קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

כל מי שיש לו טלפון ויכול לקבל שיחות חשוף להתקפת תירוצים. תוקפים מתואנים יכולים להתקשר אליך בתואנות שווא, כמו להעמיד פנים שאתה מהמחלקה הטכנית של חברה או צוות אחר עם גישה לסיסמאות, כדי לתמרן אותך ולהשיג מידע. תוקפים אלה יכולים למכור או לעשות שימוש לרעה בנתונים אלה, לכן עליך להגן באופן אקטיבי על המידע שלך.

אז מה זה העמדת פנים? איך אתה יכול להגן על עצמך?

מה זה תירוצים?

באמתלה, סוג של הנדסה חברתית, מתרחשת כאשר האקר משתמש באמצעים מטעים כדי לנסות לקבל גישה למערכת, לרשת או למידע כלשהו. התוקף מעלה תרחיש שקרי, הידוע בתור העילה, המעמיד פנים שהוא מישהו מנוסה, כמו אנשי IT, מנהל משאבי אנוש, או אפילו סוכן ממשלתי. התקפה זו יכולה להתרחש באופן מקוון ובאופן אישי.

תירוצים החלו בבריטניה בתחילת שנות ה-2000 כאשר עיתונאים שחיפשו סקופים עסיסיים על ידוענים השתמשו באמצעים קיצוניים כדי לרגל אחריהם. התחרות בין מותגי החדשות הייתה עזה, מה שהוביל עיתונאים להמציא דרכים חדשות לקבל מידע פרטי.

ראשית, זה היה פשוט כמו לחטט בתא הקולי של ידוען היעד. הודעות קוליות הגיעו עם PIN ברירת מחדל שמשתמשים רבים לא טרחו לשנות, והעיתונאים ניצלו זאת. אם קוד ברירת המחדל השתנה, חלקם הרחיק לכת והתקשרו ליעדים שלהם והעמידו פנים שהם טכנאים מחברת הטלפון. הם ישיגו את ה-PIN של התא הקולי ויקבלו גישה למידע החבוי שם.

instagram viewer

בדרך כלל, תרחישי תירוצים בדרך כלל מרגישים שהם דורשים מידה רבה של דחיפות או אהדה מהקורבן לעתיד. התוקפים עשויים להשתמש באימיילים, שיחות טלפון או הודעות טקסט כדי ליצור קשר עם המטרות שלהם.

אלמנטים של התקפת תואנה

בתרחיש של תירוצים, ישנם שני מרכיבים עיקריים: "הדמות" שמגלם הרמאי וה- "מצב סביר" נועד לרמות את המטרה להאמין שלדמות יש זכות למידע שהיא הם אחרי.

תאר לעצמך שאתה מנסה לעבד עסקה, והיא לא יוצאת לפועל. אתה לא מקבל את הפיצה שהזמנת, והחנות המקוונת סגורה. איזה באסה! אבל זה לא הכל. כמה דקות לאחר מכן, באיזו שגיאה בלתי מוסברת, אתה מגלה שחשבונך חויב.

זמן קצר לאחר מכן, התוקף מתקשר ומקבל דמות, מעמיד פנים שהוא סוכן שירות לקוחות מהבנק שלך. מכיוון שאתה מצפה לשיחה, אתה נופל במצב הסביר הזה ונותן את פרטי כרטיס האשראי שלך.

כיצד פועלת תירוצים?

תירוצים מנצלים חולשות באימות הזהות. במהלך עסקאות קוליות, זיהוי פיזי כמעט בלתי אפשרי, ולכן מוסדות נוקטים בשיטות אחרות כדי לזהות את הלקוחות שלהם.

שיטות אלו כוללות בקשת אימות של תאריך לידה, קרובי משפחה, מספר צאצאים, כתובת ליצירת קשר, שם נעורים של האם או מספר חשבון. את רוב המידע הזה ניתן להשיג באופן מקוון מחשבונות המדיה החברתית של היעד. תואנים משתמשים במידע זה כדי "להוכיח" את האותנטיות של דמותם.

הרמאים משתמשים במידע האישי שלך כדי לגרום לך לחשוף מידע רגיש יותר שהם יכולים להשתמש בו. קבלת מידע אישי זה מצריכה מחקר מדוקדק מכיוון שככל שהנתונים המתקבלים יהיו יותר ספציפיים, כך תצטרכו לוותר על מידע בעל ערך רב עוד יותר.

לרמאים יש גם מקורות מידע ישירים מלבד מדיה חברתית. הם יכולים לזייף את מספר הטלפון או שם הדומיין באימייל של הארגון שהם מתחזים כדי להוסיף יותר אמינות למצב הסביר שנמכר למטרה.

3 טכניקות תירוצים בולטות

ישנן טכניקות תירוצים שונות שרמאים והאקרים משתמשים כדי לקבל גישה למידע רגיש.

1. וישינג וסמישינג

טכניקות אלו מאוד דומות. התקפות וישינג כרוך בשימוש בשיחות קוליות כדי לשכנע קורבן לוותר על המידע הדרוש לרמאי. הונאות מחממות, לעומת זאת, השתמש ב-SMS או בהודעות טקסט.

ל-Vishing יש סיכוי גבוה יותר להצליח מכיוון שליעדים יש סיכוי גבוה יותר להתעלם מהודעות טקסט מאשר שיחות ישירות מאנשי חיוני לכאורה.

2. פיתיון

פיתיון כרוך בשימוש בתגמול גדול כדי לאסוף מידע ויכול לכלול גם זיוף של מקור מהימן.

הרמאי יכול להעמיד פנים שהוא עורך דין בטענה שיש לך ירושה מקרוב משפחה רחוק והוא יצטרך את הפרטים הפיננסיים שלך כדי לעבד את העסקה. גם אנשי דרג גבוה של ארגון יעד יכולים להיות קורבנות.

עוד תמרון נפוץ הוא הורדת מעטפה המכילה כונן הבזק עם לוגו החברה והודעה לעבודה על פרויקט דחוף. כונן ההבזק יהיה עמוס בתוכנות זדוניות שההאקרים ישתמשו בהן כדי לקבל גישה לשרתי החברה.

3. מפחידים

בשיטה זו, ההאקרים משתמשים בפחד כטקטיקה. דוגמה בולטת היא חלון קופץ באתר לא מאובטח, שאומר לך שיש וירוס במכשיר שלך ואז מבקש ממך להוריד תוכנית אנטי-וירוס שהיא למעשה תוכנה זדונית. ניתן להפיץ את תוכנת ההפחדה גם באמצעות מיילים וקישורים בהודעות טקסט.

כיצד להגן על עצמך מפני התקפות באמתלה

התקפות תירוצים כל כך נפוצות שאין כמעט דרך לעצור אותן לחלוטין. עם זאת, ניתן לנקוט בצעדים כדי לרסן אותם באופן משמעותי.

שלב אחד הוא ניתוח אימייל. הסתכלות על שם הדומיין של אימייל יכול לתת תובנה האם הוא מזויף או אמיתי. עם זאת, התקפות תירוצים יכולות זיוף דומיינים של דואר אלקטרוני אז נראה כמעט זהה למקור, מה שמקשה מאוד לזהות את התירוצים האלה.

קרדיט תמונה: Production Perig/Shutterstock

אבל עם התקדמות טכנולוגיית הבינה המלאכותית המורכבת, ניתוח הדוא"ל הפך לנגיש יותר. AI יכול עכשיו לזהות דפוסי דיוג ולחפש סימנים של תירוצים. הוא יכול לזהות חריגות בתעבורה ושמות תצוגה מזויפים של דואר אלקטרוני, כמו גם ביטויים וטקסטים הנפוצים בהתקפות תירוצים.

חינוך המשתמש הוא, כמובן, חיוני. אף אחד לא צריך לבקש את סיסמת הבנק, סיכת כרטיס האשראי או המספר הסידורי שלך. עליך לדווח מיד על בקשה לכל אחד מאלה לרשויות המתאימות. יתר על כן, להזכיר למשפחה, לחברים ולעובדים שלך לא ללחוץ על קישורים לא ידועים ולהימנע ביקור באתרים לא מאובטחים עשוי להספיק כדי למנוע כניסת תוכנות זדוניות לאתרים של החברה שלך שרתים.

אל תיפול על הונאות תירוצים

לדוג פעולת תירוצים אולי לא קלה, אבל יש צעדים פשוטים שאתה יכול לנקוט כדי למנוע מליפול קורבן. אל תלחץ על קישורים באתרים לא מאובטחים, ואל תחשוף את פרטי הכניסה שלך לאף אחד. ישנם קווי שירות מאומתים של שירות לקוחות בפלטפורמה המקוונת של הבנק שלך. כאשר סוכן שירות לקוחות כלשהו יוצר איתך קשר, ודא שהמספרים תואמים לקו הרשמי.