• White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.

הונאות 'פישינג' – ערוצי תקיפה

מאת: אלון הומינר, יועץ אבטחת מידע (7 לאוקטובר (2018

ישנן דרכים רבות לפושעים ברחבי העולם בכלל ו"בעולם הקיברנטי" בפרט, לאסוף עלינו, המשתמשים, מידע אישי, פיננסי, רפואי ועוד. מתקפות המנסות לחשוף מידע ישירות מהמשתמשים נקראות "מתקפות פישינג" ("מתקפת דיוג", ששמה נגזר מהמילה "דיג", אך בעיוות קל של האיות: (“phishing”. מתקפות אלו פועלות בעיקר באמצעות הדואר האלקטרוני, דרכו נשלח לקורבן מייל מתחזה אשר מתיימר לחקות אתר או גורם לגיטימי, הקורא לפעולה שכוללת מסירת פרטי הזדהות (שם משתמש וסיסמא). 
לעתים משמשות שיטות פישינג גם לצורך ביצוע "מתקפות כופר" Ransomware)), כשלב ראשון שדרכו חודר התוקף לרשת הארגון, נועל קבצים / תיקיות / כוננים, ומבקש תשלום עבור שחרורם, טרם מחיקת החומר לחלוטין.
במתודות פישינג רבות, תכלול ההונאה הפנייה / לינק לכתובת URL. זיהוי כתובת ה-URL ככתובת פיקטיבית שלא שייכת לארגון או לחברה אמיתית, הנו שלב קריטי בזיהוי מתקפה. 
בדיקת מהימנות הכתובות תבוצע על ידי חיפוש שם החברה או הארגון במנוע חיפוש Google, Bing וכו'. בתוצאות המובילות (בראש הרשימה, לא כולל "מודעות" שנקנו בכסף) נוכל, בסבירות גבוהה, לראות את הכתובת הלגיטימית של האתר. חלק מן הדפדפנים אפילו יעזרו לנו למצוא את האתרים הלגיטימיים.
מנוע החיפוש של Apple, Safari, אף מציג בשורת הכתובות רק את ה-domain הראשי ובכך מקל על  המשתמשים לזהות את מהימנות הכתובת.
דרך נוספת למזער את הסיכון היא לערוך פנקס כתובות דואר אלקטרוני ו-domains של הארגונים שאיתם אתם מרבים להתכתב. יש לכלול נתונים אלו כלגיטימיים בחוקי הדוא"ל (rules) ולעדכן את הרשימה מעת לעת. שרת הדוא"ל יעביר הודעות שצלחו את הסינון הראשוני של הכתובות שהוגדרו כלגיטימיות. מנגד, יש גם לבנות רשימה של כתובות חסומות.
מאמר זה יפרט את ערוצי התקיפה השכיחים בתחום הפישינג.

   1. האם זכית בלוטו? בירושה?

הודעות זכייה בסכומי כסף הנן שיטה שאנו מכירים מזה שנים רבות. בתקופה האחרונה אנו גם מזהים הודעות נוספות כגון מבצעים והנחות (למשל, הונאות שופרסל ו- Orange) במטרה לקבל מאיתנו את פרטי חשבון הבנק שלנו ופרטי ההזדהות לחשבון. כבני אדם אנו מתרגשים ומזדרזים להגיב כאשר אנו מקבלים הודעות שמחות ובלתי צפויות – התנהלות שבהחלט משחקת לידי התוקפים.

מתקפה נוספת, שזכתה לכינוי "העוקץ הניגרי", הנה מתוחכמת יותר ומחייבת מאמצים רבים יותר מצד התוקף. בשלב ראשון, יהיה עליו להשיג מידע אודות שמות אוטנטיים של חברים או עמיתים של הקורבן. מידע זה יגיע לידי ההאקר באמצעות חיפוש נתונים ברשתות החברתיות או אף פריצה לתיבת הדואר האלקטרוני של הקורבן וחשיפת רשימת אנשים הקשר שלו. בשלב שני, שולח ההאקר לקורבן מייל ממוקד, לכאורה מחבר או עמית הנמצא בקרב מכריו. ה"חבר" / "מכר", יתאר במייל נואש כי "נתקע בחו"ל ללא פרוטה לאחר שארנקו נגנב" ויבקש מהקורבן לבצע העברה כספית דחופה, כהלוואה.
שיטה נוספת עושה שימוש בפנייה לקורבן, שבה הוא מתבשר על מוות של בן משפחה רחוק המתגורר בחו"ל (שם שהקורבן מעולם לא נתקל בו), אשר הוריש לקורבן סכום כסף גדול. ההאקר יבקש לרוב מהקורבן לבצע העברה בנקאית ראשונית כתשלום לעורך הדין, עבור טיפול ושחרור כספי הירושה.
מתקפות אלו הופכות שכיחות וממשיכות להופיע בתצורות שונות. משמע, שהן עדיין אטרקטיביות ואפקטיביות עבור ההאקרים, מאחר והן מצליחות להפיל בפח משתמשים רבים. 
בעת קבלת הודעה מסוגים אלו אין להיכנס לקישור הקיים בגוף ההודעה. יש לחסום את כתובת השולח ולמחוק את ההודעה. מומלץ מאוד גם להחליף את סיסמת המייל. 

   2. פישינג עם אולטימטום 

שיטת הונאה זו מנצלת חולשה אנושית של פחד, המגיע לצד תאריך יעד קרב. 
התוקפים ינסחו הודעה מאיימת בצורה מעורפלת ומפחידה במטרה לגרום לתגובה מהירה מצד הקורבן. לדוגמא, יבשר ההאקר לקורבן כי בידיו קובץ מתוך מצלמת הוידאו של המחשב, בו הוא נראה כאשר הוא צופה בסרטון פורנו. התוקף יודיע לקורבן כי בכוונתו לשלוח את הקובץ לגורמים שחשף מתוך רשימת אנשי הקשר שלו, אלא אם יועבר אליו סכום הכסף שביקש, עד לתאריך מוגדר וקרוב מאוד. בהונאות אחרות ואכזריות אף יותר, הגדילו התוקפים לעשות ואף איימו על הקורבן כי יחטפו את ילדיו בצאתם מבית הספר, אלא אם יועבר התשלום המתבקש.  
קורבנות רבים נוטים ליפול בפח משום החרדה ממימוש האיום ומהירות התגובה שנדרשת על ידי התוקף. עם זאת, בדיקה מעמיקה של המייל המאיים תגלה כי אין בידי התוקף כל מידע אמיתי או הוכחה למעשיו. יש להפעיל שיקול דעת קפדני וכן לדווח לרשויות, במידת הצורך (הרשות להגנת הפרטיות, מערך הסייבר, משטרה וכו').

   3. פישינג במדיות חברתיות

המדיה החברתית הרחיבה את השימוש ב"גניבת זהות". התוקף מקים פרופיל המתחזה לפרופיל המקורי של המשתמש ומבקש הצעות חברות מחבריו של הקורבן או ממשתמשים בלתי מוכרים, בתקווה שהצעתו תאושר. זכרו לבדוק את החברים ברשתות החברתיות בצורה קפדנית טרם אישור חברות. פרופילים דלים מתוכן (תמונות, חברים, פוסטים), אמורים להחשיד כמזויפים.
דרך נוספת אשר נפוצה מאוד ברשתות החברתיות היא איסוף נתונים דרך משחקים חברתיים באינטרנט, בתצורת סקרים ושאלות. על מנת להמשיך במשחק או להירשם כ"מנצח", יתבקש המשתמש לספק משוב או למלא שאלון על המשחק. לבסוף, ישאל הקורבן שאלות נוספות על מנת לחשוף מידע מזהה נוסף.
יש להפעיל שיקול דעת קפדני לגבי הצורך או הרלוונטיות של הפנייה לקבלת מידע נוסף ויש להימנע ממסירת מידע אישי.

   4. אפליקציות מזויפות

אפליקציות ותוכנות מזויפות מהוות איום נוסף לאיסוף מידע אודות המשתמשים. האפליקציות נמצאות הן במכשירים המבוססים על Android והן במכשירים המבוססים על IOS. המפתחים מצליחים לעקוף את מנגנון הסינון של חנויות האפליקציות ומצליחות לשווק את עצמן כחוקיות ומאובטחות.
המפתחים משתמשים בדרכים שונות על מנת להעלות את חוות הדעת של האפליקציה על-ידי מאות ואף אלפי ביקורות חיוביות (לרוב ניתן לזהות זאת על-ידי תגובות או שמות משתמשים דומים) ובכך, לייצר תחושה אצל המשתמשים שמדובר באפליקציה לגיטימית ואף פופולרית.
ככלל, יחסית קשה לאתר את האפליקציות המזויפות מקרב עשרות אלפי האפליקציות הקיימות. במידת ההכרח "להוריד" אפליקציה, יש לשאוף להגיע לכזו שכוללת אינדיקציה לכמות "הורדות" נרחבת מאוד (כחצי מיליון ומעלה). זאת, מתוך הסבירות הגבוהה (שוב – יחסית), לכך שההאקרים לא יצליחו להגיע לתרמיות בסדרי גודל כאלו.

 

   5. הונאות טלפוניות

שיטה נוספת וותיקה מאוד היא באמצעות שיחות פישינג טלפוניות (או בשמה האחר: “vishing”, שהנו קיצור של: “voice phishing”). מדובר בשיחה שבה מתקשרים לקורבן ומזדהים כנציג תמיכה של חברה גדולה כגון Microsoft, חברת ביטוח, קופת חולים וכו' ומבקשים את פרטי החשבון האישיים של המשתמש, תחת סיפור כיסוי.
אם קיבלתם שיחת טלפון כזו, ההמלצה היא לנתק ולחסום את המספר שממנו יצרו אתכם קשר. אם אכן אתם לקוחות של החברה שממנה יצרו אתכם קשר ומבקשים מכם פרטים אישיים, מומלץ לנתק לחזור למספר שירות הלקוחות כפי שמופיע באתר החברה, בכדי לוודא את מהימנות השיחה הקודמת ובעיקר בכדי לדווח לחברה על הניסיון לבצע מתקפה זו תחת שמה.

 

האם אתה מרגיש בטוח?
בשנים האחרונות ביצעה האנושות קפיצה טכנולוגית אדירה, וכנראה הגדולה ביותר, עם כניסתו של האינטרנט לחיינו. כל תחומי חיינו עוברים בעידן הנוכחי "הסבה קיברנטית", לרשת האינטרנט ולמערכות המחשב. לצד הנגישות הנרחבת והזמינות המיידית לכל נתון, אתר או משתמש המקושרים לאינטרנט, הולכת ופוחתת רמת הבטחון האישי והפרטי של המשתמשים.
לצערינו, מוכיחות שיטות הפישינג השונות שוב ושוב, כי טכנולוגיות מתקדמות לא יסייעו לנו במזעור ממשי של הסיכונים, שהרי החוליה החלשה תישאר תמיד – אנחנו עצמנו. המשתמשים.
מלבד ההמלצות הספציפיות שפורטו במאמר זה, ההמלצה הקריטית ביותר תישאר תמיד: "היה חשדן"...