מתקפות דיוג (Phishing)
מתקפות פישינג: גניבת מידע באמצעות התחזות
באבטחת מידע, דִּיּוּג או פישינג (באנגלית: Phishing) הוא ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט. המידע עשוי להיות, בין היתר, שמות משתמש וסיסמאות או פרטים פיננסיים. פישינג מתבצע באמצעות התחזות לגורם לגיטימי המעוניין לקבל את המידע. לרוב שולח הגורם המתחזה הודעת מסרים מידיים או דואר אלקטרוני בשם אתר אינטרנט מוכר, בה מתבקש המשתמש ללחוץ על קישור. לאחר לחיצה על הקישור מגיע המשתמש לאתר מזויף בו הוא מתבקש להכניס את הפרטים אותם מבקש המתחזה לגנוב.
אתרים נפוצים שפעולות פישינג מתבצעות בשמם הם אתרי רשתות חברתיות כגון פייסבוק וגוגל פלוס, אתרי מכירות פומביות כגון איביי ואתרי בנקים כגון בנק אוף אמריקה. דיוג יכול להוות שלב ראשון לקראת תקיפת סייבר עתידית וככזה, הוא כלי מרכזי בלוחמת סייבר.
לוחמת סייבר - מדריך שימושי להגנה מפני מתקפת סייבר
שיטות דיוג - Phishing
ניסיון דיוג מוסווה כפנייה אמיתית מבנק בארצות הברית. המכתב מכיל את הלוגו של הבנק, אינו כולל פנייה אישית ואמור להפחיד את המקבל בתוכנו. דיוג הוא שיטה של הנדסה חברתית שמטרתה להערים על המשתמש לבצע פעולה המסכנת את המחשב שלו על ידי הטעיה, הפחדה או פיתוח ציפיות. הודעות דיוג נכתבות כך שייראו אמינות. הן עשויות להכיל את סמל הארגון אליו מתחזים, או לפנות באופן ישיר למקבל ההודעה (דיוג כזה נקרא דיוג ממוקד). כתובת השולח עשויה להיות דומה לכתובת ממנה נוהג הארגון לשלוח את הודעותיו בדרך כלל. לעיתים נעשה שימוש ביותר מאמצעי תקיפה אחד, כך שמחשב פרוץ עלול להפיץ הודעות דיוג בשמו לכתובות הכלולות בפנקס הכתובות שלו ובכך להגדיל את אמינות ההודעה. דוגמא למכתב פישינג:
דואר זבל אלקטרוני
פעולות דיוג נעשות בדרך כלל בדואר זבל אלקטרוני, כלומר באמצעות פנייה למספר גדול מאוד של נמענים, כך שמבחינתו של השולח, די באחוז קטן מאוד של נופלים בפח כדי להשיג הצלחה. הפנייה בהודעות אלה בדרך כלל אינה אישית (למשל: "לקוח יקר"), אך לעיתים מתבסס השולח על רשימת שמות שנפלה לידיו, כגון רשימת כל העובדים או הלקוחות בארגון מסוים, ופונה באופן אישי לכל נמען, צעד המגביר את אמינותה של הודעת הדיוג. בנוסף, לעיתים מציין השולח כתובות ושמות של חברות, ארגונים ואנשים אמיתיים (שמות וכתובות של משרדי עורכי דין, מספרי חשבון בנק אמיתיים וכו') לצורך הגברת אמינות ההודעה.
שינוי קישורים
בשיטה זו משתמשים המתחזים בקישור המטעהאת המשתמש לחשוב שהקישור עליו הוא מקיש והאתר אליו הוא מגיע שייכים לחברה לגיטימית. למשל, הלינק HTTP://WWW.bank.credit.com עלול להטעות משתמש לחשוב שהוא נכנס לעמוד האשראי באתר bank.com כאשר למעשה הוא נכנס לעמוד הנקרא bank תחת האתר credit.com. אם העמוד מעוצב כמו דף הכניסה של הבנק, המשתמש עשוי להכניס את פרטיו וכך לאפשר למתחזה לבצע פעולות בשמו.
שיטה נוספת היא יצירת קישור בעל טקסט המטעה את המשתמש. למשל הקישור בנקעלול להטעות את המשתמש לחשוב שהוא לוחץ על קישור שיוביל אותו לעמוד בנקכאשר למעשה הקישור יוביל אותו לעמוד הונאה. שיטה ישנה יותר היא שימוש בסימן @ כחלק מקישור. קישור הכולל את הסימן @ מאפשר למשתמש להכניס שם משתמש וסיסמה כחלק מהקישור לאתר הדורש זאת. באתרים בהם לא נדרשים שם משתמש וסיסמה הדפדפן מתעלם מהטקסט המופיע לפני סימן ה־@.
זיוף אתרים
לחיצה על קישור עשויה להוביל משתמש לדף מזויף הנראה כמו דף של אתר לגיטימי. כאשר המשתמש מכניס את פרטיו הדף מפנה אותו באופן אוטומטי לאתר האמיתי ומכניס עבורו את הפרטים כך שהמשתמש אינו יודע שמסר את פרטיו לאתר מזויף. שיטות מסוג זה נקראות "אדם באמצע" (Man in the Middle).
שיטות מתוחכמות יותר כוללות את שינוי הכתובת בשורת הכתובת של הדפדפן והצגת תמונה של הכתובת הנכונה, או סגירת שורת הכתובת האמיתית והצגת שורת כתובת מזויפת בדפדפן, או שימוש בדומייןשנכתב בשפה אחרת אך האותיות שלו דומים לאותיות שבאנגלית (לדוגמה: האות 'סמ"ך' שבעברית זהה בצורתה לאות 'או' שבאנגלית). שיטות XSS מאפשרות לאתר להפעיל תוכנהבמחשבהקורבן כך שניתן למעשה לבצע כל פעולה מתוך המחשב בהרשאות המשתמששיטה זו קשה מאוד לזיהוי על ידי מי שאינו מומחה.
שימוש בווב 2.0
עברייני דיוג משתמשים בטכנולוגיית וב 2.0 כדי ליצור דפי אינטרנט המובילים לדיוג. אחסון הדפים על שרתי וב 2.0 אמינים (כמו בלוגים) והוספת תוכן לגיטימי יחד עם תוכן מטעה מגבירים את אמינות הדף, וגורמים לגולשים להיכנס אליו. מפעילי הבלוג משתמשים בטכניקות קידום במנועי חיפושכדי לשפר את דירוג הבלוג ומעדכנים אותו באופן תדיר. מכיוון שהחברות המציעות שירותי בלוגים לרוב אינן מפקחות על תוכנם (משיקולי עלות־תועלת), אתרי וב 2.0 העוסקים בדיוג שורדים זמן רב יותר משיטות הדיוג המסורתיות.
הנזקים הנגרמים כתוצאה מדיוג נע בין מניעת גישה לחשבון האימייל ועד לנזקים כלכליים משמעותיים. שיטה זו של גניבת זהויות הופכת פופולרית לאור הנכונות של משתמשים לחשוף פרטים אישיים באינטרנט. לעיתים נעשה שימוש בפרטים המתקבלים כתוצאה מדיוג בנוסף לפרטים המתקבלים ממאגרים גלויים, כדי לבנות פרופיל מידע של הקורבן. כאשר נאספים כל הפרטים ניתן להתחזות לקורבן גם מחוץ לרשת האינטרנט ולפתוח בשמו חשבונות בנקלמשל.
מומחים מעריכים ש־6 מיליון אמריקאים נפלו קורבן להונאת דיוג בעלות של 351 דולר בממוצע לאדם. הנזקים שנגרמו למשתמשים אותה עת הסתכמו ב־3 מיליארד דולר. התגוננות מפני דיוג קיימות דרכים שונות להילחם בתופעת הדיוג, החל מחקיקה מתאימה וכלה באמצעים טכנולוגיים. שיטות אלה נקראות "אנטי־פישינג".
שיטות זיהוי
ניסיונות דיוג באמצעות דואר אלקטרוני יכללו בדרך כלל פנייה כללית או יפנו למקבל הדואר באמצעות כתובת האימייל שלו ולא בשמו; קישור לכתובת IPבמקום לכתובת אתר ושגיאות כתיבהן שיטות נפוצות להתחמקות ממסנני דיוג, ולרוב הן יכולות להזהיר את המשתמש מפני ניסיון דיוג בשנים האחרונות התפתחה שיטת דיוג הנקראת "דיוג ממוקד". הודעות אלה מופנות לאדם מסוים או לקבוצה מצומצמת של אנשים ונראות כאילו הן מגיעות מאדם מוכר או בעל סמכות. מטרתן של הודעות אלה היא בדרך כלל לפגוע בחברה המותקפת. ניסיונות דיוג יכילו לרוב גורם מעודד ("זכית בהגרלה") או איום ("חשבונך עומד להיסגר"), שמטרתם להביא את המשתמש להתעלם מסימני אזהרה על מנת להגדיל את גורמי הדמיון בין הודעת דיוג להודעה אמיתית, הודעות אלה יכללו לעיתים טקסט המזהיר מפני ניסיונות דיוג ("לעולם אל תיתן את פרטי כרטיס האשראי שלך") וקישורים המפנים לאתרים המראים כיצד להימנע מזיופים.
אמצעים טכנולוגיים בדפדפן
דפדפנים מכילים אמצעים טכנולוגיים המיועדים לזהות כניסה לאתר חשוד. בגרסאות ישנות של הדפדפן אינטרנט אקספלורר הופיע סימן המנעול (Padlock) שהראה שהחיבור הוא לאתר מאובטח באמצעות פרוטוקול SSL. בדפדפן פיירפוקס הופיעה כתובת מאובטחת בצבע צהוב. חיבור SSL מצריך תעודה דיגיטלית (Certificate) כדי לוודא את מהימנותו של האתר אליו מתחברים. הדפדפן בודק שהתעודה בתוקף ושהיא חתומה על ידי רשות מוסמכת. בעת שליחת מידע באינטרנט, הדפדפן מתריע בפני המשתמש אם המידע מוצפן ומודיע לו אם צד שלישי יוכל לקרוא את המידע שהוא שולח. הדפדפנים מכילים לרוב מסנני דיוג לדיווח על אתרים החשודים בדיוג. כאשר משתמש נכנס לאתר, מסנן הדיוג של הדפדפן בודק אם האתר חשוד בדיוג ומתריע בהתאם.
אמצעים טכנולוגיים באתר
קיימות שיטות אימות בהן המשתמש בוחר תמונה אישית שתופיע בכל הטפסים בהם נדרשים פרטים אישיים. על פי שיטה זו המשתמש אמור להכניס את פרטיו רק בעמודים בהם מופיעה התמונה שבחר שיטה נוספת היא בחירת תמונה שתוצג בצד הלקוח לאחר אימות הדדי בין הדפדפן לאתר מכיוון שהמתחזים מעתיקים לרוב את הקוד או הלוגו של האתר אליו הם מעוניינים להתחזות, ניתן לשנות את הקוד כך שתמונות מסוימות יופיעו רק במסגרת אתר לגיטימי ויציגו הודעת שגיאה במקרה של התחזות.
אמצעים חברתיים
ניתן ללמד אנשים לזהות הודעות דיוג ולהתעלם מהן. בעת קבלת הודעה החשודה כהתחזות ניתן לפנות לגורם ממנו נשלחה ההודעה כדי לוודא שההודעה אמיתית או להקליד את הכתובת הידועה למשתמש במקום לגלוש ישירות מהקישור שבהודעה. קיימים חברות וארגונים העוקבים אחרי ניסיונות דיוג ופועלים למניעתם. בנוסף למעקב שמפעילים ארגונים אלה ניתן לדווח להם על ניסיונות דיוג כדי שיוכלו לפעול נגדם. חברות נוהגות לכלול בהודעותיהן פרטים אישיים של המקבל, כגון שם המשתמש שלו או ארבע הספרות האחרונות של חשבון הבנקאו כרטיס האשראישלו.
עם זאת, לניסיונות דיוג בעבר צורפו פרטים אישיים של המקבל, כך שאי קיומו של פרט מזהה צריך לעורר חשש אך קיומו של פרט כזה אינו מבטיח את לגיטימיות ההודעה. אנשי מקצוע ממליצים לא לחשוף פרטים אישיים (סיסמאות, מספר תעודת זהות, מספר חשבון בנק, פרטי כרטיס אשראי, שמות בני משפחה ותאריכים חשובים) כאשר קיים ספק לגבי זהות הצד השני או בטיחות התווך. מסנני ספאם המונעים הגעת הודעות דיוג למשתמשים ימנעו כניסה לאתרים מתחזים. המסנן מחפש טקסטים הידועים כמופיעים בהודעות דיוג או שגיאות כתיב ודקדוק נפוצות בהודעות כאלה וחוסם אותן.
נהלי אבטחת מידע למניעת פריצה לארגון - לחץ כאן
למידע נוסף אודות שלומי אדר ייעוץ בטחוני - לחץ כאן
There are many variations of passages of Lorem Ipsum available, but the majority have suffered alteration in some form.
