אירוע אבטחה חסר תקדים פקד אמש את טוויטר: עשרות חשבונות בעלי פרופיל גבוה ומיליוני עוקבים, נפרצו והפיצו בצורה מתואמת הונאת ביטקוין. בין החשבונות שנפגעו - הנשיא לשעבר ברק אובמה, ג'ו ביידן, ביל גייטס, ג'ף בזוס, קים קרדשיאן וקניה ווסט, וגם חברות ענק כמו אפל - נושאת דגל אבטחת המידע והפרטיות. בזמן שצוותי האבטחה בטוויטר עובדים קשה כדי להסביר מה בדיוק הוביל לפריצה, ברשת החברתית הספיקו לדווח בינתיים כי מדובר בשימוש בטכניקות של "הנדסה חברתית", לניצול כלי ניהול פנימיים של אחד או יותר מעובדי החברה.
(צילום: ניצן דרור)
המונח "הנדסה חברתית" לקוח מעולמות אבטחת המידע. הוא אולי נשמע מפוצץ, אבל הוא מבוסס על כמה הנחות מאוד בסיסיות הנוגעות לטבע האדם, ולמעשה מביא לידי ביטוי את רוב מתקפות הפישינג (דיוג) המוכרות לנו היום, בדרגה הולכת ומשתכללת. אם בעבר למדנו איך לקרוא את המיילים מהנסיך הניגרי שנקלע לצרה ומחפש איפה להניח את ארגזי הכסף שלו, היום מתקפות מהסוג שמופנה כלפי משתמשים יבשרו לנו למשל שצולמנו באמצעות מצלמת הרשת במהלך אקט אינטימי, או שחשבון הפייפאל שלנו נחסם ומחייב רישום מחדש.
בניגוד לביטוי המפוצץ, מאחורי מתקפות כאלה עומדות יכולות טכניות לא מורכבות, והן למעשה מבוססות יותר על הפסיכולוגיה האנושית: האפשרות שסרטונים אינטימיים שלנו ידלפו מעוררת לחץ ומבוכה גדולים - וסביר שהיא תשלח אותנו ישירות אל ארנק הביטקוין של התוקף - גם אם ברוב המקרים בכלל לא בוצעה תקיפה. גם במקרה של טוויטר - הבחירה של התוקפים להשתמש בחשבונות בעלי פרופיל גבוה - כאלה שאומתו, ושיש להם מיליוני עוקבים, חשבונות של מיליונרים שכנראה מרגישים שהגיע זמנם "לתרום חזרה" לחברה, ועוד באמצעות ביטקוין - הצליחה להפעיל משתמשים. לפי הדיווחים, בתוך זמן קצר מתחילת הפריצה והפצת ההודעות כבר נאספו יותר מ-100 אלף דולר בארנק הביטקוין הייעודי.
בטכניקות של הנדסה חברתית, שם המשחק הוא שכנוע: במקום לפרוץ טכנית אל מאגרי מידע, עושים פעולות עוקפות - וניגשים ישירות אל המשתמשים בתחבולות, חלקן מגוחכות למדי. בכל זאת, רבים נופלים ברשת - מפני שזיהוי התחבולות מחייב מידה מסוימת של אוריינות דיגיטלית או היכרות עם השיטות הנפוצות.
"מתקפה מבוססת הנדסה חברתית היא לא מתקפה טכנולוגית, אלא פסיכולוגית", מסביר רונן מואס, מנכ"ל חברת האבטחה ESET ישראל. "התוקף משתמש באמצעים פסיכולוגיים כדי לשכנע את המותקף לפתוח עבורו את הדלת. אין פה צורך בכלים מתוחכמים של האקרים, אבל יש צורך בידע לגבי איך להפעיל את הטריגר שלנו במוח. הפריצה בטוויטר היא משהו חדשני, כי התוקפים רצו להגיע לחשבונות של אנשים בפרופיל מסוים - אבל לא תקפו אותם ישירות, אלא עשו את זה באמצעות צד שלישי, דרך טוויטר עצמה".
למה זה עבד?
"אנחנו רואים שהתוקפים כיוונו להגיע לחשבונות מפרופיל מסוים - אנשים עשירים מאוד, חלקם טכנולוגיים, רובם בעלי רקע פילנתרופי. אם אנחנו יודעים שביל גייטס תורם המון כספים לקהילה, ופתאום יש הודעה בטוויטר שהוא מחפש לתרום בחזרה לקהילה - זה מסתדר לנו עם האופי שלו. זה נראה לנו אמין".
בטוויטר עוד לא פרסמו דו"ח מקיף על האירועים שהובילו לפריצת הענק, אבל דיווחים בעיתונות רומזים שהגישה לחשבונות נעשתה באמצעות כלי ניהול המשמשים את עובדי החברה. "תוקפים הפעילו הנדסה חברתית לא רק על משתמשי טוויטר, אלא גם על עובדי החברה", מסביר מואס, "וגרמו להם להעניק גישה למאגרי המידע הפנימיים".
אם עובדי טוויטר לא הצליחו לזהות את המתקפה, מה יגידו אזובי הוול?
"את צודקת במובן הזה. אנחנו עוד מחכים לדו"ח המקיף של טוויטר כדי להבין מה בדיוק קרה שם, אבל הציפייה מחברה כמו טוויטר היא שלעובדים תהיה רמת מודעות גבוהה לנושא. היתרון בסוג המתקפות הזה הוא בראש ובראשונה מודעות, כי מול מתקפה פסיכולוגית אי אפשר להפעיל כלים טכנולוגיים".
זה אומר שגם כלים כמו אימות דו-שלבי, שנועדו להבטיח שהרשאות הגישה לחשבון נשארות בידיים הנכונות, עשויים להיות לא רלוונטיים כלל כשמדובר על הנדסה חברתית. במקרה של טוויטר, סביר מאוד להניח שחלק גדול מהחשבונות שנפגעו מהפריצה אובטחו באימות דו-שלבי, אלא שהפריצה נעשתה כאמור מתוך כלי ניהול פנימי של טוויטר ולכן אימות כזה לא נדרש בכלל.
מואס מדגיש כי בכל הקשור למתקפות מהסוג הזה, משתמשים צריכים להגביר ערנות ולהפעיל את המוח. "מתקפות כאלה מגיעות אלינו בדואר האלקטרוני, בהודעות SMS, ברשתות החברתיות ואפילו בשיחות טלפון אמיתיות. אם אנחנו מזהים הודעה שנוסחה בצורה עילגת, באמצעות תרגום מכונה - זה אמור להדליק לנו נורה אדומה. אם מבקשים מאיתנו סיסמאות ופרטי גישה בשיחת טלפון או במייל - זו הונאה. כדאי גם לשים לב לתחושת הדחיפות. אם כותבים לנו שחשבון הפייאפל שלנו ייחסם בתוך חצי שעה - זה ניסיון לייצר אצלנו לחץ פנימי, וגם זו נורה אדומה. וכמובן - אם זה טוב מכדי להיות אמיתי - כשמודיעים לנו שזכינו בהגרלה, במכשיר אייפון או בסכום כסף - זו כנראה הונאה".
