"חשבונך הושעה!" הונאות הפישינג הנפוצות ביותר

בשנת 2014, תקרית הדלפת נתונים חשפה מידע של 3 מיליארד משתמשים ב-Yahoo. בשנת 2016, עובדי Sony Pictures ראו במו עיניהם מידע פרטי ורגיש שמודלף, יחד עם אלפי מסמכים של החברה. מה המשותף לשתי המתקפות האלה? שתיהן התחילו בהודעת פישינג שנשלחה למייל.

גם בימים אלה, איומים בדוא"ל הם אחת מהדרכים הנפוצות ביותר בהן תוקפים משתמשים כדי לגשת למידע רגיש או כדי להתקין נוזקות. אמנם במרבית המקרים הידועים המתקפות מופנות למשתמשים אנונימיים, אך התוקפים יכולים להשתמש גם בהודעות הכוללות קישורים או קבצים מזויפים שנועדו לרמות אנשים ספציפיים שמחזיקים במידע רגיש. ואכן, כפי שחוקרי ESET מראים, בשנת 2022 ניתן היה לראות עלייה של 30% בתפוצת סוג האיום הזה לעומת השנה הקודמת. הודות למודלי שפה מבוססי בינה מלאכותית, שהופכים את מלאכת כתיבת המכתבים לפשוטה יותר, אנחנו אפילו עשויים לראות עלייה גדולה יותר!

מתקפות פישינג הן סוג של מתקפת הנדסה חברתית שגורמת לנו להגיב בתחושת בהילות וסקרנות. אמנם כולנו עשויים ליפול במתקפה מסוג כזה, אך אנו יכולים ללמוד כיצד להימנע ממנה.

חברת אבטחת המידע ESET מציעה לבחון כמה דוגמאות אמיתיות של הדרכים הנפוצות ביותר בהן הודעות פישינג מנסות להערים עלינו.

1. "החיבור שלך נותק. לחצ/י כאן כדי להתחבר שוב"

חלק משיטות וטקטיקות הפישינג הנפוצות ביותר לא עושות דבר חוץ מלהודיע לכם שנותקתם מהחשבון שלכם ולגרום לכם להזין את פרטי הגישה (שם משתמש וסיסמה) שלכם. לחיצה על הקישור תוביל אתכם לאתר שנראה דומה מאוד לאתר האמיתי. אך ההבדל הוא, שהזנת פרטי הגישה באתר הזה תשלח אותם ישירות לתוקפים, שישתמשו בהם לאחר מכן כדי לגשת למידע שלכם. במקרים מסוימים, הם אפילו עשויים להתחבר במקומכם ולשנות את הסיסמה שלכם כדי למנוע מכם גישה לחשבון.

הטכניקה הזאת מתבססת על הרגל נפוץ בקרב משתמשים רבים – תגובה להודעות כאלה באופן אוטומטי מבלי לחשוב על התוכן או מבלי לבדוק את הסימנים הנפוצים שמצביעים על הודעת פישינג.

2. "אני צריכ/ה שתעביר/י תשלום בדחיפות"

התחזות לחשבונות דוא"ל ארגוניים היא אחת מ"הסוסים המנצחים" מבין השיטות המשמשות לקמפיינים של פישינג מכוון – שלא מכוונים לאנשים אקראיים אלא לאדם ספציפי או לקבוצת עובדים ספציפית בחברה מסוימת.

לפני שליחת הודעות ההונאה האלה, התוקפים לומדים כל מה שהם יכולים על מבנה החברה ועל המאפיינים החזותיים והשפה שלה, כך שכמעט ולא יהיה ניתן להבדיל הודעת התרמית ובין הודעה אמיתית שעשויה להישלח בחברה.

חלק מההודעות האלה מכוונות ספציפית לעובדים שאחראים לניהול תשלומים וכספים. הם מתחזים למנכ"ל או לגורם סמכות מורשה אחר כדי לדרוש העברה של כסף ומבקשים מהקורבן להעביר את הכסף לחשבון ספציפי – של המנכ"ל או של החברה, לכאורה.

בשנת 2018, תוקפים התחזו למנכ"ל כדי לגנוב יותר מ-100,000 דולרים קנדיים מעיריית אוטווה שבקנדה. גזבר העיר קיבל הודעת דוא״ל מזויפת, שנשלחה לכאורה ע״י ראש העיר, ובה התבקש להעביר את כמות הכסף הזאת שהגיעה בסופו של דבר לכיסם של התוקפים.

3. "מועמד/ת יקר/ה..."

הודעות הדיוג האלה מתבססות על הצעות עבודה מזויפות כפיתיון. הן עשויות לגרום לקורבנות פוטנציאליים ללחוץ על קישור דיוג או לפתוח קבצים זדוניים שנשלחו יחד עם ההודעה, ויבקשו מהקורבן, למשל, ליצור חשבון ולהזין את פרטיהם האישיים כחלק מתהליך הקבלה למשרה.

לדוגמה, קבוצת הסייבר Lazarus הפעילה מספר קמפיינים כאלה, כמו Operation DreamJob, שנחשף ע״י חוקרי ESET ממש לאחרונה, ובו הקורבנות פותו באמצעות הצעות עבודה מזויפות.

הונאות אלו קיימות גם בפלטפורמות פופולריות לפרסום משרות, ולכן תמיד מומלץ לוודא שהמגייס שיצר איתכם קשר או המשרה עצמה הם לגיטימיים.

4. "בעקבות המצב הנוכחי..."

מתקפות פישינג הופכות לפופולריות יותר כשקורים אירועים גדולים – החל מאירועי ספורט וכלה במשברים הומניטריים.

לדוגמא, בתחילת שנת 2023, קבוצת הסייבר Fancy Bear הפעילה קמפיין דוא״ל הקשור למלחמה באוקראינה. הודעות הדוא״ל כללו קובץ RTF זדוני שנקרא ״טרור גרעיני איום מוחשי מאוד״. לאחר פתיחת הקובץ, המחשב ייפרץ; אך בנוסף לכך, הקורא יגלה שתוכן הקובץ הוא פוסט מבלוג של צוות החשיבה הידוע Atlantic Council, שמציין שהסיכוי שפוטין ישתמש בנשקים גרעיניים כחלק מהמלחמה באוקראינה הוא נמוך מאוד – ההפך הגמור מהטענה המופיעה בשם הקובץ וגרמה לקורבנות לפתוח אותו מלכתחילה.

5. "חג שמח!"

הונאות במהלך תקופות החגים מנצלות את שטף הקניות הנלווה אליהם באמצעות הודעות המתחזות להודעות מספקים לגיטימיים. ההודעות כוללות הצעות "טובות מדי מכדי להיות אמיתיות" או יוצרות תחושת דחיפות מזויפת כדי לגרום לכם לחשוש מהחמצת הזדמנות של הדקה ה-90.

גישה אחרת בה תוקפים משתמשים היא שליחת הודעות דוא״ל עם קבצים זדוניים הקשורים לחגים, כמו כרטיסי ברכה, כרטיסי מתנה (גיפט-קארדים) וכו׳.

כיצד להתגונן מפני מתקפות פישינג במייל

· קראו בקפדנות את תוכן ההודעה. אל תקליקו על שום דבר באופן אוטומטי.

· בדקו האם כתובת הדוא"ל מתאימה לדומיין האמיתי.

· היזהרו כשאתם מקבלים הודעות לא צפויות מבנק, ספק שירות או כל ארגון אחר.

· שימו לב לדגלים האדומים, כמו הודעות דחופות או מאיימות הדורשות תגובה מיידית או מבקשות פרטי גישה, פרטים אישיים או פרטים כספיים. גם טעויות כתיב ואיות הן סימנים שעשויים להצביע על כך שההודעה אינה לגיטימית.

· השוו בין הכתובת של הקישור שצורף להודעה ובין הדומיין של החברה או הארגון שמהם ההודעה נשלחה לכאורה. אם אתם מזהים משהו חשוד, אל תלחצו עליו.

· היזהרו ממתנות לא-צפויות ומהצעות שנראות טובות מדי מכדי להיות אמיתיות.

· אל תעבירו כספים באופן פזיז. אם הממונה עליכם מבקש ממכם להעביר כספים, פנו אליו/ה ישירות.

· התקינו מוצר אבטחת סייבר שכולל כלים מובנים להגנה מפני הודעות פישינג.

פישינג הוא איום נפוץ מאוד, ואפילו מומחי IT עשויים ליפול בהונאות כאלה. למרבה המזל, קל מאוד לזהות את מרבית ההודעות האלה, כל עוד תעמדו בדחף ללחוץ על קישורים או לפתוח קבצים מצורפים לפני שתוודאו מי שלח אותם.

'בחדרי' גם ברשתות החברתיות - הצטרפו!