יום חמישי, 28 בינואר 2010

מה זו הונאת פישינג ואיך לא ליפול קורבן


פישינג (Phishing), דייג מקוון, היא הונאת אינטרנט המיועדת לרמות משתמשים תמימים ברשת על מנת לקבל מהם פרטים אישיים אשר ישמשו לגניבת זהות. עברייני אינטרנט מיצרים אתרים המתחזים לאתרים נותני שירות לגיטימיים או אתרים המציעים שירותים מומצאים ומעודדים את המשתמש התמים בשיטות שונות להקליד פרטים אישיים באתר המזויף. פרטים אלה מגיעים בסופו של דבר לידיהם של עבריינים והם עושים בם כאוות נפשם על חשבון גולש האינטרנט התמים.
הונאות מסוג זה נפוצות מאוד בשנים האחרונות ובכל שנה אנו עדים לעליה באחוז המתקפות מסוג זה ועליה ברמת התחכום שלהן.

איך זה עובד?

הונאות פישינג בדרך כלל מתחילות באמצעות הודעת דואר אלקטרוני או מסר בתוכנת מסרים מיידים. המשתמש יקבל הודעה הנראית כהודעה מספק שירות לגיטימי כגון, בנק, חברת כרטיסי אשראי, חברת תקשורת וכדומה. הודעות אלו יציינו בדרך כלל שישנה בעיה כלשהי עם הפרטים האישיים של המשתמש והן יכילו קישור עליו יש ללחוץ על מנת לוודא פרטים אישיים. בלחיצה על הקישור המשתמש יגיע לאתר מזויף. עברייני אינטרנט יעשו הכל כדי לשכנע את הנכנסים לאתר כי הוא אתר רשמי ולגיטימי, אתרים אלו יראו דומים מבחינת המראה וה- URL לאתר הרשמי האמיתי שממנו כביכול נשלחה ההודעה. המשתמש שיכנס לאתר המזויף יקבל טופס למילוי פרטים אישיים (בדרך כלל בחלון קופץ) שיכולים לכלול - מס' תעודת זהות, סיסמאות, מספר חשבון בנק, מספר כרטיס אשראי וכן הלאה. במידה והמשתמש יפול בפח ויכניס את פרטיו הם ישמשו את הנוכלים המריצים את ההודעה לשם הפקת רווח על חשבון אותו משתמש.

אפשרות נוספת היא שבמקום התחזות לגוף רשמי קיים תופיע הצעה של שירות מומצא.  המשתמש אשר יקבל את ההודעה יקבל הצעת לשירות אטרקטיבי שקשה לסרב לו ואשר על מנת לקבלו כביכול יהיה עליו להזין פרטים באתר מזויף אשר כל מטרתו היא השגת פרטים אישיים של משתמשי אינטרנט במרמה.

בשנים האחרונות משתמשי האינטרנט הפכו למשתמשים נבונים יותר אשר ערים לעובדה כי יש להיזהר מהונאות שונות ברשת. כתוצאה מכך פחות אנשים נופלים בפח של הונאות הפישינג הרגילות. עברייני אינטרנט כמובן לא מתכוונים לוותר כל כך מהר על מקור רווח כה משמעותי ולכן הם משכללים את שיטותיהם. בתקופה האחרונה אנו עדים להונאות פישינג מזן חדש. נראה כי הפישינג הופך להיות אישי יותר ויותר. במקום לשלוח הודעות פישינג בכמויות גדולות לכלל משתמשי הרשת, נוכלים שולחים הודעות ממוקדות לארגון או קבוצה ספציפיים. סוג כזה של הונאת פישינג נקרא פישינג ממוקד (Spear Phishing). הונאת פישינג זו מתוחכמת יותר מכיוון שהודעות פישינג ממוקדות מגיעות כביכול מחבר ספציפי בקהילה או בארגון (שעבריינים הצליחו לקבל גישה לפרטיו, חשבון הדואר שלו, חשבון תוכנת המסרים המיידים שלו וכדומה) ונראות לגיטימיות לחלוטין. רשתות חברתיות כגון Facebook, MySpace ו- Twitter סובלות רבות מהונאות של פישינג ממוקד. כמות המידע הפרטי הנחשפת בהן הופכות אותן ליעד מבוקש בעיניהם של נוכלי אינטרנט ואופיין החברתי המאפשר פניה ממוקדת לקבוצות חברתיות וקהילות הופכים אותן לקרקע פוריה להונאות פישינג ממוקדות.

הדרך הטובה ביותר להימנע מלהפוך לקורבן של הונאות פישינג היא לדעת כיצד לזהות אותן.

כיצד מזהים הודעות פישינג?

  • הדבר החשוב ביותר הוא להבין כי גופים רשמיים ולגיטימיים לעולם לא יבקשו אימות פרטים באמצעות הודעות של דואר אלקטרוני, מסר בתוכנת מסרים מיידים או חלון קופץ. גופים רשמיים יבצעו עדכון פרטים או אימות פרטים באמצעות חשבון משתמש מאובטח הנמצא באתר הרשמי. במידה ועליכם לשנות סיסמא או פרטים והגוף הרשמי מעוניין לשלוח לכם מייל בנושא, התהליך יאותחל על ידכם באמצעות בקשת שליחת דואר מחשבונכם המאובטח באתר הרשמי. במידה ואתם מקבלים הודעה המבקשת מכם אימות פרטים ולא אתם יזמתם את שליחתה, סביר מאוד להניח שזו הודעת פישינג. 
  • במידה וקיבלתם הודעה בדואר האלקטרוני, תוכנת מסרים מיידים או חלון קופץ המבקשת מכם לאשר פרטים אישיים או  להכניס שם משתמש וסיסמא, לעיתים גם בצירוף אזהרות חמורות ביחס להשלכות של אי מילוי הפרטים אזי סביר להניח שזו הודעת פישינג. 
  • במידה ואתם מקבלים הודעה בדואר האלקטרוני, תוכנת מסרים מיידים או חלון קופץ המציעה לכם להירשם לשירות ועל מנת להירשם לשירות עליכם למלא טופס פרטים אישיים זו בהחלט יכולה להיות הודעת פישינג בייחוד אם ההצעה אטרקטיבית מעבר לגבול הסביר. רב השירותים הניתנים באינטרנט דורשים כפריט למילוי חובה  כתובת דואר אלקטרוני קיימת בלבד, במידה ואתם מתבקשים למלא פרטים נוספים במיוחד אם מדובר בפרטים של חשבונות אינטרנט אחרים, סיסמאות, פרטים אישיים מזהים וכדומה סביר להניח שזו הודעת פישינג. 

כיצד להתגונן?

  • אל תלחצו על קישורים או קבצים מצורפים בהודעות המגיעות ממקור לא ידוע. 
  • במידה ואתם מקבלים הודעה ממקור ידוע (שאתם מאמינים כי הוא ידוע) והנכם מועברים למילוי פרטים אישיים יש סבירות גבוהה כי נחשפתם להונאת פישינג. ליתר ביטחון סגרו את ההודעה ואת האתר אליו הועברתם ובדקו עם מקור ההודעה (חבר או גוף רשמי) את הלגיטימיות שלה. כמובן שאם ההודעה נשלחה מגוף רשמי אל תשתמשו בפרטי הקשר המופיעים בהודעה או בקישור לאתר המופיע בהודעה. בצעו חיפוש עצמאי ברשת, מצאו את האתר הרשמי של הגוף  וצרו קשר באמצעים המקובלים. 
  • אם יש לכם פרופיל ברשתות חברתיות:
    • הקשו על נוכלים ועברייני אינטרנט למצוא אתכם. דאגו שהפרופיל שלכם לא יהיה חשוף לכלל משתמשי הרשת. ברב הרשתות החברתיות ישנה אפשרות לקבוע את מידת החשיפה הרצויה. וודאו כי הפרטים האישיים שלכם חשופים לחברים קרובים בלבד. 
    • הקפידו בתהליך הוספת חברים שלא לאשר אנשים שאינכם מכירים.
    • כאשר אתם מצטרפים לקהילה או קבוצה ודאו כי היא אכן אמיתית ולגיטימית. ישנן ברשתות חברתיות קהילות וקבוצות מזויפות המריצות הונאות. 
    • במידה ואתם מוסיפים יישומים (Applications) לפרופיל שלכם הקפידו שלא לחשוף בתהליך ההרשמה ליישום פרטים אישיים או סיסמאות.
  • גרסאות חדשות של דפדפנים מציעות אפשרות של גלישה בטוחה, ב- Google Chrome וב-  3.5 Firefox זה נקרא "Safe Browsing" וב- IE8 זה נקרא "Smart Screen". במידה ואתחלתם את האפשרות הזו הדפדפן שלכם יזהיר אותכם במידה ותנסו לגלוש לאתרים החשודים בפישינג או אתרים המכילים תוכנות מזיקות. תוכלו לבחור בהגדרות הדפדפן האם למנוע לחלוטין גישה לאתרים אלו או האם לתת לדפדפן להציג אזהרה ולאפשר לכם לבחור האם להמשיך בגלישה.  ב- Firefox גם קיימים תוספים שונים (Addons) שפותחו ע"י חברות צד שלישי המונעים גלישה לאתרים מזיקים, הפופולרי ביניהם הוא WOT - Safe Browsing Tool
  • רצוי להתקין תוכנות אבטחה המגינות על המחשב האישי. בחלקן הגדול יש חבילה של בטיחות ברשת האינטרנט הכוללת גם ברב המקרים תוכנה נגד פישינג (אנטי-פישינג, Anti-Phising). תוכנה חינמית טובה היא AVG - Internet Security 9 והיא כוללת רכיב של אנטי-פישינג. בנוסף ניתן לרכוש חבילות מסחריות כגון -
          Norton Internet Security 2010 ,  Kaspersky Internet Security 2010 או
          Zone Alarm Extreme Security 2010 כולן מכילות רכיב של אנטי-פישינג.

    למי לדווח?

    במידה ונתקלתם בהונאת פישינג אתם יכולים לדווח עליה ל- Anti-Phishing Group - קבוצה בנלאומית ללא מטרות רווח שהוקמה ע"י מספר גופים בתחום האינטרנט ומטרתה להילחם בהונאות אינטרנט מסוג פישינג ופארמינג. כמו כן ניתן לפנות למשטרת ישראל ולדווח על חשד לפשע בטופס "ראית שמעת" או לפנות למפלג חקירות מחשב ביאח"ה.

    בנוסף אולי תאהב/י את זה:

    עשרה טיפים להגנה על המחשב האישי (הבלוג הזה)
    איך להגן על הפרטיות בפייסבוק (הבלוג הזה)


    אין תגובות:

    הוסף רשומת תגובה