הנדסה חברתית היא בקושי מושג חדש, אפילו בעולם אבטחת הסייבר. הונאות פישינג לבדן קיימות כבר כמעט 30 שנה, כאשר תוקפים מוצאים באופן עקבי דרכים חדשות לפתות קורבנות ללחוץ על קישור, להוריד קובץ או לספק מידע רגיש.
התקפות דוא"ל עסקיות (BEC) חזרו על רעיון זה בכך שהתוקף מקבל גישה לחשבון דוא"ל לגיטימי והתחזה לבעליו. התוקפים חושבים שהקורבנות לא יפקפקו בדוא"ל שמגיע ממקור מהימן - ולעתים קרובות מדי, הם צודקים.
אבל אימייל הוא לא האמצעי היעיל היחיד שבו משתמשים פושעי סייבר כדי להשתתף בהתקפות הנדסה חברתית. עסקים מודרניים מסתמכים על מגוון יישומים דיגיטליים, משירותי ענן ו-VPNs ועד כלי תקשורת ושירותים פיננסיים. יתרה מכך, היישומים הללו קשורים זה בזה, כך שתוקף שיכול להתפשר על אחד יכול להתפשר גם על אחרים. ארגונים אינם יכולים להרשות לעצמם להתמקד אך ורק בהתקפות דיוג והתקפות BEC - לא כאשר התפשרות על יישומים עסקיים (BAC) נמצאת במגמת עלייה.
מיקוד לכניסה יחידה
עסקים משתמשים ביישומים דיגיטליים מכיוון שהם מועילים ונוחים. בעידן העבודה מרחוק, העובדים זקוקים לגישה לכלים ומשאבים קריטיים ממגוון רחב של מיקומים והתקנים. יישומים יכולים לייעל את זרימות העבודה, להגביר את הגישה למידע קריטי ולהקל על העובדים לבצע את עבודתם. מחלקה בודדת בתוך ארגון עשויה להשתמש בעשרות יישומים, בעוד שהחברה ממוצעת משתמשת ביותר מ-200. למרבה הצער, מחלקות האבטחה וה-IT לא תמיד יודעות על - שלא לדבר על מאשרות - את היישומים הללו, מה שהופך את הפיקוח לבעיה.
אימות הוא נושא אחר. יצירה (וזכירה) של שילובים ייחודיים של שם משתמש וסיסמה יכולה להיות אתגר עבור כל מי שמשתמש בעשרות אפליקציות שונות כדי לבצע את עבודתו. שימוש במנהל סיסמאות הוא פתרון אחד, אבל זה יכול להיות קשה ל-IT לאכוף. במקום זאת, חברות רבות מייעלות את תהליכי האימות שלהן באמצעות פתרונות כניסה יחידה (SSO)., המאפשרים לעובדים להיכנס לחשבון מאושר פעם אחת לקבלת גישה לכל האפליקציות והשירותים המחוברים. אבל מכיוון ששירותי SSO מעניקים למשתמשים גישה קלה לעשרות (או אפילו מאות) יישומים עסקיים, הם יעדים בעלי ערך גבוה לתוקפים. לספקי SSO יש תכונות ויכולות אבטחה משלהם, כמובן - אבל טעות אנוש נותרה בעיה קשה לפתרון.
הנדסה חברתית, התפתח
ליישומים רבים - ובוודאי לרוב פתרונות SSO - יש אימות רב-גורמי (MFA). זה מקשה על התוקפים להתפשר על חשבון, אבל זה בהחלט לא בלתי אפשרי. MFA יכול להיות מעצבן למשתמשים, שעשויים להיאלץ להשתמש בו כדי להיכנס לחשבונות מספר פעמים ביום - מה שמוביל לחוסר סבלנות ולפעמים לחוסר זהירות.
חלק מפתרונות MFA דורשים מהמשתמש להזין קוד או להציג את טביעת האצבע שלו. אחרים פשוט שואלים: "זה אתה?" האחרון, אמנם קל יותר למשתמש, נותן לתוקפים מקום לפעול. תוקף שכבר השיג קבוצה של אישורי משתמש עלול לנסות להיכנס מספר פעמים, למרות הידיעה שהחשבון מוגן MFA. על ידי העברת דואר זבל לטלפון של המשתמש עם בקשות אימות MFA, התוקפים מגבירים את עייפות הערנות של הקורבן. קורבנות רבים, עם קבלת מבול של בקשות, מניחים שה-IT מנסה לגשת לחשבון או לוחצים על "אישור" פשוט כדי לעצור את מבול ההתראות. אנשים מתרגזים בקלות, והתוקפים משתמשים בזה לטובתם.
במובנים רבים, זה הופך את BAC לקל יותר להשגה מאשר BEC. יריבים העוסקים ב-BAC רק צריכים להציק לקורבנות שלהם לקבל החלטה גרועה. ועל ידי מיקוד לספקי זהות ו-SSO, התוקפים יכולים לקבל גישה לעשרות יישומים שונים, כולל שירותי משאבי אנוש ושכר. אפליקציות נפוצות כמו Workday נגישות לעתים קרובות באמצעות SSO, מה שמאפשר לתוקפים לעסוק בפעילויות כגון הפקדה ישירה והונאת שכר שיכולות להעביר כספים ישירות לחשבונות שלהם.
פעילות מסוג זה יכולה בקלות להיעלם מעיניו - וזו הסיבה שחשוב שיהיו במקום כלי זיהוי ברשת שיכולים לזהות התנהגות חשודה, אפילו מחשבון משתמש מורשה. בנוסף, עסקים צריכים לתעדף את השימוש ב מפתחות אבטחה עמידים בפני phish Fast Identity Online (FIDO).
בעת שימוש ב-MFA. אם גורמי FIDO בלבד עבור MFA אינם מציאותיים, הדבר הבא הטוב ביותר הוא להשבית דואר אלקטרוני, SMS, קול וסיסמאות חד פעמיות מבוססות זמן (TOTPs) לטובת הודעות דחיפה, ולאחר מכן להגדיר מדיניות MFA או ספק זהות כדי להגביל את הגישה למכשירים מנוהלים כשכבת אבטחה נוספת.
מתן עדיפות למניעת BAC
אחרון מחקרים מצביעים על כך
כי נעשה שימוש בטקטיקות BEC או BAC ב-51% מכל התקריות. למרות שהוא פחות מוכר מ-BEC, BAC מצליח מעניק לתוקפים גישה למגוון רחב של יישומים עסקיים ואישיים הקשורים לחשבון. הנדסה חברתית נותרה כלי בעל תשואה גבוהה עבור התוקפים של היום - כזה שהתפתח לצד טכנולוגיות האבטחה שנועדו לעצור אותה.
עסקים מודרניים חייבים לחנך את העובדים שלהם, ללמד אותם כיצד לזהות את הסימנים של הונאה אפשרית והיכן לדווח על כך. כאשר עסקים משתמשים ביותר יישומים מדי שנה, העובדים חייבים לעבוד יד ביד עם צוותי האבטחה שלהם כדי לעזור למערכות להישאר מוגנות מפני תוקפים ערמומיים יותר ויותר.
