מהו פישינג וכיצד ניתן למנוע אותו?

פישינג (דיוג) הוא סוג של הונאה מקוונת שבה תוקפים מנסים לפתות אתכם למסור להם פרטים אישיים, כמו סיסמאות, מידע פיננסי או מספרי זיהוי אישיים (PIN), על ידי התחזות לאדם או ארגון מהימנים. הם עשויים לעשות זאת על ידי שליחת דוא”ל, הודעת טקסט או הודעה במדיה חברתית שנראית כאילו היא מגיעה ממקור לגיטימי אבל למעשה היא מזויפת.

סוג זה של הונאה בדרך כלל פונה לרגשות של אנשים, מה שפוגע בכושר השיפוט שלהם. הונאות פישינג קיימות מאז ימיו הראשונים של האינטרנט, אבל זו עדיין אחת הצורות הנפוצות ביותר של מתקפת סייבר: היו יותר מ-225 מיליון התקפות פישינג באמצעות דוא”ל בשנת 2022 בלבד.

תוקפים בדרך כלל משתמשים בטקטיקות פישינג כדי להשיג כסף, כמו למשל לגרום בעורמה לאדם לבצע העברה בנקאית. אבל חלק מפושעי סייבר משתמשים בתוכנה זדונית כדי לקבל מידע נוסף על אדם או חברה שיכול להימכר באינטרנט. אימיילים הם הצורה הפופולרית ביותר של הונאת פישינג. חלק מההונאות מבוצעות ביסודיות מופתית ועשויות כל כך טוב עד שקשה לעלות עליהן ולזהות כי הן מזויפות.

ישנן דרכים רבות שבהן מבצעי פישינג יכולים לנסות לפתות אתכם למסור להם מידע רגיש או גישה למכשירים שלכם. הם עשויים להשתמש בפישינג של כתובת URL כדי לפתות אתכם ללחוץ על קישור או להוריד קובץ מצורף המכיל תוכנות זדוניות או תוכנות ריגול, שיכולות לספק להם גישה למחשב או לטלפון שלכם. הם עשויים גם לנסות לגרום לכם להזין את המידע הרגיש שלכם באתר מזויף שנראה לגיטימי אך נשלט על ידי התוקפים.

חשוב להיות זהירים כאשר אתם מקבלים בקשות חריגות למידע אישי או כאשר מבקשים מכם ללחוץ על קישור או להוריד קובץ מצורף מאדם שאינכם מכירים.

להלן טכניקות המניפולציה העיקריות שמבצעי פישינג משתמשים בהן כדי לפתות אתכם:

• הנדסה חברתית. התקפות הנדסה חברתית מסתמכות על אינטראקציה אנושית כדי לפתות לאנשים להפר או להימנע מנהלי אבטחה סטנדרטיים או למסור מידע רגיש. צורה זו של מניפולציה פסיכולוגית נועדה להשפיע על אדם לנקוט פעולה שעלולה לא להיות לטובתו.
• מניפולציית קישורים. סוג זה של התקפת איסוף מידע יוצרת מניפולציה באופן הנראות של קישור זדוני כדי להונות או להטעות קורבנות. אנשים עלולים בסופו של דבר ללחוץ על קישור שייתכן שאחרת לא היו לוחצים עליו.
• עקיפת מסננים. זוהי טכניקה לעקוף או להימנע ממסננים החוסמים או מגבילים גישה לתוכן מסוים באינטרנט.

מספר התקפות הפישינג המסוכנות עולה בצורה דרמטית מדי שנה. זאת מכיוון שפישינג הוא יעיל מאוד ודורש מאמץ מועט תוך יצירת רווח כספי משמעותי.

בואו נבחן מקרוב את הסכנות של פישינג:

• גניבת זהות. אם האקר מצליח להשיג את המידע האישי שלכם, הוא עלול להשתמש בו כדי לגנוב את זהותכם ולבצע הונאה פיננסית.
• אובדן כספי. האקרים עשויים לרמות אתכם ולגרום לכם לתת להם גישה לחשבונות הבנק או לכרטיסי האשראי שלכם, מה שמאפשר להם לגנוב כסף או לבצע רכישות לא מורשות.
• פגיעה במוניטין. אם האקר מצליח להשיג מידע רגיש, הוא עלול להשתמש בו כדי לפגוע במוניטין של חברה או אדם פרטי.
• אובדן מידע רגיש. מבצעי פישינג עשויים גם לסמן אתכם או ארגונים כמטרה כדי לגנוב מידע רגיש, כגון סודות מסחריים או קניין רוחני.
• התקנת תוכנות זדוניות. התקפות פישינג מסוימות עלולות לכלול הונאת אנשים להוריד תוכנות זדוניות, שאז ניתן להשתמש בהן כדי להשיג גישה למכשירים שלהם ולגנוב מידע.

היו מודעים לסכנות של פישינג וגלשו באחריות. היו זהירים בלחיצה על קישורים לאתרים זדוניים או בהורדת קבצים מצורפים ממקורות לא מאומתים. השתמשו תמיד בסיסמאות חזקות וייחודיות, ושמרו על עירנות.

למבצעי פישינג יש שיטות נוכלות רבות כדי לפתות את הקורבנות שלהם ללחוץ על קישור או להוריד קובץ זדוני. אבל אם תשימו לב, תוכלו להיות כמה צעדים לפני פושעי הסייבר. ישנן מספר דרכים לזהות התקפת פישינג:

• חפשו תחושת דחיפות בהודעה. רוב התקפות הפישינג מסתמכות על הפחד של אנשים להחמיץ משהו כדי להניע אותם לבצע החלטות מפוקפקות. עסקה מפתה וכדאית במיוחד שזמינה לזמן קצר מאוד עשויה להוביל מעריץ מושבע של מותג ללחוץ על הקישור בדוא”ל או ב-SMS שקיבל מבלי לעצור ולבדוק אם מדובר בעסקה לגיטימית.
• בדקו שגיאות כתיב ודקדוק. האם יש שגיאות דקדוקיות? האם הטון הכללי של ההודעה נשמע משונה? דברים אלה מצביעים על הונאת פישינג פוטנציאלית. חברות וארגונים לגיטימיים כותבים בדרך כלל בצורה רהוטה וללא שגיאות. בנוסף, בדקו תמיד אם יש מילים או שמות הכוללים שגיאות כתיב בקישורים. התקפת הנדסה חברתית הנקראת “typosquatting”, מכוונת לאנשים שעושים טעויות כתיב בעת הקלדת שמות דומיין.
• היזהרו מקבצים מצורפים או קישורים בלתי צפויים. סביר להניח שעסקים לא ישלחו ניוזלטרים, הודעות התראה בדוא”ל או הודעות אחרות עם קבצים מצורפים – אין להם סיבה לעשות זאת. היזהרו מקישורים זדוניים, במיוחד אם לא ציפיתם לקבל דוא”ל מסוים. לעולם אל תורידו ואל תפתחו אותם.
• היו חשדניים לגבי ברכות גנריות. הודעות דוא”ל זדוניות נשלחות לרוב לקבוצות גדולות של אנשים ועשויות להשתמש בברכות גנריות כגון “לקוח יקר” ולא בשמכם הפרטי.
• ודאו שאתם מכירים את השולח. אם שירות מסוים מעולם לא יצר איתכם קשר בעבר עם התראות על שינוי סיסמאות או שלח לכם הצעות מיוחדות שנראות טובות מדי מכדי להיות אמיתיות, סביר להניח שזה לא הוא שיוצר אתכם קשר עכשיו.

זכרו – הנוכלים הופכים למתוחכמים יותר, ושיטות הזיהוי הללו לא תמיד יעבדו. הישארו תמיד סקפטים כשאתם מקבלים אימיילים, הודעות או שיחות לא רצויות, לא משנה כמה מפתה זה נשמע. אתם יכולים גם לקחת את זה צעד אחד קדימה ולהשתמש בכלים לזיהוי פישינג.

נוכלים משתמשים בטכניקות פישינג רבות כדי לרמות את קורבנותיהם ולגרום להם למסור את המידע המאפשר זיהוי אישי שלהם. להלן הסוגים העיקריים של פישינג:

פישינג בדוא”ל הוא סוג של מתקפת סייבר המשתמשת בדוא”ל כאמצעי העיקרי להונאה. מטרת התקפת פישינג בדוא”ל היא לרמות את הנמען לבצע פעולה, כמו לחיצה על קישור, הורדת קובץ מצורף או מסירת מידע אישי.

התקפות המותאמות ומכוונות לאדם ספציפי נקראות התקפות פישינג ממוקד (חנית). לפני שליחת הודעת ההתחזות, התוקף חוקר את קורבן היעד שלו. הוא יכול לעשות זאת למשל על ידי איסוף מידע מהחשבונות הציבוריים של הקורבנות במדיה החברתית, דליפות מידע שאולי היו חלק מהן וכל דבר שההאקר יכול למצוא עליהם או על החברה בה הם עובדים. עם כל המידע הזה, פושע הסייבר יכול להעמיד פנים שהוא אמין – להתחזות לעמית לעבודה, חבר ותיק או נציג של שירות פופולרי שהקורבן משתמש בו לעתים קרובות.

סוג התקפה זה הוא צורה נוספת של פישינג ממוקד שבו התוקף מתחזה להיות אדם בעל מעמד או חבר בכיר בחברה: מנהל בכיר, חבר דירקטוריון, בעל מניות עיקרי וכו’. קשה יותר להתחזות לאלה, ולכן פושע הסייבר צריך להשקיע הרבה יותר עבודה ביצירת הדמות כדי לגרום לזה להיראות אמין. עם זאת, מכיוון שלחברים בכירים יש יותר השפעה בחברה, הרווחים בדרך כלל גדולים בהרבה. העובדים שלהם מעבירים כספים או מוסרים מידע סודי מבלי לשאול יותר מדי שאלות

התוקף צריך דרך לעקוב מקרוב אחר תיבת הדואר הנכנס של הקורבן כדי שסוג זה של פישינג יעבוד. הוא לוקח הודעת דוא”ל שהתקבלה לאחרונה (רצוי עם קישור או קובץ מצורף) ויוצר שכפול שלה. רוב הדוא”ל נשאר אותו הדבר, אבל הקובץ המצורף מכיל תוכנות זדוניות, או שהקישור מפנה לאתר מזויף.

התקפות פישינג דרך הטלפון מסתמכות במידה רבה על הנדסה חברתית, ויוצרות מצבי לחץ שדוחפים אנשים לפעול בלי לחשוב. תוקפים מנסים לעתים קרובות להתחזות לגורם לגיטימי ולהפחיד את הקורבנות שלהם בטענה שמישהו ניסה להשתמש בכרטיס האשראי שלהם, או שהם שכחו לשלם קנס וכו’. למרבה הצער, הם לעתים קרובות מצליחים. כשאנשים נותנים לרגשות לשבש את כושר השיפוט שלהם, הם מוסרים פרטי בנק ופרטים אישיים אחרים מבלי לחשוב על כך.

Smishing, או פישינג ב-SMS, היא טכניקת פישינג המתרחשת כאשר נוכל שולח הודעת SMS שנראית כאילו הגיעה מארגון אמין בעל מוניטין. ההודעה עשויה לבקש מהנמען ללחוץ על קישור כדי לספק מידע אישי או לאשר פרטי חשבון. הקישור בהודעה עשוי להוביל לאתר שנראה לגיטימי אך הוא למעשה אתר פישינג שנועד לגנוב מידע אישי.

פישינג Angler היא טכניקת פישינג חדשה המתרחשת ברשתות חברתיות. התוקפים מתחזים לנציגי תמיכת לקוחות ברשתות חברתיות כדי לרמות קורבנות ולגרום להם למסור את הנתונים האישיים או את פרטי החשבון שלהם.

מתקפת פישינג באמצעות היומן משתמשת בהזמנות ליומן כדי לפתות אנשים ללחוץ על קישור זדוני. התוקף ישלח לקורבן הזמנה ליומן, והאירוע יכיל קישור לאתר זדוני. הקישור מוביל לאתר פישינג או לאתר שיתקין תוכנה זדונית על מכשיר הקורבן.

אם נפלתם קורבן להונאת פישינג או אתם חושדים כי מדובר בהונאה, חשוב לפעול מהר ככל האפשר. להלן מתואר מה עליכם לעשות אם קיבלתם הודעת פישינג בדוא”ל ומה לעשות אם נפלתם קורבן להונאת פישינג.

אם קיבלתם הודעת דוא”ל או הודעה המבקשת ללחוץ על קישור או להוריד קובץ מצורף, ודאו שאתם מכירים את השולח או את החברה המנסה ליצור איתכם קשר, והמשיכו רק לאחר בדיקה תחילה.

אם קיבלתם הודעת דוא”ל מחברה שאתם מכירים, נסו ליצור איתה קשר באמצעים אחרים. חפשו את מספר הטלפון של החברה או כתובת דוא”ל רשמית ושאלו אם ההודעה שקיבלתם היא לגיטימית.

אם אין לכם קשר כלשהו עם החברה ששלחה לכם את ההודעה, קראו את הפסקה לעיל המסבירה “כיצד לזהות התקפת פישינג?” וחפשו את הסימנים להתקפת פישינג. אם האימייל חשוד, הקפידו לדווח על ניסיון הפישינג ולאחר מכן מחקו את ההודעה. אם פתחתם בטעות הודעת פישינג, אל תלחצו על שום קישור, דווחו עליה ומחקו אותה מיד.

גם אם אתם מכירים את הסימנים הנפוצים ביותר להונאת פישינג, היום קיימים אתרים מזויפים כל כך מתוחכמים שאתם עלולים למסור את המידע האישי או הפיננסי שלכם מבלי להבין שמדובר בהונאה.

עליכם להגיב מיד אם הזנתם את פרטי הבנק שלכם לאתר זדוני שאליו נשלחתם מאימייל פישינג. צרו קשר עם שירות הלקוחות של הבנק שלכם ודווחו על האירוע. הם ינקטו צעדים נגד השימוש הלא חוקי בפרטים שלכם.

אם מסרתם מידע אישי כמו מספר תעודת זהות, פרטי קשר או כתובת מגורים, גשו מיד לתחנת המשטרה או הגישו תלונה במשטרה אונליין.

• השתמשו במסנני דואר זבל. הדרך הטובה ביותר להימנע מהודעות פישינג היא למנוע מהן להגיע לתיבת הדואר הנכנס שלכם. צעד זה יגן עליכם מפתיחה בטעות של הודעת דוא”ל עם קישורים וקבצים זדוניים. להגנה ואבטחה נוספת, קיימים כלים שנוצרו למניעת פישינג
• השיגו מסנן קבצים מצורפים. תכונת Threat Protection Pro של NordVPN מיועדת להגן עליכם מפני ניסיונות פישינג. זוהי תכונת אבטחה ששומרת עליכם בעת גלישה ומגנה עליכם מפני תוכנות זדוניות. היא סורקת את הקבצים שלכם במהלך ההורדה וחוסמת תוכן זדוני לפני שהוא מגיע למכשיר שלכם.
• למדו לזהות התקפות פישינג. אתם יכולים ללמוד לזהות הודעות פישינג בקלות עם קצת תרגול. אפילו הדברים הקטנים חשובים – אם המנהל שלכם תמיד מסיים את האימייל שלו ב”תודה!” אבל פתאום הוא כותב “בברכה”, עדיף לבדוק מולו פעמיים. בכל הנוגע לסודות החברה וסכומי כסף גדולים, הקפידו להיות זהירים יותר מתמיד.
• עדכנו את התוכנה שלכם. חשוב מאוד והכרחי לשמור על התוכנה שלכם מעודכנת לטובת ההגנה שלכם מפני פרצות אבטחה והתקפות סייבר. עדכוני תוכנה כוללים בדרך כלל הגנה מפני גורמי איום עדכניים
• השתמשו במנהל סיסמאות. צרו ואחסנו סיסמאות מורכבות וייחודיות עבור כל אחד מהחשבונות המקוונים שלכם.
• תמיד נקטו במשנה זהירות. היו סקפטיים, ואל תהססו לאמת את האותנטיות של כל אימייל או אתר אינטרנט. צרו קשר עם החברה או האדם שממנו היה אמור להגיע האימייל באמצעים אחרים כדי לאמת שאכן מדובר בהודעה אמיתית.