אתר חדש מאפשר לעשות פישינג לעובדים אחרים כדי לבדוק את הערנות שלהם

אתר CattlePhish מאפשר לכם לשלוח הודעות פישינג לחברים או לעמיתים לעבודה, שמתחזות להודעות משירותים כמו דרופבוקס או פייסבוק ולבדוק האם הם נפלו בפח

מקור: צילום מסך

מקור: צילום מסך

אחת השיטות הותיקות אך האהובות על האקרים – כאלו שחובשים כובע לבן וכאלו שחובשים כובע שחור – היא הפישינג (phishing, דיוג). על ידי התחזות לחברה מסחרית או ארגון רשמי כלשהו, גורמים אותם צדיקים לקורבן ללחוץ על לינק במייל. מרגע שלחץ הקורבן על הלינק הוא מגיע לדף מזוייף שמבקש ממנו להקליד את פרטי הגישה, שמועברים כמובן ישירות לתוקפים. אתר חדש מאפשר לכל אחד לשלוח הודעת פישינג שכזו, כדי לבדוק את עירנות העובדים או העמיתים שלו בחברה, כדי להוכיח להם עד כמה הם פגיעים לנסיונות כאלו.

רוצים מייל מדרופבוקס או מפייסבוק?

לאחר שתיכנסו ל-CuttlePhish תתבקשו לבחור את ספק השירות שממנו לכאורה נשלח המייל. בניגוד לשיטות המוכרות של משלוח מאות אלפי או מיליוני מיילים, לא פעם אנו נתקלים בתוקפים שאוספים מודיעין מדוייק ויודעים באילו שירותי רשת עושה שימוש הקורבן. כך שאם למשל אתם רוצים לבדוק את העירנות של עובד או חבר שהוא מפתח, תוכלו לשלוח לו מייל שנשלח לכאורה מ-GitHub; ספקי שירות אחרים שתוכלו לבחור מתוכם הם פייסבוק, Dropbox, טוויטר, salesforce, box ו-slack.

השלב הבא הוא לבחור את הנמענים ל”התקפה”. לאחר שתכניסו את כתובות המייל שלהם, כשבאפשרותכם גם להכניס שמות פרטיים, כדי להפוך את הפנייה ליותר אישית ויותר אמינה. לאחר שתאשרו, יישלח המייל משרתי CuttlePhish. כדי להפוך את הפנייה לאמינה מתבסס השירות על ניסוח ועיצוב של מיילים אמיתיים שנשלחים על ידי השירותים השונים. כך למשל מייל שנשלח משירות המסרים הארגוני slack כולל את הנוסח הבא: “לאחרונה, ביטלת את שירות האימות הדו-שלבי בחשבון שמשוייך לכתובת המייל שלך… אתה יכול להפעיל את האימות הד-שלבי בכל רגע בהגדרות”. ברגע שהמשתמש לוחץ על הלינק, במקום להגיע לעמוד המזוייף שמבקש ממנו את שם המשתמש והסיסמה, הוא מגיע לדף שמסביר לו שהוא עלול היה ליפול קורבן לפישינג ומסביר לו מהי שיטת ההתקפה הזו.

מקור: צילום מסך

מקור: צילום מסך

למרות שהשירות עצמו כתוב בשפה קלילה ומלאת הומור, הרי שהמטרה שלו רצינית ביותר ועשויה למנוע ממשתמשים ליפול קורבן למתקפות. האתר דורש הכנסת פרטי כרטיס אשראי, כשתשלום מתבצע רק אם אחד מהנמענים לחץ אכן על הלינק. התשלום עומד על 20 דולרים, לא משנה לכמה כתובות מייל שלחתם את הודעת הפישינג ולא משנה כמה אנשים נפלו בפח.

 

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

wpDiscuz

תגיות לכתבה: