בלוג

מהו פישינג?

פישינג הוא סוג של מתקפת הנדסה חברתית שבה יוצרים קשר עם יעד/ים באמצעות דואר אלקטרוני, טלפון או הודעת טקסט, המתיימרת להיות מחברות או אנשים מוכרים ו/או בעלי מוניטין.

התקפות פישינג משמשות כדי להערים על מישהו לחשוף מידע כגון מידע אישי, פרטי בנק ואשראי ובעיקר סיסמאות! 

Example of phishing email

תכונות נפוצות של דוא"ל פישינג

בערך 90% מאירועי אבט”מ מתרחשים בגלל דיוג. להלן עשרה סימנים ומאפיינים מובהקים של התקפות דיוג:

  1. מסר שהוא טוב מכדי להיות אמיתי
  2. מסרים דחופים/איומים
  3. היפר-קישורים
  4. קבצים מצורפים חשודים
  5. שולח יוצא דופן
  6. טון או ברכה לא מוכרים
  7. שגיאות דקדוק וכתיב
  8. חוסר עקביות בכתובות דואר אלקטרוני, קישורים ושמות דומיין
  9. הודעות קצרות
  10. בקשה לקבלת אישורים, פרטי תשלום או פרטים אישיים אחרים
 
22 Social Engineering Red Flags

סוגי התקפות דיוג

כל אחד יכול להיות מטרה למתקפת דיוג. חלק מפושעי הרשת ישלחו אימייל כללי לאנשים רבים, בתקווה שכמה מהם “ינגסו” בפיתיון בעוד שפושעי רשת אחרים ישתמשו בהתקפות ממוקדות יותר אם הם מחפשים משהו ספציפי, כגון גישה לרשת של חברה.

Email Phishing

כיום, רוב התקפות הדיוג נשלחות בדואר אלקטרוני. שיטה זו מנסה לגנוב מידע רגיש באמצעות אימייל שנראה כי נשלח מארגון לגיטימי. זו אינה מתקפה ממוקדת שכן פושע הרשת ירשום בדרך כלל דומיין מזויף המחקה ארגון אמיתי ושולח אלפי בקשות גנריות.

בניסיון לשכנע את היעד, פושעי הרשת ייצרו דומיין ייחודי הכולל את שם הארגון הלגיטימי בכתובת ה-URL שלו – לדוגמא :  ‘[email protected]’.

דומיין מזויף יכול לכלול גם החלפת תווים. בדוגמא זו, פושע רשת ישתמש בדמויות כמו ‘r‘ ו-‘n‘ אחת ליד השנייה כדי ליצור ‘rn‘ במקום ‘m‘. לדוגמה, [email protected] .

Spear Phishing

בעוד שדיוג בדוא”ל הוא התקפה כללית, דיוג בחנית הוא ממוקד מאוד. דיוג בחנית היא מתקפת זיוף זדונית, שנועדה להטעות יעד ספציפי כמו ארגון, מנהל כספים ו/או דמות ציבורית של מנהלת החברה ומטרות משתלמות אחרות.

לפושעי רשת שמשתתפים בדיוג בחנית כבר יהיה מידע על היעד שלהם כאמצעי לשכנע אותם עוד יותר באותנטיות של המייל. המייל הנשלח עשוי להכיל את:

שֵׁם

הגדרת תפקיד

כתובת דוא”ל

מקום עבודה

מידע מפורט על תפקיד ותחומי אחריות

Smishing and vishing

הן עבור התקפות סמיש והן עבור התקפות וישינג, האימייל הסטנדרטי מוחלף כעת בתקיפה דרך הטלפון.

Smishing, הידוע גם בשם ‘דיוג התומך ב-SMS’, כרוך בשימוש בקישורים זדוניים בצורה של הודעות טקסט. ההודעות הנשלחות בדר”כ מחקות הודעות בנק, משלוח דואר רשום וחשבונות אחרים לתשלום.

Vishing, הידוע גם בשם ‘דיוג קולי’, כרוך במתקשר זדוני המשתמש בהונאה כדי לאסוף מידע רגיש בזמן שהוא מתחזה לעסק לגיטימי. לדוגמה:

‘חשבון המייל שלך נפרץ. נא להתקשר למספר 123-456-7890 כדי לאפס את הסיסמה שלך. ‘

Angler phishing

האחרונה של הונאות הדיוג, דיוג “דג טרף”, משתמשת במדיה חברתית כדי להתחזות לחשבון שירות הלקוחות של ארגון. פלטפורמות פופולריות כוללות פייסבוק, אינסטגרם, טוויטר ולינקדאין. פושעי רשת יכולים להשתמש בפוסטים, ציוצים וכתובות URL מזויפות כדי להפעיל התקפות פישינג שונות.

‘@user123 אנו מתנצלים על כך! על מנת לקבל בחזרה גישה לחשבון שלך, התחבר באמצעות הפורטל המאובטח שלנו כאן…

יתרה מזאת, בהונאה זו, פושעי רשת יכולים גם להשתמש במידע שכבר מסופק על ידי משתמשים במדיה החברתית לצורך התקפות ממוקדות ביותר. זה חכם להיות תמיד מודע למידע שאתה מפרסם ברשתות החברתיות.

 

איך להמנע מהתקפות פישינג?

קו ההגנה הראשון חייב להיות מערכת אנטי ספאם חכמה!

על השער צריך להגן משטח המגרש של היריב ולא מקו השער. מערכת אנטי ספאם חכמה אשר מסננת דוא”ל זבל, וירוסים וכד’ היא חובה בכל ארגון. מערכת אנטי ספאם חכמה תמנע מעל 98% ממתקפות הפישינג במייל.

קו ההגנה השני חייב להיות הדרכות משתמשים. משתמשי הארגון חייבים לעבור הדרכות שוטפות וסימולציות המדמות מתקפות פישינג. השילוב של ההגנה ע”י מערכת אנטי ספאם חכמה יחד עם משתמש שיודע איך לקרוא הודעות – ימנעו באופן כמעט ודאי נזק לארגון.

קו ההגנה השלישי שעליו אנו ממליצים הינו אבטחת תחנות העבודה – Endpoints. 

ברגע שכבר התאפשרה חדירה לארגון – התוקף ינסה להשתמש בהרשאות מנהל כדי לגרום כמה שיותר נזק לארגון. אנו משתמשים במערכת Zerto trust אשר מאפשרת גישה מאוחדת וממוקדת מבוססת allowlist לאפליקציות. רק אפליקציות מורשות יכולות לפעול ולכל יישום שכזה אנו מאפשרים גישה לאיזורים שונים במחשב/ברשת.

שילוב של קווי ההגנה יבטיחו הגנה גבוהה וסיכוי קלוש לפריצה לארגון.

 

הטיפ שלנו : תמיד יהיה זול יותר להשתמש במטף מאשר להזמין כיבוי אש…

שתפו את המאמר:

Facebook
Twitter
Email
WhatsApp
Print

צור קשר

    דילוג לתוכן