השאלה מה זה פישינג היא לא רק שאלה מעניינת, אלא היא גם שאלה חשובה מאוד. זהו נושא בעולם האבטחה המשליך על אנשים פרטיים ובוודאי על עסקים. משמע – שאלה שכל משתמש מחשב צריך לשאול את עצמו. אם כך מהו פישינג ולמה כל כך חשוב שנכיר את המושג הזה? איך מתבצעת תקיפת פישינג ואיך נוכל להתגונן מפניה? הינה כל מה שחשוב לדעת רגע לפני שלוחצים אנטר.
מה זה פישינג?
פישינג (באנגלית Phishing ולא Fishing) הוא ניסיון לגנבת פרטים אישיים חשובים באמצעות התחזות דרך רשת האינטרנט. בעקבות התקפת פישינג מוצלחת אפשר להשיג פרטים אישיים כמו פרטי אשראי, תמונות אישיות, סיסמאות ועוד. אפשרות נוספת היא שהפרטים ינוצלו לשם תקיפה מתקדמת יותר, כלומר לשם חדירה למחשבי עסק מסוים ובאופן “שקט” לצורך ריגול עסקי למשל.
איך מתבצעת מתקפת פישינג?
מתקפת פישינג עשויה להתבצע בדרכים רבות, אך יש לכך כמה מאפיינים קבועים למדי – כשבסופה תתבקשו למסור את פרטיכם האישיים. זהו סוג מתקפה שונה מהותית ממתקפה שבה מנסים לפרוץ למחשב ולגנוב מידע, שכן במתקפת פישינג המטרה היא שאתם תמסרו את המידע מרצונכם החופשי. אם כך, אפשר לומר שבקשת הפרטים היא השיא של הונאת פישינג, אך לפניה חייב להיות שלב ההתחזות. ההתחזות יכולה להיות למגוון גורמים ולהתבצע באופנים רבים. דוגמאות נפוצות לכך הן התחזות לאדם מסוים או לאתר אינטרנט. אם מדובר למשל במקום עבודה, המתחזים עשויים להציג עצמם כגורמים בהנהלת העסק, מצבי התחזות כאלה מכונים גם בשם “הנדסה חברתית”. דוגמה ידועה נוספת היא מצב של עובד חדש שלא מכיר את העסק כמעט בכלל. אם התוקפים מתמקדים באותו עסק ספציפית (ובהמשך נסביר באשר למצבים כאלה), הם עשויים להיות ערוכים לפנייה לעובדים חדשים, למשל בהתחזות לגורם בהנהלה שמטפל בקליטת עובדים חדשים או בהתחזות לגורם באגף הטכני המבקש סיסמה של העובד לכניסה למערכת המחשוב. במקרים מסוימים בקשת הפרטים מהקורבן תהיה הדרגתית, למשל בכניסה לאתר מזויף ובו המסך הראשי מבקש שם וסיסמה. לאחר מכן יעלה מסך נוסף שיבקש גם תאריך לידה וכן הלאה. לעיתים קרובות התוקפים ישתמשו בהבטחות וב”הרגעות” המספקות מבחינת הגולש מענה לחששות הנפוצים, למשל ההבטחה (חסרת הכיסוי כמובן) שלא יעשה כל שימוש בפרטים המוזנים מעבר למטרות ה”לגיטימיות” הנוכחיות או ש”האתר מאובטח ברמה הגבוהה ביותר” וכדומה.
איך אפשר לזהות פישינג?
לקמפיין פישינג מאפיינים נפוצים המסייעים לזהות אותו בבירור. אחד המובהקים שבהם הוא הניסיון ליצור תחושת דחיפות – למשל הודעה שלפיה אם לא תיכנסו לאתר שבקישור בתוך 24 שעות כדי לטפל במקרה מיוחד שכביכול קרה “חשבונכם ייחסם”. אם תלחצו על הקישור, תתבקשו כמובן להזין פרטים אישיים כדי “להתחבר למערכת” וזו המטרה. ככלל, כדאי להתייחס לכל דחיפות כזו כנורה אדומה גדולה ומובהקת. ניסוחים בלי הגהה הם סימן ידוע נוסף של מתקפות פישינג. לעיתים אלה מתקפות שמבוססות על שפה אחרת שתורגמו בתוכנות תרגום והתוצאה אינה מושלמת. עוד אינדיקטור למתקפה כזו מספקים ניסוחים כלליים שאינם מופנים ספציפית אליכם, למשל ניסוח שאינו משתמש בשמכם. לדוגמה, לא סביר שאתר לנרשמים בלבד יודיע לכם שהחשבון שלכם כביכול נפרץ, אבל הוא לא ידע את שמכם הפרטי (לפחות את השם שבו אתם רשומים באתר). כתובת אתר חשודה או כתובת אימייל חשודה, גם הן מספקות סימנים חשובים לעין המיומנת. כתובת אתר חייבת להתחיל ב-https ולא סתם http. דוגמה נוספת, גוף רשמי שיש לו אתר לא יישלח אליכם אימייל שמסתיים למשל ב-gmail.com, אלא אם זה אימייל מג’ימייל עצמם.
אילו סוגי פישינג קיימים?
עד כאן הצגנו את התופעה באופן כללי. אך חשוב גם להיות מודעים לסוגים הספציפיים של אופניי ביצוע מתקפות כאלה. אלה כמה דוגמאות בולטות לכך:
פישינג באמצעות הודעה
הודעות SMS הן דרך נפוצה של תוקפים לבצע ניסיונות פישינג. לעיתים קרובות עושים זאת באמצעות התחזות לגופים מוכרים, כגון חברת ביטוח או בנק. כמעט תמיד הודעה כזו תכלול קישור שלחיצה עליו היא כמובן הפעולה שאתם בהחלט לא רוצים לעשות.
פישינג ממוקד
ניסיונות פישינג הם בדרך כלל כלליים וגנריים, כלומר מנסים “לדוג” כל מי שיעלה בחכתם באמצעות שיטות כלליות. אלה הודעות שנשלחות באותו ניסוח להיקף גדול של אנשים ובבת אחת. אך יש גם גישה אחרת, ממוקדת יותר. כאשר מנסים להשיג למשל פרטי מנהל בכיר בחברה, עשויים להתחיל תהליך של ניסיונות ה”תפורים” לנסיבות המיוחדות שלו. מצד אחד יעשו שימוש במידע ידוע כדי להגביר את תחושת האמינות של המסרים, ומצד שני המסרים עצמם יהיו מיוחדים וממוקדים רק במטרה של השגת הפרטים של אותו אדם ספציפי.
פישינג טלפוני
פישינג בטלפון הוא ניסיון פישינג שלמעשה לא דורש בכלל מחשבים. לא הקורבן ולא התוקף זקוקים לכך. בסוג התקפה כזה, התוקף מתקשר לקורבן ומנסה לשכנע שהוא גורם לגיטימי ובכך לקבל פרטים אישיים. זה עשוי כמובן להגיע גם כשיחה דרך אמצעי ממוחשב כלשהו, כגון שיחה קולית דרך תוכנה בסמארטפון. בכל מקרה, מדברים עם אדם “אמיתי”, שמתחזה לאדם אחר ומנסה לגרום לכם למסור פרטים חשובים.
פישינג דיפ פייק
“דיפ פייק” הוא ההתחזות לאנשים מסוימים באמצעות זיוף קול, תמונה ואפילו וידאו. טכניקות כאלה עדיין לא הגיעו לבשלות מרבית, לכן סביר שלא תראו וידאו משכנע בהקשר זה. אבל קול כבר אפשר לזייף ברמה גבוהה של דיוק ואף ידוע שבוצעו התקפות בטכניקה כזו בהצלחה.
פישינג באמצעות מודעות
מודעות פרסום מזויפות עשויות לשמש כדרך לשכנע אנשים למסור פרטים. למשל לבקש אימייל כדי לשלוח לכם מיידית, כביכול, מדריך מסוים שמעניין אתכם.
התחזות ברשתות
רשתות חברתיות הן כר פורה למתקפות מסוגים שונים, מאחר שאנשים פעילים בהן מאוד ובאופן חופשי למדי. ההתחזות עשויה להיות למישהו אחר או אפילו לגורם בחברה שמפעילה את הרשת החברתית עצמה.
אתר מתחזה
אתר שמתחזה לאתר לגיטימי שבו הייתם מוכנים להשאיר פרטים, למשל אתר הבנק שלכם. אתם מחפשים לפי שם הבנק, מגיעים לאתר שמתחזה לו, מתבקשים להזין פרטים כדי לצפות בחשבונכם, מזינים אותם ומקבלים הודעה שהמערכת לא זמינה עקב תקלה זמנית. כעת, אתם עשויים עדיין לחשוב שהכול לגיטימי. אך עד שתקלטו שזה היה אתר מזויף, ייתכן שפרטיכם כבר ינוצלו לרעה.
אז איך מתגוננים מפישינג?
ברמה המעשית מנקודת מבט של התגוננות, חשוב ליישם אבטחה טובה בכל דבר שימנע ממתקפות כאלה להצליח מלכתחילה. אך מעבר לכך, יש כללי זהירות שונים שחשוב ליישם באופן שמתייחס ישירות למתקפות כאלה:
מגלים ערנות וזהירות
לא חסרים ניסיונות פישינג ברשת. הדרך הראשונה לבלום אותם היא פשוט להיות מודעים לסיכונים שיש בכל פעם שגולשים ברשת האינטרנט ובכלל. לשים לב לכל דבר חשוד, לעצור ולחשוב לרגע אם זה אכן עשוי להיות ניסיון פישינג. במקומות עבודה אפשר לשפר באופן שיטתי את הערנות ואת הזהירות באמצעות הדרכות בנושא זה ואף ביצוע תרגולי פתע יזומות לשם בדיקה והעלאת המודעות.
לא מכירים? לא מוסרים מידע!
זהירות מיוחדת כדאי ליישם כאשר מדובר בגורמים שאתם לא מכירים. הכלל הבסיסי הוא לא להיכנע ללחצים שונים למסירת מידע מהירה ודחופה כביכול, אלא קודם כל לפעול בגישה של הימנעות ממסירת המידע. רק אם ולאחר שהשתכנעתם בלגיטימיות, מוסרים את המידע המבוקש. אין “לא נעים” מבחינה זו.
בודקים כל הצעת חברות ברשת חברתית
רשתות חברתיות הן מקור מידע לא רק עליכם, אלא גם על מי שמבקשים להתחבר אליכם ברשת כזו. כדאי וחשוב לנצל זאת כדי לבדוק מי מציע לכם להתחבר אליו ברשת חברתית. אגב, אפשר לבדוק גם מעבר לאותה רשת עצמה. זאת, מאחר שאנשים רשומים פעמים רבות לכמה רשתות שונות. כמו כן, חיפוש חופשי במנוע חיפוש עשוי לספק פרטים נוספים, בייחוד אם מדובר במקור פישינג מוכר.
תוכנות ייעודיות להגנה
מתקפות פישינג נבלמות במגוון דרכים. כמובן, היבט חשוב בכך הוא שימוש בתוכנות אבטחה מתאימות ואלה כמה דוגמאות בולטות לתוכנות כאלה:
אוואסט avast premium security
תוכנת avast premium security מציעה הגנה מפישינג, הגנה על הרשת הביתית ועוד יכולות רבות וחשובות. התוכנה עצמה היא בין הבולטות והוותיקות ביותר בעולם האבטחה.
ביטדפנדר bitdefender total security
התוכנה bitdefender total security מסייעת בהגנה על הפרטיות בכלל בשימוש במחשב. יכולות ההגנה שלה על התקני מחשוב ניידים מתחברות לכך היטב, מאחר שאלה מסוג ההתקנים הפגיעים ביותר להתקפות מסוגים שונים. זאת, לצד יכולות מתקדמות נוספות, כגון מנגנון ניהול סיסמאות.
איי וי ג’י AVG internet security
תוכנת AVG internet security מציעה עזרי אנטי פישינג שונים, כולל אזהרה לגבי אתרים מסוכנים, פיירוול וכמובן סריקת המחשב לגילוי נוזקות למיניהן.
סיכום
ללא ספק נושא הפישינג הוא נושא שחשוב גם להבין וגם להיות מודעים אליו ולהיזהר לגביו באופן מתמשך. אם נוהגים כך, אפשר לצמצם באופן מירבי את הסיכון מסוג מתקפה נפוץ זה. כמו כן, מודעות תאפשר לזהות בהקדם מקרים כאלה שהצליחו ולצמצם את נזקיהם מבעוד מועד.
-
מבצע!
Bitdefender Total Security 2024 | חבילת אבטחה מקיפה למחשב ולמכשירים ניידים
159₪ – 219₪ הוסף לעגלה -
מבצע!
Avast Premium Security 2024 | הגנת על למחשב שלכם | Se-Keys
99₪ – 299₪ הוסף לעגלה -
מבצע!
AVG Internet Security 10 Devices 2024 2 Years
המחיר המקורי היה: 323₪.184₪המחיר הנוכחי הוא: 184₪. הוסף לעגלה
