בדיקות פישינג- הגנו על הארגון שלכם ממתקפת פישינג

בדיקת פישינג

בדיקות פישינג לארגונים

הפישינג הפך להיות אחד מאיומי הסייבר המשמעותיים ביותר של השנים האחרונות, אך לא רק לאנשים פרטיים. ארגונים ועסקים הם מטרה פופלרית בקר האקרים, כשהנתונים מראים ש-90% מכלל פריצות אבטחת המידע המדווחות משלבות אלמנטים של פישינג. עסקים קטנים פגיעים משמעותית להנדסה חברתית, בשל היעדר אמצעי אבטחה כגון אימות דו-שלבי, חוסר ידע ומודעות המתורגמים לפרוטוקולי אבטחת סייבר לא מספקים.

כמות הארגונים שחוו מתקפת סייבר ב-2021
83% מארגונים שנסקרו זיהו מתקפת פישינג שכו

לכן רבים בוחרים לשכור את שירותיה של חברת אבטחת מידע שתבצע בדיקות פישינג לארגונים, המדמות מתקפה של הנדסה חברתית, ומטרתן להעריך את רמת המודעות של העובדים לסימני ההאזהרה.

אנחנו פה כדי להסביר לכם איך חברות אבטחת מידע מבצעות בדיקות פישינג, ולמה זה יכול להציל את הארגון שלכם מהרבה מאוד בעיות בהמשך הדרך. 


מה זה פישינג?

לפני הכל, חשוב להבין בכלל מה זה התופעה הזו שנקראת פישינג.

הפישינג, או דיוג לחובבי האקדמיה ללשון העברית, הוא ניסיון לגנוב מידע רגיש ע"י התחזות ברשת האינטרנט. מדובר בשיטת הטעיה שמטרתה לגרום למשתמש לבצע פעולה אשר תסכן את המחשב שלו, בין אם על ידי התקנת Malware או גניבה של מידע רגיש.

מהם סוגי הפישינג?

אימייל פישינג- אימיילים הנראים כאילו הגיעו ממקור אמין כמו ארגונים, מוסדות ונותני שירות אמיתיים, אך בעצם נשלחו מהאקר שעשה עבודה מאוד טובה בניסיון להתחזות. 96% מכלל מתקפות הפישינג מתחילות מאימייל. 

Spear phishing- כמו אימייל פישינג, רק שבמקרה זה הוא מנוסח ייעודית לקבוצה קטנה של אנשים, לעיתים מטרה בודדת. התוקף אוסף מידע על שמות עובדים במחלקה מסוימת ומתחזה לגורם מוכר, לדוגמא ספק שירות העובד איתם או צוות IT. במקרה זה האימייל מיועד לאנשים מסוימים ולכן "תפור למידותיהם".

Whaling- תת קטגוריה בתוך הדייג הממוקד, סוג פישינג זה מתמקד במנהלים בכירים.

Vishing- שימוש בטקטיקות של הנדסה חברתית דרך הטלפון, על ידי התחזות לגורם מוסמך כמו פקיד בנק, איש תחזוקה טכנית או נציג חברת כרטיסי אשראי.

MITM- מתרחש כאשר על האקר ממקם את עצמו בין המשתמש לספק השירות, בין אם כדי "להאזין לתקשורת" ביניהם או בין אם כדי להתחזות לאחד מהצדדים. מטרת המתקפה היא לגנוב מידע אישי- פרטי כרטיס אשראי, סיסמאות ומידע על חשבונות

לקריאה מעמיקה על כל סוגי הפישינג, כיצד ניתן לזהות ולהתגונן מפניהם, עברו למאמר הפישינג המלא שלנו.

מתקפת MITM

תהליך בדיקת פישינג ארגונית

לרוב ההנהלה הבכירה או אחראי אבטחת המידע של הארגון הם אלה שפונים לחברת אבטחת המידע. בין הצדדים מסוכם מראש מה מטרת הבדיקה והאם רוצים לבחון עובדים מסוימים או את כלל הארגון.

הצעד הראשון בתהליך בדיקות הפישינג, והוא גם המובן מאליו, זה לחפש מידע אודות הארגון. חשוב לאסוף את המידע הבסיסי -המוצר או השירות שנותנים, מיקום הארגון ואתר האינטרנט, וזאת כדי לקבל הבנה שטחית לגבי המטרה.  

אך איסוף המידע החשוב ביותר מתחיל במציאת כתובות אימייל של עובדים החברה, לרוב על ידי תוספים של Chrome כמו  שhunter.io, שאוסף מידע על כתובות האינטרנט של העובדים בחברה. לפעמים מדובר בכתובות כלליות כמו כתובת מייל למשאבי אנוש או מכירות, ולפעמים בכתובות אישיות של העובדים.

דרך נוספת להשיג כתובות מייל היא על ידי מציאת התבנית- רוב הארגונים משתמשים בשמות העובדים ודומיין של שם החברה. כאשר מחפשים את עובדי החברה ברשתות חברתיות כמו לינקדין ניתן לחבר את השניים ולבדוק האם הכתובת פעילה באמצעות אתרים הנקראים email checker.  

תהליך איסוף המיילים נמשך כתלות במטרה של בדיקת הפישינג. האם אנחנו רוצים תפוצה רחבה של המייל רק כדי להשיג גישה קלה לתוך מערכות הארגון? או האם אנחנו מעוניינים לבחון את ההנהלה הגבוהה ב-Whaling?

כאשר אספנו את כמות הכתובות הרצויה, נתחיל לחפש מידע אודות בעלי הכתובות. האיסוף העיקרי נעשה בלינקדין, אולם לפעמים החיפוש מצריך עבודה מעמיקה יותר, שכן ישנם עובדים שמקושרים לארגון במיקור חוץ, ועובדים תחת חברה אחרת. 

השלב הבא אחרי איסוף המידע הראשוני הוא מיפוי מערכות ההגנה של הארגון, בדגש על פרוטוקלים של Mail Relay המתבצעות על ידי מערכות EDR. מערכות אלה מאתרות הודעות מייל הנשלחות לדומיין של הארגון וסורקות את ההודעות על מנת לאתר פעילות חשודה. 

לצערנו, עדיין קיימים ארגונים ועסקים שאינם משתמשים בפרוטוקלים להגנת מייל, במיוחד עסקים קטנים, ולכן פגיעים יותר לניצול. מחקר שפורסם ב- AdvisorSmith הראה כי 42% מכל העסקים הקטנים חוו מתקפת סייבר בשנת 2021, כאשר רובם היו מתקפת פישינג.  

לאחר הבנה מעמיקה יותר של המכשולים העומדים בדרך, הבודקים מנסחים ומתאימים את המייל הנשלח על פי הממצאים והמטרה. 

לדוגמא, ידוע ש-Office365 משתמש בסביבת Sandbox כדי להריץ קבצים שנשלחו במייל, כך שתוכנות זדוניות שנשלחו יכולות לרוץ בסביבה ללא השפעה על המערכות הארגוניות. לכן, אם הארגון הנבדק משתמש ב-Office365, אז המייל יצרף קישור לאתר חיצוני, שלא יעבור דרך תהליך הבדיקה של מערכת ההגנה. 

לרוב מומחי אבטחת המידע יתחזו לצוות ה-IT של הארגון על ידי מציאת כתובות מייל והעתקת החתימה שלהם. הבודקים יוצרים תיבת מייל בעלת שם דומה לראש מערך הטכני, ושולחים מייל המוסווה כעדכון אבטחת מידע בצירוף הוראות הפעלה וקובץ/ לינק. פעמים רבות הקובץ שצריך להוריד הוא מסוג EXE, שיוצר סשן להשתלטות מרחוק על ידי הבודקים. בשל חוסר מודעות טכנית, רבים אינם מפקפקים במיילים של צוותי IT, וגם לא בפעולות שנראות מחשידות. 

אולם גם אם העובד כן חושד וסוגר במהירות את הקובץ, הבודקים יכולים להתחבר בשניות הבודדות האלה לרכיב אחר ברשת הארגונית או המכשיר במידה והם מהירים מספיק.

מהרגע שהושגו דרכי גישה למערכות הארגון על ידי הנדסה חברתית, ניתן להכריז שהבדיקה הרשמית הסתיימה. חברות אבטחת המידע שמבצעות מבדקים אלה מגישות דו"ח סופי ובו הוכחת יכולת, כמו כן המלצות לשיפור המודעות ומערכות ההגנה. 

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב linkedin

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

בואו נאפיין את הפרויקט שלכם

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר