סערות פוליטיות הן קרקע פורייה לפעולות זדוניות במרחבי הסייבר. למרות שמדובר באיום שתמיד נמצא מתחת לפני השטח, כשהדיונים ברשת הופכים סוערים והרשת גועשת מויכוחים, הסכנה גדלה פי כמה והדרך למתקפות סייבר מתקצרת. האקרים וגורמים זדוניים מנצלים את בליל המידע והעניין שצף במרחבי הרשת ותופסים עליו טרמפ כדי לנצל את המצב הרגיש בו המשתמשים נמצאים. זה יכול להיות במסווה של תוכן בעד או נגד המחאה, שיכיל לינק לחתימה על עצומה או הצטרפות לכנס, וכשתלחצו עליו תגלו שהתקנתם על המכשיר שלכם תוכנת כופר או רוגלה.
אירועים עם נפיצות אקטואלית גבוהה כמו הקורונה וההפיכה המשטרית תמיד היו קרקע פורייה למתקפות מסוג זה. האירוע כמובן אינו משנה לגורם המאיים, הכול מבחינתו תפאורה למטרה עצמה. בין אם זו הרפורמה בישראל, נפילת הבנקים בארה"ב, או מגיפה עולמית, אירועים אלו משפיעים ישירות על התגובתיות והסקרנות של המשתמשים, וזה עלול להוביל להורדת המגננות הרגילות.
מה הם האיומים הקיימים כיום, וכיצד ניתן להתגונן מפניהם ?
Phishing - דיג
שולח הודעת הפישינג ינסה להישאר אמין ככל הניתן על ידי ניסוח ועיצוב המייל באופן שדומה מאוד למקור, כולל תמונות, חתימות, וקישורים לגיטימיים בתוכן ההודעה. מטרת המייל היא לרכוש את אמון הנתקף ולהוביל אותו לתוכן הזדוני, בין אם באמצעות קישור או קובץ מצורף.
מה יעשה התוקף? זה תלוי מאוד במטרות שלו. יש תוקפים שיסתפקו בפרטי האשראי והסיסמאות השמורות שלכם. אחרים ישביתו את ערוצי ההפצה שלכם וימכרו את החשבונות שלכם לגורמים זרים, או ינסו להשיג דריסת רגל במקום העבודה שלכם - ודרככם לתקוף את הארגון כולו.
CEO FRAUD
מודל תקיפה ידוע הוא התחזות לדמות שיש לנתקף היכרות מוקדמת עימה. למשל, התוקף עשוי להתחזות למנכ"ל החברה ולצאת בהצהרות שערורייתיות בנוגע להפיכה המשטרית, בתקווה שהבלבול ופאניקה הרגעית תגרום לעובדים ללחוץ על הקישור הזדוני, ושעד שהם יבינו שמדובר בתרמית, כבר יהיה מאוחר מידי.
BEC - BUSINESS EMAIL COMPROMISE
במקרה שבו חבר לעבודה נפל קורבן למייל פישינג, תיבת המייל הארגונית שלו עלולה לשמש כפלטפורמה בשימוש התוקפים. סוג זה של מתקפה הוא חלק ממה שמכונה BEC - המתאר מספר תרחישים הקשורים לפישינג פנימי למטרות מרמה, העברת כספים ועוד. אנחנו נזהרים ממיילים לא מוכרים, אבל איך אנחנו עם כאלו שמגיעים מתוכו?
MOBILE FRAUD
בדומה להודעות שמופצות היום לגבי חבילות של דואר ישראל, תוקפים עלולים לשלוח SMS בנושא הרפורמה עם קישור לאתר זדוני. בזמן שמטרת ההודעות של "דואר ישראל" היא גניבת פרטי אשראי, תוקף עלול להוביל אותנו לנוזקה בדמות אפליקציה לגיטימית, וזו מסוגלת למשוך פרטים ממכשיר הסלולר ישירות לתוקף.
איך להתגונן ממתקפות סייבר?
לרוב, עצם פתיחת הדואר אינה מהווה הצלחה לתוקף, על הקורבן ללחוץ על לינק, להוריד קובץ, או לספק פרטי התחברות. יש להיזהר מכל קישור לא מוכר. קבצים מצורפים צריכים להדליק נורת אזהרה נוספת, ואין ללחוץ על כל קישור לקובץ לא מוכר.
ואם כבר פתחתם קובץ, לרוב אפליקציות כמו וורד או אקסל מגיעות עם שכבת הגנה בסיסית מפני נוזקות. התוקפים מודעים לזה היטב ועלולים להוביל את הקורבן לאפשר להם להריץ קוד דרך ביטול המגננות. לחיצה על "אפשר תוכן" (Enable Content) היא מבחינת ניצחון לתוקף, שכן כרגע הגיע למצב שהקוד הזדוני הורץ בהצלחה. עלינו להמנע מביטול כל מנגנון כזה או אחר באפליקציות אלו מכל גורם לא מוכר.
מה קורה כאשר המייל והתוכן מגיעים ממישהו מתוך הארגון?
ניתן ואף רצוי לוודא עם השולח בפלטפורמה שונה מזו שבה קיבלנו את המייל, במקרים רבים כלל אנשי הקשר של אותו צד יקבלו גם הם את ההודעה. גם כאן רצוי לזכור לא לבטל שום מנגנון אבטחה או לאפשר לתוכן חיצוני לפעול ללא ודאות שהשולח אכן אישר את השליחה.
יש לשים לב לתיבת המייל ממנה נשלח הדואר, האם היא אמיתית? לרוב תוקפים ינסו להתחקות ככל הניתן אחרי הכתובת האמיתית, אך מבט נוסף יוביל אותנו לגלות נקודה, מקף או סימן קריאה שלא אמור להיות שם, או שאיות השם יהיה שונה מהרגיל. כל אלו עלולים להעיד על ניסיון פישינג.
כפי שציינו, במתקפות מסוג אלו לרוב נקבל קישור מקוצר. בעזרת אתר חינמי כמו unshorten.me, נוכל לברר מה הכתובת האמיתית אליה מנסים להעביר אותנו.
בחזרה לכתובת מהודעת "דואר ישראל", נוכל לגלות שהקישור לא מוביל לשום דבר שקשור לדואר ישראל:
ולסיכום - מודעות
מתקפות מהסוגים שצוינו כאן קורות בישראל ובעולם כל יום. בחלק גדול מהן, ההבדל בין פעולה מוצלחת לכושלת נמדד במודעות אישית וערנות של העובדים. הדגש האמיתי הוא לא על הנושא - היום זו הרפורמה, מחר זה וארינט חדש לקורונה - אלא על הרצון התמידי של גורמים עוינים לנצל מצבים כאלו כדי לגרום לנו לפעול 'מהבטן', ולא 'מהראש' ובכך להסיר את המגננות הרגילות שלנו.
אביעד הסניס הוא CTO סמנכ"ל טכנולוגיות בחברת הסייבר סיינט (Cynet),