מתקפות פישינג גורמות ליותר ויותר אנשים להשאיר פרטים רגישים בידיהם של מתחזים. באיזה טקטיקות נוקטים המתחזים – ואיך אפשר לזהות את המלכודות שהם מניחים?
מאת: יוסי לטין - מיישם הגנת סייבר בקבוצת SQLink
מאז מגפת הקורונה, אנחנו עדים לגידול חד בתעבורת הרשת: בעקבות הסגרים והבידודים גם אנשים שעוד היססו, החלו לבצע יותר ויותר פעולות אונליין בלי לצאת מהבית. במקביל, ארגונים רבים האיצו את תהליכי הטרנספורמציה הדיגיטלית, ואפשרו ללקוחות לבצע מגוון הולך וגדל של פעולות בשירות עצמי. התאוצה הדיגיטלית שהחלה בתקופת הקורונה ממשיכה ויש לה יתרונות רבים, אך כל הטוב מגיע עם תופעת לוואי: צמיחת הפעילות בעולמות האונליין מלווה בגידול חד של תקיפות סייבר, שמסכנות את המידע ואת הכיס שלנו.
לשם המחשה חברת SlashNext דיווחה על גידול של 61% במתקפות הפישינג במחצית הראשונה של שנת 2022 ביחס לתקופה המקבילה אשתקד, במסגרת דוח שניתח מיליארדי קישורים, מיילים ואתרים.
אחת הסיבות לשגשוג מתקפות הסייבר בקנה מידה כה נרחב, היא חוסר מודעות: במקרים רבים, הודעות SMS, אתרים או מיילים תמימים למראה המתחזים לגופים מוכרים, מנסים "לדוג" מאיתנו מידע כמו פרטי חשבון הבנק או מספר כרטיס האשראי (מכאן גם שמן – מתקפות Phishing או "דיוג" בעברית). החדשות הטובות הן שאפשר לזהות ולמנוע אותן מראש, באמצעות הכרת הסממנים שלהן.
כך תזהו מתקפות פישינג ותימנעו ממלכודות באמצעות מספר סימני היכר בסיסיים של מתחזים בהודעות SMS, במיילים ובאתרים.
1. איך מזהים מתקפת פישינג בהודעת SMS?
גם כאשר מדובר במסרונים, הודעות הפישינג הכי מסוכנות הן כאלה שמגיעות מגורמים המתחזים לחברות שאנחנו מכירים, כמו למשל הודעה מהדואר, מנטפליקס, מהבנק או מכל חברת מוכרת אחרת. ניסיונות הפישינג בהודעות סמס (Smishing) הופכים ליותר ויותר מתוחכמים, ולכן כדאי להיעזר בסימנים הבאים כדי לזהות אותם. איזה סימנים אמורים להדליק לכם נורה אדומה?
ניסוחים תלושים
יש הודעות SMS שבהן הניסוחים מוזרים, כאילו לקחו משפטים מאנגלית ותרגמו אותם באמצעות Google translate. כך למשל המסרון בדוגמה מטה נפתח במילים "שלום אדוני", צורת התנסחות שלא מתאימה לפניות מנותני שירות בעברית.
בדיקת הקישור
בחלק מהמקרים ההודעה מנוסחת היטב, והיא אפילו נשמעת הגיונית: אם אנחנו מקבלים הודעה שהדואר מוכן לאיסוף (בזמן שאנחנו באמת מחכים לחבילה שהזמנו מעלי אקספרס), קל ליפול בפח. אחת הדרכים לזהות שמדובר בהודעת פישינג/ Smishing, היא בדיקת הקישור (בלי ללחוץ עליו): בדוגמה מטה אפשר לראות שהלינק במסרון ממש דומה לכתובת האמיתית של אתר דואר ישראל – https://israelpost.co.il/, עם הבדל אחד קטן-גדול: הקישור המתחזה מכיל מקף שמפריד בין המילה Israel למילה post.
והמסקנה: לפני שמבצעים פעולה כלשהי, חשוב להשוות בין כתובת החברה שבשמה כביכול נשלח ה- SMS לבין הקישור שמופיע במסרון. הקישור שמכיל המסרון שונה? כנראה שיש לכם עסק עם מתחזה.
כשלים לוגיים
תמרור אזהרה נוסף לניסיון התחזות הוא שילוב משפטים שההקשר שלהם לא הגיוני. הנה דוגמה של ניסיון התחזות לחברת חשמל, במסגרתו השולח מבקש להסדיר את החוב באמצעות כניסה ללינק המצורף. כחלק מהניסיון לייצר תחושת דחיפות, התווסף המשפט הבא: "איחור בתשלום יגרור הוצאות נוספות כגון עלויות הפרדה ומשלוח". מכיוון שחברת חשמל עדיין לא גובה דמי משלוח עבור צריכת החשמל (בדגש על עדיין 😉)... אפשר להניח שמדובר במתחזה. אגב, גם במקרה הזה אפשר לשים לב שהלינק מפנה לקישור זדוני ולא לקישור האמיתי של חברת חשמל: הכתובת האמיתית של אתר חברת החשמל היא www.iec.co.il.
יצירת תחושת דחיפות
ניסיון ההתחזות לחברת החשמל ממחיש טקטיקה נוספת של מתחזים, והיא יצירת תחושת דחיפות כמו למשל תשלום קנסות, או לחילופין משלוח שיוחזר לשולח אם לא נבצע תשלום תוך 72 שעות. מנסים להאיץ בכם לבצע פעולה בדחיפות? נורות האזהרה צריכות להידלק, ולגרום לכם להתייחס להודעה בשיא הזהירות.
הבטחה לפרס או זיכוי
להודעות שמבטיחות פרס או תגמול כלשהו, צריך להתייחס בחשדנות. האם אתם מצפים לקבל סכום מסוים, כמו זיכוי, מחברה כלשהי? האם הקישור בהודעה מפנה לכתובת האמיתית של אתר החברה? האם אפשר להיכנס לאתר החברה באופן עצמאי, להתחבר לחשבונכם ולראות האם מחכה לכם הודעת זיכוי כלשהי? אם התשובה לאחת השאלות האלה היא "לא", רוב הסיכויים שרוצים לקחת מכם כסף, ולא להעניק לכם כסף.
2. איך מזהים מתקפת פישינג במייל?
תמרורי האזהרה של הודעות ה- SMS חלים גם על מיילים, להם מתווספים תמרורי אזהרה ייעודיים:
הדומיין אינו מוכר
האם הדומיין (החלק שמגיע אחרי ה- @ בכתובת המייל – למשל gmail.com) אכן שייך לחברה שבשמה נשלח המייל? בדיוק כפי שבודקים את אמיתות הקישור, כך חשוב לבדוק מה הדומיין האמיתי של החברה שבשמה נשלח המייל, ולהשוות אותו לדומיין של הכתובת שממנה קיבלתם את המייל. בדוגמא מטה אפשר להבחין בקלות בכך שבקשת התשלום עם הכותרת Apple Inc, לא נשלחה מהדומיין apple.com של חברת אפל. ישנם מקרים שבהם הדומיין המתחזה יהיה כמעט זהה לדומיין האמיתי, ולכן חשוב להבחין בהבדלים (קטנים ככל שיהיו).
ואחרי שאמרנו את זה, האקרים יכולים לגרום לכתובת מייל להיראות לגיטימית. לכן, גם אם היא כביכול תקינה זה לא בהכרח מעיד על מהימנותו של המייל, וחשוב להמשיך לגלות ערנות.
למייל מצורף קובץ חשוד
חלק מניסיונות הפישינג כוללים קבצים המכילים תוכנה זדונית. כדי לגרום לכם להפעיל את התוכנה הזדונית, המייל ינסה לשכנע אתכם לפתוח את הקובץ. כך למשל בחלק מהודעות הפישינג נשלח קובץ המוצג כחשבונית. אחרי שתפתחו את הקובץ ותבינו שלא מדובר בחשבונית, זה כבר יהיה מאוחר מדי: הקובץ ישחרר תוכנה זדונית שתוכל לבצע מגוון פעולות עוינות במכשיר שלכם. כדי להימנע מתרחישי אימה מהסוג הזה מומלץ ככל האפשר להימנע מפתיחת קבצים הנשלחים במייל, אלא אם אתם יודעים בוודאות שמדובר בשולח לגיטימי. בכל מקרה אחר, מומלץ לנקוט בדרכים חלופיות, למשל להיכנס לאתר האמיתי של החברה שבשמה נשלח המייל, ולנסות דרכו להוריד את החשבונית או המסמך המדובר.
הקישור לא מוכר
המייל כולל קישור? אפשר לרחף עליו בלי ללחוץ כדי לראות מהי הכתובת שלו. לא מכירים את הקישור? הוא לא תואם לכתובת האתר האמיתית של נותן השירות? כנראה שמדובר במתחזה.
3. איך מזהים מתקפת פישינג באתר?
כדי לנסות להפיל אתכם בפח, דף באתר המתחזה ייראה לרוב דומה לדף באתר האמיתי. לשם כך נעשה שימוש בגרפיקה, תוכן ומבנה של הדף האמיתי. למרות הדמיון, הנה תמרורי האזהרה שיאפשרו לכם לזהות אתרים מתחזים.
אתר לא מאובטח
אתר מאובטח אמור להכיל את הסימנים הבאים: סימן המנעול וצירוף האותיות HTTPS. העדרו של אחר הסימנים עשוי להצביע על כך שנכנסתם לאתר עוין. יחד עם זאת, מכיוון שניסיונות ההתחזות הופכים ליותר ויותר מתוחכמים, גם הימצאות סימנים אלו לא בהכרח מעידה על היותו של האתר מהימן.
קישור חשוד
דומה לתמרור האזהרה במיילים ובמסרונים. חשוב כאמור לגלות ערנות, שכן המתחזים ינסו להערים עליכם עם שינויים קטנים ביחס לדומיין האמיתי, כמו הוספה או החסרת אותיות ותווים (זוכרים את המקף הערמומי בניסיון ההתחזות לדואר ישראל?).
בקשת פרטים אישיים
מבקשים שתזינו סיסמא, תעודת זהות, אמצעי תשלום או כל פרט אישי אחר? כדאי ככל האפשר להימנע מכך, ובמידת הצורך להיכנס באופן יזום לאתר של נותן השירות האמיתי, להזדהות ולבצע בבטחה את הפעולה הרצויה.
רוצים לבדוק שמדובר באתר מתחזה? אם הוא מבקש מכם סיסמא, אפשר להזין באופן מכוון סיסמא מזויפת. קיבלתם אינדיקציה שההתחברות הצליחה? כנראה שמדובר באתר מתחזה.
בקשת תשלום חשודה
ברוב האתרים הלגיטימיים, התשלום יתבצע באמצעות כרטיס אשראי או ארנק דיגיטלי דוגמת פייפאל. לעומת זאת, אתרים מתחזים רבים קוראים לביצוע התשלום באמצעות העברה בנקאית. זאת מתוך ידיעה שהסיכוי לקבל החזר עבור העברה בנקאית שביצעתם באתר מתחזה, נמוך בהרבה מהסיכוי לקבל החזר במקרה של חיוב כרטיס האשראי.
כמובן שלתמרורי האזהרה הייעודיים של אתרים מתחזים, מתווספים הסימנים החלים גם על מסרונים ומיילים, כמו ניסוחים תלושים, כשלים לוגיים ויצירת תחושת דחיפות.
מתקפות פישינג יכולות לגרום נזקים גדולים, לפרטיות ולכיס. שמירה על ערנות וזיהוי סימנים מחשידים, יאפשרו לכם להישמר ממלכודות בהן יותר ויותר אנשים נופלים.
תחום הסייבר ואבטחת המידע מעניין אתכם? מגוון משרות מחכות לכם כאן>>
