יש יום אחד בשנה שבו כולנו מתחפשים, ואנשים נכנסים לדמויות הרחוקות מאוד מחיי היומיום שלהם: שוטרים, רוצחים סדרתיים, מעודדות ועוד ועוד. אבל יש אנשים שהמקצוע או התחביב שלהם מחייב סוג של התחפשות מדי יום: דייגים המשליכים את חכתם לים. בשונה מדייגים התוקפים את הדגים באופן גלוי בצלצל או בחץ, דייגים שמשליכים לים פיתיון "מתחפשים" למי שרוצים בטובת הדגים ומספקים להם אוכל. איך זה נגמר בסוף כולם יודעים: הדג התמים בולע את הפיתיון, מסתבך בקרס ואז נופל טרף לידי הדייג.

פישינג – גרסת המאה ה-21 לדייג באמצעות פיתיונות

המייל שהתחפש: איך לא ליפול בפח של הודעות דוא״ל זדוניותבמרחב הדיגיטלי כולנו דגים ששוחים באוקיינוס האינסופי של האינטרנט ומשמשים מטרה לתוקפים המנסים להשיג גישה למידע שלנו. פצחנים (האקרים) פועלים בדומה לדייגים שתוקפים בצלצל: הם מנהלים קרב גלוי נגד חומות אבטחת מידע ומנסים למצוא פרצות שדרכן יוכלו לקבל גישה למשאבי המחשוב שלנו. לעומתם, התוקפים באמצעות דיוג (פישינג) מתחפשים למבקשי טובתנו, למקור אמין ש"רק" רוצה שנמסור לו פרטים מסוימים. והם עושים זאת באמצעות תחפושת: הודעת דואר אלקטרוני (מייל) ידידותית ממקור שאנו מצפים שישלח לנו הודעה.

זהירות: תחפושות מסוכנות

המשמעות המעשית של פישינג הוא שליחת מייל המחופש ככזה שמגיע ממקור אמין, לרוב כזה שסביר ישלח לנו הודעה: מחלקת משאבי אנוש, בנק או חברת תוכנה מוכרת כגון מיקרוסופט או פייסבוק. המייל תמיד מכיל מאפיינים חוקיים כגון לוגו, כתובת אתר (DNS) הנראית סבירה והצהרת חיסיון. אבל משום מה, ״המוסד המכובד״ לעולם אינו מסתפק במשלוח הודעה אלא תמיד רוצה שנבצע פעולה מסוימת: נוריד מסמך מצורף, נענה לשולח או נבצע הוראות המופיעות במייל. שתי לחיצות בהיסח הדעת – פתיחת המייל והורדת הצרופה (attachment) – מספיקות כדי לעקוף את כל מנגנוני אבטחת המידע ולגרום למחשבכם נזק כבד: ההאקר יוכל לגשת מרחוק למחשב ולהתקין בו תוכנות זדוניות ואף תוכנות כופר. המסמכים עלולים אף להזיק קובץ script זדוני, שיכול להביא לשכתוב כל הקבצים במחשבו של המשתמש לאחר פתיחת המסמך.

תמיד לעדכן, לעדכן, לעדכן

כדי להימנע ממצב כזה מלכתחילה ולמזער את הנזק שהוא עלול לגרום, חובה לשמור על מספר נהלים ברורים:

  • שמירה על אנטי-וירוס עדכני, כולל התקנת כל הטלאים והעדכונים, בכל תחנות העבודה.
  • עדכון תקופתי של הסיסמא בכל אחד מהמקומות שבהם יש חובה להכניס אותה.
  • הימנעות משימוש באותם פרטי משתמש (שם וסיסמה) בכל האתרים המחייבים הזדהות. אם האקר משיג את פרטי המשתמש שלכם באתר של משחקי מחשבה זה ממש לא נעים, אבל אם אותם פרטים משמשים אתכם גם לכניסה לחשבון הבנק שלכם זה כבר נורא.
  • הימנעות מגלישה ברשתות פתוחות. כשאתם נמצאים בבית קפה או מסעדה ורואים שיש רשת אינטרנט פתוחה לשימוש זה אולי נראה מפתה, אבל אינכם יודעים אם לא מדובר ברשת שנוצרה במיוחד כדי לדלות פרטי משתמש. בכל מקרה, רשת פתוחה – גם ממקור "תמים" כמו המסעדה עצמה – עלולה לאפשר להאקרים לפרוץ למחשבכם.

כמה צפוי, ככה מסוכן

על פי מחקרים רבים, רוב התקפות הדיוג המוצלחות הוסוו כהודעות שהעובד או בעל העסק מצפה לקבל: הודעה על משלוח פריט, מייל ממחלקת משאבי אנוש או בקשה לשינוי סיסמה המגיעה ממחלקת ה-IT. אבל, יחי ההבדל הגדול: המייל כולל קריאה לפעולה כלשהי, מה שלעולם לא יקרה בפנייה אמתית של מוסד לגיטימי. בנק המבקש להודיע לכם על עדכון במצב חשבונכם לא יבקש מכם את מספר החשבון שלכם – המספר כבר נמצא אצלו. ואין שום סיבה שמיקרוסופט תבקש מכם את שם המשתמש והסיסמא או תרצה שתלחצו על קישור חיצוני.

קצה כתובת אתר לא יכול להתחפש

אחד האמצעים העיקריים שמסייעים לשכנע משתמשי מחשב תמימים ללחוץ על קישור שמגיע ממייל זדוני הוא התחפשות מוצלחת לכתובת של חברה מוכרת. רוב האנשים יסירו את מחסומי ההגנה שלהם כשיראו כתובת הכוללת שם של חברה מוכרת, כגון sender@microsoftemail.com או sender@microsoft.com.microsoftemail.com
. אבל למעשה מדובר כאן בתרמית פשוטה, מכיוון שמייל מחברת מיקרוסופט יגיע תמיד מהכתובת microsoft.com, שהיא בבעלות בלעדית של מייקרוסופט. לכן חובה לבחון תמיד את קצה כתובת האתר – במיקום הזה אי אפשר לרמות! דברים אלו חשובים לבדיקת כתובת השולח, וחשובים שבעתיים כשמדובר בקישור שמבקשים שתלחצו עליו. לכן גם חשוב לשים לב מהי הכתובת של האתר המהימן שאתם מכירים: whitehouse.gov הוא כתובת הבית הלבן, אבל whitehouse.org הוא אתר שונה לחלוטין.

לפעמים עדיף לרחף: אל תלחצו על קישורים!

ניסיונות מתוחכמים יותר יסוו גם את הקישור: אפשר ״לעטוף״ את הכתובת האמתית בכל טקסט שהוא. כפי שיודע כל מי שהכניס קישור לכתובת אינטרנט במסמך Word, יש ״טקסט לתצוגה״ שלרוב אינו זהה לכתובת שהוא מפנה אליה. הפתרון פשוט: יש לרחף עם העכבר (hover) מעל הקישור כדי לגלות את הכתובת. כך אפשר לראות שהקישור זה אינו מוביל לאתר הכנסת.

שגיאות כתיב? לא בבית ספרנו

אחד הדגלים האדומים הבולטים ביותר בהודעות ש״מתחפשות״ להודעות ממוסדות מוכרים הוא נוכחותן של שגיאות כתיב או שגיאות בבניית ההודעה. למשל, קישור כמו click here אינו הגיוני מכיוון שהמילה click אינה צריכה להיות חלק מהקישור. ובוודאי שחברה כמו פייסבוק לא תשלח ללקוחותיה הודעה עם שגיאות כתיב.

אל תתפתו ל״בהלת הדלת הסגורה״

המייל שהתחפש: איך לא ליפול בפח של הודעות דוא״ל זדוניותבגרמנית קיים ביטוי ידוע בשם  ״בהלת השער הסגור״ (Torschlusspanik) – הניסיון להלחיץ מישהו בתואנה שחלון
ההזדמנויות הצר הולך ונסגר. הטריק הידוע והמשופשף הזה כמעט תמיד עובד. נפילה בפח הזה עלולה לגרום לכם ללחוץ על קישור בהודעה שמגיעה, למשל, מתכנת הנהלת החשבונות שלכם ומבקשת מכם ללחוץ על קישור כדי לעדכן פרטים חשובים שנדרשים לשם קבלת הנחה בחישוב המס, או בהודעה שמגיעה מרשת חנויות הסלולר החביבה עליכם וכוללת קישור למבצע של 50% הנחה על הסמארטפון שאתם חושקים בו כל כך הרבה זמן.

לסיכום: החיפזון מהשטן

הרוב המכריע של הטעויות שגורמות לאנשים ליפול בפח של ״מיילים שהתחפשו״ נובע מחיפזון ומאי בדיקה מספקת. לרוב, אין צורך להיות מומחה אבטחת מידע: הודעות שמחופשות להודעות תמימות אינן כה מתוחכמות ובדיקה זהירה שלהן תגלה במהרה את התרמית. אבל בכל מקרה חובה לבדוק היטב לפני שלוחצים על קישור או מורידים קובץ, כדי שהמילה ״תחפושת״ תמיד תעלה בכם חיוך ולא כעס או חרטה.

ראו גם: שירותי מחשוב לעסקים | מחשוב ענן