את המושג פישינג (דיוג) כנראה שרובכם כבר מכירים. אינספור הודעות מזויפות שנשלחו אלינו לכאורה מדואר ישראל, אדידס, פייפאל וחברות אחרות לימדו אותנו שברשת מסתובבים גורמים זדוניים שרוצים לשים יד על המידע, הסיסמאות וכרטיס האשראי שלנו. אבל לא כולם יודעים כיצד להתגונן מפני פישינג. עובדה: בתרגיל שקיים אתמול מערך הסייבר הלאומי בקרב כעשרים ארגונים לרגל שבוע הגנת הסייבר, קרוב ל-40% מהמשתתפים - בהם שוטרים, חיילי וקציני צה"ל ועובדים בחברות גדולות במשק - לחצו על קישור מתחזה.
עוד כתבות שיעניינו אתכם:
השנה הגיעו למערך הסייבר הלאומי יותר מ-2,500 דיווחים על מתקפות פישינג, כאשר כל דיווח מצביע על עשרות עד מאות אלפי הודעות שנשלחו למשתמשים בישראל. מתקפות כאלה עשויות לגרום לנזקים שונים לארגונים ולמשתמשים, בהם הורדת תוכנה מזיקה למכשיר, גניבת כסף, גניבת מידע, נעילת חשבונות ברשתות החברתיות, חבלה בעסקה או בפעילות הארגונית ועוד. כדי להתגונן, חשוב שתכירו את הסוגים השונים של מתקפות הפישינג ותבינו איפה הן עלולות לפגוש אתכם.
פישינג באמצעות הודעה: Smishing
SMShing (הלחם של המילים SMS ופישינג) הוא הסוג הנפוץ והמוכר ביותר של מתקפות הפישינג. מדובר בהודעה שנשלחת לקורבן במסרון, בוואטסאפ או במייל והיא מכילה קישור זדוני. לעיתים עצם הלחיצה על הקישור מאפשרת להאקר גישה למכשיר, לעתים הקישור מוביל לאתר אינטרנט מתחזה שבו הקורבן מתבקש להזין פרטים אישיים שיגיעו כמובן לידיו של התוקף.
פישינג ממוקד: Spear Phishing
כאן כבר מדובר במתקפה יותר מתוחכמת שמתמקדת באדם או בקבוצה מסוימת שלתוקפים יש אינטרס להגיע אליהם באופן ספציפי. ההאקרים אוספים מידע מקדים על האדם או הקבוצה - לרוב ממקורות גלויים - ומנסחים הודעה שפונה ישירות לתחומי העניין או העיסוק שלהם, כדי להפוך אותה למשכנעת במיוחד. כך לדוגמה, האקר שגילה שהאדם שהוא מכוון אליו חובב יין מגלישה בפרופיל שלו ברשת החברתית, ינסה לדוג אותו באמצעות הודעה על מבצע מסוים בתחום היין.
פישינג בטלפון: Vishing
בסוג המתקפה השלישי, ניסיון הפישינג מתבצע באמצעות התחזות בטלפון לגורם לגיטימי, או בקצרה – "וישינג". התוקפים עשויים לטעון שהם מהבנק, מהתמיכה הטכנית של הארגון, משירות לקוחות מוכר וכו'. הם ינסו לרכוש את האמון שלכם ויבקשו מכם לבצע פעולות כגון מסירת פרטי התחברות, מסירת פרטי אשראי או סיסמה לשירות מסוים ואף להתחברות לארגון שלכם.
דיפ פייק פישינג
כאן מדובר בסוג חדש יחסית של פישינג. ההאקרים משיגים הקלטות קוליות של דמות בכירה בארגון ומתחזים אליה באמצעות שימוש בתוכנה מבוססת בינה מלאכותית שמחקה את קולו (טכנולוגיה שנקראת דיפ פייק אודיו). במתקפות מסוג זה ההאקרים נוהגים להתקשר לאחד העובדים כדי לבקש ממנו לבצע פעולות שונות כגון העברת כספים לחשבון בנק מסוים או פתיחת קובץ זדוני ברשת הארגונית.
פישינג באמצעות מודעות
בסוג המתקפה הזה האקרים מנסים לדוג פרטים באמצעות מודעות ופרסומות קופצות, לרוב באתרים פחות מוכרים או ברשתות החברתיות. המודעות ינוסחו לרוב באופן מפתה: "לחצו על מנת להשתתף בהגרלה ואולי תוכלו לזכות בפרס". לחיצה על מודעה מתחזה יכולה להוביל להורדה של קובץ זדוני למכשיר, להחדיר וירוס ולהסב נזק. לעיתים לחיצה על המודעה מובילה לאתר מתחזה שבו הקורבנות מתבקשים להזין פרטים אישיים שכמובן יועברו לידי ההאקרים.
פישינג באמצעות התחזות ברשתות
כאן תוקפים מתחזים לדמויות שונות ברשתות החברתיות ומבקשים מידע אישי תחת אשליה שמדובר בגורם לגיטימי. לדוגמה: עמודים המתחזים לפייסבוק עצמה או לשירות התמיכה של פייסבוק ומתריעים כי "חשבונך יושבת". השיטה נחשבת פופולרית וקלה ליישום בקרב האקרים.
פישינג באמצעות אפליקציה
בסוג המתקפה הזה, מופיעה באתר מודעה או אפשרות להורדת אפליקציה חינמית המציעה שירות או יישום שימושי כלשהו. לרוב, כשלא מדובר בחנות רשמית, אפליקציות אלו נחשבות לא בטוחות ואף זדוניות. קיים סיכון גדול שבהורדת האפליקציה מושגת גישה למכשיר שלכם שמאפשרת להאקרים שליטה במכשיר וגישה לפרטים האישיים למידע השמור בו.
פישינג באמצעות אתר מתחזה
האקרים יוצרים אתרים מתחזים ומאנדקסים אותם באופן לגיטימי במנועי החיפוש במטרה להגדיל את רמת החשיפה שלהם. אתרים אלה יכולים להיות דומים לאתר המקורי, גם ויזואלית וגם בכתובת ה-URL (דמיינו למשל אתר שמתחזה לנטפליקס או לאמזון), או להיראות כמו אתרים עצמאיים שמציעים מוצרים ודילים במחיר משתלם במיוחד. גם כאן, בכניסה לאתר תיתכן בקשה למסירת פרטים או להורדת קובץ מזיק.
אז איך מתגוננים?
- יש לגלות ערנות ולנהוג בחשדנות: עכשיו שהסכנות והסיכונים מוכרים לכם, חשוב להיות ערניים ולהכיר את דרכי הפעולה והאפשרויות להתחזות.
- בדקו את זהות הפונה בשיחה יזומה אליו: ביקשו מכם להעביר כספים או פרטים אישיים במייל, במסרון או בטלפון? תמיד מומלץ לוודא מי הגורם, לפנות אליו בדרך אחרת ואף לבצע אליו שיחה יזומה בעצמכם.
- לא מוסרים מידע: קיבלתם הודעה מוזרה, הודעה שנראית לגיטימית או שיחת טלפון מהבנק שבה הודיעו לכם על ביצוע עסקה חריגה אשר לשם ביטולה אתם נדרשים לתת קוד אימות או את פרטי כרטיס האשראי שלכם? עצרו. היו ערניים לבקשות חריגות בשיחות שלא אתם יזמתם. באותו אופן לא מוסרים קוד אישי, סיסמה, מספר מזהה אחר וכו'.
- היו קנאים לפרטיותכם: צמצמו למינימום את המידע האישי שאתם חושפים ברשתות החברתיות ו/או הגבילו את המידע הציבורי שמי שאינו בקבוצת החברים שלכם יכול לראות, באמצעות הגדרות הפרטיות של הרשת החברתית.
- חשדו בהצעות חברות של פרופילים לא מוכרים: בחנו אותם היטב ובדקו שהם אמינים. בפרופילים מתחזים ו/או מזויפים תהיה בדרך כלל רשימת חברים מצומצמת, מעט תמונות וציר הזמן ייראה ריק וללא פעילות רבה.
- הורידו אפליקציות מהחנויות הרשמיות: מומלץ להוריד יישומים רק מחנויות כמו אפסטור וגוגל פליי ולא דרך אתר, אפליקציות חינמיות או קישור ישיר לדף הורדות.