אחרי שכולם כבר מכירים את סכנת הדיוג (phishing) והדרכים להתגונן מפניה, מתברר שרמאי הרשת לא מוותרים, רק משתכללים. עכשיו מדובר על מתקפות דיוג ממוקדות אישית או "צלצל הדיוג" (Spear phishing), שקשות יותר לזיהוי ועלולות לגרום לנזקים קשים ממש. אם הונאת דיוג דומה להשלכת רשת למים ושליית משתמשים תמימים שלא נזהרו, הונאת דיוג ממוקד אישי דומה ליריית צלצל אל עבר דג גדול ושמן. במדריך הזה תוכלו ללמוד כל מה שצריך על הסכנה החדשה, כדי שאתם לא תהיו הדג הזה.
ראשית כמה תובנות יסוד:
- יש אנשים רעים, שמחפשים דרכים להוליך אותנו שולל ולגרום לנו לאבד כסף או למסור פרטים ששווים כסף. אנחנו לא רוצים שהם יצליחו ולכן אין ברירה, צריך לחשוד בכולם.
- בשיטת הדיוג המוכרת, מפתים אותנו להגיב על מייל מגוף או חברה, שנראה ממש כמו המיילים שהחברה נוהגת לשלוח. בתואנות שונות מפתים אותנו ללחוץ על קישור, ובדף שנפתח מתבצעת פעולת גניבת הפרטים שלנו. קמפיינים של דיוג נשלחים לכמויות אדירות של נמענים ומתברר שתמיד יהיו כמה שיבלעו את הפיתיון וילכדו ברשת הדיג.
- התרמית הזו עולה מדרגה עם הדיוג הממוקד, שבו התוקפים אוספים מידע מקדים על הקורבן, פרטים שיגרמו לו להאמין שמדובר בפנייה אמיתית - למשל מהבוס, משותף עסקי, מרשות ממשלתית. מעטפת ההונאה הזו כל כך משכנעת, שהיא מורידה את חומות ההגנה שלנו ומאפשרת לנוכלים לבקש פרטים בעלי ערך משמעותי, למשל מספרי תעודת זיהוי, כתובת, כרטיס אשראי, פרטים של קרובי משפחה.
- אין גבול לתחכום ולזדון של עברייני הפישינג. הם ישתמשו בעשרות דרכים כדי להגיע לפרטים שלכם שהעליתם לרשת בתמימות, וימצאו דרכים להפיק מזה רווח עבורם.
אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע ESET ישראל, מביא דוגמאות לדיוג ממוקד:
עוקץ כביש 6 – עבריינים התקשרו לאנשים וטענו שיש להם חוב לכביש 6 וביקשו מספר כרטיס אשראי במטרה להסדיר את החוב. המספרים נגנבו כמובן. הקורבנות שקיבלו שיחה לטלפון הנייד שלהם, עם ציון מספר המכונית שלהם, לא חשדו בדבר. איך ידעו העבריינים את הנתונים האלה? התברר כי היה מדובר באנשים שפרסמו את מכוניתם למכירה בלוחות מכירה ברשת, במודעה שכללה כמובן שם, טלפון ותמונה של המכונית בה נראה מספר הרישוי.
עוקץ וואטספ – ישראלים רבים קיבלו הודעת וואטספ עם קוד בן שש ספרות ומייד לאחריה הודעה מאדם, שטען שהקוד היה אמור להגיע אליו וביקש טובה: לעשות לו העברה של ההודעה. הנוכלים למעשה נרשמים לשירות עם המספר שלכם, וכשמגיע קוד האימות אליכם, הם מבקשים מכם את המספר. במקרים מסוימים מגיעה ההודעה המטעה מאיש קשר של הקורבן (שעל החשבון שלו השתלטו לפני כן), ולכן לא מתעורר כל חשד אצל הקורבן. עם ההשתלטות על החשבון מקבלים העבריינים גישה לכל פרטיכם והם גם יכולים לדרוש כסף בתמורה לשחרור החשבון.
מודאגים? בצדק רב. אי אפשר היום לסמוך על שום דבר שמגיע ברשת, גם לא מבני משפחה, חברים ועובדים. הנה כמה דרכים בהן ניתן להתגונן ולא ליפול בפח:
1. כלל האצבע הדיגיטלי: צמצמו את המידע שאתם מעלים לרשת, במיוחד מידע רשמי, שעלולים לעשות בו שימוש לרעה. לצורך ביצוע דיוג ממוקד התוקפים מחפשים פרטים ברשתות החברתיות ובאתרים שונים. למה להקל עליהם?
2. קיבלתם בקשה מגורם לא מוכר או בקשה מוזרה ממישהו שאתם כן מכירים? קודם כל הטילו ספק. אין ברירה, בעידן הנוכחי צריכים להיות יותר סקפטיים. אם זה חבר או איש קשר אחר, ודאו איתו שהוא אכן פנה אליכם. עשו זאת בכלי שונה מהכלי שבו הגיעה הפנייה שלו, למשל במייל או בטלפון. אם אינו מוכר לכם, אל תענו, אפילו חסמו אותו.
3. הפניה נראית לכם הגיונית, כמו למשל במקרה של כביש 6 שבה הפונים ידעו את מספר הרכב והפרטים האישיים? עדיין הטילו ספק. נתקו את השיחה והתקשרו בעצמכם לספק השירות.
4. קיבלתם הודעה או מייל מספק שירות, שאתם מנויים בו? גשו אל הדפדפן והתחברו אל האתר הרשמי בעצמכם. במידה ואכן ההודעה הזו מופיעה שם, בצעו את ההנחיה דרך האתר אליו הגעתם ביוזמתכם. היא לא מופיעה, התקשרו לשירות הלקוחות ובררו.
5. קיבלתם הודעה במייל הפנימי של החברה עם הנחייה יוצאת דופן, למשל למסור פרטים מסוימים לגורם חיצוני או להעביר כספים? אל תפעלו באופן מיידי. עבריינים מצליחים להשתלט גם על מיילים ארגוניים ולגרום לנזקים משמעותיים. ודאו עם הפונה טלפונית, שהנחייתו אכן ניתנה. מי יודע, אולי אפילו תקבלו קידום.
6. כמו תמיד, הגנת ססמאות חזקה מרחיקה עבריינים בהרבה מקרים. השתמשו במנגנון אימות כפול (אישור נוסף באמצעות הנייד). בחרו ססמאות חזקות. הקפידו גם על ססמאות שונות לשירותים שונים, כך שדליפת ססמה אחת לא תאפשר להיכנס לשירותים נוספים.
7. השתמשו בתוכנת אבטחה, שתדע לזהות ולהתריע על אתרים חשודים ועל פעולות שחשודות כדיוג.
8. ארגונים וחברות? הגבירו את מודעות העובדים באמצעות הדרכות ופעילויות. עובדים מודעים יותר יבחינו בפניות חריגות.
מוסיף כרמי: "צריך להתייחס היום לכל פניה שאנחנו מקבלים בדרך אלקטרונית או סלולרית בדיוק כפי שהיינו מתייחסים לפניה מאדם זר ברחוב. גם פניות שנראות כאילו הגיעו מחברים שלנו בסמס, וואטספ, ברשתות החברתיות או במייל עלולות להיות הודעות שנשלחו דרך חשבון שנפרץ או חשבון מתחזה. לכן תמיד מומלץ וחשוב לאמת פניות אלה, אם זה באתר הרשמי של החברה או בשיחת טלפון לחברים שלנו, במיוחד כשמדובר בבקשות יוצאות דופן כמו העברה של ססמאות, איפוס ססמאות, קוד אימות וכמובן במקרים של העברת כספים בהולות ובלתי צפויות".