מה זה התחזות ואיך זה יכול לשדוד ממך כסף וסודות
טיפים של טכנולוגיה / / December 28, 2020
מה זה התחזות וכמה זה מסוכן
התחזות היא סוג נפוץ של הונאות סייבר שמטרתן לפגוע בחשבון רשומות ויירוט שליטה עליהם, גניבת נתוני כרטיסי אשראי או כל סודי אחר מֵידָע.
לרוב, תוקפים משתמשים בדוא"ל: למשל, הם שולחים מכתבים מטעם חברה ידועה, המפתים משתמשים לאתר המזויף שלה בתואנה של קידום רווחי. הקורבן אינו מזהה את הזיוף, מזין את שם המשתמש והסיסמה מחשבונו וכך המשתמש עצמו מעביר את הנתונים לרמאים.
כל אחד יכול לסבול. דוא"ל פישינג אוטומטי ממוקד לרוב לקהל רחב (מאות אלפי ואף מיליוני כתובות), אך ישנן גם התקפות המכוונות ליעד ספציפי. לרוב, יעדים אלה הם מנהלים בכירים או עובדים אחרים שיש להם גישה מיוחדת לנתונים ארגוניים. אסטרטגיית פישינג מותאמת אישית זו נקראת vailing (eng. ציד לווייתנים), שמתורגם כ"תפוס לווייתנים ".
ההשלכות של התקפות פישינג יכולות להיות הרסניות. רמאים יכולים לקרוא את ההתכתבות האישית שלך, לשלוח הודעות פישינג למעגל אנשי הקשר שלך, למשוך כסף מחשבונות הבנק ובדרך כלל לפעול בשמך במובן הרחב. אם אתה מנהל עסק, הסיכון גדול עוד יותר. פישינגים מסוגלים לגנוב סודות תאגידיים, להשמיד קבצים רגישים או לדלוף את נתוני הלקוחות שלכם ולפגוע במוניטין של החברה.
לפי הכתבהדוח מגמות על פעילות פישינג קבוצת העבודה נגד דיוג, רק ברבעון האחרון של 2019 גילו מומחים לאבטחת סייבר יותר מ -162 אלף אתרי רמאות ו -132 אלף קמפיינים בדוא"ל. במהלך תקופה זו, כאלף חברות מכל רחבי העולם הפכו לקורבנות דיוג. נותר לראות כמה התקפות לא זוהו.
איוון בודילין
אדריכל מרכז הטכנולוגיה של מיקרוסופט ברוסיה.
חשוב להיות ברורים לגבי עצמך ולהעביר כמה דברים לעמיתיך, לחברים ולמשפחה שלך. ראשית, הענף נגדנו. פושעי רשת כבר אינם קונדסנים נלהבים, הם אנשי מקצוע מנוסים שבדרך זו או אחרת רוצים להרוויח מכם כסף. שנית, לכל מידע יש ערך, גם אם הוא לא נראה חשוב. והפעילות שלך ברשתות חברתיות, ושם החתלתול האהוב עליך - הכל יכול לשמש גם בשביל מונטיזציה ישירה, או כשלב התקפה לקבל גישה ל"יקרים "יותר נתונים. שלישית, השימוש באימות רב-גורמים והתחברות ללא סיסמה עובר בהדרגה מקטגוריית ההמלצות החזקות לקטגוריית הדרישות הקשות של מציאות משתנה.
אבולוציה וסוגי פישינג
המונח "פישינג" מקורו במילה האנגלית "דיג". סוג הונאה זה ממש דומה לדוג: התוקף זורק את הפיתיון בצורה של הודעה או קישור מזויף ומחכה למשתמשים לנגוס.
אבל באנגלית, פישינג מאוית קצת אחרת: פישינג. נעשה שימוש בדיגרף ph במקום באות f. לפי אחת הגרסאות זו התייחסות למילה מזויפת ("שולל", "נוכל"). מצד שני - לתת-תרבות ההאקרים המוקדמים, שנקראו פריקים ("פריקים").
הוא האמין כי המונח התחזות שימש לראשונה באופן ציבורי באמצע שנות התשעים בקבוצות הדיון של Usenet. באותה תקופה, הרמאים פתחו את מתקפות הדיוג הראשונות שפנו ללקוחות ספקית האינטרנט האמריקאית AOL. התוקפים שלחו הודעות וביקשו לאשר אישורים, והתחזו לעובדי החברה.
עם התפתחות האינטרנט הופיעו סוגים חדשים של התקפות פישינג. רמאים החלו לזייף אתרים שלמים ושלטו בערוצים ובשירותי תקשורת שונים. כיום ניתן להבחין בסוגים כאלה של פישינג.
- התחזות בדוא"ל. רמאים רושמים כתובת דואר הדומה לכתובת של חברה ידועה או מכר של הקורבן שנבחר, ושולחים ממנה מכתבים. יחד עם זאת, לפי שם השולח, העיצוב והתוכן, אות מזויפת יכולה להיות כמעט זהה למקור. רק בפנים יש קישור לאתר מזויף, קבצים מצורפים נגועים או בקשה ישירה למשלוח נתונים חסויים.
- התחזות SMS (smishing). תוכנית זו דומה לזו הקודמת, אך נעשה שימוש ב- SMS במקום בדוא"ל. המנוי מקבל הודעה ממספר לא ידוע (לרוב קצר) עם בקשה לנתונים חסויים או עם קישור לאתר מזויף. לדוגמה, תוקף עשוי להציג את עצמו כבנק ולבקש את קוד האימות שקיבלת קודם. למעשה, הרמאים זקוקים לקוד בכדי לפרוץ לחשבון הבנק שלך.
- פישינג ברשתות החברתיות. עם ריבוי המסרים המיידיים והרשתות החברתיות, התקפות פישינג הציפו גם את הערוצים הללו. תוקפים יכולים ליצור איתך קשר באמצעות חשבונות מזויפים או נפגעים של ארגונים ידועים או של חבריך. שאר עקרון ההתקפה אינו שונה מהקודמים.
- פישינג טלפוני (פישינג). הרמאים אינם מוגבלים להודעות טקסט ויכולים להתקשר אליכם. לרוב, טלפוניה באינטרנט (VoIP) משמשת למטרה זו. המתקשר עשוי להתחזות לדוגמא לעובד בשירות התמיכה של מערכת התשלומים שלך ולבקש נתונים לגישה לארנק - כביכול לאימות.
- חיפוש פישינג. אתה יכול להיתקל בהתחזות ממש בתוצאות החיפוש. מספיק ללחוץ על הקישור שמוביל לאתר מזויף ולהשאיר בו נתונים אישיים.
- דיוג קופץ. תוקפים משתמשים לעיתים קרובות בחלונות קופצים. בביקור במשאב מפוקפק, ייתכן שתראה כרזה שמבטיחה תועלת כלשהי - למשל הנחות או מוצרים בחינם - מטעם חברה ידועה. בלחיצה על קישור זה תועבר לאתר הנשלט על ידי עברייני רשת.
- חַקלָאוּת. לא קשור ישירות לדיוג, אבל חקלאות היא גם התקפה נפוצה מאוד. במקרה זה, התוקף מזייף את נתוני ה- DNS על ידי הפניה אוטומטית של המשתמש במקום האתרים המקוריים לאתרים המזויפים. הקורבן אינו רואה שום הודעות או כרזות חשודות, מה שמגביר את יעילות ההתקפה.
התחזות ממשיכה להתפתח. מיקרוסופט דיברה על טכניקות חדשות ששירות האנטי-פישינג שלה בנושא הגנה מפני איומים מתקדמים ב- Office 365 גילה בשנת 2019. לדוגמה, הרמאים למדו להסוות טוב יותר תוכן זדוני בתוצאות החיפוש: למעלה להציג קישורים לגיטימיים המובילים את המשתמש לאתרי פישינג באמצעות מספר רב של משתמשים הפניות מחדש.
בנוסף, פושעי סייבר החלו לייצר אוטומטית קישורי פישינג והעתקים מדויקים של אלקטרוניים אותיות ברמה חדשה ואיכותית, המאפשרת לרמות משתמשים בצורה יעילה יותר ולעקוף כספים הֲגָנָה.
הכירו את Office 365
איך להגן על עצמך מפני פישינג
שפר את האוריינות הטכנית שלך. כמו שנאמר, מי שהוזהר מראש הוא חמוש. למד אבטחת מידע לבד או התייעץ עם מומחים לקבלת ייעוץ. אפילו ידע פשוט ביסודות ההיגיינה הדיגיטלית יכול לחסוך לך הרבה צרות.
הזהר. אל תעקוב אחר קישורים או פתח קבצים מצורפים במכתבים של בני שיח לא ידועים. אנא בדוק היטב את פרטי יצירת הקשר של השולחים ואת כתובות האתרים שאתה מבקר בהם. אל תגיב לבקשות למידע אישי, גם כשההודעה נראית אמינה. אם נציג החברה מבקש מידע, עדיף להתקשר למוקד הטלפוני שלהם ולדווח על המצב. אל תלחץ על חלונות קופצים.
השתמש בסיסמאות בחוכמה. השתמש בסיסמה ייחודית וחזקה לכל חשבון. הירשם לשירותים המזהירים משתמשים אם סיסמאות לחשבונותיהם מופיעים באינטרנט, ושנה מיד את קוד הגישה אם יתברר כי הוא נמצא בסכנה.
הגדר אימות רב גורמי. תכונה זו מגנה בנוסף על החשבון, למשל, באמצעות סיסמאות חד פעמיות. במקרה זה, בכל פעם שתיכנס לחשבונך ממכשיר חדש, בנוסף לסיסמה, תצטרך הזן קוד בן ארבע או שש תווים שנשלח אליך באמצעות SMS או שנוצר במבצע מיוחד יישום. זה אולי לא נראה נוח במיוחד, אך גישה זו תגן עליך מפני 99% מהתקפות נפוצות. אחרי הכל, אם הרמאים יגנבו את הסיסמה, הם עדיין לא יוכלו להיכנס ללא קוד אימות.
השתמש במתקני כניסה ללא סיסמה. בשירותים אלה, במידת האפשר, עליך לנטוש לחלוטין את השימוש בסיסמאות ולהחליפן במפתחות אבטחת חומרה או באימות באמצעות יישום בסמארטפון.
השתמש בתוכנת אנטי-וירוס. אנטי-וירוס מעודכן בזמן יסייע בהגנה על המחשב מפני תוכנות זדוניות המפנות לאתרי דיוג או גונבת כניסות וסיסמאות. אך זכור כי ההגנה העיקרית שלך היא עדיין עמידה בכללי ההיגיינה הדיגיטלית ועמידה בהמלצות אבטחה ברשת.
אם אתה מנהל עסק
הטיפים הבאים יעזרו גם לבעלי עסקים ומנכ"לים.
הכשיר את העובדים שלך. הסבר לכפופים אילו הודעות יש להימנע ואיזה מידע אסור לשלוח באמצעות דוא"ל וערוצי תקשורת אחרים. אסור על עובדים להשתמש בדואר ארגוני למטרות אישיות. הנחו אותם כיצד לעבוד עם סיסמאות. כדאי גם לשקול מדיניות שמירת הודעות: לדוגמא, למטרות אבטחה, ניתן למחוק הודעות ישנות יותר מתקופה מסוימת.
ערכו אימוני פישינג אימונים. אם אתה רוצה לבדוק את תגובת העובדים שלך לדיוג, נסה לזייף התקפה. למשל, רשום כתובת למשלוח דואר דומה לשלך, ושלח מכתבים ממנה לכפופים עם בקשה למסור לך נתונים חסויים.
בחר שירות דואר אמין. ספקי דוא"ל בחינם פגיעים מדי לתקשורת עסקית. חברות צריכות לבחור בשירותים ארגוניים מאובטחים בלבד. לדוגמא, למשתמשים בשירות הדואר של Microsoft Exchange הכלולים בחבילת Office 365 יש הגנה מקיפה מפני התחזות ואיומים אחרים. כדי להתמודד עם הרמאים, מיקרוסופט מנתחת מאות מיליארדי דוא"ל מדי חודש.
העסיק מומחה לאבטחת סייבר. אם התקציב שלך מאפשר זאת, מצא איש מקצוע מוסמך שיספק הגנה מתמשכת מפני דיוג ואיומי סייבר אחרים.
מה לעשות אם אתה קורבן לדיוג
אם יש סיבה להאמין שהנתונים שלך נפלו לידיים הלא נכונות, פעל מייד. בדוק אם קיימים נגיפים ושינוי סיסמאות לחשבון. הודיעו לצוות הבנק שייתכן שנגנבו פרטי התשלום שלכם. במידת הצורך, הודיעו ללקוחות על הדליפה האפשרית.
כדי למנוע חזרה על מצבים כאלה, בחר בשירותי שיתוף פעולה אמינים ומודרניים. מוצרים עם מנגנוני הגנה מובנים הם המתאימים ביותר: זה יעבוד בצורה הכי נוחה שאפשר ואינו צריך להסתכן באבטחה דיגיטלית.
בנוסף, השירות מספק בקרת גישה דינמית עם הערכת סיכונים ובהתחשב במגוון רחב של תנאים. Office 365 מכיל גם אוטומציה מובנית וניתוח נתונים ומאפשר לך לשלוט במכשירים ולהגן על מידע מפני דליפה.
נסה את Microsoft Office 365