פישינג

פישינג (דיוג) היא צורת התקפה מסוג הנדסה חברתית, שבה עבריין הסייבר מתחזה לגוף אמין תוך שהוא מבקש פרטי מידע רגישים מהקורבן.

Reading time icon

5 דקות קריאה

Reading time icon

5 דקות קריאה

מהו פישינג?

האם אי פעם קיבלתם הודעת דוא"ל, SMS או הודעה אלקטרונית אחרת, שנראית כאילו הגיעה מבנק או משירות מקוון פופולרי אחר, שביקשה ממכם "לאשר" את פרטי הכניסה לחשבונכם, את מספר כרטיס האשראי או מידע רגיש אחר? אם כן, אתם כנראה יודעים כיצד נראית מתקפת פישינג טיפוסית. טכניקה זו משמשת כדי להשיג נתוני משתמש חשובים שאותם התוקפים יכולים למכור או להשתמש בו בעצמם למטרותיהם הזדוניות, כמו סחיטה, גניבת כסף או גניבת זהות.

תנאי שימוש

הרעיון הזה תואר לראשונה במאמר משנת 1987 בשם "אבטחת מערכות: נקודת המבט של פורץ", שכתבו ג'רי פליקס וכריס הוק. מאמר זה דן בטכניקה המתארת תוקף המתחזה לגוף או לשירות מהימן. המילה עצמה (Phishing) דומה מאוד למילה דיג (Fishing), מכיוון שגם במקרה זה משתמשים בפיתיון כדי להעלות קורבן. האותיות Ph בתחילת המילה הן אזכור לקבוצת Phreakers”, קבוצה של האקרים שעשתה ניסויים ברשתות תקשורת וחקרה את גבולותיהם באופן בלתי-חוקי בתחילת שנות ה-90.

Phishing image

כיצד פועלת מתקפת פישינג?

מתקפות פישינג קיימות כבר מספר שנים, ובמהלך הזמן הזה התוקפים פיתחו טווח רחב של שיטות לפגיעה בקורבנות.

שיטת הפישינג הנפוצה ביותר היא התחזות לבנק או למוסד פיננסי אחר באמצעות הודעת דוא"ל, במטרה לגרום לקורבן למלא טופס מזויף, הנמצא בגוף המייל או בקובץ מצורף, או לגשת לדף אינטרנט שיבקש מהקורבן להזין את פרטי החשבון או את פרטי הכניסה לחשבון המקוון.

בעבר היה שימוש רחב בשמות דומיין (כתובות אינטרנט) הכוללים טעויות כתיב. כיום התוקפים משתמשים בשיטות מתוחכמות יותר שהופכות את הקישורים והדפים המזויפים לכאלו שמזכירים מאוד את השירותים הלגיטימיים.

קריאה נוספת

המידע שנגנב מהקורבנות בדרך כלל מנוצל כדי לרוקן את חשבונות הבנק שלהם, או נמכר באינטרנט.

ניתן לבצע מתקפה דומה גם באמצעות שיחת טלפון (vishing) או באמצעות הודעת SMS .

פישינג ממוקד (Spearfishing)

זוהי שיטת פישינג מתקדמת יותר בה הודעות פישינג אותנטיות למראה מגיעות לתיבות הדוא"ל של קבוצות, ארגונים או אנשים ספציפיים. היוצרים של אותן הודעות דוא"ל מבצעים מחקר מעמיק על המטרה (או המטרות שלהם) מראש, מה שמקשה על זיהוי התוכן כניסיון מרמה.

מתקפות שמתמקדות באנשים ספציפיים, לרוב אנשי עסקים בפרופיל גבוה – כמו מנהלים בכירים או בעלי החברה – נקראות Whaling (מהמילה Whale – לוויתן), שם שמראה על השכר הגבוה שהם עשויים להשיג (החבר'ה הרעים רודפים אחרי "הדג הגדול").

כיצד ניתן לזהות מתקפת פישינג?

גם הודעת דוא"ל או הודעה אלקטרונית אחרת שמכילה לוגואים רשמיים או סימנים אחרים של ארגון מהימן יכולה להגיע מעברייני סייבר. אנו מביאים כאן כמה עצות שיעזרו לכם לזהות הודעת פישינג.

קריאה נוספת

  1. הקדמה גנרית או לא-רשמית – אם ההודעה אינה אישית (למשל, כתוב בה "לקוח יקר" ולא את שמכם) ואינה כתובה בשפה רשמית, ייתכן שמשהו אינו כשורה. אותו כלל חל גם על הודעות שרק נראות כאילו הן מופנות אישית לאדם מסוים ומשתמשות במספרי זיהוי אקראיים ומזויפים.
  2. בקשת פרטים אישיים – טכניקה נפוצה בקרב מדייגים, שבנקים, מוסדות פיננסיים ורוב השירותים המקוונים נמנעים ממנה.
  3. תחביר לא-תקין – טעויות איות וביטויים מוזרים מצביעים בדרך כלל על כך שמדובר בהודעה מזויפת (אך היעדרם לא בהכרח אומר שההודעה היא לגיטימית).
  4. עיתוי בלתי-צפוי – ברוב המקרים הבנק או השירות המקוון לא ייצרו איתכם קשר מבלי שביקשתם. הודעה בעיתוי בלתי צפוי היא בלתי-רגילה ולכן יש לחשוד בה.
  5. תחושת דחיפות – בדרך כלל הודעות פישינג מנסות לגרום לפעולה מהירה ללא חשיבה מוקדמת.
  6. הצעה שאי אפשר לסרב לה – אם תוכן ההודעה טוב מדי מכדי להיות אמיתי, היא כנראה אינה אמיתית.
  7. דומיין (כתובת אינטרנט) חשודה – האם בנק ישראלי או אמריקאי ישתמש בדומיין סיני?

כיצד תוכלו להגן על עצמכם מפני פישינג?

כדי להימנע מנפילה במלכודתם של תוקפי מתקפת פישינג, שימו לב לכל סימני האזהרה שמסגירים את רוב הודעות הפישינג:

עקבו אחרי הצעדים הפשוטים האלה

  1. היו מודעים לטכניקות הפישינג החדשות: עקבו אחר דיווחים אודות מתקפות פישינג חדשות בתקשורת. התוקפים עשויים להמציא שיטות חדשות להפלת הקורבנות במלכודת.
  2. אל תמסרו את פרטיכם האישיים: היזהרו מהודעות אלקטרוניות מגוף מהימן-לכאורה שמבקשות את פרטי הכניסה שלכם או פרטים רגישים אחרים. אם יש צורך, וודאו את תוכן ההודעה עם השולח או הארגון אותו הוא מייצג לכאורה (באמצעות דרכי יצירת הקשר המוכרות, ולא אלו שמצוינות בהודעה).
  3. חשבו פעמיים לפני שאתם לוחצים: אם להודעה החשודה מצורף קישור או קובץ, אל תלחצו עליו או תורידו אותו. אם תעשו זאת, ייתכן שהלחיצה הזאת תוביל אתכם לאתר אינטרנט זדוני או תדביק את המכשיר שלכם בנוזקה.
  4. בדקו את החשבונות המקוונים שלכם באופן קבוע: גם אם אתם לא חושדים שמישהו מנסה לגנוב את פרטי הגישה שלכם, בדקו את חשבון הבנק ואת יתר החשבונות המקוונים שלכם וחפשו פעילות חשודה, ליתר ביטחון.
  5. השתמשו בפתרון אנטי-פישינג מהימן: השתמשו בטכניקות האלה ותוכלו "להנות מטכנולוגיה בטוחה יותר".
History of phishing image

דוגמאות מוכרות

פישינג שיטתי החל ברשת (America Online) AOL בשנת 1995. התוקפים השתמשו בתוכנת המסרים המידיים של AOL (שנקראה AIM) כדי לגנוב פרטי חשבון לגיטימיים, בדרך כלל תוך התחזות לעובדי AOL שמוודאים את סיסמאות המשתמשים. המונח "פישינג" הופיע בקבוצה חדשותית ברשת Usenet שהתמקדה בכלי שנקרא AOHell שהוסיף אוטומטציה לשיטת פעולה זו, ומאז נקבע השם "פישינג". לאחר ש-AOL הציגה אמצעי נגד למתקפה זו בשנת 1997, התוקפים הבינו שהם יכולים להשתמש באותה טכניקה בחלקים אחרים של הרשת, והחלו להתחזות למוסדות פיננסיים.

קריאה נוספת

אחד מניסיונות הפישינג הגדולים (למרות שניסיון זה נכשל) ניצל את התוהו ובוהו לאחר מתקפות ה-11 בספטמבר. התוקפים שלחו הודעות מייל שביקשו לבדוק את תעודת הזהות של הקורבנות, וניסו לנצל את המידע שהשיגו כדי לגנוב פרטים כספיים משירות המטבע הדיגיטלי e-gold.

לטכניקת הפישינג לקח רק עוד שלוש שנים לקבוע דריסת רגל בעולם הרשת ועד 2005 היא הביאה לנזק של 900 מיליון דולר בקרב משתמשי האינטרנט בארצות הברית.

לפי דוח הפישינג העולמי של APWG, בשנת 2016 אותרו מעל 250 אלף מתקפות פישינג יחודיות, המשתמשות במספר שיא של שמות דומיין שנרשמו במטרה זדונית – מעל 95 אלף שמות דומיין. בשנים האחרונות, תוקפים התמקדו בדרך כלל בשירותי בנקאות ושירותים פיננסיים, במשתמשים הקונים ברשת ובפרטי גישה לרשתות חברתיות ולתיבות מייל.

ESET מגנה עליך מפני פישינג

ESET Internet Security

ESET INTERNET SECURITY

חבילת אבטחה מתקדמת נגד איומי רשת
הגנה חזקה הכוללת אנטי וירוס ו-Internet Security לגלישה בטוחה ומהנה יותר

ESET Internet Security
ESET Internet Security

ESET INTERNET SECURITY

חבילת אבטחה מתקדמת נגד איומי רשת
הגנה חזקה הכוללת אנטי וירוס ו-Internet Security לגלישה בטוחה ומהנה יותר

ESET INTERNET SECURITY

חבילת אבטחה מתקדמת נגד איומי רשת
הגנה חזקה הכוללת אנטי וירוס ו-Internet Security לגלישה בטוחה ומהנה יותר

להורדת גרסת ניסיון