ראש ממשלת בריטניה מייקל קאלו מתעורר בוקר אחד לדילמה בלתי אפשרית: הנסיכה סוזנה נחטפת, ובתמורה להחזרתה הוא נדרש לקיים יחסי מין עם חזירה בשידור חי בכל ערוצי הטלוויזיה. תחילה קאלו מתנגד בתוקף, וגם הציבור תומך בו.
אך בהדרגה דעת הציבור משתנה, כאשר גם בית המלוכה ועוזריו של ראש הממשלה מנסים לשכנע אותו להיענות לדרישה. לבסוף נאלץ קאלו להסכים, הציבור נצמד למסכים - ואף אחד לא מבחין בכך שהנסיכה שוחררה 30 דקות לפני תחילת האקט הגרוטסקי.
החטיפה בוצעה על ידי אומן בשם קרלטון בלום, כמחאה על האובססיה של הציבור למסכים. שנה לאחר מכן קאלו זוכה לאהדה ציבורית גדולה, אך מערכת הנישואים שלו מתפוררת. הציבור עדיין לא יודע על שחרורה המוקדם של הנסיכה, כדי לשמר את חשיבות המעשה.
הפרק המפורסם הזה של "מראה שחורה", שמייצג מציאות מופרכת, מתחיל לקרום עור וגידים במציאות העכשווית של פריצות הסייבר - אחד האיומים המהותיים ביותר בתקופה הנוכחית.
פעולות טרור אומנם קיימות מאז שחר האנושות, אולם סביבת הטרור והאמצעים משתכללים כל הזמן. ככל שמדינות, חברות וארגונים מבססים את התשתיות שלהם על תקשורת בין מחשבים, כך הם חשופים יותר לסכנה של טרור טכנולוגי.
לפני כשבוע וחצי פרצה קבוצת בלאק שאדו, שפעילותה מיוחסת לאיראן, לשרתים של חברת סייברסרב שאחסנו שורה ארוכה של אתרים במשק הישראלי, ממכון מור, דרך אתרי התחבורה של דן וקווים ועד לאתר ההיכרויות הלהט"בי אטרף. התוקפים שחררו תחילה מידע מאתר קווים, אך ההנחה היא כי לאחר שהבינו (מהתקשורת הישראלית) כי אתר אטרף שנפרץ רגיש במיוחד, התמקדו בפרסום מידע ממנו.
ארגונים משקיעים רבות באבטחת מידע והגנת סייבר, בתוכנות אנטי־וירוס, חומות אש, תוכנות הצפנה ועוד אלף ואחת טכנולוגיות - אבל יש גורם אחד שנותר חשוף ועלול לעקר מתוכן את המערכות הללו, וזהו הגורם האנושי. זוהי הסכנה המשמעותית ביותר בתחום הסייבר, ובאופן אירוני גם הסכנה שנותרת מופקרת.
הניסיונות לבצע מניפולציה על הגורם האנושי מכונים "הנדסה חברתית" (social engineering) - ניצול הפרצות במוח האנושי באמצעות עקרונות מתחום הפסיכולוגיה והכלכלה ההתנהגותית.
למעשה, הנדסה חברתית אינה מושג חדש. אנו חווים אותה על בשרנו בכל פעם שאנחנו קונים בסופר. מהרגע שנכנסנו ועד התשלום בקופה, הקנייה היא תהליך מהונדס שכל מטרתו היא להוביל אותנו לקנות כמה שיותר דרך מניפולציה על המערכת הקוגניטיבית שלנו. כך למשל פירות וירקות הם המוצרים הראשונים שאנחנו רואים בכניסה – ותאורה מיוחדת מאפשרת להם להיראות במיטבם (בחלק מהמקרים אף מתיזים עליהם מים לעורר תחושת טריות).
החוויה החושית של הצבעים, המרקמים והריחות היא זו שתעביר את המערכת שלנו בהדרגה מפאסיביות לעוררות שתלך ותתעצם. כדי להוריד הגנות וליצור אווירה מזמינה, מאפייה הממוקמת באזור מרכזי מפזרת ניחוחות למרחוק. לסופר יהיה הרבה יותר חסכוני לרכוש מאפים מספק חיצוני, אבל נמצא שאפקט הריח יעיל במיוחד לעידוד קנייה אימפולסיבית.
הסופר מעוצב כך שימשוך אנשים לבלות בו זמן רב ככל האפשר. מוצרי החלב ממוקמים תמיד בסוף החנות, ובכך מבטיחים שגם מי שנכנס רק כדי לקנות חלב ייחשף לעושר המוצרים. מוצרים פופולריים במיוחד ממוקמים תמיד באמצע המעברים, כך שגם אדם מוכוון מטרה שבא לקנות קפה לא יוכל פשוט להיכנס ולצאת. חלק מהחנויות מנגנות מוזיקת רקע, שנמצא שהיא גורם המאריך את משך השהייה של הלקוחות בחנות ב־34%.
בהקשר של אבטחת מחשבים, הנדסה חברתית היא הדרך שבה תוקף יכול לתמרן, להשפיע ולהטעות אדם שהוא בעל גישה למידע מסווג. התוקף עשוי לשלב מגוון של טכניקות הונאה, התחזות ושכנוע כדי להגיע אל המידע, וזו הסיבה שמומחי האבטחה רואים בהנדסה חברתית את האיום הגדול ביותר למערכות המחשוב.
הכלב של פריס
בשנת 2005 כמה צעירים אמריקאים החליטו לנצל באג באתר של ענקית התקשורת "טי־מובייל" כדי להתחבר לרשת הפנימית שלה ולהשיג גישה לחשבונות הטלפון של כל לקוחותיה. הייתה רק בעיה אחת: כדי להתחבר לרשת האינטרה־נט יש להזין שם וססמה הזמינים רק לעובדי החברה.
אחד הנערים התקשר למרכז המכירות והציג את עצמו כטכנאי ממוקד התמיכה של טי־מובייל. "קיבלתי דיווח על תקלות במערכת שלכם", הוא אמר לאיש השיווק, שענה: "במה אני יכול לעזור?". למחלקת המכירות נבחרים לרוב אנשים שירותיים ואדיבים, בעלי כישורים חברתיים גבוהים. הם מיומנים בפתרון חיכוכים ובגישור על פערים, אך גם נוטים להיות פחות חשדנים ופגיעים יותר למניפולציות.
"אין לנו ממש תקלות", ענה הנציג ל"טכנאי", "רק קצת אטיות בגלישה מדי פעם". זה כל מה שהתוקף היה צריך לשמוע: "כן, זה בדיוק מה שרשום כאן בדוח", הוא ענה, "אני אפתור את זה. מה שם המשתמש והססמה שלך?". איש המכירות נתן לו את הפרטים.
הפורץ חדר לרשת הפנימית ומצא שם בין היתר את מספר הטלפון של פריס הילטון. כדי לפרוץ למכשיר שלה, דרך שחזור ססמה, הוא נדרש לענות על שאלה אישית שהוגדרה על ידי הילטון: "מה שמה של חיית המחמד האהובה עלייך?". והילטון, כמובן, דאגה לפרסם את שמה של הכלבה שלה, טינקרבל, בכל מקום אפשרי.
הסיפור הזה מדגיש עד כמה ארגונים פגיעים לפשיעה באמצעות הנדסה חברתית ופחות דרך תחכום טכנולוגי. אם בעבר שיטות אלו היו בשוליים, היום הן הפכו לאיום המרכזי. קווין מיטניק, האקר שנחשב לאחד מטובי המהנדסים החברתיים בהיסטוריה, מסביר בספר שכתב לאחר ששוחרר מהכלא: "יש לדאוג לתקוף תמיד את החוליה החלשה בשרשרת האבטחה". הוא כותב שמעולם לא הצליח למצוא ססמת מחשב באמצעים טכנולוגיים - הוא תמיד קיבל אותה דרך הטלפון, או מצא אותה משורבטת על פיסת נייר ליד המחשב כשהתחזה לאיש ניקיון או טכנאי.
הטכניקות שאותן מתאר מיטניק פשוטות ויעילות ביותר: חיוך, בדיחה ידידותית וקריצה הן דרך מצוינת להפחית מתחים ולזכות באמונו של הקורבן. לפי אחד הסיפורים, אחד הקולגות של מיטניק הבטיח לו ארוחת צהריים אם יצליח להשיג את המספר של כרטיס הטלפון שלו. מיטניק התקשר למוקד השירות של חברת הסלולר והתחזה לטכנאי.
"שלום, מדבר דן, הבנתי שנתקלתם בבעיה טכנית עם המחשבים". המוקדנית הייתה קשוחה מהרגיל. כשהחל לשאול שאלות לגבי כרטיס הטלפון, היא החלה לחשוד ולהתקיל אותו בשאלות. מיטניק הבין שנתפס וניתק. הוא ביקש מחבר אחר לחייג אל מרכז השירות והנחה אותו להגיע אל אותה מוקדנית.
"שלום", אמר החבר, "אני ג׳ון ממחלקת ביטחון שדה. קיבלתי דיווח שמישהו ניסה להוציא ממך מידע חסוי בדרכים לא כשרות". המוקדנית, גאה בסיכול המוצלח, סיפרה לו את הסיפור כולו. לפני שניתק, שאל "האיש ממחלקת הביטחון": "אגב, איזה מידע בדיוק חיפש אותו אדם?". "את המספר הזה…" ענתה המוקדנית, ונתנה לו את פרטי כרטיס הטלפון. מיטניק זכה בארוחה.
הכותבת היא חוקרת התנהגות בעידן הדיגיטלי, המרכז הבינתחומי הרצליה