אבולוציה בהונאת הפישינג הופכת אותו לעמיד הרבה יותר

במהלך השנה החולפת עברה הונאת הפישינג אבולוציה נוספת שנועדה להפוך אותה לגלויה הרבה פחות לחברות אבטחת המידע. הכירו את הפישינג הסלקטיבי, כיצד הוא פועל וכיצד ניתן להמנע ממנו

הפוסט נכתב על ידי לימור קסם, מומחית להונאות סייבר ב-RSA, חטיבת אבטחת המידע של EMC. קסם נחשבת כבעלת סמכות בכל הקשור לפשעי סייבר מתפתחים, ומרצה מבוקשת באירועי RSA מסביב לעולם. בין תחומי המומחיות שלה: פישינג, סוסים טרויאניים, הונאה קיברנטית ואיומי סייבר מתקדמים (Advanced Persistent Threats).

תמונה: flickr, cc-by, oastyKen

תמונה: flickr, cc-by, oastyKen

עתה, כאשר שנת 2012 כבר מאחורינו, אפשר לציין בוודאות שתופעת הפישינג זכתה לעוד שנת שיא במספר ההתקפות ובמחיר הכספי שגבתה. מספר התקפות הפישינג (דפי אינטרנט מפוברקים המעתיקים את דף הכניסה של אתרים פיננסים כדי לגנוב פרטי כניסה, ובהמשך גם כסף), גדלו ב-59% ב-2012 בהשוואה ל-2011. יתר על כך, העלות המשוערת של התקפות אלו הינה כ-1.5 מיליארד דולר, ומבדיקה שערכנו, עלות זו גדלה בכ-22% ביחס לאשתקד.

פישינג סלקטיבי ומתוחכם יותר

מעבר למספר ההולך וגדל של התקפות, הקוד הזדוני המרכיב את התקפות הפישינג נכתב בצורות מתקדמות יותר, ולכן יוצר התקפות מתוחכמות מבעבר. לדוגמא, ב-2012 התגלו ערכות פישינג המגיעות עם רכיבים המאפשרים בדיקה של מידע הנגנב בזמן אמת מול אתר הבנק המקורי, כמו גם ערכות האוספות סטטיסטיקות שימוש ממבקרים. בנוסף, התגלו ערכות שהפנו את קורבנותיהן לדפים אחרים ומהם הותקף המחשב בווירוס או בסוס טרויאני. מבין הערכות השונות שנמצאו, אחת הציגה רכיב מעניין במיוחד: פישינג עם סלקציה, אשר פועל בדומה לסלקטור במועדון לילה, המנפה את המבקרים לפי הימצאותם ברשימת האורחים.

ערכת פישינג זו מייצרת עבור כל אדם המופיע “ברשימת המוזמנים” מספר זיהוי ייחודי, יחד עם קישור משלו להתקפת הפישינג הנשלח בדוא”ל למוזמן. כאשר המוזמן לוחץ על הלינק המופיע בדוא”ל, הוא מגיע לדף המוודא שהוא נמצא ברשימה (זה הסלקטור). במידה והמבקר אינו ברשימה, הוא מועבר אוטומטית לדף שגיאה מסוג 404.

המוזמנים (למעשה הקורבנות) שכן מופיעים ברשימה ממשיכים לאתר ההתקפה, אשר נוצר בזמן אמת תחת כתובת ייחודית למבקר (כלומר URL שונה עבור כל מבקר). האתר שנוצר בעקבות ההתקפה – הנראה כמו האתר הרשמי של הבנק, מבקש להכניס את פרטי החשבון, מספר כרטיס האשראי ופרטים אישיים נוספים. לאחר מכן, כל הפרטים נאספים ונשלחים לתוקף.

מה עומד מאחורי הסלקציה?

שאלה אחת מתבקשת: מדוע מגביל הפושע כניסת משתמשים לדף של התקפת פישינג, אם מטרתו לגנוב כמה שיותר מידע וכסף? התשובה היא שככל שהתקפה נחשפת ליותר עיניים, כך גדל הסיכוי שלה להתגלות ולהיסגר על ידי חברות אבטחת המידע. בנוסף, ייתכן שהתוקף בעצם סוחר במידע הנאסף ולכן מבקש להשיג מידע מרוכז וממוקד לקונים שונים. הגבלת מספר הנכנסים מאפשר לתוקף לבחור אזור גיאוגרפי מסוים, לתקוף בנקים ספציפיים, להשתמש ברשימות ספאם מוגדרת וגם ליצור קמפיינים ייחודיים יותר לשימושו. בקמפיינים עדכניים שניתחנו, נעשה שימוש ברשימות שהכילו כ-3,000 כתובות דוא”ל כל אחת, המורכבות ממשתמשים המתגוררים באזור גיאוגרפי מסוים.

באיזה דרכים ניתן להילחם בפישיניג עם סלקציה? ראשית, יש לשפר את יכולות הגילוי. מנועים אוטומטים לגילוי וניתוח התקפות יתעלמו מאתר המציג את שגיאת “404 דף לא נמצא,” ולכן נדרשת נראות גבוהה יותר. כיום, חברות אבטחת מידע כבר מציעות תשתיות מתקדמות לגילוי ונטרול פישינג מסוג זה. שנית, רוב התקפות הפישינג מתארחות על אתרים חטופים – אתרים שבהם פרצות אבטחה מאפשרות לתוקף להשתלט על האתר. אתרי בלוגים מסוימים, לדוגמא, מכילים יותר רכיבים חיצוניים (ולרוב חינמיים), ולכן יש צורך בתחזוקה ואבטחה טובה יותר של אתרים אלו, על מנת למנוע את ההשתלטות מלכתחילה. עם זאת, על כולנו לזכור שנוכלות סייבר היא משחק תמידי של חתול ועכבר, משחק בו המתוחכם יותר מנצח.

הפוסט פורסם לראשונה באנגלית בבלוג של RSA.

 

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

2 תגובות על "אבולוציה בהונאת הפישינג הופכת אותו לעמיד הרבה יותר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ליאור
Guest

אכן כתבה מעניינת… אבל האם זהו אתר פישינג זו שאלה שלא נגמרת אף פעם.
זה נושא של הזדהות מול הצד השני, כלומר אתה יודע מי אתה (כנראה) אבל לא מכיר את השני.
הפיתרון לדעתי טבועה בהזדהות חזקה יותר בין שני הצדדים.

Ben
Guest

האם ניתן לזייף את ה-url?
כי במקרה שלא,אז אין מה לדאוג.פשוט כל פעם לוודא שאנחנו באתר הנכון.
כי אם אפשר לתת url פקטיבי זאת בעיה רצינית..
אשמח להתיחסות מהמומחים..
תודה!

wpDiscuz

תגיות לכתבה: