גם לך זה יקרה: עלייה במתקפות "פישינג" (דיוג)

ספרו לחברים:

"גם לך זה יקרה": על רקע העלייה במתקפות "פישינג" (דיוג) איך להנחיל תרבות ארגונית של מודעות לסיכוני סייבר?

לא פעם שמענו את המשפט – "הישראלים לא פראיירים". זה אולי נכון, אבל כשמדובר באבטחת סייבר אנחנו שאננים לא פחות ממשתמשי אינטרנט ברחבי העולם. כמו במדינות אחרות, גם בישראל ארגונים רבים מותקפים על ידי פושעי רשת ולעיתים סובלים נזקים כספיים כבדים ופגיעה במוניטין – אבל רק אחרי ההתקפה משפרים את מערכות אבטחת המידע, בד"כ בעלות נמוכה יותר מהכסף שהרגע איבדו.

עסקים פועלים כדי לצמוח – להוציא כמה שפחות ולהרוויח כמה שיותר. מנהלים מנסים באופן קבוע לאתר את ההוצאות הפחות הכרחיות לעסק וניכר כי רבים מקלים ראש דווקא בתחום אבטחת המידע. הם יודעים שיש פושעי רשת והאקרים ושהנזק עלול להיות כבד, אבל כל עוד לא נפגעו – הסכנה אינה נראית להם ברורה ומיידית. ייתכן שהיו חושבים אחרת אם היו יודעים שעלות האבטחה ברבעון הזה תהיה נמוכה לאין שיעור מהנזק שהם עלולים לספוג אם יותקפו מחר.

שיטות התקיפה רבות ומגוונות, אבל בדרך כלל יש בהן תפקיד מרכזי למרכיב האנושי. התקפות פישינג למשל, דיוג בעברית, הפכו בשנים האחרונות לשיטה הפופולריות ביותר של פושעי רשת לקבל את מבוקשם – גישה למאגרי מידע, העברת כספים או חדירה לחברות רגישות (כדי למכור את היכולת הזו לפושעים אחרים). התקשורת מדווחת באופן קבוע על ארגונים שנופלים בפח נוכח התקפות כאלה, שמתחילות בהודעת דוא"ל שנראית תמימה אך מסתירה מאחוריה ניצול מתוחכם של חולשות אנושיות. 

אותה הודעת דוא"ל תמימה שמפילה אותנו בפח יכולה להגיע ממקור שנראה לנו אמין לגמרי – הודעת דוא"ל ממחלקת כ"א שמבקשת מילוי טופס כלשהו למשל. העובד מתבקש ללחוץ על קישור שמוביל לעמוד שעוצב באופן בסיסי מאוד – בדיוק כמו טופס שנבנה רק לצרכים פנימיים. הוא מתבקש להתחבר למערכת עם כתובת הדוא"ל שלו, שם המשתמש והסיסמה כדי לוודא את זהותו. מרגע שהוא מקיש "התחבר" – הפרטים הללו כבר דלפו לידי הפושעים. 

השיטה תעבוד מצוין גם עם הודעה ממחלקת הרכב או הודעה הנחזית להודעה ממערכת הדוא"ל או שירות גנרי כלשהו – מיקרוסופט, גוגל וכ"ד. למשל הודעה שאומרת "תיבת הדוא"ל שלך מלאה – אנא מלא את הפרטים כדי לקבל עוד מקום אחסון". הן יעבדו כמובן גם עם הודעות מזויפות שמזמינות לצפות בתמונות נועזות או סיפורים סנסציוניים, הבטחה לקוד לצפייה בפרקים חדשים של סדרה פופולרית שטרם שודרו, הגרלות, הנחות, פרסים ושאר מלכודות.

דו"ח "הכלכלה של אבטחת מידע ארגונית לשנת 2019" של חברת קספרסקי מלמד שמחצית מהעסקים הקטנים והבינוניים הותקפו על ידי תוכנה זדונית כתוצאה משימוש לא נכון במשאבי החברה – הגדרות לא נכונות או טעויות של עובדים. המשמעות היא שעסקים יכולים לצמצם באופן ניכר את דליפות המידע שלהם ולהגביר את אבטחת המידע על ידי הדרכה של העובדים והגברת המודעות לסיכוני הסייבר. ע"פ הדו"ח, התקפות ממוקדות על עסק קטן-בינוני עלו בממוצע 138 אלף דולר.

ייתכן אגב, שהעובד או החברה שהותקפו כלל אינם "הפרס" שהפושעים מחפשים. הם חדרו לספק רק כדי להגיע דרכו לתאגיד שמצוי איתו בקשר. היכולת להתחזות לעובד של הספק תאפשר להם לפנות לעובד של התאגיד בדרך אמינה, להפיל גם אותו בפח – ולחדור לרשת הארגונית של התאגיד. 

ברבעון הראשון והשני של השנה מערכות אנטי-פישינג של חברת קספרסקי מנעו 111 ו-129 מיליון (בהתאמה) ניסיונות להוביל משתמשים לעמודים מזויפים. ארגונים פיננסיים כמו בנקים, ספקי אשראי, חברות ביטוח וכ"ד הם עדיין היעדים הפופולריים ביותר על פושעים. מנתוני קספרסקי עולה גם שמספר המשתמשים שהיו יעד לניסיון חדירה של סוג כלשהו של תוכנת מעקב או ריגול (stalkware) עמד על 37 אלף בשמונת החודשים הראשונים של 2019 – עלייה של 35% ביחס לתקופה המקבילה אשתקד, וחוקרי החברה איתרו ברשת 380 גרסאות של כלי ריגול שונים.

כאשר בוחרים להשקיע במנייה בבורסה לרוב התשואות אינן מגיעות מיד. צריך לקרוא היטב את התחזיות, לתת אמון בשווי המנייה ולדעת להתנהל בחכמה; כך גם עם אבטחת מידע. השקעה בשירותי אבטחה טובים, קביעת כללי עשה ואל-תעשה ברורים, ובעיקר הנחלת תרבות ארגונית של מודעות לסיכוני סייבר, לא בהכרח תחזיר את ההשקעה מיד. אבל ביום שבו תגיע הודעת דוא"ל מזויפת והעובד יחשוד בה, או ביום שהחברה תותקף על ידי תוכנת כופר והמערכת תעצור את כדור השלג המתגלגל –  הנזק שייחסך יהיה גדול לאין שיעור מההשקעה הראשונית. כשהסטטיסטיקה כה גבוהה, התפיסה של "אצלי זה לא יקרה" כבר מזמן לא נכונה.

הכותב הוא מנכ"ל חברת קקדו-טק, שותפות אזורית של קספרסקי ישראל