מה זה פישינג?
הפישינג, או דיוג לחובבי האקדמיה ללשון העברית, הוא ניסיון לגנוב מידע רגיש ע"י התחזות ברשת האינטרנט. מדובר בשיטת הטעיה שמטרתה לגרום למשתמש לבצע פעולה אשר תסכן את המחשב שלו, בין אם על ידי התקנת Malware או גניבה של מידע רגיש.
בואו נראה דוגמא בתמונה המצורפת מטה, הנלקחה ישירות מתיבת המייל האישית שלנו:
נתחיל במובן מאליו- לא זכינו בעשרה מיליון דולר. שגיאות כתיב, תחביר משפטי לא הגיוני, וחיפוש מהיר בגוגל יגלה לנו שחדי קרן הם יותר אמיתיים מהקהילה הכלכלית של מדינות מערב אפריקה. אומנם הודעות הפישינג מספקות לנו לעיתים רגעי אתנחתא קומית, אולם כאשר הן מבוצעות במקצועיות יכול להיגרם לנו נזק רב.

סוגי מתקפות הפישינג
במקרה הזה, מודעות זה שם המשחק. מתקפות הפישינג מראות את חולשותנו הבסיסיות ביותר. מערכות הגנת הסייבר המשוכללות ביותר לא יעזרו כנגד טעות אנוש של אדם אחד. לכן חשוב לדעת כיצד לזהות הודעות מסוג פישינג, ולהטמיע בארגונים נהלי עובדה נכונים הכוללים הדרכות ומבדקים. הנה סוגי פישינג הנפוצים ביותר וכיצד ניתן לוודא שלא תיפלו קורבן אליהם.
אימייל פישינג
אימיילים הנראים כאילו הגיעו ממקור אמין כמו ארגונים, מוסדות ונותני שירות אמיתיים, אך בעצם נשלחו מהאקר שעשה עבודה מאוד טובה בניסיון להתחזות. השימוש בשפה הארגונית, בלוגו החברה, אפילו בטיפוגרפיה המקורית- כל אלה משדרגים את רמת האמינות של מיילים אלה וגורמים לנו להאמין שאכן מדובר בארגון המדובר, לרוב חברות כמו פייסבוק, ebay וכדומה.
מיילים אלה יצרו תחושה של דחיפות ותהיה קריאה לפעולה- תוקפם של הסיסמאות עומדות לפוג, פריצת אבטחת מידע שהתרחשה וקריאה לכל המשתמשים לשנות את פרטי ההתחברות דרך הלינק המצורף. אותם לינקים נראים מאוד דומים לאתר המקורי, אך לרוב בעלות שגיאת כתיב קטנה או דומיין נוסף, המובילות לכתובת המזכירה את האתר המקורי אך בעצם פתח להחזרת תוכנה זדונית או גניבת מידע המשתמש.
מסקנה
לשים לב לסימני אזהרה:
- חוסר בפרטים אישיים במודעה
- שגיאות כתיבה כגון gooogle במקום google,
- כתובת ללא ssl [בדרך כלל סמל של מנעול בשורת הקישור]
ניתן לבדוק את הכתובת באתר הזה
Spear Phishing
איך ניתן לדבר על הפישינג ללא הקבלה לעולם הדיג, ואם האימייל פישינג הוא זריקת רשת ענקית לים במטרה לתפוס כמה שיותר דגים, ה-Spear Phishing הוא דיג ממוקד.
ניקח סביבה ארגונית כדוגמא- אז במקרה של Spear Phishing התוקף אוסף מידע על שמות עובדים במחלקה מסוימת ומתחזה לגורם מוכר, לדוגמא ספק שירות העובד איתם או צוות IT. במקרה זה האימייל מיועד לאנשים מסוימים ולכן "תפור למידותיהם".
מסקנה
- כדי לוודא שאכן מדובר מעובד הארגון, יש לשלוח מייל חזרה לכותב ההודעה או להגיע אליו ישירות.
- במקרה של Spear Phishing, חשוב במיוחד להתייעץ עם חברת אבטחת מידע לעסקים וארגונים, משום שפוטנציאל הנזק היכול להיווצר ממתקפת Spear Phishing מוצלחת הוא עצום.
Whaling- פישינג למנהלים בכירים
בתוך קטגוריית ה- Spear phishing נמצא גם ה-Whailng. מדובר על פישינג המכוון כנגד בעלי תפקידים בדרג ההנהלה, מכאן שמו של סוג הפישינג, שכן לוויתן זה שם כינוי למטרה בעלת פוטנציאל כספי מאוד גדול. אם אתם מתקשים להאמין שמנכ"לים ייפלו לתחבולות מסוג זה, רק תשאלו את ראש קרן הגידור Levitas Capital, שחווה whaling בנובמבר 2020, כאשר לחץ על לינק לפגישת זום שהתקינה לו תוכנה זדונית ברשת שלו. התוקפים ניסו לגנוב יותר מ-8 מיליון דולר על ידי שימוש בחשבוניות מזויפות, אך בסוף הצליחו לצאת רק עם 800 אלף דולר. הפגיעה התדמיתית הייתה מכת המוות, שכן הלקוח הגדול ביותר עזב בעקבות הפריצה וגרם לקרן הגידור לפשיטת רגל.
Source: Financial Review
מסקנה
- אף אחד אינו מוגן
Vishing
שימוש בטקטיקות של הנדסה חברתית דרך הטלפון, על ידי התחזות לגורם מוסמך כמו פקיד בנק, איש תחזוקה טכנית או נציג חברת כרטיסי אשראי. המתחזה לעיתים יודיע על פריצה לחשבון הבנק וינסה להשיג פרטים אישיים כמו סיסמא, או במקרה של התחזות לאנשי IT ישכנע לאפשר השתלטות מרחוק על המכשיר כדי לתקן את הפגיעות. בעצם מדובר בתחבולה שמטרתה לתת להאקר גישה בלתי מוגבלת למכשיר ולמידע הנמצא בו, בין אם עלי ידי נוהל השתלטות מרחוק או על ידי החדרת תוכנת Malware.
מסקנה
- אל תענו לשיחות ממספרים לא ידועים או חשודים
- התקינו בטלפון אפליקציית זיהוי שיחות
- לעולם אל תיתנו מידע פרטי דרך הטלפון
Man in the Middle
האדם באמצע היא אולי השיטה הקשה ביותר לזיהוי ע"י מי שאינו מומחה. ה-MITM מתרחש כאשר על האקר ממקם את עצמו בין המשתמש לספק השירות, בין אם כדי "להאזין לתקשורת" ביניהם או בין אם כדי להתחזות לאחד מהצדדים. מטרת המתקפה היא לגנוב מידע אישי- פרטי כרטיס אשראי, סיסמאות ומידע על חשבונות- ולרוב מתרחש בתקשורת בין משתמשים לחברות פיננסיות, SaaS, חנויות אינטרנטיות ואתרים שיש בהם צורך בכניסה לחשבון.
למתקפה מהסוג הזה יש שני שלבים- יירוט ופענוח:
- יירוט– מי היה מאמין שהמושג הזה יהיה רלוונטי מחוץ לדיון על כיפת ברזל, אבל גם עולם הסייבר מלא במלחמות. בשלב זה ההאקר מנסה ללירט את ההתקשרות בין המשתמש לספק השירות, לרוב על ידי יצירת hotspot חינמי וציבורי. ברגע שהקורבן מתחבר ל- hotspot ללא צורך בסיסמא, לתוקף יש גישה מלאה לתקשורת האינטרנטית.
מסקנה
Created with Freepik
פענוח– לאחר יירוט התקשורת האינטרנטית של המשתמש, צריך לפענח את המידע המתקבל בלי להתריא על כך למשתמש- ניתן להשתמש בהפשטת או חטיפת SSL, וב-HTTPS Spoofing.
מסקנה
פשינג בשנת 2022
ברבעון הראשון של 2022, 23.6% ממתקפות הפישינג העולמיות היו כלפי ארגונים במגזר הפיננסי. אחריהם, ארגוני SaaS המספקים תוכנות מבוססות אינטרנט במקום השני, עם 20% מכלל מתקפות הפישינג שמופנות כלפיהם.
מחקר נוסף של חברת הייעוץ Interisle גילה עלייה של 61% במתקפות הפישינג בשנה האחרונה, ועלייה של 83% במספר הדומיינים שנרשמו לשם אתרי פישינג.
עוד נתון מעניין, המחקר הרבעוני של צ'ק פוינט בנושא פישינג מצא כי 52% מכל תרמיות הפישינג מתחזות דווקא ללינקדין, ובמקום השני לחברת השליחויות DHL.
איך להתגונן מפני פישינג
- שימוש באימות רב שלבי לחשבונות, הכולל לא רק אימות דו שלבי על ידי מכשיר נוסף אלא שיקלול נתונים נוספים כמו מיקום והתנהגות משתמש
- מערכות לסינון מיילים היכולות לזהות הודעות חשודות לפישינג ולמנוע לחיצה על לינקים זדוניים
- עידוד מנהלים בכירים להגדיר את פרופילי השרתות החברתיות כפרטיים על מנת למנוע whaling
בדיקות פישינג לארגונים
בכל יום אלפי אנשים נתקלים במלכודת זו, מה שעלול להוביל להפסדים של מיליונים ולנזקים בלתי הפיכים. מבחני הפישינג מלמדים את העובדים אמצעי זהירות ונותנים למנהל אינדיקציה על רמת האבטחה בחברתו. מלבד זאת מודעות העובדים לעניין גוברת ע"י מבחנים חוזרים ונשנים, או לחילופין לתת קנס למי שנופל.
בדיקת פישינג מתבצעת ע"י צוות בודקים המתמחה בזיהוי המתקפות ויישומן במרחב העבודה.
מטרת צוות החוקרים היא ליצור הדמיה למתקפת פישינג אמיתית, וכך עובדי הארגון נתונים תחת מבחן פישינג- האם ימסרו את פרטיהם או לא.
הצוות בדרך כלל ירכוש דומיין, ולעיתים גם תעודת SSL על מנת לא לעורר חשד. לאחר מכן נשלחת הודעה לעובדי החברה (באמצעות אחת משיטות הדיוג המופיעות), מכתובת שכביכול מוכרת. להודעה לרוב מצורף קישור עם בקשה להזין פרטים אישיים (סיסמא, שם משתמש, פרטי חשבון וכדומה).
ברגע שמודעות העובדים לנושא זה תגדל באמצעות מבחני הפישינג, זהירות העובדים תעלה וכך תמנעו את המתקפה הבאה.
תהליך בדיקת פישינג ארגונית
לרוב ההנהלה הבכירה או אחראי אבטחת המידע של הארגון הם אלה שפונים לחברת אבטחת המידע. בין הצדדים מסוכם מראש מה מטרת הבדיקה והאם רוצים לבחון עובדים מסוימים או את כלל הארגון.
הצעד הראשון בתהליך בדיקות הפישינג, והוא גם המובן מאליו, זה לחפש מידע אודות הארגון. חשוב לאסוף את המידע הבסיסי -המוצר או השירות שנותנים, מיקום הארגון ואתר האינטרנט, וזאת כדי לקבל הבנה שטחית לגבי המטרה.
אך איסוף המידע החשוב ביותר מתחיל במציאת כתובות אימייל של עובדים החברה, לרוב על ידי תוספים של Chrome כמו שhunter.io, שאוסף מידע על כתובות האינטרנט של העובדים בחברה. לפעמים מדובר בכתובות כלליות כמו כתובת מייל למשאבי אנוש או מכירות, ולפעמים בכתובות אישיות של העובדים.
דרך נוספת להשיג כתובות מייל היא על ידי מציאת התבנית- רוב הארגונים משתמשים בשמות העובדים ודומיין של שם החברה. כאשר מחפשים את עובדי החברה ברשתות חברתיות כמו לינקדין ניתן לחבר את השניים ולבדוק האם הכתובת פעילה באמצעות אתרים הנקראים email checker.
תהליך איסוף המיילים נמשך כתלות במטרה של בדיקת הפישינג. האם אנחנו רוצים תפוצה רחבה של המייל רק כדי להשיג גישה קלה לתוך מערכות הארגון? או האם אנחנו מעוניינים לבחון את ההנהלה הגבוהה ב-Whaling?
כאשר אספנו את כמות הכתובות הרצויה, נתחיל לחפש מידע אודות בעלי הכתובות. האיסוף העיקרי נעשה בלינקדין, אולם לפעמים החיפוש מצריך עבודה מעמיקה יותר, שכן ישנם עובדים שמקושרים לארגון במיקור חוץ, ועובדים תחת חברה אחרת.
השלב הבא אחרי איסוף המידע הראשוני הוא מיפוי מערכות ההגנה של הארגון, בדגש על פרוטוקלים של Mail Relay המתבצעות על ידי מערכות EDR. מערכות אלה מאתרות הודעות מייל הנשלחות לדומיין של הארגון וסורקות את ההודעות על מנת לאתר פעילות חשודה.
לצערנו, עדיין קיימים ארגונים ועסקים שאינם משתמשים בפרוטוקלים להגנת מייל, במיוחד עסקים קטנים, ולכן פגיעים יותר לניצול. מחקר שפורסם ב- AdvisorSmith הראה כי 42% מכל העסקים הקטנים חוו מתקפת סייבר בשנת 2021, כאשר רובם היו מתקפת פישינג.
לאחר הבנה מעמיקה יותר של המכשולים העומדים בדרך, הבודקים מנסחים ומתאימים את המייל הנשלח על פי הממצאים והמטרה.
לדוגמא, ידוע ש-Office365 משתמש בסביבת Sandbox כדי להריץ קבצים שנשלחו במייל, כך שתוכנות זדוניות שנשלחו יכולות לרוץ בסביבה ללא השפעה על המערכות הארגוניות. לכן, אם הארגון הנבדק משתמש ב-Office365, אז המייל יצרף קישור לאתר חיצוני, שלא יעבור דרך תהליך הבדיקה של מערכת ההגנה.
לרוב מומחי אבטחת המידע יתחזו לצוות ה-IT של הארגון על ידי מציאת כתובות מייל והעתקת החתימה שלהם. הבודקים יוצרים תיבת מייל בעלת שם דומה לראש מערך הטכני, ושולחים מייל המוסווה כעדכון אבטחת מידע בצירוף הוראות הפעלה וקובץ/ לינק. פעמים רבות הקובץ שצריך להוריד הוא מסוג EXE, שיוצר סשן להשתלטות מרחוק על ידי הבודקים. בשל חוסר מודעות טכנית, רבים אינם מפקפקים במיילים של צוותי IT, וגם לא בפעולות שנראות מחשידות.

אולם גם אם העובד כן חושד וסוגר במהירות את הקובץ, הבודקים יכולים להתחבר בשניות הבודדות האלה לרכיב אחר ברשת הארגונית או המכשיר במידה והם מהירים מספיק.
מהרגע שהושגו דרכי גישה למערכות הארגון על ידי הנדסה חברתית, ניתן להכריז שהבדיקה הרשמית הסתיימה. חברות אבטחת המידע שמבצעות מבדקים אלה מגישות דו"ח סופי ובו הוכחת יכולת, כמו כן המלצות לשיפור המודעות ומערכות ההגנה.