שימוש ב phishing ידוע והתפתח לאורך כמעט 30 שנה. זאת הסיבה שרוב האנשים היום שמעו או נתקלו בפישינג (או בשמו העברי "דיוג"). זהו למעשה תהליך לקיחה בלתי מורשה של פרטים אישים רגישים (בינהם: פרטי אשראי / בנק, שם משתמש וסיסמא ) על ידי התחזות ברשת לגורם לגיטימי.
כולנו מקבלים כמות עצומה של הודעות מידי יום. אנחנו תלויים בהן להתנהלות אישית ועסקית. התהליך מתחיל כאשר התוקף שולח הודעה שיכולה להיות: SMS, ווטסאפ וכמובן אימייל. מטרת ההודעה היא להניע אתכם ללחוץ על קישור, כמובן שהקישור מוביל אל אתר מתחזה (אתר פישינג).
אתר פישינג (phishing) מתחזה לרוב לאתר לגיטימי, ונוצר כדי להטעות משתמשים שהובלו אל הקישור לחשוב שיש להם צורך למלא פרטים / להתחבר למערכת. בהרבה מאוד מקרים יהיה קשה להבחין בין אתר phishing מתחזה לאתר לגיטימי, שסביר להניח שאתם משתמשים או שיש לו פופולריות גדולה כמו: חברת משלוחים, דואר ישראל, מכס, מס הכנסה, התחברות לגוגל, לגימייל, לחברת שרתים, ספק דומיינים, למיקרוספט ואפילו לממשק ההתחברות לאתר שלכם. הבנתם את הקונספט. בסוף התהליך שבו תכניסו את הפרטים, פשוט לא יקרה כלום או שתעוברו לאתר המקורי כדי לבלבל אתכם. בינתיים הפרטים שלכם כבר בידיים עויינות.
אז איך כל זה קשור אליכם, בעלי ומנהלי אתרים?
כמובן שכל אחד יכול להיות מנוצל וזה נכון גם ובעיקר לארגונים ועסקים משמעותיים. כבעלי אתר אתם חשופים לניצול לרעה במספר רמות, לא רק הפרטים האישים שלכם יכולים להיות מנוצלים לרעה. העסק שלכם כולו יכול לעמוד בפני סכנה ממשית, נזק כלכלי ונזק לתדמית. במידה ואתם גם מחזיקים במידע אישי / רגיש של לקוחות, אתם יכולים לחשוף את המידע או להעמיד אותו בסכנת כופר.
תלוי בסוג המידע שהתוקף הצליח לחלץ מכם ללא, הסכנות הן רבות ומגוונות תלוי במיומנות, המוטיבציה והיצירתיות של התוקף.
7 נקודות שיעזרו לך להימנע מפישינג.
- "יש ספק, אין ספק" זה אולי נשמע צבאי / בטחוני, אבל זהו כלל יסוד חשוב שנוגע לכל מי שעסק אי פעם באבטחה. קיבלתם הודעה שאתם חושדים לגביה, תאמתו אותה מול גורם בלתי תלוי שהוא לא קישור מתוך ההודעה. לדוגמא: קיבלתם הודעה מהבנק שנראית לכם חשודה ומבקשת מכם לבצע פעולה? אתם מרגישים שמשהו לא מסתדר, כנסו ישירו לאתר הבנק או האפליקציה או צרו קשר טלפונית. אל תלחצו על קישורים ואל תורידו קבצים שאתם לא מכירים את המקור שלהם.
- המנעו מלמסור את כתובת האימייל שלכם באתרים שאתם לא מרגישים ב 100% שמדובר בעסק לגיטימי, שומר ומכבד חוק.
- אל תעבירו בדואר אלקטרוני או בכל דרך אחרת מידע אישי, הכולל פרטים אישיים כמו מספר תעודת זהות, מספר חשבון בנק, מספר כרטיס אשראי, סיסמה וקוד משתמש.
- שמרו את הסיסמאות החשובות במקום בטוח (גיבוי שאינו מחובר לרשת או השתמשו בכספת סיסמאות).
- התשמשו תמיד בסיסמאות חזקות ביחוד עבור חשבונות אימייל וממשקי ניהול מרכזיים, הקפידו לשנות את הסיסמאות אחת לתקופה.
- אם אתם מצטלמים ומעלים תמונות או וידאו לרשת, תמיד תדאגו לעשות זאת בסביבה נקיה ממסמכים / מסכים פעילים / צילומי מסך שכוללים פרטים אישיים ומידע רגיש. אלו יכולים להיות מנוצלים בעזרת תיעוד שאתם פרסמתם בלי לשים לב
- הקפידו על מידור גישה למערכות במקום העבודה ושולחן נקי, בעיקר אם אתם מקבלים קהל.