חגיגת הקניות או חגיגת פשיעת הסייבר?
דו"ח חדש של פורטינט מזהיר מהאיומים העדכניים הכרוכים באירועי הקניות אונליין שכולנו "חוגגים" בימים אלו ● הממצאים מראים כי פושעי הסייבר משתמשים ב-AI ויוצרים הודעות דוא"ל פישינג משכנעות, כדי שתפלו בפח
חודש הקניות בשיאו, וקונים ברחבי העולם "חוגגים" על מבצעי Black Friday, Cyber Monday ועוד. יחד עם זאת, פעילות מקוונת מוגברת זו מושכת גם את תשומת ליבם של פושעי הסייבר.
דו"ח שפורסם באחרונה על ידי חוקרי FortiGuard Labs – גוף המחקר של ענקית אבטחת הסייבר פורטינט – בנושא המוכנות של גורמי האיום לתקופת חגיגת הקניות הנוכחית, חושף את הטקטיקות המתקדמות שהתוקפים פיתחו על מנת לנצל את טירוף הקניות של השנה.
החוקרים פרסמו את ממצאי הדו"ח העיקריים מהרשת האפלה וכן מספר עצות שימושיות שיעזרו גם לצרכנים וגם לעסקים לשמור על אבטחת הרשת שלהם בתקופה זו.
נוף איומי הסייבר
התקופה של חגיגת הקניות המקוונות מהווה הזדמנות שלא ניתן לעמוד בפניה עבור פושעי סייבר, לנצל את הגידול בעסקאות מקוונות. כלים ושירותים הזמינים כעת ברשת האפלה מאפשרים לתוקפים להתמקד בפלטפורמות מסחר אלקטרוני ובקונים תמימים בצורה יעילה יותר מאי פעם.
השנה, גורמי האיום ממנפים טכניקות חדשניות, כולל פיתיונות פישינג מבוססי בינה מלאכותית, כלי שכפול אתרים מתוחכמים, ופרצות לביצוע קוד מרחוק (RCE), כדי להשיג גישה לא מורשית לפלטפורמות קניות. שיטות מבוססות AI מאפשרות לתוקפים ליצור הודעות דוא"ל משכנעות והעתקים של אתרים לגיטימיים, כדי לגנוב נתונים או להערים על משתמשים לחשוף מידע רגיש.
הדו"ח של חוקרי FortiGuard Labs מדגיש גם את השימוש הגובר בדומיינים מטעים בנושא חגים, המחקים קמעונאים מהימנים, וזאת במטרה לפתות קונים עם הצעות אטרקטיביות, אך מזויפות. כלי רחרוח (Sniffing) הם נשק קריטי נוסף, המאפשר לפושעי סייבר ליירט נתונים רגישים כמו פרטי כרטיס אשראי במהלך עסקאות מקוונות.
שימוש ב-ChatGPT ליצירת דוא"ל פישינג. צילום: פורטינט
הנושאים שהופיעו כדגשים עיקריים בדו"ח
פתיונות פישינג בנושא קניות משתמשים ב-GenAI – הדו"ח כולל דוגמאות של פושעי סייבר המשתמשים במודלים של AI, כמו ChatGPT, כדי ליצור הודעות דוא"ל פישינג משכנעות, המחקות תקשורת לגיטימית מקמעונאים ובנקים. שיטה זו מגבירה את יעילות ההונאות, במיוחד בתקופות שיא הקניות.
שפע של איומי מסחר אלקטרוני – גורמי האיום מגבירים את המאמצים לנצל מגמות קניות מקוונות. בדו"ח מצוין כי אלפי דומיינים בנושא חגים, המחקים מותגים אמינים כמו וולמארט (Walmart) אמזון (Amazon), נרשמים כדי להונות צרכנים באמצעות הצעות ומבצעים מזויפים.
פלטפורמות פופולריות כמו Adobe Commerce, Shopify ו-WooCommerce הן מטרות עיקריות, עקב תצורות חלשות ותוספים מיושנים. התוקפים פורסים 'רחרחנים' כדי ללכוד נתוני לקוחות ומשתמשים בפרצות RCE על מנת לקבל גישת מנהל לפלטפורמות קניות.
אתר קניות מזויף של J. Crew. צילום: פורטינט
ציון פישינג מזויף באתר J. Crew. צילום: פורטינט
ריבוי של שירותי רשת אפלה רווחיים מתדלקים את פשיעת הסייבר – צוות חוקרי FortiGuard Labs הבחין בזינוק במכירת גיפט קארד גנובים, נתוני כרטיסי אשראי ומאגרי מידע של אתרי מסחר אלקטרוני שנפרצו. ערכות פישינג המאפשרות לתוקפים להגדיר פעולות פישינג מתקדמות – כולל שירותים – נמכרות במחירים הנעים בין 100 ל-1,000 דולר, תלוי במורכבות ובהתאמות האישיות. שירותים אחרים, כגון רחרוח וכלי Brute-force מותאמים אישית, זמינים גם הם, ומאפשרים אפילו לתוקפים בעלי מיומנויות נמוכות לנצל נקודות תורפה.
מודעת גיוס סוחרים לא חוקיים. צילום: פורטינט
עלייה בסיכונים לעסקים – עסקים פגיעים באותה מידה ועומדים בפני סיכונים משמעותיים, החל מהונאות פישינג ועד לגניבת מידע פיננסי באמצעות אתרים מזויפים. לוחות ניהול שנפרצו, תוכנות שלא תוקנו ואישורים חלשים עלולים להוביל לפרצות נתונים, עסקאות הונאה ופגיעה במוניטין.
אוסף איומים על אתרי קניות. צילום: פורטינט
שומרים על הבטיחות בעונת החגים והקניות הנוכחית
כדי להפחית סיכונים אלה, קונים ועסקים חייבים לאמץ אמצעים יזומים.
לקונים – הערנות חיונית. בדקו פעם נוספת את כתובות ה-URL לפני הזנת מידע רגיש, והשתמשו בשיטות תשלום מאובטחות, כמו כרטיסי אשראי עם הגנה מפני הונאה. הימנעו מקניות דרך רשתות Wi-Fi ציבוריות, מה שעלול להשאיר אתכם פגיעים לחטיפת הפעילות. כמו כן, הפעלת אימות רב-גורמי בחשבונות שלכם יכולה לספק שכבת אבטחה נוספת. בנוסף, חשוב לעקוב אחר פירוט האשראי שלכם באופן קבוע, כדי לאתר עסקאות בלתי מורשות.
לעסקים – חובה לתעדף את מצב אבטחת הסייבר. שמירה על פלטפורמות מסחר אלקטרוני ותוספים מעודכנים וביצוע סריקות נקודות תורפה קבועות, יכולה להפחית משמעותית את הסיכונים. הטמעת כלים מתקדמים לזיהוי הונאות מסייעת לזהות פעילויות חריגות, כגון ניסיונות התחברות באמצעות Brute-force או תעבורה מזויפת. חינוך הלקוחות לזיהוי ניסיונות פישינג וקידום הרגלי קנייה בטוחים חשובים לא פחות. ניטור רישומי דומיין לבדיקת התחזות פוטנציאלית ודיווח עליהם במהירות, יכולים גם הם לעזור להגן על המותג שלכם.
לבסוף, אבטחת לוחות ניהול על ידי סיסמאות חזקות וגישה מוגבלת יכולה למנוע פריצות לא מורשות.
תקופת חגי הקניות המקוונות צריכה להיות מהנה ונטולת סיכונים ונקודות תורפה. כדי שזה יקרה, עסקים חייבים לנקוט בעמדה יזומה של אבטחת סייבר, בעוד שהצרכנים חייבים להישאר מעודכנים וזהירים לגבי האיומים האורבים באינטרנט.
ידיעות מובילות
אופיר בן אבי, מנמ"ר הביטוח הלאומי, הלך לעולמו
נס מגייסת מאות עובדים – עם ובלי ניסיון
"בעולם שבו הטכנולוגיות משתנות מהר, הערך המוסף שלנו הוא בשירות"
"יש שיאמרו שהטכנולוגיה כשלה – אבל אנחנו כשלנו, ולא היא"
המכשיר הקומפקטי שנועד להחזיר את הטלפון להיות טלפון
תגובות
(0)