פישינג היא דרך פופולרית מאוד לגנוב נתונים ממשתמשי אינטרנט, מכיוון שהיא אינה דורשת עלויות כספיות גדולות ומהווה כלי אוניברסלי - יותר חברתי מאשר טכנולוגי. הודות לכך, רמאי או קבוצה של אנשים דומים יכולים להסתגל במהירות לדרך עבודה חדשה. רמאים בימינו גם יודעים הרבה ומשפרים כל הזמן את כישוריהם.
אני בטוח שרובכם שמעתם ונתקלתם בדיוג, אבל במקרים רבים עברתם בלי להבין מה זה וכמה זה מסוכן. היום אנסה להרחיב את הידע שלך, ואספר לך עד כמה דיוג מסוכן, איך לזהות אותו ואיך להגן על עצמך מפניו.
מה זה פישינג?
ההגדרה הפשוטה ביותר של פישינג היא שמדובר בשיטת הונאה שבה פושעים, המתחזות לנציגים של מוסדות אמינים, דורשים נתונים סודיים, לרוב - סיסמאות לכניסה לשירותי בנק אלקטרוני, רשתות פנימיות של חברות, כמו גם מספרי כרטיסי תשלום ודואר אלקטרוני. כתובות. דואר
לשם כך, התוקפים משתמשים בתוכנות זדוניות ומנסים להשתמש בהנדסה חברתית כדי לאלץ את הקורבנות לבצע פעולות מסוימות שיעזרו להם להגיע לתוצאה הרצויה. התקפות המכוונות למשתמשים רגילים הן פשוטות יחסית, אבל פושעי סייבר משתמשים יותר ויותר בטכניקות דיוג מתוחכמות יותר הדורשות איסוף מידע על קורבנות כדי להרגיע אותם לשחק לפי הכללים שלהם.
איך עובד דיוג?
פישינג, שבו אנו עוסקים בדרך כלל, מורכב משליחת מיילים או SMS בעיצוב מיוחד לקורבנות פוטנציאליים. הם מכילים קישורים לאתרי אינטרנט זדוניים שבהם המשתמשים באינטרנט נדרשים לספק מידע רגיש, שהוא בדרך כלל כניסה וסיסמה לאתר בנקאות אלקטרונית. בכך אתה מאפשר לרמאים לגנוב כסף מהחשבונות שלך. לגרום לקורבן לעשות זאת הוא האתגר הגדול ביותר, ולכן פושעי סייבר מעלים כל הזמן תוכניות חדשות לביצוע תוכניותיהם. לאחרונה, השיטה הנפוצה ביותר של פישינג היא מיקרו-תשלומים.
בהודעות זדוניות ניתן "לברר" על חבילת שירותים מושעה, מכירה פומבית חסומה באתר ההצעה, אי התאמה בגובה החשבון, פיגורים בפיקוח המס או מול ספק האנרגיה שיגרמו להן השלכות לא נעימות. בשבילך. ניתן להעביר לא מספיק כספים דרך אתר התשלום המהיר המקושר בהודעה. עם זאת, הוא מפנה לאתר שנראה דומה בצורה מטעה לאתרים פופולריים כמו PayPal או DotPay. והנתונים המוזנים בו עוברים לעבריינים, מה שמאפשר להם להיכנס לחשבון הנפגע בשירות העסקאות ולהעביר כספים לחשבונותיהם.
כפי שניתן לראות, המנגנון הזה מאוד פשוט, אבל הבעיה הכי גדולה של הרמאי היא לגרום לקורבן לספק נתונים, ולכן אנחנו כל הזמן מתמודדים עם קמפיינים חדשים של פישינג. פושעי סייבר לא תמיד מאיימים על תוצאות לא נעימות. שיטה פופולרית היא גם הפצת מודעות באמצעות פרסומות המוצבות באתרי אינטרנט וברשתות חברתיות עם פרסים אטרקטיביים, עם אפשרות להרוויח הרבה כסף במהירות או אפילו לקבל ירושה מאיזה מיליארדר קנייתי, אמריקאי או סקוטי (בחר במדינה שלך) שנפטר. , מיהו קרוב משפחתך הרחוק. במקרה האחרון, תמונות של אישים מפורסמים (כמובן, ללא הסכמתם) משמשים לעתים קרובות כדי לשכנע את האותנטיות של ההונאה.
עם זאת, פישינג הוא לא רק גניבת נתונים אישיים של משתמשי אינטרנט רגילים. בדרך זו, הרמאים מנסים יותר ויותר לשכנע את עובדי החברה לספק להם כניסה וסיסמה לרשת הפנימית של החברה או להתקין תוכנות זדוניות. היא תעניק להם גישה פתוחה למאגר המידע של החברה או הארגון ותוביל לגניבת מידע שונים.
קרא גם: 5 טיפים פשוטים: כיצד ליצור ולנהל סיסמאות
הדיוג הממוקד המוזכר לעיל משמש לרוב למטרות ספציפיות. שיטה זו מורכבת מכך שפושעים בוחרים באדם ספציפי מצוות החברה וממקדים בו את תשומת לבם, ומאלצים אותו לשחק במגרש שלו. רואי חשבון, מזכירות ועובדים בעלי גישה למאגר נמצאים באזור סיכון מיוחד. פושעים מבלים חודשים באיסוף מידע על האדם הזה ומשתמשים בו כדי לגרום להונאה להיראות אמינה ככל האפשר. לפעמים רמאים אפילו מעמידים פנים שהם מפקחים או צוות תמיכה, ומאלצים את המשתמש להתקין תוכנות זדוניות במחשב האישי שלו. סוג זה של פישינג קשה יותר לפענוח מכיוון שהוא מותאם אישית, מה שבהחלט מקשה על מציאת התוקפים.
קרא גם: אדוארד סנודן: מי הוא ומה ידוע עליו?
יותר ויותר ארגונים מתמודדים עם בעיה זו. הדרך הטובה ביותר למזער איום כזה היא עדיין להכשיר ולהודיע לעובדים כדי שלא יהפכו לקורבנות של פושעים מתוחכמים. נכון לעכשיו, זוהי שיטת ההגנה הטובה ביותר מפני פישינג, שכן תוכנות אנטי-וירוס יכולות לפעמים לזהות קובץ מצורף זדוני בהודעת דואר אלקטרוני או לחסום אתר מזויף, אך הן לא עושות זאת בכל המקרים. השכל הישר ועקרון האמון המוגבל הם כלי הנשק הטובים ביותר במאבק בהונאה.
כיצד לזהות הודעות דיוג?
לא תמיד קל לחזות את מעשיהם של רמאים, אבל אם לא נרשה לעצמנו למהר ולגשת ברוגע לכל הודעה וחשידה במיוחד, נבדוק את מספר המרכיבים שלה, אז יש לנו סיכוי טוב שלא נהיה קורבן של פישינג. להלן כמה דוגמאות להודעות זדוניות. הם יפרטו את המרכיבים העיקריים של התקפות דיוג שאמורים לעזור לך לזהות אותם.
שימו לב לשולח ההודעה
ברוב המקרים, הרמאים לא מתאמצים להסתיר את הכתובת שממנה מגיעות ההודעות הזדוניות, או מתחזים בצורה מגושמת לספק שירות מהימן. הדוגמה שניתנה מראה בבירור כי השדה "מאת" אינו מכיל כתובת מתחום הבנק, כפי שטוענים פושעי סייבר. במקום זאת, תוכל למצוא את הדומיין *.com.ua או *.org.ua במקום *.ua, המשמש את המוסדות הפיננסיים הפועלים באוקראינה. לעיתים רמאים ערמומיים יותר ומשתמשים בכתובות הדומות לשירותים שהם מתחזים, אך נבדלות מהמקור בפרטים קטנים, כמו תוכן המכתב או ביאורים אליהם.
בדוק את הכתובת של הדף המקושר
יש לשים לב במיוחד בהודעות דואר אלקטרוני לכתובות של הדפים שאליהם הם מפנים. בניגוד למראית עין, אתה לא צריך ללחוץ עליהם כדי לראות לאן הם לוקחים אותך. פשוט רחף מעל הקישור והמתן עד שהדפדפן או תוכנית הדוא"ל שלך יציגו את כתובת האתר המוסתרת מתחת לטקסט. יש להקדיש תשומת לב מיוחדת לאתרים שאינם קשורים לשירות הניתן.
קח את הזמן
חיפזון הוא אף פעם לא עוזר טוב. כך גם לגבי ניתוח ההודעות שהתקבלו המגיעות לדואר שלנו. פושעים מנסים לא פעם לגרום לקורבנות פוטנציאליים למהר וכמובן על מנת לעורר טעות. הם מנסים כמיטב יכולתם להגביל את מסגרת הזמן של המבצע או ההגרלה כאשר תקבל את הפרס או הפרס המזומן שלך.
במקרים מסוימים, רמאים אף מאיימים לחסום את החשבון בכל שירות. אל תלך שולל על ידי זה ותמיד בדוק היטב הודעות חשודות. זכרו שגבינה חינם אפשר למצוא רק במלכודת העכברים. בנוסף, לא סביר שמארגני הגרלות ומבצעים יחסמו את חשבונך. הם צריכים מנויים ומעריצים למבצעים אחרים כמו זה.
לבקש נתונים סודיים היא תמיד הונאה
עיקרון האבטחה העיקרי בתקשורת האלקטרונית של נותני השירותים ולקוחותיהם הוא אי שליחת נתונים חסויים בהתכתבות. אם תתבקשו להזין פרטי כניסה וסיסמה לשירות בגלל שהחשבון שלכם נעול או משהו דומה, אתם יכולים להיות בטוחים שההודעה נשלחה על ידי עבריינים. עם זאת, אם יש לך ספקות, אנא צור קשר עם הספק שלך, למשל ספק השירות הטלפוני שלך, אשר יבהיר לך כל ספק. זכור, לא לבנקים, ולא למפעילי סלולר או לשירותים אחרים יש את הזכות לאלץ אותך לשלוח להם נתונים אישיים.
קרא גם: מדוע כיום עדיף לא להיכנס לאינטרנט ללא VPN
קשיי תרגום
חלק נכבד מקמפיינים של פישינג מוכנים על ידי פושעים זרים שאין להם מושג על השפה שלנו. הם משתמשים בשירותים מקוונים כדי לתרגם את התוכן של הודעות דואר אלקטרוני לרוסית או אוקראינית, מה שלעתים קרובות מתברר כמצחיק למדי. הודעות כאלה אינן חפות מטעויות דקדוקיות, חסרות בהן סימני פיסוק והרבה מילים שנכתבו בצורה לא נכונה. אם אתה מבחין במשהו כזה, אתה מוזמן למחוק את ההודעה.
היזהרו מקבצים מצורפים
פושעים גם משתמשים בתוכנה זדונית כדי לגנוב נתונים רגישים או לפרוץ למחשבים ולרשתות שלמות. מנגנון הפעולה זהה, והוא ניסיון לשכנע את הקורבן לפתוח התקשרות זדונית. לרוב, הם מוסתרים בארכיוני ZIP או RAR והם בצורת קבצי EXE או BAT הניתנים להפעלה. עם זאת, קוד זדוני יכול להיות מוסתר גם בפקודות מאקרו של מסמכי תוכנית Microsoft Office או Google Docs, אז כדאי לשים לב אליהם ולסרוק אותם עם תוכנת אנטי וירוס לפני ההפעלה.
אם תשימו לב לאלמנטים הללו בעת ניתוח הודעות חשודות, סביר להניח שלא תלכו שולל על ידי פושעים.
איך להגן על עצמך מפני פישינג?
למרבה הצער, אין כלי כזה שיבטיח רמה גבוהה של הגנה מפני רמאים מסוג זה. כדי למנוע דיוג, עליך להשתמש במספר אלמנטים. החשובים שבהם הם שכל ישר וביטחון מוגבל בכל הודעה. זכרו, אנחנו בחזית המאבק בפושעים וזה תלוי רק בכם באיזו יעילות אתם יכולים להתנגד להם.
כמו כן, מומלצות תוכנות אנטי-וירוס, למרות שהן לא יוכלו לדעת אם הודעת דואר אלקטרוני שנצפה היא דיוג. אבל הם יוכלו לחסום כמה אתרים מסוכנים וקבצים מצורפים. אני בטוח שתוכנת אנטי וירוס בהחלט תעזור לך להגן על מחשבים ונתונים אישיים.
קרא גם: 10 התוכניות הטובות ביותר לאחסון סיסמאות
כמו כן, חשוב להשתמש בתוכנות עדכניות, בפרט מערכות הפעלה, מכיוון שפגיעויות חדשות ובעיות אבטחה מתגלות כל הזמן על ידי מפתחים ומנטרלות. זכור שרק שימוש בגרסאות האחרונות של מערכת ההפעלה מבטיח עדכוני אבטחה בזמן.
זה גם נוהג טוב להשתמש באימות דו-שלבי של זהות המשתמש בשירותי אינטרנט. הוא נמצא בשימוש נרחב בבנקאות אלקטרונית, אך זמין במספר הולך וגדל של שירותים ואתרי אינטרנט. אימות דו-שלבי (או דו-רכיבי) מורכב מהזנת קוד נוסף בנוסף לסיסמה המסורתית ולכניסה
קוד הכניסה עשוי להישלח אליך בדוא"ל, ב-SMS או ליצור על ידי אפליקציה שסופקה על ידי ספק השירות שלך. יש גם אפליקציות של צד שלישי המאפשרות לקשר חשבונות עם אתרים רבים ולייצר קודים במקום אחד, למשל בסמארטפון.
עם זאת, הצורה הנוחה ביותר של אימות דו-שלבי היא מפתחות אבטחה U2F פיזיים, המבטלים את הצורך לרשום סיסמאות וקודים במחברת. כל שעליך לעשות הוא להכניס את המפתח ליציאת ה-USB של המחשב, ובכך ליצור קשר עם השירותים הנתמכים לקבלת הרשאה.
פישינג הוא איום עצום מכיוון שלפי מחקרים מסוימים, הוא לא רק הסיבה של משתמשים רבים להפסיד כסף, אלא גם הסיבה העיקרית לדליפה של נתוני החברה. עם זאת, כפי שהראינו במאמר זה, ברוב המקרים קל לזהות ולמנוע את כוונותיהם של פושעי סייבר.
קרא גם: Google Chrome נייד על סטרואידים: הפעל 5 תכונות נסתרות