מתקפת סייבר על ישראל (צילום unsplash ,freepik, pixabay)
איך נמנעים מפישינג – אותן מתקפות שמפתות אתכם לתת לתוקפים גישה למידע שלכם על ידי כניסה לקישורים זדוניים מסוגים שונים? הטיפ הראשון, אחרי היום, הוא לא להקשיב בשום פנים ואופן למערך הסייבר הלאומי, שנותן טיפים לקויים במקרה הטוב ורשלניים ומיושנים במקרה הרע.
כפי שפרסמנו מוקדם יותר, הבוקר שלח מערך הסייבר, בשיתוף אגף התקשוב וההגנה בסייבר בצה"ל, הודעות טקסט לאלפי משרתי צה"ל (סדיר, קבע ומילואים) שדימו מתקפת פישינג. הם הבטיחו מענק בסך 500 שקל לרכישה בעסקים ברחבי הארץ, עם קישור שיכול היה להוביל לכל מקום, אך הוביל לרשימת טיפים להימנעות ממתקפת פישינג.
אלא שהטיפים הללו תקפים כיום רק לשבריר ממתקפות הסייבר, ומי שיילך לפיהן ייפול כמעט בוודאות במתקפות המתוחכמות יותר.
הנה רשימת הטיפים לזיהוי מתקפת פישינג, שנתנו האנשים שממונים בממשלה ובצבא על הגנתנו להתגוננות ממתקפות, וניתוח של הסיבות שהם אינם קרובים אפילו להיות יעילים:
"שגיאות כתיב וניסוח לקוי" – טיפ נחמד מאוד, אלא שכיום שירותי התרגום שבהם משתמשים רוב התוקפים איכותיים למדי, ולאדם הממוצע יהיה קשה לזהות שמדובר בתרגום ולא בטקסט שכתב דובר השפה.
"שליחה ממספר או שם לא ידוע" – הטיפ הכי גרוע ברשימה. סיפור אמתי: בינואר האחרון הגיעה אלי הודעה באותו שרשור (כלומר מאותו שולח, לכאורה) שבו נמצאות ההודעות האמתיות שאני מקבל מישראכרט. ההודעה היתה קצרה, תכליתית וכמעט מדויקת תחבירית (מלבד המעבר בין לשון יחיד בפתיח לרבים בהמשך) – ולרגע כמעט לחצתי על הקישור. למזלי הרב, התפקיד הפך אותי לחשדן מאוד, אז קראתי את ההודעה פעם נוספת, כולל הקישור – ופתאום שמתי לב ששם החברה מאוית בו בשגיאת כתיב (שתי S במקום אחת). קצת פחות ערנות והסתפקות בטיפ הזה של מערך הסייבר – והייתי נופל בפח, שאותו אתם יכולים לראות בתמונה הזו:
"יצירת תחושה של דחיפות" – סעיף שלא ברור מה המטרה שלו. הרי כמעט כל ההודעות שאנחנו מקבלים היום, החל ממבצעים של מקדונלדס ועד ההודעות של הביטוח הלאומי (שהוא חלק מאותה ממשלה כמו מערך הסייבר הלאומי), מנוסחים באופן שדוחק בנו למהר, מייד, לעשות את מה שהם רוצים שנעשה (בין אם זה לשלם חוב או להזמין ארוחה במחיר מוזל ב-Mastercard Day). לכן, הטיפ הזה לא עוזר להימנע ממתקפות, אלא בעיקר לפתח מודעות בריאה לטריקים שבאמצעותם מבצעים עלינו מניפולציות בכל מקום, כל הזמן.
"היעדר פנייה אישית" – עוד טיפ שהיה רלוונטי לפני עשור, אך כיום הוא די מטופש ומעיד על בורות. לתוקפים יש היום אינספור דרכים לגרום להודעה שלהם להיראות אישית. הרי כל מייל פישינג בשנים האחרונות מתחיל ב"Dear Yair", לפחות בתיבת המייל שלי. אצלכם זה יהיה "Dear Shoshana" או "Deer John", אם תסלחו לי על הבדיחה הממש, ממש גרועה). גם הודעות ב-SMS ובוואטסאפ מתחילות לעתים קרובות בשם הנמען. זה לא אומר שהן מגיעות ממישהוא שמכיר אתכם או שיש לו כוונות טובות. מה גם שכמו שראיתם בשרשור ההודעות שלי מישראכרט, דווקא ההודעות האמתיות שלה לא תמיד מתחילות בשם שלי.
"הפנייה ללחיצה על קישור מקוצר או ששונה מכתובת האתר הרשמית" – מלבד שגיאת הכתיב במילה הראשונה (הכוונה כמובן ל" הַפְנָיָה", לא "פְּנִייָּה"), גם הטיפ הזה לא באמת יעיל. כתובת מקוצרת אינה סימן לכלום – לא לפישינג, וגם לא לאתר מקורי. הסיכוי היחיד לזהות פישינג לפי הקישור או אם ההאקר הכניס (בטעות או בכוונה, זה כבר סיפור אחר) שגיאה לכתובת. מצד שני, רמת תשומת הלב שדרושה כדי להבחין בין כתובת אמתית לשגויה גורמת לרוב האנשים לדלג על השלב הזה, אם מעצלנות ואם בשל אי יעילות (עוד סיפור אמתי: לפני כמה שנים קיבלתי הודעה מהבנק שלי וביליתי חצי יום בניסיון להשיג אותו ולשאול אם היא אמתית, מפני שהכתובת בהודעה היתה כל כך מורכבת שלא היה ברור אם מדובר בפורץ שמנסה לבלבל אותי או במישהוא במחלקה הטכנית של הבנק שלא הבין שהוא אמור להקל על זיהוי הכתובת האמתית, ולא להקשות עליה.
"הודעה המכילה פיתוי או פרס גדול" – או! סוף סוף טיפ ראוי. ככל שהתמורה ללחיצה על קישור נראית גבוהה יותר – כך הוא אמין פחות. אמנם, לא כל פיתוי גדול הוא פישינג ולא כל פישינג מציע פרס ענק, אך מדובר בטקטיקה שגם אם במקרה ההודעה שבה ראיתם אותה היא לא זדונית "פר סה" – כנראה עדיין עדיף לכם לא ללחוץ עליה, כי את הפרס לא תקבלו ותצאו בהפסד של דמי השתתפות כלשהם או הרשמה בלתי מכוונת לרשימת הדיוור "מבצעים הכי שווים באמזון איטליה באחריות עם מוצר חדש ומיותר שאתם לא צריכים כל חצי שעה על השעון להסרה מהרשימה החליפו מספר טלפון כי אין מצב שנפסיק לשלוח לכם הודעות אי פעם".
אם כן, אחרי שפסלתי את הטיפים של מערך הסייבר בצה"ל, צריך גם להציע חלופה. החלופה שלי היא להסתמך קודם כל על כלל האצבע הבסיסי ביותר: הודעה שלא ציפיתם לה – תחשדו בה. הנחת היסוד שלכם כיום צריכה להיות שאם אתם לא ביצעתם פעולה אקטיבית מול חברה – גם אם נציג מטעמה פונה אליכם, זה לא לטובתכם, ולא חשוב אם מדובר בנציג אמתי או לא. כל שאר הטיפים הנ"ל, טובים לכל היותר כשלב שני מעל הרמה הבסיסית של חשד במה שלא נעשה מיוזמתכם. רק התפיסה הזו, של חשד בסיסי ועל גביו סימני זיהוי, ולא המתנה לסימני זיהוי כדי לחפש סיבות לחשד, יכולה להציל אתכם ממתקפות פישינג.
