הנדסה חברתית (דיוג ואתרים מטעים)

הנדסה חברתית היא תוכן שגורם למשתמשים לבצע פעולה מסוכנת, כמו חשיפת מידע סודי או הורדת תוכנה. אם Google תזהה שהאתר שלך מכיל תוכן הנדסה חברתית, ייתכן שבדפדפן Chrome תוצג האזהרה "אתר מטעה לפניך" כשהמשתמשים יראו את האתר. בדוח בעיות האבטחה, תוכל לבדוק אם קיים חשד שדפים מסוימים באתר שלך מכילים התקפות של הנדסה חברתית.

פתח את דוח בעיות האבטחה

סקירה כללית

מהי הנדסה חברתית?

התקפה של הנדסה חברתית מתרחשת כאשר תוכן כלשהו גורם למשתמש לבצע פעולה מסוכנת באינטרנט.

ישנם סוגים שונים של התקפות הנדסה חברתית:

  • דיוג: האתר מטעה את המשתמשים וגורם להם לחשוף פרטים אישיים (לדוגמה, סיסמאות, מספרי טלפון או כרטיסי אשראי). במקרה כזה, התוכן מוסווה בצורה שנותנת רושם של ישות מהימנה, כמו דפדפן, מערכת הפעלה, בנק או מוסד ממשלתי.
  • תוכן מטעה: התוכן מנסה להטעות ולגרום לכם לבצע פעולות שמבצעים רק מול ישות מהימנה, כמו שיתוף סיסמה, התקשרות לתמיכה טכנית והורדת תוכנה. לחלופין, התוכן מכיל מודעה שקרית שבה נטען שיש תוכנה מיושנת במכשיר, שגורמת למשתמשים להתקין תוכנה לא רצויה.
  • שירותי צד שלישי ללא תיוג מתאים: שירות צד שלישי הוא מישהו שמפעיל אתר או שירות בשם ישות אחרת. אם אתם (צד שלישי) מפעילים אתר בשם צד אחר (צד ראשון) בלי להבהיר את הקשר ביניכם, ההתקשרות עלולה להיות מסומנת כהנדסה חברתית. לדוגמה, אם אתם (צד ראשון) מנהלים אתר צדקה שמשתמש באתר לניהול תרומות (צד שלישי) לטיפול בגיוס הכספים לאתר שלכם, אתר התרומות חייב להזדהות באופן ברור כפלטפורמת צד שלישי שפועלת בשם אתר צדקה. אם לא, פעילותו עלולו להיחשב כהנדסה חברתית.

גלישה בטוחה של Google מגינה על משתמשים באינטרנט באמצעות הצגת אזהרה לפני כניסה לדפים שמעורבים בעקביות בהנדסה חברתית.

דפי אינטרנט נחשבים כהנדסה חברתית כשהם:

  • מתוכננים כך שייראו כמייצגים ישות מהימנה, כמו המכשיר או הדפדפן שלך או האתר עצמו, או
  • מנסים לגרום לביצוע פעולה שמבצעים רק במקרה שהישות מהימנה, כמו שיתוף סיסמה, התקשרות לתמיכה הטכנית או הורדת תוכנה.

הנדסה חברתית בתוכן מוטמע

הנדסה חברתית יכולה להופיע גם בתוכן מוטמע באתרים שלכאורה אינם אמורים להזיק, לרוב במודעות. תוכן הנדסה חברתית מוטמע מהווה הפרה של מדיניות מבחינת הדף המארח.

לפעמים המשתמשים יוכלו לצפות בתוכן הנדסה חברתית מוטמע, כפי שניתן לראות בדוגמה למטה. במקרים אחרים, האתר המארח אינו מכיל הודעות גלויות, אך מוביל את המשתמשים לדפי הנדסה חברתית באמצעות חלונות קופצים, חלונות קופצים אחוריים או סוגים אחרים של הפניה מחדש. בשני המקרים, סוג זה של תוכן הנדסה חברתית מוטמע יוביל להפרת מדיניות מבחינת דף המארח.

אני לא עוסק בהנדסה חברתית!

הכללת תוכן מטעה של הנדסה חברתית עשויה להתבצע באמצעות משאבים המוטמעים בדף, כגון תמונות, רכיבים אחרים של צד שלישי או מודעות. התוכן המטעה עשוי לגרום למבקרים באתר להוריד תוכנות לא רצויות

נוסף לכך, האקרים יכולים להשתלט על אתרים שאינם מזיקים, ולנצל אותם כדי לארח או להפיץ תוכן של הנדסה חברתית. ההאקר עלול לשנות את תוכן האתר או להוסיף דפים לאתר, בדרך כלל מתוך כוונה להטעות את המשתמשים כדי לגרום להם לחשוף מידע אישי כגון מספרי כרטיסי אשראי. כדי לגלות אם האתר שלך זוהה כאתר שמארח או מפיץ תוכן הנדסה חברתית, עיין בדוח 'בעיות אבטחה' ב-Search Console.

עיין בעזרה שלנו לאתרים שנפרצו, אם אתה סבור שהאתר שלך נפרץ.

דוגמאות להפרות של הנדסה חברתית

דוגמאות לתוכן מטעה

הנה מספר דוגמאות של דפים שעוסקים בהנדסה חברתית:

Social engineering popup that tries to make the user install an unwanted application.
חלון קופץ מטעה שמיועד לגרום למשתמש להתקין תוכנה זדונית.
Example of social engineering attempt claiming a browser update is required
חלון קופץ מטעה שמיועד לעזור, כביכול, למשתמשים לעדכן את הדפדפן שלהם
דף מזויף של התחברות אל Google. שימו לב לכתובת האתר המטעה. אתרי דיוג אחרים כמו זה עלולים לגרום למסירת פרטים אישיים אחרים, כמו פרטי כרטיס אשראי. אתרי דיוג עשויים להיראות בדיוק כמ האתר האמיתי. לכן, יש לוודא בסרגל הכתובות שכתובת האתר נכונה, ולבדוק שהיא מתחילה בקידומת https://‎

דוגמאות למודעות מטעות

הנה כמה דוגמאות לתוכן מטעה בתוך מודעות מוטמעות. מודעות אלה נראות כמו חלק מממשק הדף ולא כמודעות.

Deceptive ad claiming to be a media player update on the page.
חלון קופץ מטעה שטוען כי תוכנת המשתמש לא מעודכנת.
Deceptive ad claiming to be an installer for a required component.
חלון קופץ מטעה שמגיע, כביכול, ממפתח FLV
Deceptive ads claiming to be playback controller buttons on the host page.
מודעות שמסתתרות מאחורי לחצני פעולה בדפים.

תיקון הבעיה

אם האתר שלכם סומן כמכיל הנדסה חברתית (תוכן מטעה), יש לוודא שהדף לא מעורב באף אחת מדרכי הפעולה שתוארו בדוגמאות למעלה, ולאחר מכן לפעול לפי השלבים הבאים:

  1. בדיקה ב-Search Console
    • מאמתים בעלות על האתר ב-Search Console, ומוודאים שלא נוספו בעלים חדשים וחשודים.
    • בודקים את דוח בעיות האבטחה כדי לראות אם האתר רשום כמכיל תוכן מטעה (המונח לדיווח על הנדסה חברתית). יש להיכנס למספר כתובות אתר לדוגמה המסומנות בדוח, ולהשתמש במחשב שאינו ברשת שמשרתת את האתר שלכם (האקרים מתוחכמים יכולים להשבית את ההתקפות שלהם אם הם חושבים שמי שנכנס הוא מנהל אתר).
  2. הסר תוכן מטעה. מוודאים שאף אחד מדפי האתר לא מכיל תוכן מטעה. אם לדעתכם הגלישה הבטוחה סיווגה דף אינטרנט בטעות, יש לדווח על כך כאן.
  3. בדיקת משאבי הצד השלישי הכלולים באתר. מוודאים שהמודעות, התמונות או משאבים נוספים של צד שלישי שמוטמעים בדפי האתר אינם מטעים.
    • שים לב, ייתכן שהמודעות בדפי האתר שלך יוצגו בסבב על ידי רשתות מודעות. לכן, ייתכן שיהיה עליך לרענן דף כלשהו מספר פעמים כדי לראות מודעות של הנדסה חברתית.
    • מודעות מסוימות עשויות להופיע באופן שונה במכשירים ניידים ובמחשבים שולחניים. אפשר להשתמש בהכלי לבדיקת כתובות URL להצגת האתר גם בתצוגת מחשב וגם בתצוגה לנייד.
    • פועלים לפי ההנחיות לשימוש בשירות צד שלישי המתוארות בהמשך עם כל שירות צד שלישי שמשמשים את האתר שלכם, כמו שירותי תשלום.
  4. בקשת בדיקה. לאחר הסרת כל תוכן ההנדסה החברתית מהאתר, אפשר לבקש בדיקת אבטחה בדוח בעיות האבטחה. השלמת הבדיקה עשויה להימשך מספר ימים.

הנחיות לשימוש בשירות צד שלישי

אם האתר שלכם מכיל שירות צד שלישי, עליכם לעמוד בתנאים הבאים כדי להימנע מתיוג כהנדסה חברתית:

  • בכל דף, אתר הצד השלישי צריך לכלול באופן ברור את המותג של הצד השלישי באופן שיבטיח שהמשתמשים יבינו מי מפעיל את האתר. לדוגמה, באמצעות הכללת המותג של הצד השלישי בראש הדף.
  • בכל דף שכולל מיתוג של הצד הראשון, יש לציין באופן מפורש את ההתקשרות בין הצד ראשון לצד השלישי ולהציג קישור לקבלת פרטים נוספים.  לדוגמה, הצהרה כזו:

      שירות זה מתארח ב-Example.com בשם Example.charities.com. מידע נוסף

הנחיה לגבי נוחות שימוש מוצלחת: על משתמש שמציג את הדף באופן לא תלוי להבין בכל רגע נתון באיזה אתר הוא גולש, ומה טיב ההתקשרות בין הצד הראשון לצד השלישי.

השיטה המומלצת: אם נדרש שירות תמיכה של צד שלישי באתר שלכם, השיטה המומלצת היא להשתמש בצד שלישי מקובל בתחום לביצוע השירות. לדוגמה, כדי לנהל את אימות המשתמשים באתר שלכם, כדאי להשתמש ב-OAuth במקום לנהל את האימות בעצמכם.
האם המאמר היה מועיל?
איך נוכל לשפר את המאמר?