איך נלחמים בפישינג, גניבת זהות ברשת האינטרנט?
מערכת שורשיז אייר, תשסט11/05/2009הפישינג, גניבת הזהות ברשת, היא אחת השיטות היותר פשוטות לגניבה ורמאות של מיליארדים ברשת האינטרנט. קובץ עצות שיעזרו לכם להתמודד עם התופעה ולהימנע מנפילה ברשת...
מהו פישינג (phishing)
פישיניג (בעברית יש שקוראים לזה "דיוג"), היא גניבה מתוחכמת של זהות באינטרנט. תארו לעצמכם, לדןגמא, שמישהו שלילי ידע את שם המשתמש ואת הסיסמא באתר הבנק שלכם, הוא יוכל להיכנס לאתר, לבצע העברות לחשבון של עצמו, למשוך כספים, לפתוח פקמי"ם ועוד. אולם, זיהוי הסיסמא אינו כה פשוט כפי שאולי ניתן ללמוד מסרטי מדע בדיוני שונים. לכן "עדיף" לגרום לכם למסור את הסיסמא ואת שם המשתמש מרצונכם הטוב. השיטה פשוטה יחסית- גנבי הפישינג שולחים דואר אלקטרוני הנראה רשמי, עם לוגו של הבנק, חברת אשראי, חברת הדואר שלכם או כל גוף "ממוסד" ורשמי אחר ובו הם מבקשים מכם להתחבר לחשבון כדי לבצע שינוי כלשהוא, בדרך כלל בליווי איום שאם לא תעשו כך, החשבון שלכם ייחסם או יהרס. בפועל ההפניה של הקישור היא לדף רמיה של הגנבים, למרות שהוא דומה חיצונית לדף הרשמי של הבנק. כאשר אתם מכניסים את השם והסיסמא, אתר הגניבה של אנשי הפישינג שומר את הפרטים ומעביר אותם לגנבים, שמעכשיו יכולים להיכנס תחת שמכם למערכת ולעשות ככל העולה על רוחם. הנזקים? למעלה מ4 מיליארד דולר בשנה בארה"ב לבדה.
פישינג יכול להיות גם הנושאים אחרים מלבד התחום הבנקאי. גניבת זהות באתרי הכרויות, לדוגמא, יכולה להוביל לסכנת חיים, גניבת זהות באתר קופת החולים שלכם יכול לגרום לצרות צרורות ועוד....
שיטות זיהוי ומניעה
ישנן שיטות שונות לזיהוי ומניעת פישינג, ולהלן נמנה כמה מהן, אולם העיקרון הבסיסי ביותר הוא שצריך להיות זהירים מאוד ומודעים לסכנות שיש בסוג זה של הונאה. קהיליית המחשבים שוקדת על פתרונות חכמים ותוכלו אפילו למצוא תוכנות להורדה שעשויות למנוע חלק מהמקרים הללו, אם כי, כרגיל, אין תחליף לגורם האנושי.
א) חשבו בהגיון האם המייל/ הודעה נראים לכם מקוריים, האם ציפיתם לכזה סוג של הודעה? האם זו הדרך שבה הבנק היה בוחר להודיע לכם שחשבונכם "ייחסם תוך יומיים"? לדוגמא, לפני זמן מה שלח איש פישינג (יש להם אפילו ארגונים, חברויות ותמיכה הדדית), מכתב לכל מנויי הדואר של שורש, באנגלית, שבו הודעה שביקשה מהם להתחבר לאתר ולבצע שינוי. ברור לכל בר דעת שאילו היינו שולחים הודעה דומה מהאתר עצמו לא היינו שולחים אותנו באנגלית, בטח לא באנגלית מקצועית כמו זו שננקטה במייל. גם בנק לאומי או קופ"ח מכבי לא ישלחו הודעות באנגלית לכל המנויים שלהם. כך שההגיון הוא המבחן הראשון והפשוט.
ב) שימו לב לבעיות קטנות ב"גימורים" של המייל. האם הלוגו נראה ממש מקורי? האם החתימה נראית אמיתית ("צוות הבנק שלך", לדוגמא, זה לא מספיק). האם אתם מכירים את החותם או את הכתובת שממנה נשלח המייל.
ג) בדרך כלל שולחי הפישינג לא יראו את כתובת הקישור בצורה מפורשת. במקום זה יהיה כתוב "לחצו כאן", או "לביצוע העדכון" וכדומה. שימו לב להיכן הקישור מוליך.
ד) שם האתר (הכתובת, הדומיין) של שולחי הפישינג יהיה כמובן שונה מהאתר הרשמי של הבנק. שימו לב לזה. כך לדוגמא אם אתם רואים כתובת כמו www.bankleumi-online.com, זה לא האתר הרשמי של הבנק! שימו לב לסיומת של כתובת האתר, אם היא ברוסיה, קזחסטן או ניגריה, סביר מאוד להניח שזו רמאות. אם אתם לא יודעים מה הכתובת הרשמית של המוסד השולח- נסו לחפש אותו בגוגל או מנוע חיפוש אחר. מכיוון שאתרי הפישינג הם זמניים מאודף, לא סביר להניח שזו תהיה התוצאה שתקבלו. עכשיו ניתן להשוות- האם הכתובת זהה?
ה) שימו לב לכתובת- האםפ היא ארוכה מידי? יותר מידי סימני פיסוק? יותר מידי סימני שאלה?
ו) במקרים רבים, העדיפו להכניס בעצמכם את הכתובת בדפדפן ולא להקליק על קישור מובנה בדואר. ככה תשימו יותר לב למקום שאליו זה מוליך.
ז) ולא, לא זכיתם בלוטו. לא של ארגנטינה ולא של בולגריה. זה לא עובד ככה וכנראה זו תרמית פשוטה.
ההתמודדות עם הפישינג מצריכה לימוד חוסר ונשנה, כי העברינים לא מפסיקים להשתכלל בעצמם. שימו לב.
ישנם ברשת כמה משחקים שנועדו ללמד איך להתמודד עם התופעה, אבל מכיוון שרובם באנגלית, נציין רק את הקישורים -
http://apwg.org/advice
http://cups.cs.cmu.edu/antiphishing_phil
פישיניג (בעברית יש שקוראים לזה "דיוג"), היא גניבה מתוחכמת של זהות באינטרנט. תארו לעצמכם, לדןגמא, שמישהו שלילי ידע את שם המשתמש ואת הסיסמא באתר הבנק שלכם, הוא יוכל להיכנס לאתר, לבצע העברות לחשבון של עצמו, למשוך כספים, לפתוח פקמי"ם ועוד. אולם, זיהוי הסיסמא אינו כה פשוט כפי שאולי ניתן ללמוד מסרטי מדע בדיוני שונים. לכן "עדיף" לגרום לכם למסור את הסיסמא ואת שם המשתמש מרצונכם הטוב. השיטה פשוטה יחסית- גנבי הפישינג שולחים דואר אלקטרוני הנראה רשמי, עם לוגו של הבנק, חברת אשראי, חברת הדואר שלכם או כל גוף "ממוסד" ורשמי אחר ובו הם מבקשים מכם להתחבר לחשבון כדי לבצע שינוי כלשהוא, בדרך כלל בליווי איום שאם לא תעשו כך, החשבון שלכם ייחסם או יהרס. בפועל ההפניה של הקישור היא לדף רמיה של הגנבים, למרות שהוא דומה חיצונית לדף הרשמי של הבנק. כאשר אתם מכניסים את השם והסיסמא, אתר הגניבה של אנשי הפישינג שומר את הפרטים ומעביר אותם לגנבים, שמעכשיו יכולים להיכנס תחת שמכם למערכת ולעשות ככל העולה על רוחם. הנזקים? למעלה מ4 מיליארד דולר בשנה בארה"ב לבדה.
פישינג יכול להיות גם הנושאים אחרים מלבד התחום הבנקאי. גניבת זהות באתרי הכרויות, לדוגמא, יכולה להוביל לסכנת חיים, גניבת זהות באתר קופת החולים שלכם יכול לגרום לצרות צרורות ועוד....
שיטות זיהוי ומניעה
ישנן שיטות שונות לזיהוי ומניעת פישינג, ולהלן נמנה כמה מהן, אולם העיקרון הבסיסי ביותר הוא שצריך להיות זהירים מאוד ומודעים לסכנות שיש בסוג זה של הונאה. קהיליית המחשבים שוקדת על פתרונות חכמים ותוכלו אפילו למצוא תוכנות להורדה שעשויות למנוע חלק מהמקרים הללו, אם כי, כרגיל, אין תחליף לגורם האנושי.
א) חשבו בהגיון האם המייל/ הודעה נראים לכם מקוריים, האם ציפיתם לכזה סוג של הודעה? האם זו הדרך שבה הבנק היה בוחר להודיע לכם שחשבונכם "ייחסם תוך יומיים"? לדוגמא, לפני זמן מה שלח איש פישינג (יש להם אפילו ארגונים, חברויות ותמיכה הדדית), מכתב לכל מנויי הדואר של שורש, באנגלית, שבו הודעה שביקשה מהם להתחבר לאתר ולבצע שינוי. ברור לכל בר דעת שאילו היינו שולחים הודעה דומה מהאתר עצמו לא היינו שולחים אותנו באנגלית, בטח לא באנגלית מקצועית כמו זו שננקטה במייל. גם בנק לאומי או קופ"ח מכבי לא ישלחו הודעות באנגלית לכל המנויים שלהם. כך שההגיון הוא המבחן הראשון והפשוט.
ב) שימו לב לבעיות קטנות ב"גימורים" של המייל. האם הלוגו נראה ממש מקורי? האם החתימה נראית אמיתית ("צוות הבנק שלך", לדוגמא, זה לא מספיק). האם אתם מכירים את החותם או את הכתובת שממנה נשלח המייל.
ג) בדרך כלל שולחי הפישינג לא יראו את כתובת הקישור בצורה מפורשת. במקום זה יהיה כתוב "לחצו כאן", או "לביצוע העדכון" וכדומה. שימו לב להיכן הקישור מוליך.
ד) שם האתר (הכתובת, הדומיין) של שולחי הפישינג יהיה כמובן שונה מהאתר הרשמי של הבנק. שימו לב לזה. כך לדוגמא אם אתם רואים כתובת כמו www.bankleumi-online.com, זה לא האתר הרשמי של הבנק! שימו לב לסיומת של כתובת האתר, אם היא ברוסיה, קזחסטן או ניגריה, סביר מאוד להניח שזו רמאות. אם אתם לא יודעים מה הכתובת הרשמית של המוסד השולח- נסו לחפש אותו בגוגל או מנוע חיפוש אחר. מכיוון שאתרי הפישינג הם זמניים מאודף, לא סביר להניח שזו תהיה התוצאה שתקבלו. עכשיו ניתן להשוות- האם הכתובת זהה?
ה) שימו לב לכתובת- האםפ היא ארוכה מידי? יותר מידי סימני פיסוק? יותר מידי סימני שאלה?
ו) במקרים רבים, העדיפו להכניס בעצמכם את הכתובת בדפדפן ולא להקליק על קישור מובנה בדואר. ככה תשימו יותר לב למקום שאליו זה מוליך.
ז) ולא, לא זכיתם בלוטו. לא של ארגנטינה ולא של בולגריה. זה לא עובד ככה וכנראה זו תרמית פשוטה.
ההתמודדות עם הפישינג מצריכה לימוד חוסר ונשנה, כי העברינים לא מפסיקים להשתכלל בעצמם. שימו לב.
ישנם ברשת כמה משחקים שנועדו ללמד איך להתמודד עם התופעה, אבל מכיוון שרובם באנגלית, נציין רק את הקישורים -
http://apwg.org/advice
http://cups.cs.cmu.edu/antiphishing_phil
הוסף תגובה
עוד ממערכת שורש
עוד בנושא מחשבים