כמה לחצו על ההודעה הזו? ומה הסיפור מאחוריה?
כנראה שבכל יום אתם מקבלים הודעות עם מידע הרלוונטי לכם - מהבנק, מקופת החולים וכמובן מהצבא. ככה חשבו גם המפקדים שנשלח אליהם מסרון, שמאחוריו הרבה יותר ממה שרק נראה לעין
בשביל אנשי הקבע בצה״ל, בוקר יום ראשון הזה לא התחיל כרגיל. בשעה 9:00 הם קיבלו לטלפון הנייד שלהם הודעה עם קישור, כביכול מחברת האשראי שלהם - מהסוג שכולנו מקבלים באופן שגרתי. מי שלחץ על הלינק הבין שנפל בפח שטמנו להם באגף התקשוב וההגנה בסב״ר, במסגרת תרגיל הדגל שפתח את שבוע הסייבר הלאומי בצה״ל.
באגף התקשוב וההגנה בסב"ר מסכמים את התרגיל בשביעות רצון. מתוך 40,000 אנשי קבע, 30% נכנסו לקישור. ירידה משמעותית ביחס לשנה שעברה, אז 50% מהמשרתים לחצו על הקישור. בנוסף, רבים בדקו את אמינות ההודעה ברשתות החברתיות, ו-42 אף פנו לחמ"ל של מערך הסייבר הלאומי ולחברת ישראכרט.
"מה שאנחנו עושים נקרא 'פישינג' - לדוג מידע בצורה מניפולטיבית. זו אחת השיטות הנפוצות לפרוץ למכשירי טלפון", מסבירה סא"ל א', קצינת ביטחון מידע.
"עושים את זה בדרך כלל על-ידי שליחת לינק מהונדס בצורה אמינה", היא ממשיכה, "הצד השני מברר מה הם הרגלי הגלישה והצריכה של האדם - באילו פלטפורמות הוא משתמש ואילו הודעות הוא מקבל בדרך כלל, וככה יוצרים הודעה דומה. בדרך כלל בתוך הלינק יבקשו פרטים אישיים, וברגע שהבן אדם מאמין ומזין אותם, אפשר לגנוב הכול".
למי שפתח את הקישור בתרגיל הנוכחי לא נגנבו הפרטים, רק הופיע באנר שמסביר מה המשמעות של לחיצה על קישורים בלתי מזוהים, ודרכים לזיהוי מוקדם של "פישינג". הבחירה במפקדים ובמשרתי הקבע אינה מקרית, מתארת סא"ל א': "למפקד יש אחריות להסביר לחיילים שלו את המשמעות של התופעה".
עשרה סימנים מחשידים לכך שמדובר ב"פישינג":
- כתובת השולח – ארגונים רשמיים שולחים הודעות מכתובות לגיטימיות של הארגון ולרוב לא מכתובת אחרת, למשל Gmail. כמו כן, צריכה להיות התאמה בין שם השולח לכתובת השולח.
- יצירת לחץ ותחושת דחיפות – בקשה לביצוע פעולות מידיות מתוך "דחיפות", היא טכניקה נפוצה שנועדה לגרום לאנשים לפעול מלחץ ולהטעות אותם.
- היעדר פנייה אישית – לרוב, ארגונים רשמיים משתמשים בשם הפרטי של הלקוח ופונים אליו באופן אישי. פנייה כללית כמו "לקוח יקר", עשויה להוות סימן מחשיד.
- נוסח חובבני – שגיאות כתיב וניסוח לקוי יכולים להעיד על התחזות. לרוב, ארגונים רשמיים לא שולחים הודעות עם שגיאות וטעויות.
- הבטחות מוגזמות – הודעות המכילות הבטחות, הצעות לפרס או הצהרות בלתי סבירות הן בדרך כלל חשודות ומזויפות.
- בקשה לפרטים אישיים – אלא אם נרשמת באופן ייזום לאתר או ביצעת רכישה באינטרנט, אין סיבה שיבקשו ממך פרטים אישיים כגון סיסמאות, קוד ופרטי כרטיס אשראי.
- שימוש בקישורים מקוצרים – בחלק מן המתקפות, נוטים להשתמש בקישורים מקוצרים כדי להסתיר את הכתובת האמיתית של הקישור. אבל לא כל כתובת מקוצרת היא 'פישינג'.
- הפניה לאתרים חיצוניים – אתרים מתחזים מנסים להטעות בעזרת כתובת הדומה לכתובת האתר האמיתי, אך שונה בסדר האותיות או המילים, ולפעמים כוללת טעויות איות קטנות. מומלץ לבחון היטב את הכתובת של האתר ולוודא שהגעת לאתר הנכון, במיוחד לפני מסירת פרטים.
- כתובת שגויה – את אמינות כתובת האתר ניתן לוודא באמצעות אתרים ייעודים לכך או באמצעות הצגת הכתובת האמיתית של האתר, על ידי מיקום העכבר על הקישור. בכל מקרה, אם האתר מוכר, מומלץ לגשת אליו באופן ייזום דרך הדפדפן ולא דרך קישור שהגיע בהודעה.
- קבצים מצורפים – מומלץ לבחון את פתיחת הקישור שהתקבל בדוא"ל או את הקובץ שמבקשים בקישור או את האפליקציה שמבקשים להוריד למכשירך. מומלץ לשים לב אם הבקשה מגיעה ממקור או מכתובת דואר אלקטרוני של שולח שציפיתם לו, אך לעיתים מה שצורף למייל עשוי להיות מזיק גם אם הגיע מדוא"ל מוכר. חשוב לשים לב אם מדובר בקובץ הרצה – קובץ שנותן פקודות למחשב בסיומת EXE. לעיתים קובץ הרצה מסתתר גם בקובץ שנראה לגיטימי.
בשנה שעברה התקיים תרגיל דומה למשרתי אגף התקשוב וההגנה בסב"ר. 50% מהמשרתים שקיבלו את ההודעה לחצו על הקישור, מה שהוביל לקמפיין הסברה גדול באגף. במסגרת הקמפיין התחילו להשתמש בצה"ל בפלטפורמה אחידה מול המשרתים, מסבירה סא"ל א': "פעם היינו שולחים את כל הסקרים וההודעות ממשתמשים שונים, הבנו שזה יוצר בלבול ושהחיילים לא יודעים אילו קישורים הם 'נקיים' ומותר ללחוץ עליהם".
בשבוע הקרוב האגף ימשיך לתרגל ולהסביר כיצד להתמודד עם התופעה. תתקיים הסברה אינטנסיבית על-ידי מנהלנים, הודעות וסרטונים, ואל תופתעו אם בקרוב תקבלו גם אתם קישור מחשיד.
"חשוב שניזהר ושנשים לב לקישורים חשודים לאורך כל הקמפיין. ׳פישינג׳ יכול להגיע לא רק בטלפון, אלא גם במייל וברשתות החברתיות. כל לחיצה על קישור יכולה להחזיר אותנו כמה צעדים אחורה במושגים של ביטחון מידע", מסכמת סא"ל א'.