פישינג הוא נושא שתופס תאוצה בשנים האחרונות ושוכלל ככל שהאמצעים הדיגיטליים התפתחו, נעשה כאב הראש העיקרי של מוסדות פיננסיים וביון כאחד וגם שלנו האזרחים הקטנים.
אז לפני שאנחנו מתחילים לספר לכם מה זה לעזאזל מתקפות פישינג וכיצד ניתן לזהותן, חשוב שנבין איך הגענו עד הלום.
אז מה קרה לנו?
בעידן האחרון ביצעה האנושות קפיצה טכנולוגית אדירה עם כניסתו של האינטרנט לחיינו. נראה כי כל תחומי חיינו הוסבו לOn-Line.
אנחנו קונים, משלמים ומתנהלים מול גורמים רבים, דרך הרשת.
עפ"י סקרים מהעת האחרונה, אנו מבלים יותר ממחצית מהיום שלנו on-line, דבר המקל את החיים ומאפשר חיסכון בזמן ובמשאבים.
אך לצד האספקטים החיוביים, שמאפשרים גישה קלה ופשוטה לנתונים בכל זמן ובכל עת, מתחזק הדיון סביב סוגיית רמת הביטחון האישי ברשת, ההולכת ופוחתת. מצב זה, הינו כר נרחב לפעילות פשעי סייבר.
מתקפות פישיניג קווים לדמותן:
מתקפת פישינג הינה פשע דיגיטלי, במסגרתו מתחזים התוקפים לגוף מוכר, בכדי לפתות את המותקפים להעביר כסף או פרטים אישיים כגון: פרטי זיהוי, פרטי תשלום ופרטי התחברות למערכות שונות.
המילה פישינג פירושה "דיוג" כלומר לדוג ולצוד מידע ע"י התחזות לאתר או קישור הנשלח ממקור שהנמען מכיר.
פישינג נפוץ בעיקר באמצעות הדואר האלקטרוני, דרכו נשלח לקורבן מייל מתחזה.לרוב ההודעה מחקה אתר או גורם לגיטימי, הקורא לפעולה שכוללת מסירת פרטי הזדהות (כגון שם משתמש וסיסמא) או לחיצה על קישור / הורדת קובץ. כך מתאפשרת חדירה של תוכנות זדונית למחשבים אישיים ולרשתות של החברות ללא ידיעת המשתמש.
ברבעון הראשון של שנת 2019 בלבד, חלה עליה של כ-75% של ההתקפות מבוססות המדיה החברתית (Vade Secure). כמו כן, המחקר מצביע על עליה בכמות המתקפות (פי שישה ליתר הדיוק) שפורסמו בפלטפורמות כמו פייסבוק, אינסטגרם וטוויטר. יותר מחמישית מכל התקפות הדיוג מגיעות כעת באמצעות מכשירים ניידים המותאמים למדיה החברתית של המשתמשים.
הכלי החזק ביותר בידיו של האקר הוא בורות קורבנותיו
רובנו לא יושבים בבית וחושבים כיצד נפרוץ היום לאתר או נטרפד פעילות של חברה כזו אחרת. לרובנו אין מושג איך נראות הודעות פישינג, איך עולם הפישינג באמת מתנהל ובאיזו קלות ניתן להפיל אותנו בפח. האקרים יודעים זאת ומשכללים את אמצעי הפניה אלינו כך שפחות ופחות נזהה שההודעה היא הודעת פישינג. העדר הידע של המשתמשים לגבי שיטות ההונאה ויכולותיהם של הגורמים זדוניים, היא כלי חשוב בהצלחת המזימה – לגרום לנו למסור פרטים חשובים על עצמנו.
מה הן הסכנות שטומנות בחובן התקפות אלו?
- השתלטות על המכשיר הנייד באמצעות תוכנות זדוניות: ההאקר יכול לשאוב מידע ותוכן שנמצא במכשיר שלכם, כגון סיסמאות תמונות וכל פרט אישי אחר הנמצא במכשירכם, ובין השאר להקליט ולצלם אתכם מבלי שתדעו.
- פריצה לחשבון המייל או לפרופיל שלכם בפייסבוק (או בכל רשת חברתית אחרת בה אנו פעילים) ובאמצעותם לבצע פעולות בשמכם.
שתי השיטות הללו יובילו בסופו של דבר לאובדן כסף, מסירת פרטים לגורם נוסף, (לעיתים קרובות פלילי), שיתחזו וירגלו אחר הפעילות שלכם ויפיצו מהשרתים שלכם נוזקות ופישינג נוסף.
סוגי מתקפות פישינג:
זיוף אתרים:
בסוג זה של מתקפה, המשתמש לוחץ על קישור שמוביל לדף מזויף הנראה כמו דף של אתר לגיטימי.
איך זה קורה בפועל? כאשר המשתמש מכניס את פרטיו, הדף המזויף מפנה אותו באופן אוטומטי לאתר שנראה אמיתי, כך שהמשתמש אינו יודע שמסר את פרטיו לאתר מזויף מכאן הדרך לבצע שימוש בפרטים אלה סלולה.
שיטות מתוחכמות יותר כוללות שינוי הכתובת בשורת הכתובת של הדפדפן והצגת תמונה של הכתובת הנכונה, או סגירת שורת הכתובת האמיתית והצגת שורת כתובת מזויפת בדפדפן.
אופציה נוספת, היא שימוש בדומיין שנכתב בשפה שאינה אנגלית, אך האותיות (בשפה בעלת אותיות לטיניות אחרת בד"כ) דומות לאותיות שבאנגלית.
מייל פישיניג (mail phising):
התקפות הפישינג שהיו נפוצות מאוד בעשור האחרון הן הודעות הנשלחות ב Email ודוחקות בנמען לבצע פעולה. ברוב המקרים הדבר נעשה על מנת להשיג אחד משני דברים:
- השגת פרטים אישיים (סיסמאות, שם משתמש וכו')
- לגרום למשתמש להוריד תוכנות זדוניות מזיקות
לאחר שתעניקו את אמצעי הגישה, ההאקרים יוכלו לגשת לחשבון הבנק שלכם, לגנוב את הזהות שלכם ולבצע רכישות כוזבות תחת שמכם.
הנה דוגמא מהזמן האחרון להודעה מסוג זה:
חשבונך הוגבל עד שתנקוט בפעולה |
נראה שחלק מהמידע בחשבונך חסר או שגוי אנא עדכן את המידע שלך באופן מיידי כדי שתוכל להמשיך ליהנות מכל היתרונות של חשבון.
אם לא תעדכן את המידע שלך בתוך יומיים, נשעה באופן זמני את חשבון לחץ על הקישור ובצע את ההוראות: אשר את הפרטים האישיים שלך בהקדם האפשרי |
לאחר שתשלים את המשימות הדרושות, נבדוק את חשבונך ונודיע לך על הסטטוס שלו בתוך 1 ימי עסקים. אנו מעריכים את תשומת הלב שלך בעניין זה. |
פישינג דרך SMS
הודעת טקסט (סמישינג – פישינג באמצעות הודעת טקסט) התוקף עלול לשלוח הודעת SMS או WhatsApp הקוראת לפעולה לגיטימית, בתוספת קישור לכתובת אינטרנט. דוגמאות לכך: רישום לאירוע, ביצוע תשלום, קבלת משלוח, מבצעים אטרקטיביים, הורדת אפליקציה וכו'.
פישינג בטלפון:
שיטה נוספת וותיקה מאוד היא באמצעות שיחות פישינג בטלפון (או בשמה האחר:“vishing”, שהנו קיצור של:“voice phishing”). מדובר בשיחה שבה מתקשרים לקורבן ומזדהים כנציג תמיכה של חברה גדולה כגון חברת ביטוח, קופת חולים וכו' ומבקשים את פרטי החשבון האישיים של המשתמש, תחת סיפור כיסוי.
פישינג במדיה החברתיות:
המדיה החברתית מהווה פלטפורמה מועדפת ל- "גניבת זהות". בפלטפורמה הדיגיטלית, ההאקר מקים פרופיל המתחזה לפרופיל המקורי של המשתמש ומבקש הצעות חברות מחבריו של הקורבן או ממשתמשים בלתי מוכרים, בתקווה שהצעתו תאושר.
דרך נוספת היא איסוף נתונים דרך משחקים חברתיים באינטרנט, בדרך של סקרים ושאלות (משחקים נפוצים ברשתות החברתיות אותם נדרשים השחקנים לשתף בפרופיל האישי שלהם). על מנת להמשיך במשחק יתבקש המשתמש לספק משוב או למלא שאלון על המשחק.
לבסוף, ישאל הקורבן שאלות נוספות על מנת לקבל פרטים נוספים אודותיו. אחת הדרכים הנפוצות כיום בפישינג ברשתות החברתיות היא התחזות לעסק או מוצר מוכר וידוע. המתחזים מקימים דפים עסקיים, מתחזים ומעודדים משתמשים ללחוץ על באנרים או להשתתף במשחקים.
ההונאה מתאפשרת לרוב, בזכות משתמשים שאינם מודעים להגדרת רמת האבטחה באפליקציה שלהם ובלחיצה על הבאנר או המשחק, המשתמשים מאשרים גישה ושימוש בכל פרטי המשתמש שלהם כולל פרטיהם האישיים, ומכאן השימוש בפרטים אלו למטרות לא לגיטימיות ע"י ההאקרים הוא מהיר וקל.
פישינג באמצעות הודעה על זכיה:
הודעה בה מתבשר הנמען כי זכה בסכום כסף גדול ועליו להעביר את פרטי חשבון הבנק על מנת שיוכל לקבלו. שיטה נוספת עושה שימוש בפנייה לקורבן, שבה הוא מתבשר על מוות של בן משפחה רחוק המתגורר בחו"ל אשר הוריש לקורבן סכום כסף גדול. ההאקר יבקש לרוב לבצע העברה בנקאית ראשונית, כתשלום לעורך הדין, עבור טיפול ושחרור כספי הירושה.
בעת קבלת הודעה מסוגים אלו, אין להיכנס לקישור הקיים בגוף ההודעה. יש לחסום את כתובת השולח ולמחוק את ההודעה. מומלץ מאוד גם להחליף את סיסמת המייל.
דיוג ממוקד Spear Phishing:
עושים שימוש באותן שיטות של התרמיות שכבר הצגנו, אך היעד שלה הוא אדם ספציפי, או גורם בכיר בארגון. היא יכולה להתבטא בשרשור הודעות דוא”ל, שנועד לבלבל את הנמען על מנת שיבצע פעולה. התקפות Spear Phishing יכולות לתקוף את הנמענים במקביל, על גבי מספר פלטפורמות מסרים.
פישינג המציב אולטימטום:
שיטת הונאה זו מנצלת חולשה אנושית של פחד.
התוקפים ישלחו הודעה מאיימת, הכתובה בצורה מעורפלת ומפחידה במטרה לגרום לתגובה מהירה מצד הקורבן. לדוגמא, יכתב בהודעה כי בידיו של ההאקר קובץ מתוך מצלמת הוידאו של המחשב, בו הוא נראה צופה בסרטון פורנו. התוקף יודיע לקורבן כי בכוונתו לשלוח את הקובץ לגורמים שחשף מתוך רשימת אנשי הקשר שלו, אלא אם יועבר אליו סכום הכסף שביקש, עד לתאריך מוגדר. בהונאות אחרות הגדילו התוקפים לעשות ואף איימו על הקורבן, כי יחטפו את ילדיו בצאתם מבית הספר, אלא אם יועבר התשלום המתבקש.
איך לזהות תרמית פישינג?
התקפות הפישינג התפתחו במהלך השנים. הן התחילו כהודעות דוא”ל שקל היה לראות שהן מזוייפות, אך היום הן כוללות אסטרטגיות מורכבות שתוכננו בקפידה כדי להערים על הנמענים. ועדין יש כמה דרכים להתחקות אחר האקרים שמנסים לגנוב את הפרטים שלכם. הנה כמה דרכים לזיהוי:
האקרים יחקו כתובות של מותגים מוכרים:
אחד החוקים החשובים באבטחת מידע הוא שאין לפתוח הודעות דוא”ל משולחים לא מוכרים. על מנת לעקוף זאת, האקרים מחקים מותגים אמינים. אתם עלולים לקבל הודעה לגיטימית למראה מחברות או אפילו מהבנק שלכם, שלמעשה תכיל תוכנת פישינג זדונית.
ההודעה כוללת שגיאות כתיב ודפוס:
לרוב הודעות פישינג יכילו שגיאות כתיב ושגיאות דפוס. עיצוב חובבני, גרפיקות הממוקמות בצורה לא הגיונית ושינויי גופן רנדומליים.
שימוש בטקטיקות הפחדה:
הפחדה ויצירת דחיפות הן שתי טקטיקות שיווק ידועות שנועדו לגרום ללקוחות לפעול במהרה. פושעים משתמשים באותן השיטות במסגרת תרמיות פישינג, כדי לגרום לקורבנות שלהם ללחוץ על הקשור ששלחו, ללא מחשבה תחילה. הם עלולים לטעון שחשבון הבנק שלכם נמצא בסכנת סגירה, שתקבלו קנס אם לא תשתפו פעולה, או שחלה פרצת אבטחה.
ההודעה נשלחת מכתובת דוא”ל לא רשמית:
רמאים אולי יכולים לשכפל בצורה מושלמת את המיתוג ואת עיצוב הדוא”ל של חברות מוכרות, אך הם לא יכולים להשתמש בכתובת הרשמית של החברה. רוב הודעות הפישינג הזדוניות נשלחות מכתובות דוא”ל רנדומליות לחלוטין, אך לפעמים ההאקרים משתמשים בכתובת שנראית דומה למקור. כדאי לכם לבדוק באתר החברה ולחפש את פרטי יצירת הקשר הרשמיים לפני שתענו להודעות.
ההודעה טובה מידי בכדי להיות אמיתית:
לצד טקטיקות ההפחדה, תרמיות פישינג נוטות לפנות לרצון שלנו בכסף. הודעות שזכיתם ב iPad חופשה אקזוטית, או מיליון דולר, הן כולן תרמיות קלאסיות. זכרו, אם זה נראה טוב מדי מכדי להיות אמיתי – זה כנראה לא אמיתי. הנה עוד כמה סימני אזהרה לזיהוי:
- השולח מוכר, אך התוכן לא תואם לקשר שלכם עימו.
- כאשר במייל יש דרישה לפרטים אישיים שהמוען אמור להכיר.
- המייל נכתב עם בנימה לחוצה, כגון מועד אחרון לתשלום אחרת החשבון ייסגר.
- הודעות הנכתבות כפיתוי לעזרה בתמורה לתשלום גדול, זכיה בפרס.
- בקשה להורדת אפליקציה שלא מחנויות האפליקציות. (Google Play ,App Store)
איך להגן על עצמכם מהתקפות פישינג:
הדרך הטובה ביותר להגן על עצמכם מתרמיות פישינג היא לבחון כראוי את כל ההודעות שלכם.
- בחירת שירות דוא”ל אמין עם מסנני ספאם שיכולים לזהות את הודעות הפישינג שישלחו אליכם. הם לא יעילים ב-100%, אך עדיין יוכלו להפחית את האיום.
- שימוש בחבילת אנטי וירוס איכותית הכוללת אבטחת אנטי-פישינג. אבטחה כזו תסמן עבורכם הודעות חשודות ותזהיר אתכם מכניסה לקישורים המובילים לאתרי תרמית ורמאות.
- הקפדה על דומיינים בטוחים המתחילים ב-https:// ושכבות SSL יכולה להגדיל את אמינות האתרים בהם אתם מבקרים.
נפלתם לתרמית פישינג, מה עושים עכשיו?
הפעילו סריקת מערכת מלאה
הצעד הראשון הוא לבצע סריקת מערכת מלאה באמצעות אנטי וירוס. אם נדבקתם בתוכנה זדונית יכול להיות שהיא כבר מרגלת אחרי הפעילות שלכם או מיירטת את המידע במחשב. לפני כל פעולה אחרת, השתמשו באנטי וירוס, כדי להעביר את ההדבקה להסגר ולמחוק אותה.
דווחו על ההתקפה
בשלב הבא דווחו על ההתקפה לכל הגורמים הרלוונטיים. אלה כוללים את ספקית הדוא”ל, הבנק, והוועדה למניעת תרמיות במדינה שלכם (בארה”ב לדוגמא, מדובר בוועדת הסחר הפדרלית).
דיווח המקרה לארגונים האלו מאפשר להם להפחית את הסיכוי להתקפות נוספות, ומחזק את האמינות שלכם במידה ותאלצו להתמודד עם חיובים בחשבון הבנק שלא אתם ביצעתם.
החליפו את הסיסמאות
החליפו את כל הסיסמאות שלכם באופן מיידי. תוכנות זדוניות מתקדמות יכולות ליירט את הפרטים האלה תוך שניות, ולכן עדיף לקחת יוזמה ולא להסתכן. בחרו בקומבינציות יחודיות ומורכבות עבור הסיסמאות שלכם, תוך שימוש בסימנים שונים ואותיות קטנות וגדולות.לסיכום, השתדלו לא לפתוח מיילים ממוענים שאינכם מכירים, גבו את הנתונים שלכם ככל האפשר ובכלל, היו זהירים כאשר אתם נותנים את פרטיכם ברשת. האחריות היא בסופו של דבר שלנו המשתמשים.
המידע במאמר נכתב בשיתוף מומחי ברנדשילד, https://www.brandshield.com/ ,חברה המתמחה בפתרונות אנטי-פישינג מבוססי טכנולוגיה. החברה פועלת כ- 8 שנים, ומספקת פתרונות Brand Protection ו- Anti-phishing למגוון חברות, מתעשיות שונות ברחבי העולם.ברנדשילד מתמחה בזיהוי התקפות דיגיטליות עוד בשלבים מוקדמים והסרת האיומים בפלטפורמות השונות: אתרי אינטרנט, רשתות חברתיות, אתרי מסחר, אפליקציות סלולאריות ועוד.
- בניית אתר אפקטיבית – 6 טיפים חשובים - מאי 30, 2022
- אירוח אתרים במסגרת חבילות שונות - מאי 22, 2022
- כל מה שאתם צריכים לדעת על E-mail Marketing - מרץ 28, 2022