המדריך המלא להונאות פישינג בארגון

צוות המומחים של  Mornex מביא לכם את המדריך להונאות פישינג, ישבנו וריכזנו את הונאות הפישיניג העיקריות כיצד הן מתבצעות ואיך ניתן להימנע מהן, אבטחת מידע שיש להקפיד עליה בסביבת הארגון:

מאת: שלומית חלי, 11 אפריל, 2019

נתחיל במה זה פישיניג?

פישינג  הוא סוג של הונאה באינטרנט כאשר פושעים שולחים הודעות דואר אלקטרוני שנראות כמקור לגיטימי לפניה מגופים זרים או ספקים מוכרים. הדוא”ל נועד להטעות את הנמען לדוגמא מנכ”ל חברה, מנהלת חשבונות או מזכירה בדר”כ ולגרום להם בכל מיני דרכים להזין מידע סודי של החברה (כמו: מספרי חשבון, סיסמאות,  ימי הולדת), ולהובילם לאתר מזויף על ידי לחיצה על קישור. הדוא”ל יכלול קישור או קובץ מצורף אשר מספיק שהנמענים  ילחצו פעם אחת, והמידע הרגיש יעבור לתוכנה זדונית. הפושעים באינטרנט ישתמשו במידע זה כדי לבצע הונאת זהות או למכור אותו לצד שלישי פלילי אחר. באופן מסורתי, התקפות פישינג מופצות באמצעות מאגרי ספאם מאסיביים מכוונים ללא הבחנה לקבוצות גדולות של אנשים. המטרה היא להטעות כמה שיותר אנשים בלחיצה על קישור ולגרום להם להורדת הקובץ הזדוני.תמיד יהיה אחוז של אנשים שילחצו על הקישור, אולם ככל שהציבור הרחב הפך מודע יותר להונאות התוקפים הפכו מתוחכמים יותר וממוקדים יותר בגישה שלהם מה שמביא אותנו לסוגי התקפות פישינג.

סוגי התקפות פישינג:

התקפות פישינג מגיעות בצורות רבות ושונות, אך החוט המקשר בין כולן הוא ניצולן של ההתנהגות האנושית. הדוגמאות הבאות הן צורות ההתקפה הנפוצות ביותר.

  1. פישינג חנית – הוא ניסיון ממוקד לגנוב מידע רגיש באופן ישיר, ובדרך כלל מתמקדת באדם מסוים או בארגון מסוים. סוגים אלה של תקיפה משתמשים במידע אישי הספציפי לאדם על מנת שייראה לגיטימי.פושעי האינטרנט יסתובבו לעתים קרובות באתרי מדיה חברתיים ובאתרי החברה כדי לחקור את קורבנותיהם. ברגע שיש להם הבנה טובה יותר של היעד שלהם, הם יתחילו לשלוח הודעות דוא”ל מותאמות אישית הכוללות קישורים אשר לחיצה אחת, תדביק למחשב תוכנה זדונית.
  2. פישינג מסוג Vishing   מתייחס להונאות פישינג שמתרחשות בטלפון. יש לו את האינטראקציה האנושית ביותר של בהתקפות פישינג, ודפוס שלו הוא  הטעיה. הפושעים יוצרים תחושה של דחיפות כדי לשכנע את הקורבן לחשוף מידע רגיש.השיחה תבוצע לעתים קרובות באמצעות מספר מזהה מזוייף, כך שזה נראה כאילו הוא מגיע ממקור אמין. תרחיש טיפוסי הוא:  scammer המתחזה לעובד בנק ןמתריע על  התנהגות חשודה בחשבון. ברגע שהם זכו באמון המתחזה יבקש מקורבן פרטים אישיים כגון פרטי כניסה, סיסמאות פינקוד וכו’… לאחר מכן ישתמש בפרטים כדי לרוקן חשבונות בנק או לבצע הונאת זהות.
  3. הונאת פישינג נוספת נקראת Whaling – מה שמבדיל את הקטגוריה הזו של התחזות מאחרים הוא בחירה ברמה גבוהה של יעד. התקפת לווייתנים היא ניסיון לגנוב מידע רגיש ולעתים קרובות הוא ממוקד להנהלה הבכירה. הודעות דוא”ל של ציד לווייתנים הן הרבה יותר מתוחכמות מהרצה של הודעות ספאם, וקשה הרבה יותר לזהות אותן. הודעות האימייל יכללו לעתים קרובות מידע מותאם אישית על היעד או הארגון, והשפה תהיה יותר ארגונית. הרבה יותר מאמץ ומחשבה להודעות דוא”ל אלה בשל הרמה הגבוהה של התשואה עבור cybercriminals.
  4.  סוג של פישינג נוסף נקרא Smishingp – הוא סוג של התחזות המשתמשת בהודעות SMS, בניגוד להודעות דוא”ל שממקדות לאנשים ספציפיים. זוהי דרך יעילה נוספת של עברייני אינטרנט tricking לגרום לאנשים לחשוף מידע אישי כגון פרטי חשבון, פרטי כרטיס אשראי או שמות משתמש וסיסמאות. שיטה זו כוללת את fraudster שליחת הודעת טקסט למספר הטלפון של הפרט, ובדרך כלל כוללת קריאה לפעולה הדורשת תגובה מיידית.
  5. אחרון חביב על המתחזים בהונאות פישינג הוא  Clone Phishing המקום שבו נשלח דוא”ל לגיטימי שנשלח בעבר ליצירת דוא”ל זהה עם תוכן זדוני. כתובת הדוא”ל המשוכפלת תופיע כאילו היא מגיעה מהשולח המקורי, אך תהיה גרסה מעודכנת שמכילה קישורים זדוניים או קבצים מצורפים.

Mornex תעזור לכם להימנע מכל תופעות אלו ע”י שירותי אבטחת מידע וסייבר

רוצים לשמוע עוד? צוות MORNEX מגיע להדרכות והרצאות להימנע בתופעות אלו אצלכם בארגון

לפרטים נוספים

079-9616161

אבטחת מידע וסייבר

 


 

דילוג לתוכן