איום דק שיש להתמודד איתו ב"תשומת לב"!

(של אורציו דנילו רוסו)
31/01/22

קראתי לפני זמן מה על העלייה במקרים של "מאחל": גניבת אישורים שבוצעה באמצעות שיחת טלפון באמתלה שבה מתחזה (או משיבון שהוקם במיוחד למטרה הבלתי חוקית) מתיימר להיות מנהל מערכת מידע, כמו בנק מקוון.

החדשות כשלעצמן מעוררות סנסציה משום שהקורבנות, לעתים קרובות בפנסיה ובעלי הכנסה נמוכה, מצאו את עצמם עם חשבון העו"ש מרוקן על ידי רמאים וברשותם קודי משתמש וסיסמאות שנגנבו במהלך שיחות טלפון; אבל זה מזנק יותר לעיניים כי אותו מאמר הדגיש שהאב"ף - הבורר בנקאות פיננסית שאליו אפשר לפנות לצורך פתרון מחלוקות בין לקוחות למלווים - היה מסכים עם הבנקים, שיאשימו את הלקוחות בפתיחות יתר.

ללא ספק ההתקפות של הנדסה חברתית - הוגדר על ידי המומחה האמריקני כריסטופר הדנאגי כ "כל מעשה הנוטה להשפיע על אדם, לדחוף אותו לנקוט בפעולה שאינה בהכרח לטובתו" - הם איום נוכחי ומסוכן. הוא מועדף על ידי שלושה היבטים במיוחד: הפצת טכנולוגיות מידע ושירותים מקוונים; מצב האנאלפביתיות הטכנולוגית הכללית והקלילות בשיתוף נתונים אישיים באינטרנט; ולבסוף על ידי אי הכללה כללית של ממשקי משתמש תוכנה המהווה חסמים טכנולוגיים רציניים לקשישים, ילדים ונכים.

אבל מצד שני צריך לומר שלא מדובר באיומים חדשים: ההונאות בבתי הקשישים של פקידי ENEL בעלי סגנון עצמי, למשל, הן תוצאה של אותן טכניקות מניפולטיביות. והדנגי עצמו, בספרו "הנדסה חברתית: מדע הפריצה האנושית", מציין שהן טכניקות עתיקות כמו העולם, ומצטט כמקור ההיסטורי הראשון של הנדסה חברתית לתקוף את הקטע מבראשית כ"ז, שבו יעקב, כשהוא מתחפש ומתחזה לאחיו עשיו, הוא מרמה את אביו העיוור והמבוגר - יצחק - בגניבת ברכתו.

אבל בואו נחקור שני היבטים מעניינים במיוחד: מה חדש ומה ישן בהתקפות ההנדסה החברתית של היום.

היבטי החידוש הם תוצאה של מצב האמנות: מחשבים, סמארטפונים וטאבלטים יצרו יקום מקביל ופעילויות חברתיות עברו לעולם הוירטואלי. וקטורי תקיפה חדשים התעוררו והתפתחו נהלים התקפיים. הנה אם כן, בנוסף לאמור כבר מאחל, "דיוג" נולד - כלומר המתקפה שבוצעה באמצעות הונאה באימייל, שמטרתה גניבת זהות של הקורבן או הדבקה של הלקוח שלו בווירוסי מחשב - ו"סמישינג", המקבילה לראשון, מיושם עם זאת באמצעות הודעת טקסט בטלפון הנייד של הקורבן.

הפגיעות המנוצלת ישנה: התהליך הטבעי של הרפיה, של פחות נוכחות לעצמו, המאפיין את רוב שעות הערות של המוח שלנו ואשר מיושם פיזיולוגית מסיבות של חסכון בתהליכים קוגניטיביים. כאשר אנו נמצאים במצב נורמלי, שאיננו מחשיב אותו מסוכן, המוח נכנס ל"מצב אקולוגי", באופן אוטומטי, ומגיב לגירויים על פי תגובה ארוזה מראש, תוצאה של החוויה שנעשתה במקרים דומים: ב. מהות, אנרגיה נשמרת נפשית למקרה שבו, לעומת זאת, תמצא את עצמך במצב חריג, הנתפס כסכנה, ושבו תידרש תשומת הלב והאנרגיה המקסימלית - "מצב אדפטיבי" - כדי להגיב לאיום לפי התנהגות שהפעם לא ארוזה מראש אלא מותאמת להקשר הספציפי.

זוהי אומנותו של הרמאי, של המהנדס החברתי: היכולת להציג בפני הנפגע הקשר מידע שאינו נתפס כחריג, מסוכן, חריג; להיפך, הוא זוכר קווי דמיון עם חוויות שחיו רבות או עם מושגים שנרכשו בעבר; ועליה התגובה ההתנהגותית יכולה להיות "אוטומטית", לא מודעת.

בהיבט זה, פסיכולוגים חברתיים כתבו דפי שיקולים והפיקו אלפי מחקרים. הפסיכולוגית האמריקאית אלן לנגר, במיוחד, הציגה תוצאות של מעבדה מפורסמת - הידועה בביבליוגרפיה כניסוי מכונת הצילום (Langer 1978) - שבה דיברה על "השטות של פעולות רפלקסיביות". והוא הוכיח שבאינטראקציות חברתיות, הן בעל פה והן בכתב, המוח האנושי פועל בדרך כלל בפעולה רפלקסיבית המנותקת לחלוטין מהמשמעות המהותית של הבקשה; ומקושר רק להתכתבות הפורמלית, המבנית, של הפרדיגמה התקשורתית.

ליתר דיוק, המדען הראה שכאשר אנו רגועים ושקועים במחשבותינו, אנו נענים לבקשה המתקבלת על ידי ניתוח פשוט של המבנה הצורני והסגנוני של המשפט: אם זה נראה לנו "קונבנציונלי" ואינו מזעזע אותנו, אנו נכנסים למצב של השלמה, למעשה פותחים את הדלתות לשכנוע ולמרבה הצער, גם למניפולציות.

עכשיו, זה יהיה פשוט וברור מדי פשוט לקרוא: "אתה צריך לשים לב" או "אסור להיות פתי". מי שאומר זאת אינו לוקח בחשבון את המנגנונים הנפשיים שהוזכרו לעיל. מה שצריך לעשות, לעומת זאת, הוא להציב מדיניות חברתית וביטחונית מנוסחת שנעה על שלוש אבני יסוד עיקריות לפחות.

קודם כל, לדחוף את המאיץ על ביטול "הפער הדיגיטלי" המאפיין חלקים נרחבים באוכלוסיה ובפרט באמצעות קמפיינים ממוקדים וחוזרים הגורמים לאבטחה התנהגותית אוטומטית, לא כל שכן חינוך לפרטיות ברשת.

מעבר לכך, השקעה בטכנולוגיות ויישומי תוכנה המושכים את תשומת ליבו של המשתמש במקרה של אלמנטים של חוסר אמינות של בן השיח או התפשרות של המכשירים.

לבסוף, לעודד את התעשייה ושוק שירותי ה-IT לפתח ממשקי משתמש כוללים יותר המאפשרים גישה מאובטחת לטכנולוגיה גם למשתמשים השבריריים ביותר בקשרים חברתיים.

מידע נוסף:

https://www.repubblica.it/economia/2021/07/26/news/sembra_la_banca_ma_e_un_truffatore_occhio_al_vishing_c_e_chi_ha_perso_migliaia_di_euro-311160470/

https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/

https://www.researchgate.net/publication/232505985_The_mindlessness_of_ostensibly_thoughtful_action_The_role_of_placebic_information_in_interpersonal_interaction

https://www.difesaonline.it/evidenza/cyber/diversity-inclusion-la-cyber-tutela-delle-fasce-deboli 

מחשבות איטיות ומהירות - דניאל כהנמן | אוסקר מונדורי

צילום: אינטרנט