה בין סניפים של חנויות קמעונאיות ובין מחלקות בחברות‪ ,‬אנשים‬
‫שמופרדים פיזית מעמיתיהם ועובדים יחד מרחוק‪ ,‬ולמעשה‪ ,‬הם מעולם לא נפגשו‬
‫פנים אל פנים‪.‬‬

‫פריצה אל הבולשת הפדרלית‬

‫אנשים לא עוצרים לחשוב מידי פעם איך קורה שהחומרים של הארגון שלהם‬
‫הופכים לזמינים להורדה ברשת‪ .‬בשביל התוכנית השבועית שלי ברדיו ברדיו ‪KFI‬‬
‫בלוס אנג'לס‪ ,‬המפיק חיפש באינטרנט ומצא עותק של חוברת הדרכה לקבלת‬
‫גישה למסד הנתונים של מרכז המידע הלאומי לפשיעה)‪ .(NCIC‬מאוחר יותר הוא‬
‫מצא את המדריך הפנימי של ‪ NCIC‬עצמם‪ ,‬מסמך רגיש שמפרט את ההוראות‬
‫לאחזור מידע ממסד הנתונים של ה‪.FBI-‬‬

‫המדריך הוא חוברת שמיועדת לרשויות אכיפת החוק ונותנת את התבניות והקודים‬
‫לאחזור מידע על פושעים ופשעים מהמאגר הלאומי‪ .‬סוכנויות ביטחון בכל רחבי‬
‫המדינה יכולות לחפש באותו המאגר כדי לפענח את הפשעים בתחום השיפוט‬
‫שלהם‪ .‬המדריך מכיל את הקודים שבם משתמשים במסד הנתונים‪.‬‬

‫כל אחד עם גישה למדריך יכול לחפש את תחביר הפקודות כדי לחלץ מידע ממסד‬
‫הנתונים הלאומי‪ .‬לאחר מכן‪ ,‬עליו לפעול ע"פ ההוראות במדריך הנהלים ועם קצת‬
‫אומץ‪ ,‬כל אחד יצליח לשלוף מידע ממסד הנתונים‪ .‬המדריך מספק גם מספרי‬
‫טלפון שאפשר להתקשר אליהם ולקבל תמיכה בשימוש במערכת‪ .‬ייתכן שיש‬
‫מדריכים דומים בחברה שלך שמספקים קודי‪-‬מוצר או קודים לאחזור מידע רגיש‪.‬‬

‫קרוב לוודאי שה‪ FBI-‬מעולם לא גילה שהמדריך הרגיש שלהם זמנים להורדה‬
‫באינטרנט‪ ,‬ואני לא חושב שהם ישמחו על כך אילו היו יודעים‪ .‬עותק אחד פורסם‬
‫ידי המחלקה הממשלתית באורגון‪ ,‬והשני על ידי סוכנות אכיפת החוק בטקסס‪.‬‬
‫למה? בכל אחד מהמקרים מישהו כנראה חשב שהמידע חסר ערך והפרסום לא‬
‫יכול להזיק‪ .‬אולי מישהו פרסם את זה ברשת הפנימית מטעמי נוחות‪ ,‬ולא הבין‬
‫שמעשיו גרמו שהמידע יהיה זמין לכל מי שגולש למנוע חיפוש טוב כמו גוגל ‪-‬‬
‫כולל סקרנים‪ ,‬שוטרים שאפתנים‪ ,‬האקרים‪ ,‬וראשי הפשע המאורגן‪.‬‬
‫התחברות למערכת‬
‫העיקרון של שימוש במידע כזה כדי להונות מישהו בממשלה או בחברה מסוימת‪,‬‬
‫זהה‪ :‬כאשר מהנדס חברתי יודע איך לגשת למסדי נתונים ספציפיים או‬
‫לאפליקציות‪ ,‬או שהוא יודע את שמות השרתים בחברה‪ ,‬או משהו בסגנון הוא‬
 ‫פרק ‪ - 4‬יצירת אמון‬ ‫‪55‬‬

‫זוכה באמינות‪ .‬ואמינות מובילה אמון‪ .‬ברגע שלמהנדס החברתי יש קודים כאלה‪,‬‬
‫קבלת המידע שהוא זקוק לו זה תהליך קל‪ .‬בדוגמה זו‪ ,‬הוא יכול להתחיל על ידי‬
‫התקשרות לפקיד המשטרה המקומית ולשאול שאלה על אחד הקודים במדריך –‬
‫לדוגמה‪ :‬קוד עבירה‪ .‬הוא יכול לומר משהו כמו‪" :‬כשאני עושה תחקיר ‪ OFF‬ב‬
‫‪ ,NCIC‬אני מקבל הודעת שגיאה "המערכת קרסה"‪ .‬אתה מקבל גם את אותו‬
‫הדבר כשאתה עושה ‪ ?OFF‬אתה מוכן לבדוק את זה בשבילי?" או אולי הוא היה‬
‫אומר שהוא מנסה לחפש את ‪ – WPF‬הכינוי המשטרתי לקובץ של המבוקשים‪.‬‬

‫הפקיד בצד השני של הטלפון היה בולע את הפיתיון שהמתקשר שם לו בכך‬

‫שהפגין את ידיעותיו בנהלי העבודה ובפקודות של מסד הנתונים ב ‪ .NCIC‬חוץ‬
‫מאנשים שרגילים להשתמש במערכת של ה‪ NCIC‬למה שמישהו יכיר את‬
‫הדברים האלה?‬
‫לאחר שהפקיד אישר שאצלו המערכת עובדת בסדר‪ ,‬השיחה יכולה להתנהל בערך‬
‫כך‪:‬‬
‫"אני יכול לקבל ממך קצת עזרה‪" ".‬מה אתה מחפש?"‬
‫"אני צריך להריץ את הפקודה ‪ OFF‬על רירדון‪ ,‬מרטין‪ .‬תאריך לידה ‪".10118/66‬‬
‫"מה ה‪) "?sosh-‬אנשי אכיפת החוק קוראים לפעמים למספר הביטוח הלאומי‬
‫בשם ‪.(sosh‬‬
‫"‪".700-14-7435‬‬
‫לאחר ביצוע החיפוש‪ ,‬הוא יחזור ויגיד משהו בסגנון של‪:‬‬
‫"יש לו ‪".2602‬‬
‫כל מה שהתוקף צריך לעשות זה לחפש באתר של ‪ NCIC‬באינטרנט ולמצוא את‬
‫משמעות המספר‪ :‬במקרה שלנו לברנש יש רקורד של נוכל‪.‬‬

‫ניתוח ההונאה‬
‫מהנדס חברתי טוב לעולם לא יחשוב על דרכים לפרוץ למסד הנתונים של ה‪-‬‬
‫‪ .NCIC‬מדוע שיעשה זאת כאשר שיחה פשוטה לתחנת המשטרה המקומית‬
‫בתוספת דיבור חלקלק‪ ,‬כדי שישמע כאילו הוא אחד מבפנים בצורה משכנעת‪ ,‬זה‬
‫כל מה שנדרש כדי להשיג את המידע שהוא רוצה? בפעם הבאה‪ ,‬הוא יתקשר‬
‫לתחנת משטרה אחרת וישתמש באותה אמתלה‪.‬‬

‫ז'רגון‬
‫‪ :SOSH‬הכינוי של אנשי אכיפת החוק למספר הביטוח הלאומי‪.‬‬

‫ייתכן ואתה תוהה לעצמך אם זה לא מסוכן להתקשר למשטרה‪ ,‬לתחנת השריף‪ ,‬או‬
‫למשרדי משטרת התנועה? האם התוקף לא פועל תחת סיכון גדול מדי?‬
‫שליטה בחוליה האנושית באבטחה‬

‫התשובה היא לא‪ ...‬ויש סיבה ספציפית לכך‪ .‬אנשי אכיפת החוק כמו אנשים‬
‫בצבא‪ ,‬לומדים מיומם הראשון במערכת לתת כבוד לדרגה‪ ,‬זה מושרש בהם בצורה‬
‫עמוקה‪ .‬כל עוד מהנדס חברתי מתחזה לסמל או קצין ‪ -‬דרגות גבוהות יותר מאלו‬
‫של האדם שאיתו הוא מדבר ‪ -‬הקורבן יפעל לפי השיעור שהוא למד היטב שאומר‬
‫ש לא מפקפקים בדברי אנשים בעלי דרגה גבוהה ממך‪ .‬או במילים אחרות‪ ,‬לאדם‬
‫בעל דרגות יש פריבילגיה רצינית‪ :‬אנשים בדרגה נמוכה לא יעזו לעמוד בדרכו ‪.‬‬

‫אבל אל תטעה לחשוב שמוסדות אכיפת החוק והצבא הם המקומות היחידים‬

‫שבהם כבוד לדרגה מנוצל ע"י מהנדס חברתי‪ .‬לעיתים קרובות מהנדסים חברתיים‬
‫משתמשים בסמכות או בדרגה גבוהה בהיררכיה הארגונית ככלי נשק‬
‫בהתקפותיהם על עסקים ‪ -‬כמו שיעידו מספר סיפורים בספר הזה‪.‬‬

‫מניעת ההונאה‬
‫באילו צעדים הארגון שלך יכולים לנקוט כדי להפחית את הסבירות שהמהנדסים‬
‫החברתיים ינצלו האינסטינקט הטבעי של עובדיך לבטוח באנשים? להלן כמה‬
‫הצעות‪.‬‬

‫הגן על לקוחותיך‬
‫בעידן האלקטרוני‪ ,‬חברות רבות מוכרות ישירות לצרכן ושומרות את כרטיסי‬
‫האשראי של הלקוחות על קובץ‪ .‬ישנן סיבות לכך‪ :‬זה חוסך ללקוח את הטרחה‬
‫בלספק את פרטי כרטיס האשראי בכל פעם שהוא מבקר בחנות או באתר‬
‫האינטרנט על מנת לבצע רכישה‪ .‬עם זאת‪ ,‬בפועל הדבר מהווה בעיית אבטחה‬
‫חמורה‪.‬‬

‫אם אתה מוכרח לשמור את מספרי כרטיסי אשראי בקובץ‪ ,‬התהליך צריך להיות‬
‫מלווה בהוראות ביטחון שהן מעבר להצפנה או שימוש בבקרת גישה‪ .‬העובדים‬
‫צריכים להיות מיומנים בזיהוי הונאות של הנדסה חברתית כמו אלו בפרק זה‪ .‬עובד‬
‫עמית שמעולם לא פגשת פנים אל פנים אבל הפך לחבר טלפוני עלול להיות לא מי‬
‫שהוא מתיימר להיות‪ .‬ייתכן שהוא לא "צריך לדעת" איך מקבלים גישה למידע‬
‫רגיש של לקוח‪ ,‬בגלל שיכול להיות שהוא בכלל לא עובד בחברה‪.‬‬

‫המסר של מיטניק‬
‫כולם צריכים להיות מודעים לשיטת הפעולה של מהנדס חברתי‪ :‬איסוף מידע רב‬
‫ככל שניתן על המטרה ושימוש במידע הזה כדי לרכוש אמון שהוא בא מתוך‬
‫החברה‪ .‬ואז להתחיל לתקוף בלי מעצורים!‬
‫אמון בחוכמה‬
 ‫פרק ‪ - 4‬יצירת אמון‬ ‫‪57‬‬

‫לא רק אנשים שיש להם גישה למידע שברור שהוא רגיש ‪ -‬מהנדסי תוכנה‪ ,‬אנשים‬
‫בתחום המו"פ‪ ,‬וכן הלאה – צריכים לדעת להתגונן מפני חדירות‪ .‬כמעט כל אחד‬
‫בארגון שלך צריך לעבור הכשרה שתלמד אותו להגן על הארגון מפני מרגלים‬
‫תעשייתיים וגנבי מידע‪.‬‬

‫פריסת תשתית כזו צריכה להתחיל בבדיקה מקיפה‪ :‬מהם נכסי המידע של החברה‬
‫ובחינה של כל נכס בנפרד תוך בדיקה עד כמה הוא רגיש‪ ,‬חיוני לפעילות החברה‬
‫ובעל ערך כספי‪ .‬כמו כן יש לחשוב מהן השיטות שבאמצעותם תוקף עלול לסכן‬
‫את אותם נכסים ע"י טקטיקות של הנדסה חברתית‪ .‬לפי התשובות לשאלות אלו יש‬
‫לבנות מערך הכשרה מתאים‪.‬‬

‫כאשר מישהו שאתה לא מכיר אישית מבקש מידע או חומר‪ ,‬או מבקש ממך לבצע‬
‫משימה כלשהיא במחשב שלך‪,‬על העובדים שלך לשאול את עצמם כמה שאלות‪.‬‬
‫אם הייתי נותן את המידע הזה לאויב הגרוע ביותר שלי‪ ,‬הוא היה יכול להשתמש‬
‫בו כדי לפגוע בי או בחברה שלי? האם אני לגמרי מבין את ההשפעה‬
‫הפוטנציאלית של הפקודות שאני מתבקש להכניס למחשב שלי?‬

‫אנחנו לא רוצים לבלות את החיים בלחשוד בכל אדם חדש שאנו פוגשים‪ .‬אבל‬
‫כמה שניתן יותר אמון‪ ,‬כך סביר שמהנדס החברתי הבא שיהיה בסביבה יצליח‬
‫לרמות אותנו ולגרום לנו למסור לו את המידע הקנייני של החברה שלנו‪.‬‬

‫אבטחת הרשת הפנים ארגונית‬

‫חלקים מהרשת הפנימית )אינטראנט( בארגונך יכולים להיות נגישים דרך‬
‫האינטרנט לכל אחד‪ ,‬וחלקים אחרים מוגבלים לעובדים בלבד‪ .‬כיצד ניתן לוודא‬
‫שמידע רגיש לא פורסם בטעות ברשת הכללית? מתי בפעם האחרונה מישהו‬
‫בארגון שלך בדק שאין מידע רגיש שקיבל הרשאות ציבוריות וכל אחד שגולש‬
‫באתר החברה יכול למצוא אותו?‬

‫במידה והחברה שלך הטמיעה שרתי פרוקסי על מנת להגן על הארגון מפני איומי‬
‫אבטחה‪ ,‬האם השרתים האלו נבדקו לאחרונה כדי לוודא שהם מוגדרים כהלכה?‬

‫למעשה‪ ,‬האם מישהו אי פעם בדק את האבטחה של האינטראנט שלך?‬

‫שליטה בחוליה האנושית באבטחה‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪59‬‬

‫פרק ‪" - 5‬תן לי לעזור לך"‬

‫כאשר אנחנו סובלים מבעיה כלשהיא ומישהו עם ידע‪ ,‬כישרון ונכונות לעזור מציע‬
‫את עזרתו‪ ,‬כולנו מרגישים אסירי תודה כלפיו‪.‬‬
‫מהנדס חברתי מבין זאת‪ ,‬ויודע איך לנצל את זה‪.‬‬

‫הוא גם יודע איך לייצר בשבילך בעיה‪ ,..‬ואז לגרום לך להיות אסיר תודה כלפיו‬
‫כשהוא פותר את הבעיה‪ ,..‬ובסופו של דבר גם לשחק על רגש הכרת התודה שלך‬
‫כדי לחלץ קצת מידע או טובה קטנה ממך שישאירו את החברה שלך )או אותך(‬
‫חשופה לפגיעה‪ .‬ואתה אף פעם לא תוכל לדעת שאיבדת דבר בעל ערך‪ .‬להלן‬
‫מספר דרכים טיפוסיות שבאמצעותן מנסים מהנדסים חברתיים "עוזרים" לך‪.‬‬

‫הרשת מנותקת‬
‫תאריך ושעה‪ :‬יום שני‪ 12 ,‬בפברואר‪15:25 ,‬‬
‫מקום‪ :‬משרדי ‪.Starboard Shipbuilding‬‬

‫השיחה הראשונה‪ :‬טום דיליי‬

‫"טום דיליי‪ ,‬הנהלת חשבונות"‪.‬‬
‫"היי‪ ,‬טום‪ ,‬זה אדי מרטין מהתמיכה הטכנית‪ .‬אנחנו מנסים לפתור בעיה ברשת‬
‫המחשבים‪ .‬האם אתה יודע על מישהו בקבוצה שלך שהתנתק מהרשת?"‬
‫"לא שאני מכיר"‪.‬‬
‫"ואתה עצמך לא נתקל בבעיות כלשהן?"‬
‫"לא‪ ,‬נראה לי שהכל בסדר‪".‬‬
‫"טוב‪ ,‬מצוין‪ .‬תקשיב‪ ,‬אנחנו מתקשרים לאנשים שעלולים להיפגע מהתקלה חשוב‬
‫שתיידע אותנו במיידית במידה ואתה מאבד את החיבור לרשת‪".‬‬
‫"זה לא נשמע טוב‪ .‬אתה חושב שזה יכול לקרות?"‬
‫"אנחנו מקווים שלא‪ ,‬אבל תתקשר אם זה יקרה‪ ,‬בסדר?"‬
‫"ברור‪".‬‬
‫"תשמע‪ ,‬אני שומע בקולך שבמידה והחיבור שלך לרשת יתנתק זאת יכולה להיות‬
‫בעיה בשבילך ‪"...‬‬
‫"תהיה בטוח שזאת תהיה בעיה"‪.‬‬
‫"‪ ...‬אז בזמן שאנחנו מטפלים בזה‪ ,‬תן לי לתת לך את מספר הפלאפון שלי‪ .‬כך‬
‫שתוכל להגיע אלי ישירות במידת הצורך‪".‬‬
‫"זה יהיה נהדר‪ .‬בבקשה‪".‬‬
‫"המספר הוא ‪".5309 867 555‬‬
‫"‪ .5309 867 555‬קיבלתי‪ .‬תודה‪ .‬שוב‪ ,‬מה שמך?"‬
‫שליטה בחוליה האנושית באבטחה‬

‫"שמי אדי‪ .‬רק עוד דבר אחד ‪ -‬אני צריך לבדוק לאיזו יציאה המחשב שלך מחובר‪.‬‬
‫אז תסתכל על המחשב שלך ותבדוק אם יש עליו מדבקה שכתוב עליה משהו כמו‬
‫"מספר יציאה"‪.‬‬
‫"חכה לא‪ ,‬אני לא רואה דבר כזה‪".‬‬
‫"אוקיי‪ ,‬אז בחלק האחורי של המחשב אתה מזהה את כבל הרשת‪".‬‬
‫"כן‪".‬‬
‫"תעקוב אחריו למקום שבו הוא מתחבר לרשת ותראה אם יש תווית על השקע‬
‫שהוא מחובר אליו‪".‬‬
‫"חכה שנייה כן‪ ,‬חכה רגע ‪ -‬אני צריך להתכופף כאן כדי שאוכל להתקרב מספיק‬
‫כדי לקרוא את זה‪ .‬אוקיי –כתוב פה יציאה ‪"6-47‬‬
‫"מעולה ‪ -‬זה מה שמופיע אצלי‪ ,‬רק רציתי לוודא‪".‬‬

‫השיחה השנייה‪ :‬הבחור מה‪IT-‬‬

‫יומיים לאחר מכן‪ ,‬הגיע טלפון למחלקת ה‪ IT-‬באותה חברה‪.‬‬
‫"היי‪ ,‬זה בוב‪ ,‬אני במשרד של טום דיליי מהנהלת החשבונות‪ .‬אנחנו מנסים לפתור‬
‫בעיה בכבלים ואני צריך לנטרל את יציאה ‪"...6-47‬‬
‫הבחור מה‪ IT-‬אמר שהחיבור ינותק בתוך דקות ספורות‪ .‬הוא ביקש מבוב שיודיע‬
‫לו מתי הוא מסיים לעבוד שם כדי שהוא יחבר את העמדה בחזרה‪.‬‬

‫שיחה שלישית‪ :‬קבלת עזרה מהאויב‬

‫כשעה לאחר מכן‪ ,‬הבחור שקרא לעצמו אדי מרטין עשה קניות ב ‪,Circuit City‬‬
‫כאשר הטלפון הנייד שלו צלצל‪ .‬הוא בדק את זהות המתקשר‪ ,‬וראה שהשיחה‬
‫הגיעה מחברת בניית הספינות‪ .‬הוא מיהר למקום שקט לפני שענה‪.‬‬
‫"תמיכה טכנית‪ ,‬אדי‪".‬‬
‫" היי אדי‪ .‬יש לך הד‪ ,‬איפה אתה נמצא?"‬
‫"אני‪ ,‬אה‪ ,‬בתוך ארון כבלים‪ .‬מי זה?‬
‫"זה טום דיליי‪ .‬אוי‪ ,‬כמה שאני שמח שהגעתי אליך‪ .‬אולי אתה זוכר שהתקשרת‬
‫אלי לפני כמה ימים? חיבור הרשת שלי התנתק כמו שאמרת שיכול לקרות‪ ,‬ואני‬
‫קצת בפאניקה"‪.‬‬
‫"כן‪ ,‬יש לנו קבוצה של אנשים מנותקים עכשיו‪ .‬אנחנו נסיים לטפל בזה עד סוף‬
‫היום‪ .‬זה בסדר?"‬
‫"לא! לעזאזל‪ ,‬אני אצטרך למצוא דרך אחרת להתחבר לאינטרנט אם אהיה מנותק‬
‫כל כך הרבה זמן‪ .‬מה הדבר הכי טוב שאתה יכול לעשות בשבילי?"‬
‫"עד כמה אתה לחוץ על זה?"‬
‫"אני יכול לעשות כמה דברים אחרים עכשיו‪ .‬יש סיכוי שאתה מסיים לטפל בזה‬
‫תוך חצי שעה?"‬
‫"חצי שעה! אתה רוצה את זה ממש מהר‪ .‬ובכן‪ ,‬תראה‪ ,‬אני יפסיק כרגע את מה‬
‫שאני עושה ויראה אם אני יכול לטפל בזה בשבילך‪".‬‬
‫"תודה לך‪ ,‬אני באמת מעריך את זה‪ ,‬אדי‪".‬‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪61‬‬

‫שיחה רביעית‪ :‬תפסתי אותך!‬

‫ארבעים וחמש דקות מאוחר יותר ‪...‬‬
‫"טום? זה אדי‪ .‬בבקשה תבדוק את חיבור הרשת שלך‪".‬‬
‫אחרי כמה רגעים‪:‬‬
‫"אה‪ ,‬טוב‪ ,‬זה עובד‪ .‬פשוט נהדר"‪.‬‬
‫"טוב‪ ,‬שמחתי לעזור לך‪".‬‬
‫"כן‪ ,‬המון תודה‪".‬‬
‫"תשמע‪ ,‬אם אתה רוצה לוודא שהחיבור שלך לא יקרוס שוב‪ ,‬יש כמה תוכנות‬
‫שכדאי להריץ על המחשב‪ .‬זה לוקח כמה דקות‪".‬‬
‫"עכשיו זה לא הזמן הכי טוב"‪.‬‬
‫"אני מבין ‪ ...‬זה יכול לחסוך לנו כאב ראש בפעם הבאה שהרשת תתנתק‪".‬‬
‫"טוב‪ ...‬אם זה רק כמה דקות‪".‬‬
‫"הנה מה שאתה צריך לעשות ‪"...‬‬
‫אדי הסביר לטום את השלבים להורדת יישום קטן מאתר אינטרנט‪ .‬אחרי שהתוכנה‬
‫סיימה לרדת‪ ,‬אדי אמר לטום ללחוץ לחיצה כפולה על האייקון‪ .‬הוא ניסה‪ ,‬אבל‬
‫דיווח‪:‬‬
‫"זה לא עובד‪ .‬זה לא עושה כלום‪".‬‬
‫"אוי‪ ,‬איזה מעצבן‪ .‬כנראה שמשהו לא בסדר עם התוכנה‪ .‬בוא פשוט נמחק אותה‪,‬‬
‫אפשר לנסות שוב בפעם אחרת‪ ".‬והוא הסביר לטום את הצעדים למחיקת‬
‫התוכנה כך שלא יוכלו לשחזר אותה‪.‬‬
‫הזמן שחלף סה"כ‪ -‬שתים עשרה דקות‪.‬‬

‫הסיפור של התוקף‬
‫בובי וואלאס תמיד חשב שזה מצחיק איך שהלקוחות שלו מתקשים להסביר לו‪,‬‬
‫בכל פעם שהם מטילים עליו משימה טובה‪ ,‬כמו זאת‪" ,‬למה הם צריכים את‬
‫המידע"‪ .‬זאת שאלה שלא שואלים‪ ,‬אפילו שברור לכולם שקל לנחש את התשובה‪.‬‬
‫במקרה הזה אפשר לחשוב רק על שתי סיבות‪ :‬או שהלקוח מייצג רוכש פוטנציאלי‬
‫שמעוניין לקנות את חברת המטרה‪ ,Starboard Shipbuilding ,‬ורוצה לדעת‬
‫איך באמת החברה מתנהלת מבחינה פיננסית ‪ -‬במיוחד מעניינים אותו הדברים‬
‫שהחברה תרצה לשמור סמויים מעין רוכשים פוטנציאליים‪ .‬או שהוא מייצג‬
‫משקיעים שחושבים שיש משהו חשוד בניהול כספי החברה והם רוצים לברר אם‬
‫מישהו מצוות ההנהלה שולח ידיים למקומות לא לו‪.‬‬

‫ואולי גם הקליינט שלו לא רוצה לספר לו את הסיבה האמיתית‪ ,‬כי אם בובי ידע‬
‫כמה יקר ערך המידע‪ ,‬הוא ירצה יותר כסף עבור עבודתו‪.‬‬
‫יש הרבה דרכים לחדור לקבצים הסודיים ביותר של חברה‪ .‬בובי בילה כמה ימים‬
‫ושקל את האפשרויות ובסוף החליט לערוך בדיקה קטנה לפני שהוא בוחר תוכנית‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫הוא השתמש בטקטיקה שאהב במיוחד‪ ,‬שבה גורמים למטרה לבקש עזרה‬
‫מהתוקף‪.‬‬

‫בתור התחלה‪ ,‬בובי רכש מכשיר סלולארי ב‪ 39.95‬דולר מחנות נוחות‪ .‬הוא חייג‬
‫לאיש שהוא בחר כמטרה‪ ,‬הציג את עצמו כאחד העובדים מהתמיכה הטכנית‪ ,‬ודאג‬
‫שהבחור יתקשר אליו לפלאפון כשהוא נתקל בבעיה בהתחברות לרשת‪.‬‬

‫הוא הניח לו ליומיים כדי לא להיות שקוף יותר מדי‪ .‬ביום השלישי הוא הרים‬
‫צלצול למרכז הפעלת הרשת )‪ (NOC‬שבחברה‪ .‬הוא טען שהוא מתקן תקלה אצל‬
‫טום‪ ,‬המטרה שלו‪ ,‬וביקש לנתק את חיבור הרשת של טום‪ .‬בובי ידע שזה החלק‬
‫הבעייתי ביותר בהתקפה שלו משום שבהרבה חברות‪ ,‬אנשי התמיכה הטכנית‬
‫עובדים צמוד עם ה‪ .NOC-‬למעשה הוא ידע שבהרבה חברות התמיכה הטכנית‬
‫היא חלק ממחלקת ה‪ IT-‬בארגון‪ .‬אבל הבחור האדיש מ‪ NOC -‬שהוא דיבר‬
‫איתו‪ ,‬לא בקש את שם האדם שאמור לטפל בבעיות הרשת והסכים לנתק את‬
‫מחשב המטרה מהרשת‪ .‬כשהוא ניתק אותו‪ ,‬טום היה מנותק לגמרי מהרשת‬
‫הפנימית בארגון‪ .‬הוא לא יכל לגשת לקבצים בשרת‪ ,‬לעבוד על קבצים יחד עם‬
‫אנשים אחרים בחברה‪ ,‬לקרוא את האימייל שלו ואפילו לא לשלוח עמוד להדפסה‪.‬‬
‫בעולם של היום זה כמו לחיות במערה‪.‬‬

‫כמו שבובי ציפה‪ ,‬לא עבר זמן רב עד שהפלאפון שלו צלצל‪ .‬כמובן שהוא נשמע‬
‫כאחד שמשתוקק לעזור לחבר בעבודה‪ .‬ואז הוא התקשר חזרה ל ‪ NOC‬וביקש‬
‫לחבר את הרשת שהם ניתקו‪ .‬לבסוף הוא צלצל לאיש הנהלת החשבונות והפעיל‬
‫עליו מניפולציה פעם נוספת‪ ,‬עכשיו כשהוא הרגיש הכרת תודה כלפיו‪ ,‬בובי ביקש‬
‫ממנו לעשות לו טובה‪ .‬טום הסכים לבקשתו והוריד תוכנה קטנה למחשב שלו‪.‬‬

‫כמובן שהתוכנה שהוא הוריד לא הייתה בדיוק כמו שהיא נראתה‪ .‬התוכנה שטום‬
‫חשב לתומו שתבטיח שהוא לא יתנתק מהרשת עוד פעם‪ ,‬הייתה למעשה סוס‬
‫טרויאני‪ -‬תוכנה שרצה על המחשב של טום ושחזרה בדיוק את ההונאה המקורית‬
‫של הסוס הטרויאני‪ :‬היא אפשרה לאויב להיכנס לתוככי הארגון‪ .‬טום דיווח שלא‬
‫קורה כלום כשהוא עושה דאבל קליק על האייקון של התוכנה; למעשה זה עשה‪,‬‬
‫אמנם לא ראו שקורה משהו‪ ,‬אבל האפליקציה התקינה מאחורי הקלעים תוכנה‬
‫סודית שתאפשר לתוקף לחדור למחשב של טום‪.‬‬

‫כשהתוכנה רצה‪ ,‬בובי היה צריך להשלים את משימת ההשתלטות על המחשב של‬
‫טום דרך שורת פקודה מרוחקת )‪ .(remote command shell‬כשבובי נכנס‬
‫למחשב של טום הוא חיפש אחרי קבצי חשבונות שעשויים לעניין את הלקוח שלו‬
‫והעתיק אותם‪ .‬לאחר מכן‪ ,‬הוא יבדוק בניחותא את הקבצים וייתן ללקוח שלו את‬
‫מה שהוא מחפש‪.‬‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪63‬‬

‫ז'רגון‬
‫סוס טרויאני‪ :‬תוכנה שמכילה קוד זדוני או מזיק‪ ,‬שמאפשר גישה למידע במחשב‬
‫הקורבן או ברשת הארגונית‪ .‬הרבה מהטרויאנים מתוכנתים לעלות יחד עם מערכת‬
‫ההפעלה בצורה נסתרת‪ ,‬ולעקוב אחרי כל ההקלדות או הפעולות‪ ,‬או לקבל גישה‬
‫לרשת כדי לבצע משימה מסוימת‪ ,‬כל זה מבלי שהקורבן מודע לנוכחותו‪.‬‬

‫וזה עוד לא הכל‪ .‬הוא יכול לחזור בכל עת לחפש בהודעות אימייל ובתזכירים‬
‫הפרטיים של בכירי החברה ולהריץ חיפוש טקסט של מילים שיכולות לחשוף‬
‫מידע מעניין על החברה‪.‬‬

‫מאוחר בלילה‪ ,‬אחרי שהמטרה שלו כבר התקינה את הסוס טרויאני‪ ,‬בובי זרק את‬
‫הפלאפון לפח אשפה‪ .‬בוודאי שהוא הקפיד למחוק את השיחות האחרונות‬
‫ולהוציא את הבטרייה לפני שעשה זאת‪ ,‬את הדבר האחרון הוא עשה כדי למנוע‬
‫מצב שבו מישהו יתקשר בטעות לפלאפון שלו והוא יתחיל לצלצל בפח!‬

‫ניתוח ההונאה‬
‫התוקף משכנע את המטרה שלו שיש לו בעיה‪ ,‬שלמעשה לא קיימת‪ -‬או במקרה‬
‫שלנו‪ ,‬בעיה שעדיין לא התרחשה‪ ,‬אבל התוקף ידע שהיא תתרחש בגלל שהוא‬
‫הולך לגרום לה לקרות‪ .‬הוא הציג את עצמו כאדם שיכול לפתור את הבעיה‪.‬‬

‫היופי בהתקפה כזאת הוא שהקורבן נופל כפרי עסיסי בידי התוקף‪ :‬בזכות הזרע‬
‫שהוא טמן באדמה מבעוד מועד ברגע שהמטרה גילתה את התקלה‪ ,‬הוא התקשר‬
‫בעצמו להתחנן לעזרה‪ .‬התוקף רק ישב וחיכה לצלצול הפלאפון‪ .‬טקטיקה שידועה‬
‫לטובה במכירות ועובדת נהדר גם בהנדסה חברתית הפוכה‪ .‬התוקף גרם לקורבן‬
‫להתקשר אליו במטרה ליצור אמינות‪ :‬אם אני מתקשר למישהו שאני בטוח שהוא‬
‫מהתמיכה הטכנית‪ ,‬אני לא יתחיל לשאול אותו שאלות כדי לאמת את זהותו‪ .‬וזה‬
‫מה שהתוקף רצה שיקרה‪.‬‬

‫ז'רגון‬
‫שורת פקודה מרוחקת‪ :‬ממשק לא גרפי שמבוסס על הקלדת פקודות טקסטואליות‬
‫לביצוע פעולות או הרצת תוכנות‪ .‬תוקף שמנצל פרצה טכנית או הצליח להתקין‬
‫סוס טרויאני על מחשב הקורבן יכול להשתמש בשורת הפקודה המרוחקת כדי‬
‫לשלוט במחשב הקורבן‪.‬‬

‫הנדסה חברתית הפוכה‪ :‬התקפה של הנדסה חברתית שבה התוקף גורם לקורבן‬
‫להתקשר אליו לקבלת עזרה כשהוא נתקל בבעיה‪ .‬צורה אחרת של הנדסה חברתית‬
‫הפוכה‪ ,‬הופכת את התוקף למותקף‪ :‬במידה והיעד מזהה את ניסיון התקיפה הוא‬
‫דולה מהתוקף כמה שיותר מידע באמצעות שימוש בעקרונות פסיכולוגיים‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫המסר של מיטניק‬
‫אם ביקשו ממך לעשות טובה‪ ,‬אחרי שעשו לך טובה‪ ,‬אל תסכים לעשות אותה בלי‬
‫לחשוב על ההשלכות שיכולות להיות לה‪.‬‬

‫בהונאה כמו זאת‪ ,‬המהנדס החברתי מנסה לבחור במטרה שהידע שלה במחשבים‬
‫צפוי להיות מוגבל‪ .‬ככל שהמטרה מבינה יותר היא תחשוד או אפילו תבין שמנסים‬
‫לעשות עליה מניפולציה‪ .‬עובדים שאני מכנה אותם "מאותגרי טכנולוגיה" שכמעט‬
‫לא מבינים במחשבים וטכנולוגיה‪ ,‬יכולים ליפול למלכודת הזאת בקלות רבה‬
‫מכיוון שהם אינם מבינים את הנזק הפוטנציאלי שטמון בהתקנת תוכנה במחשב‪.‬‬

‫טובה קטנה מהעובדת החדשה‬

‫עובדים חדשים הם מטרה נוחה למהנדס חברתי‪ .‬הם עדיין לא מכירים הרבה‬
‫אנשים ולא מכירים את התהליכים או את כללי העשה והלא תעשה בחברה‪ .‬בנוסף‪,‬‬
‫הם להוטים להוכיח את עצמם ולהראות איך הם משתפים פעולה ועונים הכי מהר‬
‫שהם יכולים‪.‬‬

‫אנדריאה המועילה‬
‫"משאבי אנוש‪ ,‬אנדריאה קאלהון‪".‬‬
‫"אנדריאה‪ ,‬היי זה אלכס מחברת האבטחה‪".‬‬
‫"כן?"‬
‫"מה שלומך?"‬
‫"מצויין‪ .‬במה אני יכולה לעזור לך?"‬
‫"תקשיבי‪ ,‬אנחנו מפתחים סמינר אבטחה לעובדים החדשים ואנחנו צריכים לבדוק‬
‫אותו על כמה אנשים‪ .‬אני רוצה שתביאי לי שמות ומספרי טלפון של כל העובדים‬
‫שהצטרפו בחודש האחרון‪ .‬את יכולה לעזור לי עם זה?"‬
‫"אני לא אגיע לזה עד אחרי הצהריים‪ .‬זה בסדר?"‬
‫"מה הסיומת של הטלפון שלך?"‬
‫"בטח‪ ,‬בסדר‪ ,‬הסיומת היא ‪ 52‬אבל רוב היום אני בפגישות‪ .‬אני אתקשר אליך‬
‫כשאני אחזור למשרד שלי‪ ,‬כנראה אחרי ארבע‪".‬‬
‫כשאלכס התקשר בערך ב‪ 4:30‬אנדריאה כבר הכינה את הרשימה‪ .‬והקריאה לו את‬
‫השמות ואת הסיומות של הטלפונים‪.‬‬

‫הודעה לרוזמרי‬
‫רוזמרי מורגן הייתה מאושרת מעבודתה החדשה‪ .‬היא מעולם לא עבדה במגזין‬
‫קודם לכן‪ ,‬והיא גילתה אנשים יותר חברותיים משהיא ציפתה‪ ,‬זה מפתיע בהתחשב‬
‫בלחץ העצום שהיה על רוב חברי הצוות להגיש את החומרים לפני הדד ליין‬
‫החודשי‪.‬‬

‫השיחה שהיא קבלה בבוקר יום שלישי‪ ,‬אישרה שוב את זה התרשמותה הטובה‪.‬‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪65‬‬

‫"האם זאת רוזמרי מורגן?"‬

‫"כן‪".‬‬
‫"היי רוזמרי‪ ,‬מדבר ביל ג'ורדי מקבוצת אבטחת מידע‪".‬‬
‫"כן?"‬
‫"מישהו מהמחלקה שלנו דיבר איתך על נהלי האבטחה בחברה?"‬
‫"אני לא חושבת‪".‬‬
‫"ובכן‪ ,‬בואי נראה‪ .‬בתור התחלה‪ ,‬אנחנו לא מאפשרים לאף אחד להתקין תוכנות‬
‫שהוא הביא מבחוץ‪ .‬בגלל שאנחנו לא רוצים להסתבך עם שימוש בתוכנות לא‬
‫חוקיות‪ .‬וגם אנחנו לא רוצים בעיות עם קבצים שנגועים בתולעים או ווירוסים‪".‬‬
‫"אוקיי‪".‬‬
‫"האם את מכירה את מדיניות האימייל?"‬
‫"לא"‬
‫"מה כתובת הדואר המדוייקת שלך?"‬
‫"‪".Rosemary@ttrzine.net‬‬
‫את מתחברת תחת השם משתמש‪?Rosemary -‬‬
‫לא‪ ,‬השם משתמש שלי הוא ‪ R‬קו תחתי ‪.Morgan‬‬
‫"מצוין‪ ,‬אנחנו נוהגים להסביר לכל הלקוחות החדשים בחברה‪ ,‬שזה עלול להיות‬
‫מסוכן לפתוח מייל שלא ציפית לו‪ .‬הרבה וירוסים מגיעים דרך מיילים שנראים‬
‫שנשלחו ממישהו שאת מכירה‪ .‬אז אם את מקבלת אימייל עם קובץ מצורף שלא‬
‫ציפית לו את תמיד צריכה לבדוק שהשולח באמת שלח לך את ההודעה‪ .‬את‬
‫מבינה?"‬
‫"כן שמעתי על זה‪".‬‬
‫"טוב‪ .‬ואת המדיניות שלנו שאומרת שאת צריכה להחליף סיסמא כל ‪ 90‬יום‪ ...‬מתי‬
‫החלפת סיסמא בפעם האחרונה?"‬
‫"אני כאן רק שלושה שבועות; אני עדיין משתמשת בסיסמא הראשונה שהגדרתי‪".‬‬
‫אוקיי‪ ,‬זה בסדר‪ .‬את יכולה לחכות עם ההחלפה עד ‪ 90‬יום‪".‬‬
‫"אבל אנחנו רוצים לוודא שאנשים משתמשים בסיסמאות שלא כל כך קל לנחש‪.‬‬
‫את משתמשת בסיסמא שמכילה גם אותיות וגם מספרים?"‬
‫"לא‪".‬‬
‫"אנחנו נצטרך לתקן את זה‪ .‬באיזו סיסמא את משתמשת עכשיו?"‬
‫"בשם של הבת שלי‪ -‬אנט‪".‬‬
‫"זאת סיסמה מאוד לא בטוחה‪ .‬אסור אף פעם להשתמש בסיסמא שמבוססת על‬
‫מידע משפחתי‪ .‬טוב‪ ,‬בואי נראה מה נעשה‪ ...‬את יכולה לעשות את מה שאני‬
‫עושה‪.‬‬
‫אפשר להשתמש בסיסמא שלך עכשיו כחלק הראשון של הסיסמא‪ ,‬אבל תשני את‬
‫זה כל פעם ותוסיפי את מספר החודש הנוכחי‪".‬‬
‫"אז אם אנחנו עכשיו במרץ‪ ,‬אני משתמשת בשלוש‪".‬‬
‫"תפסת את זה‪ .‬בואי רק נוודא מה הסיסמא שלך עכשיו"‬
‫שליטה בחוליה האנושית באבטחה‬

‫"אני מניחה ש אנט‪"3-‬‬

‫"בסדר‪ ,‬את רוצה שאני יראה לך איך משנים סיסמא?"‬
‫"לא‪ ,‬אני יודעת‪".‬‬
‫"טוב מאוד‪ .‬רק עוד דבר אחד שאנחנו צריכים לדבר עליו‪ .‬יש לך אנטי וירוס על‬
‫המחשב ומאוד חשוב לדאוג שיהיה מעודכן‪ .‬לעולם אל תבטלי את העדכונים‬
‫האוטומטים אפילו אם המחשב שלך עולה לאט‪ .‬אוקיי?‬
‫"בטח‪".‬‬
‫"יש לך את המספר שלנו‪ ,‬שתוכלי להתקשר אליו אם יש לך תקלה כלשהי‬
‫במחשב?"‬
‫לא היה לה והוא נתן לה מספר‪ .‬היא רשמה אותו בקפדנות וחזרה לעבוד‪ ,‬מרוצה‬
‫מאיך שהתייחסו אליה‪.‬‬

‫ניתוח ההונאה‬
‫הסיפור הזה מחזק את הנקודה הבסיסית שתמצא לאורך הספר‪ :‬המידע הנפוץ‬
‫ביותר שמהנדס חברתי רוצה להשיג מהעובד‪ ,‬בלי קשר למטרתו הסופית‪ ,‬זה נתוני‬
‫ההזדהות שלו‪ .‬עם שם משתמש וסיסמה של עובד אחד באזור הנכון של החברה‪,‬‬
‫לתוקף יש את כל מה שהוא צריך כדי לפרוץ למערכת‪ .‬מידע כזה שקול למציאת‬
‫מפתחות הממלכה; ברגע שמצאת אותם תוכל לנוע בחופשיות ברחבי הממלכה‬
‫ולמצוא את האוצר שאתה מחפש‪.‬‬

‫המסר של מיטניק‬
‫לפני שאתם נותנים לעובדים חדשים גישה למערכת המחשבים בחברה‪ ,‬אתם‬
‫מוכרחים להדריך אותם עם נהלי אבטחה טובים‪ ,‬במיוחד שלא חושפים סיסמא‬
‫בשום מצב‪.‬‬

‫לא בטוח כמו שאתה חושב‬

‫"חברה שלא מתאמצת להגן על המידע שלה היא רשלנית" הרבה אנשים מסכימים‬
‫עם המשפט הזה‪ ,‬והעולם היה מקום טוב יותר אם החיים היו כאלו פשוטים וקלים‪.‬‬
‫המציאות היא שגם חברות שמתאמצות להגן על המידע שלהם יכולות להיות‬
‫בסיכון רציני‪.‬‬

‫הסיפור של סטיב קריימר‬

‫זה לא היה דשא גדול‪ ,‬לא אחד מאלה ששולחים שורשים לכל עבר‪ .‬בכל אופן‪ ,‬הוא‬
‫לא היה גדול מספיק כדי לתת לו תירוץ לקנות מכסחת שיושבים עליה‪ ,‬וזה היה‬
‫בסדר כי בכל מקרה הוא לא היה משתמש בה‪ .‬סטיב אהב להיות עם עצמו‬
‫ולהתמקד במחשבותיו במקום להקשיב לאנה מספרת לו סיפורים על אנשים בבנק‬
‫בו היא עבדה או מורה לו מה לעשות‪ .‬הוא שנא את רשימת המטלות שאשתו‬
‫השאירה לו והפכה לחלק בלתי נפרד מסופי השבוע שלו‪ .‬במוחו הבזיקה המחשבה‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪67‬‬

‫על כך שהוא צריך לקחת את פיט בן ה‪ 12-‬לחוג השחייה‪ .‬מעכשיו הוא צריך ללכת‬
‫לאימון או להיפגש כל יום שבת כדי לא להיתקע עם המטלות המחורבנות‪.‬‬

‫אנשים עלולים לחשוב שהעבודה של סטיב‪ ,‬תכנון מכשירים חדשים ב‪-‬‬

‫‪ ,GeminiMed‬היא עבודה משעממת‪ .‬סטיב ידע שהוא מציל חיי אדם‪ .‬סטיב‬
‫חשב על עצמו כאדם שעובד בעבודה יצירתית‪ .‬בעיניו של סטיב‪ -‬אמן‪ ,‬מלחין‬
‫ומהנדס התמודדו עם אתגר דומה‪ :‬הם יצרו משהו שאף אחד לפניהם לא עשה‪.‬‬
‫המוצר האחרון שהוא עבד עליו – סטנט )תומך( חכם וחדשני ללב‪ ,‬עדיין היה‬
‫ההישג שהוא הכי התגאה בו‪.‬‬

‫השעה הייתה כמעט ‪ 11:30‬באותה שבת‪ ,‬וסטיב היה מוטרד מהעובדה שהוא‬
‫כמעט מסיים לכסח את הדשא‪ ,‬והוא עדיין לא מצא פיתרון למשוכה האחרונה‬
‫שנותרה לו להשלמת הפיתוח של תומך הלב‪ -‬הפחתת צריכת החשמל‪ .‬בעיה‬
‫מושלמת להרהר בה בזמן הכיסוח אך הפיתרון לא נראה באופק‪.‬‬

‫אנה הופיעה בפתח הדלת‪ ,‬שערה מכוסה כרגיל בבנדנה אדומה של קאובוי‪" .‬יש‬
‫לך טלפון" היא צעקה אליו‪" .‬זה מישהו מהעבודה"‪.‬‬
‫"מי?" צעק סטיב בחזרה‪.‬‬
‫"משהו ראלף‪ .‬אני חושבת‪".‬‬
‫ראלף? סטיב לא זכר מישהו בשם ראלף מ ‪ , GeminiMed‬שעלול להתקשר‬
‫אליו בסוף שבוע‪ .‬כנראה שאנה לא שמעה טוב‪.‬‬
‫"סטיב‪ ,‬זה רמון פרץ מהתמיכה הטכנית"‪ .‬רמון ‪ -‬איך לכל הרוחות אנה הגיעה‬
‫לשם ההיספאני ראלף‪ ,‬תהה סטיב‪.‬‬
‫"עדכון קצר" אמר רמון "שלושה שרתים קרסו ואנחנו חושבים שיש לנו תולעת‬
‫שמחקה את כל הקבצים‪ .‬אנחנו צריכים לשחזר את כל הקבצים מהגיבוי‪ .‬את‬
‫הקבצים שלך נוכל לקבל ביום רביעי או חמישי‪ .‬אם יהיה לנו מזל‪".‬‬
‫"ממש לא מקובל" אמר סטיב בתקיפות מנסה לא לתת לתסכולו להשתלט עליו‪.‬‬
‫איך האנשים האלה יכולים להיות כל כך טיפשים? האם הם באמת חושבים שהוא‬
‫יכול להסתדר בלי גישה לקבצים שלו כל סוף השבוע ורוב שבוע הבא? "אין‬
‫סיכוי‪ .‬אני הולך לעבוד במסוף בבית שלי בערך שעתיים ואז אני אצטרך גישה‬
‫לקבצים שלי‪ .‬האם הבהרתי את עצמי? "‬
‫"כן‪ ,‬טוב‪ ,‬כל אלו שהתקשרתי אליהם עד כה רוצים להיות בראש הרשימה‪ .‬ויתרתי‬
‫על סוף השבוע שלי לבוא ולעבוד על זה‪ ,‬וזה ממש לא כיף שכל מי שאני מדבר‬
‫איתו כועס עלי‪" .‬‬
‫"אני צריך להספיק לגמור את העבודה עד לדד‪-‬ליין והוא מאוד קרוב‪ .‬החברה‬
‫בונה על זה‪ ,‬אני חייב לעשות את העבודה היום אחר הצהריים‪ .‬איזה חלק אתה לא‬
‫מבין?"‬
‫"יש לי להתקשר לעוד הרבה אנשים לפני שאני יכול להתחיל לעבוד על השחזור‪",‬‬
‫נאנח רמון‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫"בוא נסכם שהקבצים שלך יהיו מוכנים עד יום שלישי?"‬

‫"לא יום שלישי‪ ,‬לא יום שני‪ ,‬היום‪ .‬עכשיו!" אמר סטיב ותהה אם הוא העביר את‬
‫הנקודה שלו בצורה מספיק ברורה כדי שתיכנס לראש הסתום של הבחור הזה‪.‬‬
‫"אוקיי‪ ,‬אוקיי"‪ ,‬אמר רמון‪ ,‬וסטיב יכול לשמוע אותו רוטן לעצמו ברוגז‪" .‬תן לי‬
‫לראות מה אני יכול לעשות כדי לעזור לך‪ .‬אתה משתמש בשרת ‪ ,RM22‬נכון?"‬
‫"‪ RM22‬ו ‪ .GM16‬בשניהם‪".‬‬
‫" בסדר‪ ,‬אוקיי‪ ,‬אני יכול לעגל קצת פינות כדי לחסוך זמן‪ -‬מה השם משתמש‬
‫והסיסמא שלך?"‬
‫לכל הרוחות‪ ,‬חשב סטיב‪ .‬מה קורה כאן? למה הוא צריך את הסיסמא שלי? למה‬
‫דווקא איש ה‪ IT-‬מכל האנשים מבקש את זה?‬
‫"מה אמרת שם המשפחה שלך? ומי הממונה עליך?" "רמון פרץ‪ .‬תראה‪ ,‬אני‬
‫אסביר לך מה הולך כאן‪ .‬כשהתחלת לעבוד היית צריך למלא טופס כדי לקבל את‬
‫חשבון המשתמש שלך ושם היית צריך לרשום את הסיסמא שלך‪ .‬אני יכול לבדוק‬
‫ולהראות לך שיש לנו את זה בקבצים כאן‪ .‬אוקיי?"‬
‫סטיב הרהר בכך במשך כמה רגעים‪ ,‬ואז הסכים‪ .‬הוא המתין בקוצר רוח בזמן‬
‫שרמון ניגש לארון התיקים ושלף משם מסמכים‪ .‬בסופו של דבר כשהוא חזר‬
‫לטלפון‪ ,‬סטיב יכל לשמוע אותו נובר בערימת ניירות‪.‬‬
‫"אה‪ ,‬הנה זה" אמר רמון לבסוף "כתבת למטה בתור סיסמא ג'ניס"‪ .‬ג'ניס חשב‬
‫סטיב‪ .‬זה היה שמה של אמו‪ ,‬והוא אכן משתמש בה לפעמים כסיסמא‪ .‬אולי הוא‬
‫באמת כתב את זה בתור סיסמא בעת מילוי הניירות בקבלתו לעבודה‪.‬‬
‫"כן‪ ,‬זה נכון"‪ ,‬הוא הודה‪.‬‬
‫"בסדר‪ ,‬אנחנו מבזבזים את הזמן כאן‪ .‬כבר הבנת שאני באמת מצוות החברה‪ ,‬אם‬
‫אתה רוצה שאני ישתמש בקיצור דרך וישחזר את הקבצים שלך במהירות‪ ,‬אתה‬
‫תצטרך לעזור לי "‪.‬‬
‫"שם המשתמש שלי הוא ‪ ,S, D‬קו תחתון‪ ,‬קריימר ק ‪ -‬ר ‪ -‬י ‪ -‬מ ‪ -‬ר ‪ ,‬והסיסמה‬
‫שקנאי ‪."1‬‬
‫"אני כבר מתחיל לעבוד על זה"‪ ,‬אמר רמון‪ ,‬שנשמע מועיל סוף סוף‪" .‬תן לי כמה‬
‫שעות"‪.‬‬
‫סטיב סיים לכסח את הדשא‪ ,‬אכל ארוחת צהריים‪ ,‬וכשהגיע למחשב שלו מצא‬
‫שהקבצים שלו אכן שוחזרו‪.‬‬
‫הוא היה מרוצה מהטיפול התקיף שלו בבחור מה‪ IT-‬שלא שיתף פעולה‪ ,‬וקיווה‬
‫שאנה שמעה איזה אסרטיבי הוא היה‪ .‬יהיה טוב להגיד כל הכבוד לבחור או לבוס‬
‫שלו‪ ,‬אבל הוא ידע שזה מסוג הדברים שהוא לעולם לא מגיע אליהם‪.‬‬

‫סיפורו של קרייג קוגברן‬

‫קרייג קוגברן היה סוכן מכירות של חברת היי‪-‬טק‪ ,‬והוא עשה את זה טוב‪ .‬לאחר‬
‫זמן מה הוא התחיל להבין שיש לו מיומנות לקריאת הלקוח‪ ,‬הבנה מה מפריע‬
‫לאדם שמולו וזיהוי חולשה או פגיעות שגרמו לו לסגור את המכירה בקלות‪ .‬הוא‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪69‬‬

‫התחיל לחשוב על דרכים אחרות לנצל את הכישרון‪ ,‬מה שבסופו של דבר הוביל‬
‫אותו לשדה רווחי ורחוק‪ :‬ריגול תאגידי‪.‬‬

‫זאת הייתה משימה חמה מאוד‪ .‬ולא נראה לי שהיא תיקח לי הרבה זמן מה שכן‬
‫ישלמו לי עליה מספיק כדי לממן טיול להוואי‪ ,‬או אולי טהיטי‪.‬‬

‫הבחור ששכר אותי לא סיפר לי מי הלקוח‪ ,‬כמובן‪ ,‬אבל הבנתי שזאת חברה שרוצה‬
‫להדביק את התחרות בזינוק קל‪ .‬כל מה שהייתי צריך לעשות זה להשיג את התכנון‬
‫והמפרט הטכני של מוצר חדש שנקרא תומך לב‪ ,‬שיהיה‪ .‬לחברה קוראים‬
‫‪ .GeminiMed‬מעולם לא שמעתי עליה אבל מסתבר שהיא ברשימת פורצ'ן ‪500‬‬
‫ויש לה משרדים בחצי תריסר מקומות‪ -‬מה שהופך את העבודה לקלה יותר מאשר‬
‫בחברה קטנה יותר ששם יש סיכוי סביר שהבחור שאתה מדבר איתו מכיר את‬
‫הבחור שאתה טוען שאתה הוא והוא יודע שאתה משקר‪ .‬כמו שהטייסים אומרים‬
‫על התנגשות באוויר‪ ,‬זה יכול להרוס לך את כל היום‪.‬‬

‫הלקוח שלי שלח לי פקס‪ ,‬כתבה מאיזה מגזין של רופאים שהיה כתוב בה‬
‫ש‪ GeminiMed‬עובדים על סטנט שמתוכנן לגמרי מחדש שנקרא ‪.STHIO0‬‬

‫כדי שלא יהיה לי קשה‪ ,‬איזה עיתונאי עשה בשבילי חלק גדול מעבודת השטח‪ .‬לא‬
‫היה דבר שהייתי צריך לדעת לפני שאני מתחיל חוץ מהשם של המוצר החדש‪.‬‬

‫בעיה ראשונה‪ :‬להשיג שמות של אנשים בחברה שעובדים על ה‪ ,STH100-‬או‬

‫אולי את שמות המתכננים‪ .‬אז התקשרתי למרכזנית ואמרתי לה "הבטחתי לאחד‬
‫האנשים מקבוצת ההנדסה שלכם ליצור איתו קשר ואני לא זוכר את שם משפחתו‪,‬‬
‫אבל שמו הפרטי מתחיל בסמ"ך" והיא אמרה "יש לנו את סקוט ארצ'ר וסם‬
‫דוידסון‪ ".‬לקחתי הימור "מי עובד בקבוצה של ‪ "?STH100‬היא לא ידעה‪ ,‬אז‬
‫פשוט הימרתי על סקוט‪ ,‬והיא העבירה אותי אליו‪.‬‬

‫כשהוא ענה‪ ,‬אמרתי‪" ,‬היי‪ ,‬זה מייק‪ ,‬ממחלקת הדואר‪ .‬יש לנו משלוח של ‪FedEx‬‬
‫כאן והוא מיועד לצוות הפרויקט של סטנט הלב ‪ .STH-100‬יש לך מושג מי‬
‫אמור לקבל אותו?" הוא נתן לי את שמו של מנהל הפרויקט‪ ,‬ג'רי מנדל‪ .‬אפילו‬
‫בקשתי ממנו לחפש את מספר הטלפון בשבילי‪.‬‬

‫התקשרתי‪ .‬מנדל לא היה זמין אבל בתא הקולי שלו הוא השאיר הודעה ואמר‬
‫שהוא בחופשה עד השלוש עשרה בחודש כי הוא נשאר לעוד שבוע סקי‪ ,‬וכל מי‬
‫שצריך משהו בינתיים צריך להתקשר למישל ב ‪ .9137‬מועילים מאוד האנשים‬
‫האלה‪ .‬מאוד מועילים‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫ניתקתי את השיחה וחייגתי למישל‪ .‬כשהיא ענתה לטלפון אמרתי "מדבר ביל‬
‫תומאס‪ .‬ג'רי אמר לי שאני צריך להתקשר אליך כשהמפרט הטכני מוכן‪ .‬הוא רוצה‬
‫שהחבר'ה בקבוצה שלו יסקרו אותו‪ .‬את עובדת על הסטנט ללב‪ ,‬נכון?" היא‬
‫השיבה בחיוב‪.‬‬

‫עכשיו אנחנו מגיעים לחלק המיזע בתרמית‪ .‬אם היא תתחיל להישמע חשדנית אני‬
‫מוכן לשלוף את הקלף של "אני רק מנסה לעשות טובה שג'רי ביקש ממני"‪.‬‬
‫שאלתי אותה‪" :‬על איזו מערכת את עובדת?"‬
‫"מערכת?"‬
‫"באיזה שרתים הקבוצה שלך משתמשת?"‬
‫"אה‪ ",‬היא אמרה‪ .RM22" ,‬וחלק מהקבוצה גם משתמשים ב ‪."GM16‬‬
‫טוב‪ .‬הייתי זקוק לזה‪ ,‬וזאת פיסת מידע שלא תעורר את חשדה‪ .‬את החלק הבא‬
‫אמרתי בסתמיות כאילו אני יכול להסתדר לבד‪"" .‬ג'רי אמר שאת יכולה לתת לי‬
‫רשימה של כתובות דוא"ל של אנשים בצוות הפיתוח" אמרתי ועצרתי את נשימתי‪.‬‬
‫"בטח‪ .‬רשימת התפוצה ארוכה מדי לקריאה‪ ,‬אני יכולה לשלוח לך אותה?"‬

‫אופס‪ .‬כל כתובת דוא"ל שלא מסתיימת ב ‪ GeminiMed.com‬תהיה דגל אדום‬

‫ענק‪" .‬את יכולה לפקסס לי?" שאלתי‪.‬‬
‫לא הייתה לה בעיה לעשות את זה‪.‬‬

‫"מכשיר הפקס שלנו מקולקל‪ .‬אצטרך לקבל מספר של אחד אחר‪ .‬אני אתקשר‬
‫אליך בחזרה עוד מעט‪ ",‬אמרתי‪ ,‬וניתקתי‪.‬‬

‫עכשיו אתה עלול לחשוב שנתקלתי בבעיה קשה‪ ,‬אבל זה רק עוד טריק רגיל של‬
‫סוחר‪ .‬חיכיתי זמן מה כדי שקולי לא ישמע מוכר לפקידת הקבלה‪ ,‬ואז התקשרתי‬
‫אליה ואמרתי‪" :‬היי‪ ,‬זה ביל תומאס‪ ,‬מכשיר הפקס שלנו לא עובד כאן‪ ,‬אני יכול‬
‫לשלוח פקס למכשיר שלך?" היא אמרה בטח‪ ,‬ונתנה לי את המספר‪.‬‬

‫אז פשוט הלכתי ואספתי את הפקס‪ ,‬נכון? כמובן שלא‪ .‬כלל ראשון‪ :‬לעולם אל‬
‫תבקר במקום אלא אם כן אתה ממש חייב‪ .‬הם יתקשו לזהות אותך אם אתה רק קול‬
‫בטלפון‪ .‬ואם הם לא יכולים לזהות אותך‪ ,‬הם לא יכולים לעצור אותך‪ .‬קשה לשים‬
‫אזיקים סביב קול‪ .‬אז התקשרתי לפקידת הקבלה בחזרה כעבור שעה קלה ושאלתי‬
‫אותה‪ ,‬האם הפקס שלי הגיע? "כן" היא אמרה‪.‬‬

‫"תראי"‪ ,‬אמרתי לה‪" ,‬אני חייב לשלוח את זה למישהו שמייעץ לנו‪ .‬את יכול‬
‫לשלוח את זה בשבילי?" היא הסכימה‪ .‬ולמה לא ‪ -‬איך פקידת קבלה יכולה לזהות‬
‫שזה מידע רגיש? בעוד היא שולחת את הפקס אל "היועץ" עשיתי את ההתעמלות‬
‫היומית שלי בהליכה לחנות מכשירי הכתיבה שליד ביתי‪ ,‬זאת עם השלט בחזית‬
‫"שליחה‪/‬קבלה של פקסים"‪ .‬הפקס שלי היה אמור להגיע לפני‪ ,‬כצפוי הוא חיכה‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪71‬‬

‫לי שם‪ .‬שישה עמודים ב ‪ $1.7‬כל אחד‪ .‬בשטר של ‪ ,$10‬השגתי את הרשימה‬

‫המלאה של השמות וכתובות הדואר האלקטרוני בקבוצה‪.‬‬

‫קבלת פנים‬
‫עד עכשיו דיברתי עם שלושה או ארבעה אנשים שונים בתוך כמה שעות וכבר‬
‫התקדמתי בצעדי ענק לקראת קבלת גישה למחשבי החברה‪ .‬אבל אני צריך עוד‬
‫כמה פיסות מידע לפני שאני חוזר הביתה‪.‬‬

‫אחד המספרים היה מספר טלפון של התמיכה בהתחברות מרחוק לשרתי מחלקת‬
‫ההנדסה‪ .‬התקשרתי ל‪ GeminiMed -‬שוב וביקשתי שיעבירו אותי למחלקת ה‪-‬‬
‫‪ , IT‬ושם ביקשתי מהבחור שענה שיביא לי מישהו שיכול לעזור לי קצת‬
‫במחשבים‪ .‬הוא העביר אותי‪ ,‬והתנהגתי כאילו אני כסיל גמור בכל מה שקשור‬
‫למחשבים‪" .‬קניתי לפטופ חדש ואני רוצה להגדיר אותו כך שאני יוכל להתחבר‬
‫מהבית לשרתי החברה‪".‬‬

‫תהליך החיבור היה פשוט‪ ,‬אבל המתנתי לו בסבלנות עד שיגמור את ההסבר‬

‫המפורט‪ .‬כשהגיע לשלב שבו היה צריך לתת לי את מספר ההתחברות הוא נתן לי‬
‫אותו כאילו שהוא היה סתם עוד פיסת מידע שגרתית‪ .‬בקשתי ממנו לחכות כדי‬
‫לבדוק עם זה עובד‪ .‬זה עבד מצוין‪.‬‬

‫עכשיו עברתי גם את המשוכה של החיבור לרשת‪ .‬התחברתי והגעתי לטרמינל של‬

‫השרת שאפשר גישה לכל מחשב ברשת הפנימית‪ .‬אחרי כמה ניסיונות כושלים‬
‫נתקלתי במחשב של אחד המשתמשים שהשאיר את חשבון האורח שלו בלי‬
‫סיסמא‪ .‬בחלק ממערכות ההפעלה‪ ,‬בעת ההתקנה הראשונית המשתמש מתבקש‬
‫להגדיר שם משתמש וסיסמא לחשבון הראשי שלו אבל נפתח גם חשבון אורח‬
‫שהמשתמש אמור להגדיר לו סיסמא בשביל אורחים או לחסום אותו‪ ,‬אך בפועל‬
‫רוב האנשים לא יודעים על זה או לא טורחים לעשות את זה‪ .‬המערכת הזאת הייתה‬
‫מיועדת כנראה רק למשתמשים מורשים ולא טרחו לחסום את חשבונות האורח‪.‬‬

‫ז'רגון‬
‫‪ :HASH PASSWOPRD‬מחרוזת ג'יבריש שמתקבלת מהעברת הסיסמה‬
‫בפונקצית הצפנה חד כיוונית‪ .‬התהליך‪ ,‬כביכול‪ ,‬בלתי הפיך‪ .‬בגלל שבלתי אפשרי‬
‫לחלץ את הסיסמא מהאש‪.‬‬

‫הודות לחשבון האורח‪ ,‬הייתה לי עכשיו גישה לאחד המחשבים‪ ,‬שהריץ את‬
‫מערכת ההפעלה יוניקס‪ .‬מערכת ההפעלה שמרה את כל הסיסמאות של משתמשי‬
‫המחשב המורשים על 'קובץ סיסמאות'‪ .‬הסיסמאות בקובץ היו מוצפנים ע"י‬
‫שליטה בחוליה האנושית באבטחה‬

‫פונקצית הצפנה חד כיוונית )שאמורה להיות בלתי ניתנת לפיצוח(‪ .‬עם פונקצית‬
‫ההצפנה החד כיוונית‪ ,‬הסיסמא בפועל‪ ,‬נניח "‪ , "justdoit‬תיוצג ע"י ההאש‬
‫המוצפן‪ ,‬במקרה שלנו יוניקס ימיר אותה ל‪ 13‬תווים אלפא נומריים‪.‬‬

‫כשבילי בוב מסוף המסדרון‪ ,‬רוצה להעביר קבצים למחשב‪ ,‬הוא צריך לזהות את‬
‫עצמו בשם משתמש וסיסמא‪ .‬המערכת לבדיקת ההרשאה‪ ,‬לוקחת את הסיסמא‬
‫שהוא הכניס‪ ,‬מצפינה אותה ומשווה עם הסיסמא המוצפנת שקיימת ב 'קובץ‬
‫הסיסמאות'‪ .‬עם קיימת התאמה‪ ,‬המערכת מאפשרת לו להיכנס‪.‬‬

‫בגלל שהסיסמאות ב 'קובץ הסיסמאות' מוצפנות‪ ,‬הקובץ עצמו היה נגיש לכל‬
‫משתמש במחשב‪ ,‬משום שבתיאוריה‪ ,‬אין דרך לפרוץ את הסיסמאות‪ .‬העניין‬
‫המצחיק בכל הסיפור‪ -‬שהורדתי את הקובץ‪ ,‬הרצתי עליו התקפת מילון )עיין פרק‬
‫‪ 12‬להסבר נוסף על השיטה( ומצאתי סיסמא של אחד המהנדסים בצוות הפיתוח‪,‬‬
‫בחור בשם סטיבן קריימר שיש לו שם משתמש על השרת עם הסיסמא ג'ניס‪ .‬רק‬
‫כדי לנצל את הזדמנות‪ ,‬ניסיתי להיכנס לחשבון שלו בשרת של הפיתוח עם‬
‫הסיסמא הזאת‪ ,‬זה היה חוסך לי הרבה זמן והסיכון היה קטן‪ ,‬אבל זה לא הלך‪.‬‬

‫פירוש הדבר הוא שהייתי צריך להערים על הבחור ולגרום לו למסור לי את שם‬
‫המשתמש והסיסמא שלו‪ .‬בשביל זה הייתי צריך לחכות עד סוף השבוע‪ .‬אתה כבר‬
‫יודע את ההמשך‪ .‬בשבת התקשרתי לקריימר וסיפרתי לו סיפורים על תולעת‬
‫שמחקה את המידע ועכשיו אני צריך לשחזר את כל המידע שהיה בשרת מהגיבוי‪,‬‬
‫כל זה כדי שלא יחשוד כשאבקש את הפרטים שלו‪.‬‬

‫אתם שואלים מה לגבי הסיפור שסיפרתי לו על כך שהוא רשם את הסיסמא שלו‬

‫בטופס ההרשמה לעבודה? ידעתי שכמעט אין סיכוי שהוא יזכור שזה מעולם לא‬
‫קרה‪ .‬עובד חדש ממלא כל כך הרבה טפסים‪ ,‬מה הסיכוי שכמה שנים מאוחר יותר‬
‫הוא יזכור משהו? וחוץ מזה גם עם לא ילך לי איתו עדיין יש לי רשימה ארוכה של‬
‫אנשים אחרים‪.‬‬

‫עם שם המשתמש והסיסמא שלו‪ ,‬נכנסתי לשרת‪ ,‬חיפשתי במשך כמה דקות ולאחר‬
‫מכן מצאתי את קבצי התכנון של ‪ .STH-100‬לא הייתי בטוח איזה מהקבצים‬
‫בדיוק הוא הקובץ העיקרי‪ ,‬לכן פשוט העברתי את כל הקבצים ל ‪,dead drop‬‬
‫אתר ‪ FTP‬חינמי שיושב בסין‪ .‬שם הקבצים יכולים להיות מאוחסנים בלי שאף‬
‫אחד יחשוד במשהו‪ .‬כך אוכל לתת ללקוח שלי לברור את המוץ מהתבן בניחותא‪.‬‬

‫ז'רגון‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪73‬‬

‫‪ - DEAD DROP‬מקום שלא סביר שאחרים ימצאו אותו‪ ,‬שמשתמשים בו‬

‫לאחסון מידע‪ .‬בעולמם של מרגלים מסורתיים זה יכול להיות מאחורי אבן רופפת‬
‫שבקיר; בעולמם של האקרים‪ ,‬זה בדרך כלל אתר אינטרנט רחוק מהארץ‪.‬‬

‫ניתוח ההונאה‬
‫עבור האיש שקראנו לו קרייג קוגברן‪ ,‬או מישהו אחר שמיומן באותה מידה ב‬
‫'אמנות הוצאת המידע הלא תמיד חוקית'‪ ,‬אמנים בהנדסה חברתית‪ ,‬האתגר שהוצג‬
‫כאן הוא כמעט שגרתי‪ .‬מטרתו הייתה לאתר ולהוריד קבצים שמאוחסנים‬
‫במחשבים המאובטחים של החברה‪ ,‬מוגנים ע"י חומת אש וכל טכנולוגיות‬
‫האבטחה הרגילות‪.‬‬

‫רוב עבודתו הייתה קלה כמעט כמו לתפוס מי גשמים בחבית‪ .‬הוא התחיל בכך‬
‫שהתחזה לעובד מחדר הדואר והוסיף ממד של דחיפות בטענה שחבילה של פדקס‬
‫מחכה למשלוח‪ .‬בשיחה הזאת הוא הצליח לאתר את שמו של ראש צוות‬
‫המהנדסים שפיתחו את הסטנט ללב‪ .‬אמנם הוא היה בחופשה אבל כזה מידע מאוד‬
‫מועיל עבור מהנדס חברתי‪ .‬הוא התקשר למישל ונטרל את חשדותיה בכך שטען‬
‫שהוא בסך הכול נענה לבקשתו של ראש הצוות‪ .‬כשראש הצוות מחוץ לעיר‪,‬‬
‫למשיל לא הייתה שום דרך לאמת את טענתו‪ .‬היא קיבלה אותה כאמת מוחלטת‬
‫ולא הייתה לה בעיה לספק לקרייג את רשימת האנשים בקבוצה‪ .‬מידע שכמובן‬
‫היה יקר ערך עבורו‪.‬‬
‫היא אפילו לא חשדה כשקרייג ביקש ממנה לשלוח את הרשימה לפקס ולא לדואר‬
‫האלקטרוני‪ .‬מדוע היא כה נאיבית? כמו עובדים רבים היא לא רצתה שהבוס שלה‬
‫יחזור לעיר ויגלה שהיא תקעה מקלות בגלגלים של המתקשר שרק ניסה לעשות‬
‫דבר שהבוס שלה ביקש ממנו‪ .‬בנוסף‪ ,‬המתקשר אמר שהבוס לא רק אישר את‬
‫הבקשה אלא גם ביקש את עזרתו‪ .‬שוב אנו רואים דוגמא למישהו שמגלה רצון עז‬
‫להיות שחקן קבוצתי‪ ,‬מה שגורם לרוב האנשים להיות פגיעים להונאה‪.‬‬

‫קרייג נמנע מהסיכון בכניסתו הפיזית לבניין פשוט ע"י שליחת הפקס לפקידת‬
‫הקבלה‪ ,‬בידיעה שיכול להיות שהיא תעזור לו‪ .‬פקידי קבלה‪ ,‬אחרי הכל‪ ,‬נבחרים‬
‫בדרך כלל לתפקידם בגלל שיש להם יחסי אנוש טובים ויכולת להשאיר רושם טוב‪.‬‬
‫עשיית טובות קטנות כמו שליחת פקס זה התחום של פקידת הקבלה‪ .‬עובדה‬
‫שקרייג ניצל עד תום‪ .‬ברור שהסוף היה שונה עם למישהו שמכיר בערך המידע‬
‫היו נדלקים פעמוני אזהרה‪ -‬אך איך אפשר לצפות מפקידת קבלה שתדע לאבחן‬
‫איזה מידע הוא רגיש?‬

‫באמצעות סוג אחר של מניפולציה‪ ,‬קרייג הציג כאילו הוא מבולבל ותמים כדי‬
‫לשכנע את הבחור מהתמיכה לספק לו את מספר הגישה לטרמינל שרתי החברה‪,‬‬
‫חומרה שמשמשת כנקודת חיבור לשאר המחשבים ברשת הפנימית‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫המסר של מיטניק‬
‫העדיפות הראשונה של כולם בעבודה היא לבצע את העבודה‪ .‬תחת לחץ כזה‪ ,‬נהלי‬
‫האבטחה מקבלים מקום משני בחשיבות והרבה פעמים מתעלמים מהם‪ .‬מהנדסים‬
‫חברתיים נסמכים על כך כשהם מתכננים את המתקפה שלהם‪.‬‬

‫קרייג היה מסוגל להתחבר בקלות באמצעות שימוש בסיסמת ברירת מחדל שאף‬
‫אחד לא טרח לשנות אותה‪ .‬הרבה ארגונים סומכים על האבטחה של חומת האש‬
‫ומשאירים את האבטחה הפנים ארגונית פרוצה בכך שהם משתמשים בסיסמאות‬
‫ברירת מחדל‪ .‬למעשה‪ ,‬הרשימה המלאה של סיסמאות ברירת המחדל של מערכות‬
‫הפעלה‪ ,‬נתבים וסוגים אחרים של מוצרים‪ ,‬כולל ‪ ,PBXs‬זמינים ברשת לכולם‪ .‬כל‬
‫האקר‪ -‬מהנדס חברתי‪ ,‬מרגל תעשייתי או סתם אדם סקרן יכול למצוא את הרשימה‬
‫ב ‪) http://www.phenoelit.de/dpl/dpl.html‬זה פשוט מדהים כמה‬
‫האינטרנט עושה את החיים קלים למי שיודע איפה לחפש‪ .‬עכשיו גם אתה יודע‪(.‬‬
‫ואז קרייג הצליח לשכנע איש זהיר וחשדן )"מה אמרת שם המשפחה שלך? מי‬
‫המנהל שלך?"( לגלות לו את השם משתמש והסיסמא שלו כדי שיוכל לגשת‬
‫לשרתים שצוות הפיתוח של סטנט הלב משתמשים בהם‪ .‬זה היה כמו להשאיר את‬
‫קרייג עם דלת פתוחה לכל הסודות הכי שמורים בחברה ולאפשר לו להוריד את‬
‫התוכניות של המוצר החדש‪.‬‬

‫מה עם סטיב קריימר ימשיך לחשוד בשיחה שלו עם קרייג? סביר להניח שהוא‬
‫ידווח על חשדותיו‪ ,‬רק כנראה שזה יקרה ביום שני בבוקר כשהוא יגיע לעבודה‪,‬‬
‫אבל אז יהיה מאוחר מדי לנסות למנוע את ההתקפה‪.‬‬

‫אחד המפתחות להצלחה בחלק האחרון של ההונאה‪ :‬בהתחלה קרייג נשמע אדיש‬
‫וחסר עניין כלפי החששות של סטיב‪ ,‬אך לאחר מכן הוא שינה את טעמו ונשמע‬
‫כאילו הוא מנסה לעזור לסטיב בכל כוחו עד שהכל יסתדר‪ .‬ברוב המקרים‬
‫כשהקורבן מאמין שאתה עוזר לו או עושה לו איזו טובה הוא יסכים לחלוק איתך‬
‫מידע סודי שבמצב אחר הוא היה שומר עליו היטב‪.‬‬

‫מניעת ההונאה‬
‫אחד הטריקים הכי חזקים של מהנדס חברתי כרוך סיוע ומתן פיתרון לבעיה שהוא‬
‫יצר‪.‬‬
‫וזה מה שראיתם בפרק הזה‪ .‬המהנדס החברתי יוצר את הבעיה‪ ,‬ואז כבמטה קסם‬
‫פותר את הבעיה ומרמה את הקורבן עד שהוא מקבל גישה לסודות השמורים‬
‫ביותר של החברה‪ .‬העובדים שלך היו נופלים בסוג כזה של תחבולה? האם טרחת‬
‫לנסח ולהפיץ כללי אבטחה ספציפיים שיכולים לעזור ולמנוע סיטואציה דומה?‬
‫לחנך‪ ,‬לחנך ועוד פעם לחנך‬
 ‫פרק ‪" - 5‬תן לי לעזור לך"‬ ‫‪75‬‬

‫יש סיפור ישן על אדם שביקר בניו יורק‪ ,‬עצר אדם ברחוב ושאל אותו "איך אני‬
‫מגיע לקרנגי הול?" האיש השיב "לתרגל‪ ,‬לתרגל ועוד פעם לתרגל"‪ .‬כולם כל כך‬
‫פגיעים להתקפות הנדסה חברתית עד שההגנה היעילה לחברה היא לחנך ולאמן‬
‫את העובדים שלה ולתת להם את הפרקטיקה לזיהוי מהנדס חברתי‪ .‬ואז להזכיר‬
‫לאנשים על בסיס עקבי את מה שלמדו באימונים‪ ,‬משום שכולנו נוטים לשכוח‬
‫מהר מדי‪.‬‬

‫כולם בארגון חייבים לדעת שכאשר הם יוצרים קשר עם מישהו שהם לא מכירים‬
‫באופן אישי‪ ,‬במיוחד כאשר המישהו הזה מבקש כל סוג של גישה למחשב או‬
‫לרשת‪ ,‬הם חייבים לאמת את זהותו ‪ .‬טבע האדם הוא לתת אמון באחרים‪ ,‬אבל כמו‬
‫שהיפנים אומרים "עסקים זה מלחמה"‪ .‬העסק שלך לא יכול להרשות לעצמו לא‬
‫לעמוד על המשמר‪ .‬מדיניות האבטחה בחברות צריכה להיות מנוסחת בבירור‪ -‬מה‬
‫מותר לעשות ומה אסור‪.‬‬

‫אבטחה היא לא "מידת נעליים אחת לכולם"‪ .‬בדרך כלל לכל אדם בחברה יש‬
‫תפקיד ואחריות שונים‪ ,‬ולכל עמדה ישנם נקודות תורפה מיוחדות‪ .‬קיימת רמה‬
‫בסיסית של אימונים שכל אחד בחברה צריך לעבור‪ ,‬אבל אחר כך צריך לעבוד עם‬
‫כל אחד באופן פרטני ולהדריך אותו בהתאם לפרופיל העבודה שלו‪ ,‬בנהלים‬
‫מסוימים שיקטינו את הסיכוי שהחדירה לארגון תעבור דרכו‪ .‬לאנשים שעובדים‬
‫עם מידע רגיש או ממוקמים בעמדות מפתח יש לתת הכשרה מיוחדת נוספת‪.‬‬

‫אבטחת מידע רגיש‬

‫כשאנשים נתקלים באדם זר שמציע את עזרתו‪ ,‬כפי שניתן לראות מהסיפורים‬
‫בפרק זה‪ ,‬הם צריכים להישען על מדיניות האבטחה שהותאמה לצורכי החברה‪,‬‬
‫לגודלה ולתרבות שלה‪.‬‬

‫הערה‬
‫אישית אני לא מאמין שחברות צריכות לאפשר מצב של העברת סיסמאות‪ .‬הרבה‬
‫יותר קל לקבוע חוק ברור‪ ,‬שאוסר על כל אחד מהעובדים לתת אי פעם למישהו את‬
‫הסיסמא שלו‪ .‬זה יהיה הרבה יותר בטוח‪ .‬בכל מקרה‪ ,‬כל עסק צריך להעריך את‬
‫התרבות ואת החששות הביטחוניים שלו כאשר הוא קובע חוקים שלא לשתף‬
‫פעולה עם אדם זר שמבקש ממך לחפש מידע‪ ,‬להזין פקודות לא מוכרות לתוך‬
‫המחשב‪ ,‬לבצע שינויים בהגדרות התוכנה או ‪-‬הגרוע מכל ‪ -‬לפתוח קובץ מצורף‬
‫לדוא"ל או להוריד תוכנה לא בדוקה‪ .‬כל תוכנה ‪ -‬אפילו כזאת שנראית על פניו‬
‫שלא מסוגלת לעשות כלום ‪ -‬יכולה להתגלות כלא כל כך תמימה‪.‬‬
‫ישנם הליכים מסוימים‪ ,‬לא משנה כמה טובים האימונים שלנו‪ ,‬שבמשך הזמן‬
‫הנטייה היא לזנוח אותם‪ .‬ואז אנחנו שוכחים את הכללים דווקא כשאנחנו צריכים‬
‫אותם‪ .‬אפשר לחשוב שלא לתת את שם החשבון והסיסמה שלך זה משהו שכמעט‬
‫כולם יודעים )או צריכים לדעת( ולא צריך לומר את זה‪ :‬זהו היגיון פשוט‪ .‬אבל‬
‫שליטה בחוליה האנושית באבטחה‬

‫למעשה‪ ,‬צריך להזכיר את זה לכל העובדים כי הוא כן עלולים למסור בטעות את‬
‫שם המשתמש והסיסמה למחשב המשרדי שלהם‪ ,‬המחשב הביתי שלהם‪ ,‬או אפילו‬
‫למכונת הביול בחדר הדואר שזה שקול ללתת את המספר הסודי של כרטיס‬
‫הכספומט שלהם‪.‬‬
‫יש לפעמים ‪ -‬לעתים רחוקות ‪ -‬שמתעורר צורך‪ ,‬לתת למישהו אחר מידע חסוי‪.‬‬
‫מסיבה זו‪ ,‬אי אפשר לקבוע חוק של "לעולם לא" למסור מידע חסוי‪ .‬עם זאת‪,‬‬
‫מדיניות האבטחה והנהלים צריכים להיות מאוד ספציפיים ולהבהיר במדויק את‬
‫הנסיבות שבהן רשאי העובד לתת את הסיסמה שלו‪ ,‬והכי חשוב ‪ -‬מי רשאי לבקש‬
‫מידע‪.‬‬

‫ברוב הארגונים‪ ,‬הכלל הבסיסי צריך להיות שכל מידע שעלול לגרום נזק לחברה‬
‫או לאחד העובדים‪ ,‬יימסר רק למישהו שמוכר על בסיס פנים אל פנים‪ ,‬או שקולו‬
‫מוכר כל כך שאתה מזהה אותו ללא עוררין‪.‬‬
‫‪....‬‬
 ‫פרק ‪ -6‬אתה יכול לעזור לי?‬ ‫‪77‬‬

‫פרק ‪ -6‬אתה יכול לעזור לי?‬

‫בפרק הקודם ראינו איך מהנדסים חברתיים משיגים את המטרות שלהם ע"י הצעת‬
‫עזרה לקורבן‪ .‬גישה אחרת של הנדסה חברתית הופכת את היוצרות‪ :‬המהנדס‬
‫ה חברתי מעמיד פנים שהוא זקוק לעזרתו של הקורבן‪ .‬כולנו יכולים להזדהות עם‬
‫אנשים שנמצאים במצוקה‪ ,‬והגישה הזאת של בקשת עזרה מהקורבן מוכיחה את‬
‫את עצמה שוב ושוב כטכניקה מעולה להשגת המטרות של המהנדס החברתי‪.‬‬

‫בפרק ‪ 3‬ראינו כיצד תוקף יכול לדובב את הקורבן שלו כדי שהלה ימסור לו את‬
‫מספר העובד שלו‪ .‬כעת נראה איך תוקף משיג את אותה התוצאה ע"י שימוש‬
‫בגישה שונה‪.‬‬

‫בעמק הסיליקון יש חברה גלובלית מסוימת שלא ננקוב בשמה‪ .‬לחברה יש משרדי‬
‫מכירות וסניפים שונים של פעילות המפוזרים ברחבי העולם‪ .‬כל הנקודות השונות‬
‫של החברה מחוברות למשרדי החברה על גבי רשת האינטרנט‪ .‬הפולש‪ ,‬בחור חכם‬
‫ונמרץ בשם בריאן אטרבי‪ ,‬יודע שכמעט תמיד קל יותר לפרוץ לרשת של החברה‬
‫באחד האתרים המרוחקים‪ ,‬שבהם האבטחה כמעט תמיד פחות חזקה מהמטה‬
‫הראשי‪.‬‬

‫הפולש התקשר למשרד של החברה בשיקגו וביקש לדבר עם מר ג'ונס‪.‬‬

‫פקידת הקבלה שאלה אם הוא יודע מהו שמו הפרטי של מר ג'ונס; הוא ענה‪:‬‬
‫‪" -‬היה לי את זה כאן‪ ,‬אני מחפש אותו‪ ,‬כמה ג'ונס יש לך? "‪ .‬והמזכירה ענתה‪:‬‬
‫‪" -‬שלוש‪ ,‬באיזו מחלקה הוא?"‬
‫‪" -‬אם תקראי לי את השמות‪ ,‬אולי אני יזכר מי זה בדיוק"‪ .‬וכך היא עשתה‪:‬‬
‫‪" -‬בארי‪ ,‬ג'וזף וגורדון"‪.‬‬
‫‪" -‬ג'ו‪ ,‬אני די בטוח שזה היה הוא" הוא אמר "והוא היה ב ‪ ...‬באיזה מַ חלָקָ ה?"‬
‫‪" -‬פיתוח עסקי‪".‬‬
‫‪" -‬את יכול להעביר אותי אליו‪ ,‬בבקשה?"‬

‫היא העבירה את השיחה‪ .‬כשג'ונס ענה‪ ,‬התוקף אמר‪" ,‬מר ג'ונס? היי‪ ,‬זה טוני‬
‫מהשכר‪ .‬רק רציתי להודיע שהמשכורת שלך הועברה ישירות לחשבון איגוד‬
‫האשראי שלך כמו שביקשת‪".‬‬
‫"מה?? אתה בטח צוחק עלי‪ ...‬מעולם לא ביקשתי בקשה כזאת! אפילו אין לי‬
‫חשבון באיגוד אשראי "‪.‬‬
‫"הו‪ ,‬לעזאזל‪ ,‬כבר העברתי את המשכורת‪".‬‬
‫ג 'ונס היה מאוד מוטרד מהרעיון שהמשכורת שלו עברה לחשבון של מישהו אחר‪,‬‬
‫אך עוד בטרם הספיק להשיב התוקף אמר‪" ,‬כדאי שאני אבדוק שוב מה בדיוק קרה‬
‫כאן‪ ,‬אני נכנס למערכת ניהול השכר לבדוק את העניין‪ .‬מה מספר העובד שלך?"‬
‫שליטה בחוליה האנושית באבטחה‬

‫ג'ונס נתן את המספר‪ .‬המתקשר אמר‪" ,‬לא‪ ,‬אתה צודק‪ ,‬אז הבקשה בכלל לא הייתה‬
‫שלך‪ ".‬הם נהיים מטומטמים מדי שנה‪ ,‬חשב ג'ונס‪.‬‬
‫"תראה‪ ,‬אני אדאג שהעניין יטופל‪ ,‬עכשיו אני אכניס תיקון‪ ,‬אז אל תדאג ‪ -‬תקבל‬
‫את המשכורת הבאה שלך כרגיל‪ " ,‬אמר הבחור בקול מרגיע‪.‬‬

‫נסיעת עסקים‬
‫זמן לא רב לאחר מכן‪ ,‬מנהל המערכת במשרד המכירות באוסטין‪ ,‬טקסס‪ ,‬קיבל‬
‫שיחת טלפון‪" .‬שלום לך‪ ,‬מדבר ג'וזף ג'ונס‪" ,‬הכריז המתקשר‪" .‬אני ממחלקת‬
‫פיתוח עסקי בארגון‪ ,‬והשבוע אני נוסע לנסיעת עסקים‪ .‬אני אתארח במלון‬
‫דריסקיל‪ ,‬והייתי רוצה שתגדיר לי חשבון זמני כדי שאוכל לגשת לדואר‬
‫האלקטרוני שלי מרחוק "‪.‬‬
‫"תאמר לי עוד פעם את השם שלך ‪ ,‬ותן לי גם את מספר העובד שלך" אמר‬
‫המנהל‪ .‬המתחזה לג'ונס נתן את המספר והמשיך‪" ,‬יש לך אפשרות לתת לי חיבור‬
‫מהיר?"‪.‬‬
‫"רק רגע‪ ,‬חבר‪ ,‬אני צריך לאמת אותך במאגר"‪ .‬אחרי רגע הוא אמר‪" ,‬בסדר‪ ,‬ג'ו‪ .‬רק‬
‫תגיד לי‪ ,‬מה מספר הבניין שלך? "התוקף הכין את שיעורי הבית שלו והשיב את‬
‫התשובה שהכין מראש‪.‬‬

‫המסר של מיטניק‬
‫אל תסתמך על אמצעי הגנה ברשת וחומות אש כדי להגן על המידע שלך‪ .‬חפש את‬
‫המקום הפגיע ביותר שלך‪ .‬בדרך כלל תמצא שהפגיעות קיימת אצל האנשים שלך‪.‬‬

‫"בסדר‪ ",‬אמר לו מנהל המערכת‪" ,‬שכנעת אותי"‪.‬‬

‫זה היה פשוט כל כך‪ .‬מנהל המערכת אימת את השם ג'וזף ג'ונס‪ ,‬שם המחלקה‬
‫ומספר העובד‪ ,‬ו"ג'ו" נתן את התשובה הנכונה לשאלת המבחן‪" .‬שם המשתמש‬
‫שלך יהיה זהה לשם משתמש שלך בחברה‪ "jbjones -‬אמר מנהל המערכת‪" ,‬ואני‬
‫נותן לך סיסמה ראשונית שתהיה חייב לשנות'‪".‬‬

‫ניתוח התקיפה‬
‫עם כמה שיחות טלפון ורבע שעה של עבודה‪ ,‬התוקף קיבל גישה לרשת הפנימית‬
‫של החברה‪ .‬זו היתה חברה‪ ,‬שכמו הרבה חברות ‪ ,‬הייתה עם מה שאני מכנה‬
‫אבטחת סוכריה‪ ,‬השאלתי את המונח הזה ממאמר שפרסמו ‪ 2‬חוקרים במעבדות‬
‫בל‪ ,‬סטיב בלויין וסטיבן צ'סוויק‪ .‬הם תארו אבטחה שכזו כמו "ציפוי קשה עם‬
‫גרעין רך וטעים" ‪ -‬כמו ממתקי ‪.M&M‬‬
‫המעטפת החיצונית‪ ,‬חומת האש‪ ,‬טוענים בלובין וצ'סוויק‪ ,‬לא מהווה הגנה‬
‫מספקת‪ ,‬כי ברגע שפולש עקף אותה ונכנס לתוך הרשת‪ ,‬האבטחה שם רופפת‬
‫והתוקף יכול להגיע לאן שיחפוץ‪.‬‬
‫סיפור זה עונה להגדרה של החוקרים הנ"ל‪ .‬חמוש בטלפון פשוט‪ ,‬התוקף אפילו‬
‫לא טרח לנסות להביס את חומת האש של החברה‪ ,‬וכאשר הוא חדר לתוך הרשת‬
 ‫פרק ‪ -6‬אתה יכול לעזור לי?‬ ‫‪79‬‬

‫הארגונית‪ ,‬הוא היה יכל להתגבר בקלות על ההגנות החלשות ברשת הפנימית‪ .‬על‬
‫פי המקורות שלי‪ ,‬אני מבין שהטריק המדויק הזה עבד על אחד מחברות התוכנה‬
‫הגדולות ביותר בעולם‪ .‬אתה יכול לחשוב שמנהלי המערכות בחברה כזו יוכשרו‬
‫לזהות סוג זה של תחבולה‪ .‬אבל מניסיוני‪ ,‬אף אחד לא בטוח לגמרי אם המהנדס‬
‫החברתי שניצב מולו הוא חכם ומשכנע מספיק‪.‬‬

‫ז'רגון‬
‫אבטחת סוכריה‪ -‬מונח שטבעו סטיב בלויין וסטיבן צ'סוויק חוקרים במעבדות בל‪.‬‬
‫המונח מתאר תרחיש אבטחה שבו האבטחה מפני תוקפים חיצוניים‪ ,‬כגון חומת‬
‫אש‪ ,‬היא חזקה‪ ,‬אבל התשתית מאחוריה חלשה‪ .‬המונח מתייחס לסוכרית ‪,M&M‬‬
‫שיש לה מעטפת חיצונית קשה ובמרכזה היא רכה‪.‬‬
‫אבטחה על בסיס סימן מוסכם‪ -‬זוהי אבטחה שנשענת על ידיעת המידע הרצוי‪,‬‬
‫ושימוש במילה או בשם כדי לקבל גישה למידע או למערכת המחשב‪.‬‬

‫אבטחה של ספיק איזי‪ -2‬בימים ההם של תקופת היובש צצו מועדנים שכונו ספיק‬
‫איזי )דבר בשקט( מועדנים אלו סיפקו שתייה חריפה כמו ג'ין בניגוד לחוק‪ .‬על‬
‫מנת להיכנס למועדון היה הלקוח צריך לדפוק במקום מסויים‪ .‬כעבור כמה רגעים‬
‫הייתה נפתחת דלת קטנה‪ ,‬ופנים קשוחות ומאיימות היו מציצות החוצה‪ .‬אם‬
‫האורח היה יודע ‪ ,‬הוא היה אומר מיד שם של מישהו ממקרובי המועדון ששלח‬
‫אותו )"ג'ו שלח אותי" היה לעתים קרובות מספיק(‪ ,‬ואז השומר בפנים היה פותח‬
‫את הדלת ומניח לו להיכנס‪.‬‬
‫החוכמה הגדולה הייתה לדעת את המיקום של המועדונים כי הדלת לא הייתה‬
‫מסומנת‪ ,‬והבעלים לא בדיוק תלו שלטי ניאון כדי לציין את נוכחותם‪ .‬על פי רוב‪,‬‬
‫כדי להיכנס למועדון היה מספיק רק להופיע במקום הנכון‪ .‬בדומה לכך בעולם‬
‫התאגידי קיימות מוסכמות של אמון לפי שאלה מזהה פשוטה‪ ,‬ולהגנה החובבנית‬
‫הזאת אני קורא אבטחה של ספיק איזי‪.‬‬

‫ראיתי את זה בסרטים‬
‫הנה דוגמא מתוך סרט אהוב שאנשים רבים יזכרו‪ .‬ב ‪ 3‬ימי הקונדור‪ ,‬הדמות‬
‫המרכזית‪ ,‬טרנר )שמגולם על ידי רוברט רדפורד(‪ ,‬עובד עבור חברת מחקר קטנה‬
‫שמופעלת על ידי ה‪ .CIA -‬יום אחד הוא חוזר מארוחת צהריים ומגלה שכל‬
‫עמיתיו לעבודה נרצחו‪ .‬הוא מתחיל לחקור כדי להבין מי עשה את זה ולמה‪ ,‬כשכל‬
‫הזמן הוא יודע שהרעים‪ ,‬מי שהם‪ ,‬מחפשים אותו‪ .‬בסוף הסיפור‪ ,‬טרנר מצליח‬

‫‪2‬‬
‫ספיק איזי (באנגלית‪" – speakeasy :‬דבר בשקט"; נקראו גם חזיר עיוור – ‪blind‬‬
‫‪ pig‬או טיגריס עיוור – ‪ )blind tiger‬היו מוסדות שמכרו באופן בלתי חוקי משקאות‬
‫חריפים‪ .‬מוסדות אלו בלטו במיוחד בארצות הברית במהלך תקופת היובש (‪0291-‬‬
‫‪ 0211‬ובמדינות מסוימות לאחר מכן)‪ .‬בתקופה זו נאסרו בחוק מכירה‪ ,‬ייצור‬
‫והובלה של משקאות חריפים בכל רחבי ארצות הברית‪ .‬מקור‪ :‬ויקיפדיה‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫להשיג את מספר הטלפון של אחד הרעים‪ .‬אבל מי הוא האדם הזה‪ ,‬וכיצד יכול‬
‫טרנר לאתר את מיקומו? יש לו מזל‪ :‬התסריטאי‪ ,‬דייויד רייפיאל‪ ,‬העניק לטרנר‬
‫רקע של איש קשר בצבא‪ ,‬מה שהופך אותו לבעל בפרקטיקות של חברות הטלפון‪.‬‬
‫עם מספר הטלפון של האיש הרע‪ ,‬טרנר יודע בדיוק מה לעשות‪ .‬בתסריט‪ ,‬הסצנה‬
‫נראית כך‪:‬‬

‫‪ -‬מודיעין שלום‪ ,‬גברת קולמן מדברת‪.‬‬

‫‪ -‬זהו הרולד תומס‪ ,‬גברת קולמן‪ ,‬שרות לקוחות‪...‬מבקש מידע על ‪202-227-0098‬‬
‫‪-‬רגע בבקשה‬
‫‪-‬זה מר ליאונרד אטווד ‪.‬רחוב מקנזי ‪ 365‬שבי צ'ייס‪ ,‬מרילנד‬

‫אם נתעלם מהעובדה שהתסריטאי משתמש בטעות באזור חיוג של וושינגטון עבור‬
‫כתובת במרילנד‪ ,‬אתה יכול להבין בדיוק מה קרה כאן?‬

‫טרנר‪ ,‬בגלל האימונים שלו בתור איש קשר‪ ,‬ידע לאיזה מספר לחייג כדי להגיע‬
‫למשרד של חברת טלפונים שתוכל לתת לו את כתובת הלקוח לפי מספר הטלפון‬
‫שלו‪ .‬שירות הלקוחות הזה קיים לנוחיותם של מתקינים ואנשי צוות טלפון מורשים‬
‫אחרים‪ .‬המתקין יכול להתקשר לשירות הלקוחות‪ ,‬ולתת להם מספר טלפון‪ .‬ועם‬
‫מידע זה ישלוף הפקיד את מיקום בעל הטלפון‪.‬‬

‫מרמים את חברת הטלפון‬

‫בעולם האמיתי‪ ,‬מספר הטלפון של המודיעין הנ"ל הוא סוד שמור היטב‪.‬‬
‫למרות שכיום חברות הטלפון סוף קיבלו קצת שכל והם כבר לא מחלקים מידע‬
‫לכל דורש‪ ,‬באותו הזמן הם פעלו על וריאציה של אבטחה של ספיק איזי‪ ..‬הם‬
‫הניחו כי כל מי שהתקשר למודיעין והכיר את השפה המתאימה )"שירות הלקוחות‬
‫‪ CNA‬על ‪ ,555-1234‬בבקשה‪ ,‬למשל( היה אדם שמורשה לקבל את המידע‪.‬‬

‫ז'רגון‬
‫אבטחה באמצעות עמימות‪ -‬שיטה לא יעילה של אבטחת מחשבים שמסתמכת על‬
‫השמירה בסוד על הפרטים של איך המערכת עובדת )פרוטוקולים‪ ,‬אלגוריתמים‪,‬‬
‫מערכות פנימיות(‪ .‬אבטחה באמצעות עמימות מסתמכת על ההנחה המוטעית שאף‬
‫אחד מחוץ לקבוצה של אנשים נאמנים לא יכול להבין את המערכת ולחדור אליה‪.‬‬

‫המסר של מיטניק‬
‫לאבטחה באמצעות עמימות אין כל השפעה על חסימת התקפות של הנדסה‬
‫חברתית‪ .‬לפחות אדם אחד משתמש בכל מערכת מחשב בעולם‪ .‬לכן‪ ,‬אם התוקף‬
‫מסוגל לתמרן את אנשים שמשתמשים במערכות‪ ,‬האלמוניות של המערכת אינה‬
‫רלוונטית‪.‬‬
 ‫פרק ‪ -6‬אתה יכול לעזור לי?‬ ‫‪81‬‬

‫לא היה צורך לאמת או לזהות את עצמך‪ ,‬לא צריך לתת מספר העובד‪ ,‬אין צורך‬
‫בסיסמה שמשתנה מדי יום‪ .‬אם ידעת את המספר אחיו צריך להתקשר ואתה נשמע‬
‫אותנטי‪ ,‬אז ההנחה היא שבוודאות יש לך הרשאות לקבלת המידע‪.‬‬

‫זו לא היתה הנחה מאוד סולידית מצד חברת הטלפונים‪ .‬המאמץ היחיד שלהם‬
‫לאבטח את השירות היה שינוי מספר הטלפון על בסיס תקופתי ‪ -‬לפחות פעם‬
‫בשנה‪ .‬למרות זאת‪ ,‬המספר הנוכחי בכל רגע מסוים‪ ,‬היה ידוע ברבים מקרב‬
‫הפריקרים‪ ,‬שהתענגו על ניצול מקור מעולה של מידע‪ .‬הפריקרים אף שיתפו את‬
‫המספר בשמחה עם חבריהם בקהילת הפריקרים‪ .‬הטריק הזה היה אחד הדברים‬
‫הראשונים שלמדתי כשהתחלתי עם הפריקינג כנער‪.‬‬

‫ברחבי העולם של עסקים וממשל‪ ,‬אבטחה של ספיק איזי היא פרקטיקה נפוצה‪.‬‬
‫ולפעמים אפילו פחות מזה מספיק‪ :‬מספר טלפון פנימי הוא כל מה שנדרש‪.‬‬

‫מנהל המחשב הלא זהיר‬

‫למרות שעובדים רבים בארגונים הם רשלניים‪ ,‬לא מודאגים או לא מודעים לסכנות‬
‫ביטחוניות‪ ,‬הייתם מצפים שמישהו שנושא את הטייטל "מנהל במרכז המחשבים‬
‫של תאגיד ב ‪ "Fortune 500‬יהיה בעל ידע מקיף לגבי שיטות האבטחה הטובות‬
‫ביותר‪ ,‬נכון?‬

‫אתה לא מצפה שמנהל בדרג כה בכיר עם ידע טכנולוגי רב יפול בתכסיס פשוט של‬
‫הנדסה חברתית‪ ,‬במיוחד שהתוקף הוא נער בשנות העשרה שלו‪ .‬אבל לפעמים‬
‫המציאות עולה על כל דמיון‪.‬‬
‫כוונון‬
‫לפני שנים רבות אנשים רבים אימצו תחביב נחמד של כיוונון מקלט הרדיו שלהם‬
‫לתדרים של המשטרה המקומית או תדרים מכבי האש‪ ,‬הם היו מקשיבים לשיחות‬
‫ומידי פעם הם קלטו אירועים מסעירים כמו דיווח על שוד בנק שהתרחש בשידור‬
‫חי‪ ,‬בניין משרדים שעולה האש‪ ,‬או מרדף משטרתי אחרי פושע‪ .‬תדרי הרדיו‬
‫המשמשים את רשויות אכיפת החוק ואת מכבי האש היו זמינים בספרים שהיו‬
‫זמינים בחנויות הספרים; היום אפשר למצוא את רשימת התדרים באינטרנט‪ ,‬עבור‬
‫רשויות אכיפה מקומיות‪ ,‬מחוזיות‪ ,‬ארציות‪ ,‬ובמקרים מסוימים‪ ,‬אפילו תדרים של‬
‫סוכנויות פדרליות‪.‬‬

‫כמובן‪ ,‬לא רק הסקרנים הקשיבו‪ .‬נוכלים ששדדו חנות באמצע הלילה יכלו לשמוע‬
‫אם ניידת משטרה נשלחת למקום‪ .‬סוחרי סמים יכלו לעקוב אחרי פעילותם של‬
‫סוכני אכיפת החוק‪ .‬מצית היה יכול להגביר את הנאתו הסדיסטית מההצתה‬
‫כשהוא מהאזין לקשר של מכבי האש בעוד הם נאבקים לכבות אותה‪.‬‬
‫במהלך השנים האחרונות התפתחויות בטכנולוגיית המחשב אפשרו להצפין‬
‫הודעות קוליות‪ .‬בנוסף‪ ,‬מהנדסים מצאו דרכים לדחוס יותר ויותר כוח מחשוב על‬
‫שליטה בחוליה האנושית באבטחה‬

‫שבב אחד‪ ,‬הם הצליחו לפתח קשר קטן‪ ,‬מוצפן עבור אכיפת החוק‪ ,‬מה שמנע‬
‫מגורמים פליליים וסקרנים להקשיב לתשדורות‪.‬‬

‫דני המצותת‬
‫חובב רדיו נלהב שהיה גם האקר מיומן שנקרא לו דני החליט לראות אם הוא‬
‫יצליח להשיג את קוד המקור של תוכנת ההצפנה הסודית ביותר מאחד היצרנים‬
‫המובילים של מערכות רדיו מאובטחת‪ .‬הוא קיווה שמחקר של הקוד יאפשר לו‬
‫ללמוד כיצד לצותת לגורמי אכיפת החוק‪ ,‬ואולי גם הוא יוכל‪ ,‬כך קיווה‪ ,‬להשתמש‬
‫בטכנולוגיה כך שאפילו סוכנויות הממשלה החזקות ביותר יתקשו לעקוב אחר‬
‫שיחותיו עם חבריו‪.‬‬
‫הדני ם של עולם ההאקינג המסתורי נופלים לקטגוריה מיוחדת אי שם בין סקרנות‬
‫טהורה לבין סיכון מיותר‪ .‬לדנים הללו יש את המומחיות‪ ,‬בשילוב עם תשוקה‬
‫שובבה לפרוץ למערכות ורשתות לשם האתגר האינטלקטואלי וההנאה מהבנה‬
‫עמוקה של איך הטכנולוגיה פועלת‪ ..‬האקרים אלה הם אנשים טובים‪ ,‬הם נכנסים‬
‫באופן בלתי חוקי לאתרים בשביל הכיף והתרוממות הרוח של ההוכחה שהם‬
‫יכולים לעשות את זה‪ .‬הם לא גונבים שום דבר‪ ,‬הם לא עושים כסף מהניצול‬
‫שלהם; הם לא הורסים את כל הקבצים‪ ,‬לא משבשים את חיבורי הרשת‪ ,‬ולא‬
‫מקריסים את מערכות המחשב‪.‬‬

‫בהתאם לפרופיל הזה‪ ,‬דני רצה לבחון את הפרטים הטכניים של המוצר השמור‬
‫ביותר של חברת היעד שלו‪ ,‬רק כדי לספק את סקרנותו הבוערת ולהבין את כל‬
‫הטכנולוגיות החדשות והמבריקות שהיצרן הטמיע במוצר החדש‪ .‬קבצי התכנון‬
‫של המוצר‪ ,‬מיותר לציין‪ ,‬היו סודות מסחריים שמורים‪ ,‬יקרים ומוגנים היטב‪ .‬דני‬
‫ידע זאת‪ .‬ולא היה אכפת לו בכלל‪ .‬אחרי הכל‪ ,‬זאת היתה רק חברה גדולה‪ ,‬חסרת‬
‫פנים‪.‬‬

‫אבל איך להשיג את קוד המקור של התוכנה? כפי שהתברר‪ ,‬היה קל למדי לפרוץ‬
‫לחברה‪ ,‬למרות שהחברה היתה אחת מאלה שמימשו אימות של שני גורמים‪.‬‬
‫כלומר מערכת בה המשתמשים צריכים לספק שתי מזהים נפרדים כדי להוכיח את‬
‫זהותם‪ .‬הנה דוגמה שאתה בטח כבר מכיר‪ .‬כאשר מגיע כרטיס האשראי החדש‬
‫שלך‪ ,‬תתבקש להתקשר לחברת האשראי שהנפיקה אותו כדי להודיע להם‬
‫שהכרטיס נמצא ברשותך‪ -‬הלקוח המיועד‪ ,‬ולא מישהו שגנב את המעטפה‬
‫מהדואר‪ .‬ההוראות שמצורפות לכרטיס בדרך כלל מדריכות אותך להתקשר‬
‫מהבית‪ .‬כאשר אתה מתקשר‪ ,‬התוכנה של חברת כרטיסי האשראי מנתחת את ה‪-‬‬
‫‪ ,ANI‬הזיהוי המספרי האוטומטי‪.‬‬

‫המחשב בחברת כרטיסי האשראי משתמש במספר המזוהה שמספקת ‪,ANI‬‬

‫ומאמת את המספר הזה כנגד מאגר המידע של מחזיקי הכרטיס‪ .‬כאשר הפקיד‬
‫עונה לך‪ ,‬הוא כבר רואה על הצג שלו את המידע עליך מתוך מסד הנתונים של‬
 ‫פרק ‪ -6‬אתה יכול לעזור לי?‬ ‫‪83‬‬

‫החברה‪ .‬לכן בשלב זה הפקיד כבר יודע שהשיחה יוצאת מביתו של לקוח ספציפי;‬
‫זהו סוג אחד של אימות‪.‬‬

‫ז'רגוֹן‬
‫אימות של שני גורמים‪ -‬שימוש בשני סוגים שונים של אימות כדי לאמת זהות‪.‬‬
‫לדוגמה‪ ,‬אדם עשוי להזדהות על ידי התקשרות ממיקום מסוים וגם ע"י סיסמה‪.‬‬

‫ואז הפקיד בוחר פריט מהמידע המוצג עליך ‪ -‬לרוב מספר תעודת זהות‪ ,‬תאריך‬
‫לידה או שם הנעורים של האם ‪ -‬ומבקש ממך מידע זה‪ .‬אם אתה נותן את התשובה‬
‫הנכונה‪ ,‬אתה עובר את המבחן השני של אימות‪.‬‬

‫בחברה לייצור מערכות רדיו מאובטחות בסיפור שלנו‪ ,‬לכל עובד עם גישה‬
‫למחשב היה שם משתמש וסיסמה רגילים‪ ,‬אבל בנוסף סופק לו מכשיר אלקטרוני‬
‫קטן שנקרא ‪ .Secure ID‬זה מה שנקרא אסימון‪-‬מבוסס‪-‬זמן‪ .‬מכשירים אלה‬
‫מגיעים בשני תצורות‪ :‬אחד הוא בערך חצי מגודל של כרטיס אשראי אבל קצת‬
‫עבה יותר; והשני קטן מספיק שאנשים פשוט מצרפים אותו למחזיקי המפתחות‬
‫שלהם‪.‬‬

‫לגאדג'ט זה יש צג קטן המציג סדרה של שש ספרות‪ .‬כל שישים שניות‪ ,‬התצוגה‬

‫משתנה ומציגה מספר אחר בן ‪ 6‬ספרות‪ .‬כאשר אדם מורשה צריך לגשת לרשת‬
‫מחוץ למקום העבודה‪ ,‬הוא חייב קודם כל לזהות את עצמו כמשתמש מורשה על‬
‫ידי הקלדת ה‪ PIN-‬הסודי שאלו הספרות המוצגות על מכשיר האסימון שלו‪.‬‬
‫לאחר האימות הראשוני המערכת הפנימית מאמתת את זהותו פעם נוספת‬
‫באמצעות שם המשתמש והסיסמה של העובד‪ .‬ההאקר דני שכל כך השתוקק‬
‫להשיג את קוד המקור של המערכת‪ ,‬היה צריך לא רק לגלות את שם החשבון של‬
‫העובד ואת הסיסמה שלו )לא אתגר מיוחד עבור מהנדס חברתי מנוסה(‪ ,‬אלא גם‬
‫לעקוף את האסימון‪-‬מבוסס‪-‬זמן‪.‬‬

‫עקיפת האימות של הגורם השני‪ ,‬אסימון מבוסס זמן שמצריך את הקשת קוד ה‪-‬‬
‫‪ PIN‬הסודי של המשתמש נשמע כמו משימה בלתי אפשרית‪ .‬אבל עבור מהנדסים‬
‫חברתיים‪ ,‬האתגר דומה לזה של שחקן פוקר שיודע לקרוא את יריביו‪ .‬עם קצת‬
‫מזל‪ ,‬כשהוא מתיישב ליד שולחן הוא יודע שהוא צפוי ללכת עם ערימה של כסף‬
‫של אנשים אחרים‪.‬‬

‫מסתערים על המצודה‬
‫דני התחיל לעשות את שיעורי הבית שלו‪ .‬עד מהרה הוא הצליח לאסוף די פרטים‬
‫כדי להתחזות לעובד אמיתי‪ .‬היו לו שם של עובד‪ ,‬מחלקה‪ ,‬מספר טלפון ומספר‬
‫עובד‪ ,‬וכן את שם המנהל ומספר הטלפון שלו‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫זה היה השקט שלפני הסערה‪ ,‬פשוטו כמשמעו‪ .‬על פי התוכנית שהגה‪ ,‬דני נזקק‬
‫לעוד דבר אחד לפני שיוכל להתקדם לצעד הבא‪ ,‬וזה היה משהו שלא היה לו‬
‫שליטה עליו‪ :‬הוא היה זקוק לסופת שלגים‪ .‬דני נזקק לעזרה קטנה מאמא טבע‬
‫בצורה של מזג אוויר כל כך גרוע‪ ,‬כזה שימנע מהעובדים להיכנס למשרד‪ .‬בחורף‬
‫שבדרום דקוטה‪ ,‬שם נמצא מפעל הייצור המדובר‪ ,‬כל מי שמצפה למזג אוויר גרוע‬
‫לא צריך לחכות זמן רב מידי‪ .‬ביום שישי בלילה הגיעה הסערה‪ .‬מה שהתחיל‬
‫כשלג הפך במהירות לגשם קפוא‪ ,‬כך שבבוקר היו הכבישים מצופים בשכבת קרח‬
‫חלקלקה ומסוכנת‪ .‬עבור דני‪ ,‬זו הייתה הזדמנות מושלמת‪.‬‬

‫הוא טלפן אל המפעל‪ ,‬ובקש את חדר המחשבים כך הגיע לאחד הנמלים החרוצות‬
‫של מחלקת ה‪ ,IT -‬מפעיל מחשב שקרא לעצמו רוג'ר קובלסקי‪.‬‬

‫כשהוא נותן את שמו של העובד האמיתי שקיבל‪ ,‬אמר דני‪" ,‬זה בוב בילינגס‪ ,‬אני‬
‫עובד מקבוצת התקשורת המאובטחת‪ ,‬אני כרגע בבית ואני לא יכול להגיע לעבודה‬
‫בגלל הסערה‪ ,‬והבעיה היא שאני צריך לגשת לתחנת העבודה שלי שבשרת מהבית‪,‬‬
‫השארתי את ה ‪ secure-id‬המאובטח שלי על שולחן העבודה שלי‪ .‬אתה יכול‬
‫ללכת להביא את זה בשבילי? או שאולי מישהו אחר יכול לעשות את זה? ואז‬
‫לקרוא לי את הקוד שאני צריך בשביל להיכנס למערכת? אני צריך את זה דחוף כי‬
‫לקבוצה שלי יש תאריך יעד קריטי ואין שום דרך שאני יכול לעשות את העבודה‬
‫שלי‪ .‬אין שום סיכוי שאגיע למשרד בסערה הזו ‪ -‬הכבישים מסוכנים מדי‪.‬‬

‫מפעיל המחשב אמר‪" :‬אני לא יכול לעזוב את מרכז המחשבים"‪ .‬דני קפץ על‬
‫המציאה‪" :‬יש לך תעודת זהות בטוחה משלך?"‪.‬‬

‫"יש כאן אחד במרכז המחשבים" הוא אמר‪" .‬אנחנו מחזיקים אחד בשביל‬
‫המפעילים למקרי חירום‪".‬‬
‫"תשמע‪ ",‬אמר דני "אתה יכול לעשות לי טובה גדולה? אני צריך לחייג לרשת‬
‫הפנימית‪ ,‬אתה יכול לתת לי את ‪ secure-id‬שלך רק עד שיהיה בטוח לנהוג‬
‫למפעל?‪".‬‬
‫"מי אתה שוב?" שאל קובלסקי‪.‬‬
‫"עבור מי אתה עובד?‪".‬‬
‫"בשביל אד טרנטון"‪.‬‬
‫"אה‪ ,‬כן‪ ,‬אני מכיר אותו‪".‬‬
‫כאשר הוא עלול לעמוד בפני אתגרים גדולים‪ ,‬מהנדס חברתי טוב עושה מחקר‬
‫רציני ביותר‪" .‬אני בקומה השנייה‪" ,‬המשיך דני‪" .‬ליד רוי טאקר‪".‬‬
‫הוא הכיר גם את השם הזה‪ .‬דני חזר לעבוד עליו‪" .‬זה יהיה הרבה קל ופשוט ללכת‬
‫לשולחן שלי ולהביא את ‪ secure-id‬שלי בשבילי‪.‬‬
 ‫פרק ‪ -6‬אתה יכול לעזור לי?‬ ‫‪85‬‬

‫דני היה בטוח למדי שהבחור לא ירוץ לעשות את זה‪ .‬קודם כל‪ ,‬בטח לא היה לו‬
‫כוח לעזוב את המחלקה שלו באמצע המשמרת כדי לשוטט במסדרונות אל חלק‬
‫מרוחק של הבניין‪ .‬בוודאי הוא גם לא ירצה לחטט בשולחן של מישהו אחר‪ .‬לא‪,‬‬
‫זה היה הימור בטוח שהוא לא ירצה לעשות את זה‪.‬‬

‫קובלסקי לא רצה להגיד לא לאיש הזקוק לעזרה‪ ,‬אבל הוא לא רצה לומר כן‬
‫ולהסתבך‪ .‬אז הוא החליט להימנע מההחלטה‪" :‬אני אצטרך לשאול את הבוס שלי‪.‬‬
‫חכה רגע"‬
‫הוא הניח את השפופרת‪ ,‬ודני שמע אותו מרים טלפון נוסף‪ ,‬מתקשר למישהו‬
‫ומסביר את הבקשה‪ .‬ואז קובלסקי עשה משהו בלתי מוסבר‪ :‬הוא ממש ערב אישית‬
‫לבחור שהזדהה בתור בוב בילינגס‪" .‬אני מכיר אותו" אמר למנהל‪" .‬הוא עובד‬
‫אצל אד טרנטון‪ ,‬אפשר לתת לו להשתמש בתעודה המאובטחת של מרכז‬
‫המחשבים‪ ".‬דני‪ ,‬אחז בטלפון‪ ,‬נדהם לשמוע את התמיכה המיוחדת והבלתי צפויה‬
‫הזאת‪ :‬הוא לא האמין למשמע אוזניו‪ .‬אחרי עוד כמה רגעים חזר קובלסקי אל הקו‬
‫ואמר‪" ,‬המנהל שלי רוצה לדבר איתך בעצמו"‪ ,‬ונתן לו את שמו של האיש ואת‬
‫מספר הטלפון הנייד שלו‪.‬‬

‫דני התקשר למנהל וסיפר את כל הסיפור פעם נוספת‪ .‬הוא הוסיף פרטים על‬
‫הפרויקט‪ ,‬ומדוע צוות המוצר שלו צריך לעמוד בדרישה קריטית‪" .‬זה יהיה קל‬
‫יותר אם מישהו ילך ויביא את הכרטיס שלי" הוא אמר‪" .‬אני לא חושבת שהדלפק‬
‫נעול‪ ,‬הוא צריך להיות שם במגירה השמאלית העליונה"‪.‬‬

‫"טוב‪" ,‬אמר המנהל‪" ,‬רק לסוף השבוע‪ ,‬אני חושב שנוכל לתת לך במזהה של‬
‫'מרכז המחשבים'‪ ,‬אני אגיד לחברים התורניים שבזמן שתתקשר‪ ,‬עליהם לקרוא את‬
‫קוד הגישה האקראית בשבילך‪" ,‬והוא נתן לו את מספר ה‪ PIN -‬כדי להשתמש בו‪.‬‬
‫במשך כל סוף השבוע‪ ,‬בכל פעם שדני רצה להיכנס למערכת המחשב הארגונית‪,‬‬
‫הוא היה צריך רק להתקשר למרכז המחשבים ולבקש מהם לקרוא את שש הספרות‬
‫שמוצגות באסימון מזהה האבטחה‪.‬‬

‫עבודה פנימית‬
‫אז דני הצליח לחדור למערכת המחשב של החברה‪ ,‬אבל מה עכשיו? איך דני ימצא‬
‫את דרכו לשרת עם התוכנה שהוא חיפש? הוא כבר התכונן לכך‪ .‬משתמשי מחשב‬
‫רבים מכירים קבוצות דיון ופורמים‪ ,‬שבהם אנשים יכולים לפרסם שאלות שאנשים‬
‫אחרים עונים עליהם‪ ,‬או למצוא חברים וירטואלים בעלי עניין משותף במוסיקה‪,‬‬
‫במחשבים או בכל אחד ממאות נושאים אחרים‪.‬‬
‫מעטים האנשים שמפנימים שכאשר הם מפרסמים הודעה כלשהי בפורום או‬
‫בקבוצת דיון ההודעה שלהם נשארת זמינה אונליין למשך שנים אבות‪ .‬גוגל‪,‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫למשל‪ ,‬יש ארכיון של שבע מאות מיליון הודעות‪ ,‬חלקן נכתבו לפני עשרים שנה!‬
‫דני התחיל את המחקר בכתובת ‪.http://groups.google.com‬‬

‫הוא הכניס לתיבת החיפוש‪ ,‬את המילים "תקשורת רדיו מוצפנת" ואת שם‬
‫החברה‪ ,‬ומצא הודעה בת עשר שנים על הנושא‪ ,‬שאחד העובדים פרסם‪ .‬זה היה‬
‫פרסום מהתקופה בה החברה הייתה הראשונה לפתח מוצר מסוג כזה‪ ,‬כנראה זמן‬
‫רב לפני שגורמי משטרה וסוכנויות פדרליות שקלו להצפין אותות רדיו‪ .‬ההודעה‬
‫כללה את חתימת השולח‪ ,‬לא רק את שמו של האיש‪ ,‬סקוט פרס‪ ,‬אלא את מספר‬
‫הטלפון שלו ואפילו את שם קבוצת העבודה שלו‪ ,‬קבוצת התקשורת המאובטחת‪.‬‬

‫דני הרים את השפופרת וחייג את המספר‪ .‬זה נראה כמו הימור ‪ -‬האם הוא עדיין‬
‫עובד באותו ארגון על אף שעברו שנים רבות מפרסום ההודעה? האם הוא יהיה‬
‫בעבודה בסוף שבוע סוער כל כך? הטלפון צילצל פעם‪ ,‬פעמיים‪ ,‬שלוש פעמים‪,‬‬
‫ואז נשמע קול על הקו‪" .‬זהו סקוט‪ ",‬הוא אמר‪ .‬בטענה שהוא ממחלקת ה‪ IT -‬של‬
‫החברה‪ ,‬דני הפעיל מניפולציות )באחת הדרכים החברה מוכרת ממך בפרקים‬
‫הקודמים( על סקוט על מנת לחשוף את שמות השרתים שמשמשים לעבודת‬
‫הפיתוח‪ .‬אלה היו השרתים שניתן לצפות שבהם היה קוד המקור המכיל את‬
‫אלגוריתם ההצפנה הקניינית ושרטוטי הקושחה הייחודית המשמשים את מוצרי‬
‫הרדיו המאובטחים של החברה‪.‬‬

‫דני התקרב יותר ויותר לרגע המיוחל‪ ,‬וההתרגשות שלו הייתה בשיאה‪ .‬הוא ציפה‬
‫לרגש המטורף שהוא כל כך אהב‪ ,‬לתחושת ההיי המדהימה שתמיד הרגיש‬
‫כשהצליח להשיג דבר שרק מספר מצומצם מאוד של אנשים יכולים להשיג‪ .‬ובכל‬
‫זאת‪ ,‬הוא עדיין לא יכול לנוח על זרי הדפנה‪ .‬במשך סוף השבוע הוא יכנס לרשת‬
‫של החברה בכל פעם שירצה‪ ,‬הודות למנהל מרכז המחשבים המשותף‪ .‬הוא ידע‬
‫לאיזה שרתים הוא רוצה לגשת‪ .‬אבל כאשר הוא ניסה לחייג‪ ,‬שרת הטרמינל שהוא‬
‫מחובר אליו לא אפשר לו להתחבר למערכות הפיתוח של קבוצת התקשורת‬
‫המאובטחת‪ .‬בוודאי הייתה שם חומת אש פנימית או נתב שהגן על מערכות‬
‫המחשב של הקבוצה‪ .‬הוא יצטרך למצוא דרך אחרת‪.‬‬

‫השלב הבא דרש אומץ‪ :‬דני התקשר בחזרה אל קובלסקי ממחלקת ה‪ IT‬והתלונן‪:‬‬
‫"השרת שלי לא מאפשר לי להתחבר" ואז אמר לבחור מה‪" IT -‬אני צריך שתגדיר‬
‫לי חשבון באחד המחשבים של המחלקה שלך כדי שאוכל להשתמש ב‪Telnet -‬‬
‫כדי להתחבר למערכת שלי "‪.‬‬
‫המנהל כבר אישר לחשוף את קוד הגישה המוצג באסימון מבוסס הזמן‪ ,‬ולכן‬
‫הבקשה החדשה לא נראתה בלתי סבירה‪ .‬קובלסקי הגדיר חשבון וסיסמה זמניים‬
‫על אחד ממחשבי המחלקה‪ ,‬ואמר לדני "תתקשר אלי בחזרה כשאינך זקוק‬
‫לחשבון עוד ואני אסיר אותו"‪.‬‬
 ‫פרק ‪ -6‬אתה יכול לעזור לי?‬ ‫‪87‬‬

‫לאחר שנכנס לחשבון הזמני‪ ,‬דני הצליח להתחבר דרך הרשת למערכות המחשוב‬
‫של קבוצת התקשורת המאובטחת‪ .‬לאחר שעה של חיפוש באינטרנט אחר חור‬
‫אבטחה שייתן לו גישה לשרת הפיתוח עיקרי‪ ,‬הוא מצא אותו‪ .‬נראה כי שמנהל‬
‫הרשת או המערכת לא התעדכנו בחדשות האחרונות על חור אבטחה במערכת‬
‫ההפעלה שמאפשר גישה מרחוק‪ .‬אבל דני היה מעודכן‪ .‬בתוך זמן קצר הוא איתר‬
‫את קוד המקור לקבצים שהוא חיפש והעביר אותם לאתר רחוק שהציע שטח‬
‫אחסון חינם‪ .‬באתר זה‪ ,‬גם אם הקבצים יתגלו אי פעם‪ ,‬הם לעולם לא יקושרו אליו‪.‬‬

‫היה לו רק עוד צעד אחד אחרון לפני החגיגות‪ :‬התהליך השיטתי של מחיקת‬
‫העקבות שהשאיר‪ .‬הוא סיים לפני שהמופע של ג'יי לנו התחיל‪ .‬דני הרגיש שזה‬
‫היה סוף שבוע נהדר בשבילו‪ .‬הוא כלל לא נאלץ להסתכן אישית‪ .‬אבל עדיין זה‬
‫היה ריגוש משכר‪ ,‬אפילו טוב יותר מאשר סנובורד או צניחה חופשית‪.‬‬
‫דני השתכר בלילה ההוא‪ ,‬לא על ויסקי‪ ,‬או על ג'ין‪ ,‬על בירה או על סאקה‪ ,‬אלא על‬
‫תחושת הכוח וההישג שלו כשנמסכה בו על הקבצים שגנב ועל התוכנה הסודית‬
‫שהצליח להשיג‪.‬‬

‫ניתוח ההונאה‬
‫כמו בסיפור הקודם‪ ,‬תחבולה זו עבדה רק בגלל עובד חברה אחד שהיה מוכן לקבל‬
‫כפשוטם של דברים את טענת המתקשר שהוא העובד שהוא טען שהוא‪.‬‬
‫ההשתוקקות לעזור לקולגה בצרה היא‪ ,‬מצד אחד‪ ,‬חלק ממה שמשמן את גלגלי‬
‫התעשייה‪ ,‬וחלק ממה שעושה את האווירה הטובה שיש בחלק מהחברות‪ .‬אבל‬
‫מצד השני‪ ,‬זה פותח סיכון אבטחה רציני שמהנדס חברתי ינסה לנצל‪ .‬טכניקה אחת‬
‫של מניפולציה שהשתמש בה דני הייתה מיוחדת‪ :‬כשביקש שמישהו יביא לו‬
‫תעודת הזהות המאובטחת שלו מהשולחן שלו‪ ,‬הוא אמר כל הזמן שהוא רוצה‬
‫שמישהו יביא את זה בשבילו‪ .‬אף אחד לא רוצה שיאמרו לו להביא משהו‪ .‬עם‬
‫מילה אחת‪ ,‬דני גרם לכך שהבקשה תידחה ופתרון אחר יעלה במקומה‪ ,‬וזה בדיוק‬
‫מה שהוא רצה‪.‬‬

‫העובד הזוטר מה ‪ -IT‬קובלסקי‪ ,‬בלע את הפיתיון של דני שזרק לו שמות של‬

‫אנשים שקובלסקי ידע במקרה‪ ,‬אבל למה המנהל של קובלסקי – מנהל ה‪ ,IT -‬לא‬
‫פחות ‪ -‬מאפשר גישה לא מאומתת לרשת הפנימית של החברה? זה משום שבקשת‬
‫עזרה יכולה להיות משכנעת מאוד וקשה להתגונן מפניה כשהיא יוצאת מפיו של‬
‫מהנדס חברתי מוכשר‪.‬‬

‫מרכז מרכז המחשוב‪" ,‬קובלסקי‪ ,‬נלקח על ידי דני ושמט את שמות האנשים‬
‫שקובלסקי ידע במקרה‪ ,‬אבל למה המנהל של קובלסקי ‪ -‬מנהל ‪ ,IT‬לא פחות ‪-‬‬
‫מאפשר גישה זרה לרשת הפנימית של החברה? עבור עזרה יכול להיות כלי רב‬
‫עוצמה‪ ,‬משכנע בארסנל של מהנדס חברתי‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫המסר של מיטניק‬
‫הסיפור הזה מראה כי אסימונים מבוססי זמן וצורות אימות דומות אינם מהווים‬
‫הגנה נגד המהנדס החברתי הערמומי‪ .‬ההגנה היחידה היא עובד אחראי שעוקב‬
‫אחר מדיניות הביטחון ומבין כיצד אחרים יכולים להשפיע בצורה זדונית על‬
‫התנהגותו‪.‬‬
‫האם משהו כזה יכול לקרות בחברה שלך? האם זה כבר קרה?‬

‫מניעת ההונאה‬
‫נראה כי זהו אלמנט החוזר על עצמו לעתים קרובות בסיפורים אלה‪ -‬תוקף‬
‫שמתחבר לרשת מחשבים מחוץ לחברה‪ ,‬ע"י עובד מהחברה שמאפשר לו את‬
‫הגִ ישָ ה‪ .‬מדוע אני חוזר לנושא זה לעתים כה קרובות? כי זה באמת גורם לכל כך‬
‫הרבה התקפות הנדסה חברתית‪ .‬עבור המהנדס החברתי‪ ,‬זוהי הדרך הקלה ביותר‬
‫להגיע למטרה שלו‪ .‬למה תוקף צריך לבלות שעות בנסיונות פריצה‪ ,‬כאשר הוא‬
‫יכול לעשות את זה בשיחת טלפון פשוטה?‬
‫אחת השיטות החזקות ביותר עבור המהנדס החברתי לבצע סוג זה של התקפה היא‬
‫תחבולה פשוטה של העמדת פנים של אדם שזקוק לעזרה ‪ -‬גישה שנמצאת‬
‫בשימוש תכוף על ידי התוקפים‪ .‬אתה לא רוצה למנוע מהעובדים שלך לעזור‬
‫לעובדים אחרים או ללקוחות‪ ,‬ולכן אתה חייב לחמש אותם בנהלי אימות‬
‫ספציפיים שישמשו אותם כאשר מישהו מבקש גישה למחשב או למידע סודי‪.‬‬
‫בדרך זו הם יכולים להיות מועילים לאלה צריך לעזור להם‪ ,‬ועדיין נכסי המידע של‬
‫הארגון ומערכות המחשב יישארו מוגנים‪.‬‬
‫נהלי האבטחה של החברה צריכים לפרט בפירוט איזה סוג של מנגנוני אימות יש‬
‫להשתמש בנסיבות שונות‪.‬‬

‫פרק ‪ 17‬מספק רשימה מפורטת של נהלים‪ ,‬אבל הנה כמה קווים מנחים‪ :‬דרך אחת‬
‫טובה כדי לאמת את הזהות של אדם הוא להתקשר למספר הטלפון המופיע‬
‫במדריך החברה עבור אותו אדם‪ .‬אם האדם שמבצע את הבקשה הוא למעשה‬
‫תוקף‪ ,‬שיחת האימות תאפשר לך לדבר עם האדם האמיתי בטלפון בזמן שהמתחזה‬
‫נמצא בהמתנה‪ ,‬או שתגיע לדואר הקולי של העובד כדי שתוכל להאזין לצליל‬
‫קולו‪ ,‬ולהשוות אותו לקול התוקף‪.‬‬
‫אם מספרי הטלפון של העובדים משמשים את החברה שלך לאמת זהות‪ ,‬אזי‬
‫מספרים אלה צריכים להיות מוגדרים כמידע רגיש‪ ,‬שנשמר בקפידה ולא נמסר‬
‫ל זרים‪ .‬כנ"ל לגבי כל סוגי המזהים הפנימיים האחרים‪ ,‬כגון מספרי טלפון פנימיים‪,‬‬
‫מזהי חיוב מחלקתיים ואפילו כתובות דוא"ל‪ .‬הכשרה ארגונית צריך להפנות את‬
‫תשומת הלב של כולם נוהג מקובל של קבלת אנשים לא מוכרים כעובדים‬
‫לגיטימיים בטענה כי הם נשמעים סמכותי או ידע‪ .‬רק בגלל שמישהו מכיר חברה‬
‫בפועל או משתמש במינוח פנימי אין סיבה להניח כי הזהות שלו לא צריך להיות‬
‫מאומת בדרכים אחרות‪ .‬קציני הביטחון ומנהלי המערכת אינם צריכים לצמצם את‬
 ‫פרק ‪ -6‬אתה יכול לעזור לי?‬ ‫‪89‬‬

‫המיקוד שלהם‪ ,‬כך שהם רק ערניים לאופן שבו כל אדם אחר מודע לכך‪ .‬הם גם‬
‫צריכים לוודא שהם עצמם פועלים לפי אותם כללים‪ ,‬נהלים‪ ,‬שיטות עבודה‪.‬‬
‫אין להעביר לאף אחד סיסמאות כמובן‪ ,‬כמו כן צריך להבהיר שאין לשתף אף אדם‬
‫בקוד של אסימונים מבוססי זמן וצורות אימות מאובטחות אחרות‪ .‬זה צריך להיות‬
‫עניין של השכל הישר שההעברה אחד מהדברים הללו גורם לכל מערכות‬
‫האבטחה של החברה להיות לא רלוונטיות‪.‬‬
‫כפי שאני חוזר על כל הספר הזה‪ ,‬העובדים צריכים להיות מודעים לאסטרטגיות‬
‫של הנדסה חברתית‪ .‬יש לשקול שימוש במשחקי תפקידים כחלק סטנדרטי‬
‫מההכשרה של האבטחה בחברה‪ ,‬כדי שהעובדים יוכלו להגיע להבנה טובה יותר‬
‫של האופן שבו פועל מהנדס חברתי‪.‬‬
‫שליטה בחוליה האנושית באבטחה‬

‫פרק ‪ – 7‬על אתרים מזויפים וקבצים מסוכנים‬