יחידת העלית של GSECTRA | המרצים במסלול ISO 27001 Lead Auditor | והיום: מירב ורד, מנכ"לית חברת יעוץ אבטחת המידע DataSEC מקבוצת SQLink
הונאות "פישינג" - כיצד נראה הפיתיון על החכה הזו?
טקטיקת הנדסת האנוש הקרויה "פישינג" (Phishing – מונח המתחכם לשם הפועל Fishing, דיג, המתייחס לדיג של נתונים באינטרנט) תופסת תאוצה עד למימדים של פשע קיברנטי בינלאומי, עליו הכריז ה-FBI כבר ב-2008 כעל אחת מדרכי הפעולה המזיקות ביותר. פתרונות טכנולוגיים מתוחכמים עומדים חסרי ישע כנגד מתקפות אלו מאחר וטקטיקת ה"פישינג" מנצלת את החוליה החלשה ביותר בשרשרת אבטחת המידע – הגורם האנושי.
מחקרים מצביעים על העובדה כי בשנת 2008 נפלו יותר מ-5 מיליון אנשים בארה"ב בלבד, קורבן למתקפות "פישינג". ממוצע ההפסד הכספי לכל קורבן עמד על 351$. ההערכות העגומות לשנת 2010 דיווחו על ממוצע של 2,500 מתקפות "פישינג" פעילות ברחבי העולם, בכל רגע נתון. ה-FBI דיווח כי בשנת 2010 בלבד הופצו ברחבי העולם כ-17,000 מתקפות "פישינג", שהובילו לנזקים שנאמדו בביליון דולר. 65% מכלל המתקפות כוונו אל לקוחות של בנקים בינלאומיים, 30% כוונו אל לקוחות בנקים מקומיים ו-5% כוונו ללקוחות של חברות אשראי.
מתקפות "פישינג" מנצלות את חוסר מודעותם של אזרחים תמימים, לצורך קבלת פרטים רגישים, כגון שם המשתמש וסיסמת הכניסה לחשבון הבנק או מספר כרטיס האשראי. מתקפות "פישינג" נפוצות המכוונות ללקוחות של בנקים, שולחות הודעות דואר אלקטרוני בהן נכתבו מסרים כגון "חשבונך נחסם לפעילות. על-מנת לשחררו, אנא היכנס לקישור המצורף". מתקפות "פישינג" איכותיות יעוצבו ברמת גרפית גבוהה המחקה באופן מדויק את תצורת האתר האוטנטי ובכך ישכנעו את מקבל ההודעה לפעול מיידית להסרת ה"גזירה" המפורטת בהודעה. עם כניסה לקישור, יגיע מקבל ההודעה לאתר מתחזה, שם יתבקש להקיש את הנתונים הנדרשים לכאורה לשחרור חשבונו. נתונים אלו, הכוללים לרוב שם, מספר חשבון וסיסמא, יהוו בפועל מפתח כניסה עבור מפעילי המתקפה, לחשבונו של הלקוח. משם יועברו כספים לחשבון בנק מרוחק שנפתח במקרים רבים בזהות בדויה.
מקרי "פישינג" אחרים מדברים אל לבו של האדם, מבקשים לגייס תרומות להצלת חיים או לאסוף כסף לכרטיס טיסה עבור חבר שארנקו נגנב בעודו שוהה בטיול בחו"ל. בשנתיים האחרונות אותרו גם מקרי "פישינג" אלימים, בהם נשלחת הודעה המאיימת על חייו של הנמען או של משפחתו. הקורבן נדרש למסור את פרטי כרטיס האשראי שלו, על-מנת להסיר את האיום. הודעות אלו כוללות את כתובת הקורבן, על-מנת לשכנעו ברצינותו של האיום.
הונאות "פישינג" שוכללו בשלוש השנים האחרונות, לכדי תופעה נפוצה אחרת, העושה שימוש בהודעה קולית, ולא בדואר האלקטרוני. ההודעה כוללת פירוט של נסיבות המחייבות פעולה מיידית מצד הלקוח ומבקשת כי יקליט בקול ברור את הפרטים אותם מבקשים להשיג הגורמים העומדים מאחורי ההונאה. תופעה זו נקראת “Vishing” (קיצור של Voice Phishing), והיא מאפשרת פנייה אישית וישירה יותר לקורבנות. בשנה האחרונה אותרה שיטה שלישית, הנקראת “Smishing”, בה נשלחת הודעת SMS המבקשת ממקבל ההודעה לטלפן בדחיפות למספר הטלפון המופיע ב-SMS על-מנת למסור פרטי הזדהות שיאפשרו לבצע את הפעולה המתוארת בהודעה.
בכל מקרה של חשד, יש לנקוט במשנה זהירות, להימנע ממסירת פרטים ולטלפן לגוף העומד מאחורי המייל או שיחת הטלפון, לצורך ווידוא אמינותו. אין למסור פרטים לגורמים שזהותם לא אומתה. אין לפתוח "לינקים" המצורפים להודעות ויש להיכנס לאתרים דרך דפדפן האינטרנט, באמצעות הקלדת הכתובת. יש למחוק את המייל, לרבות מסל המחזור.
התגוננות בפני הונאות אלו נעוצה במודעות בלבד. יש לזכור כי במקרים אלו, החשדנות היא כלי הנשק היעיל ביותר.