פישינג נחשבת לאחת מטקטיקות פשעי הסייבר הנפוצות ביותר כרגע. דיוג יכול להיות קל להחריד לביצוע ועלול לגרום להדבקה במכשיר ולגניבה של נתונים רגישים במיוחד. יתרה מכך, כמעט כולם נמצאים בסיכון ליפול קורבן להתקפת פישינג. אבל מה זה בעצם? איך עובד דיוג? והאם אתה יכול להתרחק מזה?

ההיסטוריה של דיוג

ניתן לאתר את פעולת הדיוג לאמצע שנות ה-90, כאשר מחשבים נראו ועבדו בצורה שונה מאוד מאלה שאנו משתמשים בהם כיום. בזמן הזה, AOL (אמריקה אונליין), שירות חיוג אמריקאי פופולרי, היה ספק האינטרנט המועדף עבור רבים. זה הפך אותו למטרה מרכזית עבור דיוגים, שבחרו להתחזות לצוות AOL כדי לגנוב פרטי כניסה יקרי ערך מקורבנות.

חמש שנים מאוחר יותר, יותר מ-50 מיליון מחשבים נדבקו במשהו הידוע בשם באג האהבה. זה היה וירוס שהתפשט בין מכשירים באמצעות הנדסה חברתית. כפי שהשם מרמז, התכסיס הזה נשען על פיתוי האהבה להונות קורבנות. יעדים יקבלו אימייל עם קובץ מצורף שהשולח טען שהוא מכתב אהבה. אנשים סקרנים בחרו לפתוח את הקובץ המצורף הזה אבל לא הבינו שהם מפנים את מקומם להונאה מסוכנת.

וירוס Love Bug ישכפל את עצמו כדי להתפשט, מה שהופך אותו ל-A סוג של תולעת מחשב

instagram viewer
. זו הייתה גם גרסה מואצת של באג קודם שנוצר על ידי העבריין, שהיה מסוגל לגנוב סיסמאות. גרסה חדשה זו של הנגיף הצליחה להשתמש בסקריפטים של Visual Basic ב-Outlook כנקודת כניסה, אשר לאחר מכן אפשרה למפעיל לפרוץ לחשבונות אימייל של קורבנות ולשלוח מיילים פישינג לכל מי שנמצא בכתובת שלהם רשימה.

הדרך שבה ניתן לסובב שיטות דיוג כדי לשחק על הרגשות של האדם היא מה שלעתים קרובות הופכת אותו למוצלח כל כך. נגיף ה-Love Bug טרף את הבדידות, בעוד שדיוגים אחרים משתמשים בתחושת דחיפות בתקשורת שלהם כדי להפחיד את הקורבן לציית. אז בואו ניכנס לאופן שבו פועלות ההתקפות הללו בפירוט.

איך עובד דיוג?

קרדיט תמונה: Net Vector/Shutterstock

כדי להבין טוב יותר כיצד דיוג עובד, הבה נסתכל על דוגמה טיפוסית של דיוג, המכונה דיוג אישורים. מיזם זדוני זה מבקש לגנוב אישורי כניסה ממשתמשים כדי לפרוץ חשבונות. זה יכול להיעשות כדי להפיץ עוד יותר הודעות דיוג, לגנוב נתונים או פשוט להתעסק עם הפרופיל של מישהו. לחלק מהאנשים נפרצו חשבונות המדיה החברתית שלהם ללא סיבה אחרת מלבד פרסום שפה לא הולמת או שנאה.

נניח שאליס מקבלת דוא"ל מ-Walmart המציין כי נרשמה פעילות חשודה בחשבון הקניות המקוון שלה. האימייל יבקש ממנה להיכנס לחשבון שלה באמצעות קישור מסופק כדי שתוכל לבדוק את הנושא או לאמת את זהותה.

סביר להניח שאליס תרגיש עצבנית או מפוחדת לראות את זה, ובאופן טבעי תדאג שמישהו פגע בחשבונה. דאגה זו עשויה לדחוף את אליס להיענות לבקשת המייל כך שהיא תוכל לכאורה לסדר את הבעיה בהקדם האפשרי. זה הפחד שהדיוג רוכן אליו בכבדות. הם עשויים אפילו להצהיר שהחשבון נמצא בסכנה, או שהוא עלול להיסגר אם אליס לא תנקוט בפעולה.

לכן, בהנחה שהיא מבצעת הליך מתקן, אליס לוחצת על הקישור שסופק, מה שמוביל אותה לדף התחברות של Walmart. לאחר מכן היא מכניסה את אישורי הכניסה שלה כדי להיכנס. בשלב זה, זה כבר מאוחר מדי.

ההשלכות של פישינג

מה שאליס לא יודעת זה שזה לא דף הכניסה הלגיטימי של Walmart. במקום זאת, זה א אתר זדוני נועד לגנוב את הנתונים שלה.

כשהיא מכניסה את פרטי הכניסה שלה בדף זה, התוקף השולט בו יכול ליירט ולגנוב אותם. מכאן, התוקף עלול לפרוץ ישירות לחשבון Walmart של אליס כדי לבצע רכישות לא מורשות, או עלול אפילו להשתמש במידע פרטי אחר בחשבון של אליס, כגון כתובת אימייל או כתובת בית, כדי לנצל אותה נוסף.

התוקף ישנה לפעמים את הסיסמה של החשבון שנפרץ לאחר הכניסה כדי שיוכל לנעול את הקורבן בחוץ בזמן שהוא מבצע את ההונאה.

לחלופין, הדיוג רשאי לקחת כל מידע פרטי שאסף ולמכור אותו בשוק לא חוקי. יש המוני שווקים תת-קרקעיים שונים ברשת האפלה, שבהם אפשר לקנות כל דבר, החל מאקדח ועד לפרטי כרטיס האשראי של מישהו. נתונים רגישים הם בעלי ערך רב באתרים אלה, כאשר מספרי תעודת זהות, סיסמאות ואפילו דרכונים רשומים למכירה.

שחקנים זדוניים יכולים להרוויח אלפי או אפילו מיליוני דולרים דרך ה- מכירה לא חוקית של נתונים ברשת האפלה, לכן אין זה מפתיע שרבים עושים מה שהם יכולים כדי לשים את ידם על זה.

התחזות היא מרכיב מרכזי של פישינג. כמובן, תוקף לא מתכוון לומר לך בפה מלא שהוא תוקף. אם זה היה המקרה, שיעור ההצלחה שלהם היה נמוך להפליא. במקום זאת, שחקנים זדוניים יעמידו פנים שהם ישות רשמית, כגון קמעונאי, כלי מדיה חברתית או גוף ממשלתי. אווירת הלגיטימיות הזו מוסיפה לאמינותו לכאורה של התוקף ונותנת למטרה תחושה של אמון כוזב.

למרות שחלק מהתקפות התחזות יכולות להתבצע תוך דקות או שניות בלבד, חלקן לוקחות ימים או שבועות. אם התוקף צריך לפתח אמון רב יותר עם המטרה כדי לפתות אותם לחשוף מידע רגיש ביותר. לדוגמה, תוקף יכול להעמיד פנים שהוא עמית בתאגיד גדול שזקוק למידע של המטרה כדי לאמת משהו, להחזיר את החשבון שלו או דומה.

עם הזמן, הדיוג יבנה אווירה של מקצועיות שתעוור את הקורבן למה שקורה באמת. הם עשויים להחליף אימיילים מרובים, שדרכם השומר של הקורבן נופל יותר ויותר. זה המעבר ההדרגתי הזה מחשש לרצון שדיוגים מנסים לגבש בתוך המטרות שלהם.

וניתן גם להשתמש בהתחזות להפיץ תוכנות זדוניות. זה יכול להיות כל דבר, מתוכנות ריגול חמקמקות ועד תוכנות כופר מסוכנות ביותר. אז, דיוג יכול להשפיע על מכשיר ועל בעליו במגוון דרכים.

למרות שזה עשוי להיות קל להניח שלעולם לא תיפול למתקפת פישינג, ההונאות הללו הולכות ומשתכללות משנה לשנה. דפי פישינג יכולים כעת להיראות זהים לאתרים שהם מטעים, ותוקפים מיומנים בלנסח את המיילים שלהם בצורה משכנעת אך מקצועית.

אז מה אתה יכול לעשות כדי למנוע דיוג?

כיצד להימנע מדיוג

דיוג מתרחש לרוב באמצעות דואר אלקטרוני, אם כי ניתן לבצע אותו באמצעות כל סוג של שירות הודעות. מכיוון שלא ניתן לשכפל כתובות דוא"ל, סביר להניח שדיוג יצור אחת שכמעט זהה לכתובת הרשמית. זו הסיבה שחשוב לבדוק את כתובת השולח עבור שגיאות כתיב חריגות או אחרות.

בנוסף, עליך להיזהר מכל קישור שיסופק לך באמצעות הדואר האלקטרוני, ללא קשר לכמה אתה חושב שאתה יכול לסמוך על השולח. דיוגים לפעמים יפרצו חשבונות כדי לשלוח מיילים לכל אנשי הקשר הזמינים. יש סיכוי גבוה יותר שאנשים יפתחו קישור אם הוא מחבר, מבן משפחה או מאדם מהימן אחר, מה גם שמשפיע על הצלחת מתקפת הדיוג.

לכן, לא משנה מי שולח לך קישור, אתה תמיד צריך לאמת אותו קודם. אתה יכול לעשות זאת באמצעות א אתר לבדיקת קישורים שיכול לקבוע אם הקישור הוא זדוני או בטוח. אתה יכול גם להשתמש בודק דומיינים כדי לראות אם אתר אינטרנט לגיטימי. לדוגמה, אם קיבלתם מה שנראה כקישור לעמוד הכניסה של אינסטגרם, אך הדומיין בן מספר ימים בלבד, כנראה שאתם מתמודדים עם הונאה.

עליך גם להשתמש בתכונות האנטי-ספאם של ספק הדואר האלקטרוני שלך כדי לסנן הודעות דוא"ל זדוניות כדי שלא יגיעו לתיבת הדואר הנכנס הישיר שלך.

זה גם חיוני לצייד את המכשיר שלך ברמות גבוהות של אבטחה כדי להדוף תוכנות זדוניות. אף על פי שניתן להשתמש בדיוג כדי להפיץ סוגים שונים של תוכנות זדוניות, ניתן לעצור חלק גדול ממנו באמצעות שימוש בתוכנת אנטי-וירוס לגיטימית. אף אחד לא רוצה לשלם אגרה עבור משהו שפשוט פועל ברקע, אבל זה יכול לעשות את כל ההבדל אם אי פעם ממוקדים אותך על ידי תוקף זדוני.

שגיאות כתיב בתקשורת יכולות להיות גם אינדיקטור נוסף של הונאה. גורמים רשמיים יבטיחו לעתים קרובות שההודעות שלהם נכתבות באיות ובדקדוק הנכונים, בעוד שחלק פושעי הסייבר עשויים להיות מעט מרושלים כאן.

פישינג נמצא בכל מקום אך ניתן לעצור אותו

פישינג הוא דאגה עצומה עבורנו. סוג זה של התקפה מסכנת את הנתונים והמכשירים שלנו, ויכולות להיות השלכות קשות. עיין בטיפים שלמעלה אם אתה רוצה להגן על עצמך מפני פשע סייבר זדוני זה, והישאר ערני.