"אי אפשר לסמוך רק על טכנולוגיות ההגנה של ספקיות הסלולר"

"כאשר ארגון – ובמקרה זה ספקיות הסלולר – חווה מתקפת פישינג, אי אפשר לסמוך רק על טכנולוגיות ההגנה של הספקיות הללו. נדרשת גם מודעות לאיומים ולסכנות", כך אמר אריק וולובסקי, מנהל הנדסה בסימנטק ישראל.

וולובסקי התראיין לאנשים ומחשבים בעקבות מתקפת הפישינג שנערכה באחרונה, ושדבר קיומה פורסם היום (א'), על לקוחות של סלקום, פרטנר ופלאפון. במסגרת המתקפה פנו מתחזים ללקוחות החברות באמצעות מייל או מסרון בהודעות שעדכנו אותם על סיום חבילת השירות לכאורה והפנו אותם ללחיצה על לינק שמבקש לספק פרטי אשראי.

"בהחלט, עולם התקשורת מהווה יעד למתקפות מסוג זה", אמר, "אולם ספקיות הסלולר הן גם היחידות שיכולות למנוע את זה. יש להן את הטכנולוגיות לנטר את כל מה שמגיע ללקוחות. באמצעות סינון חכם הן יכולות לצמצם משמעותית את היקף מתקפות הפישינג. אין כל סיבה שלקוחות יקבלו הודעות על חידוש מנויים ממספרי טלפון שאינם של חברות הסלולר. נדרשת מודעות של הלקוחות עצמם, אין לסמוך על הטכנולוגיה של הספקיות".

וולובסקי ציין כי "מתקפת הפישינג על חברות הסלולר הייתה פשוטה יחסית, ולצד ספקיות הסלולר היו לה יעדים נוספים – לקוחות של חברות ביטוח, שופרסל ועוד. מדובר במגמה, שמגיעה מכך שההאקרים ראו שהלקוחות הסופיים הם טרף קל למתקפות פישינג. לשלוח סמס זה אישי כמו מייל, והלקוח נענה, כי הוא סובר בטעות שהשולח מכיר אותו".

"אני מצפה מספקיות הסלולר להשקיע יותר משאבים טכנולוגיים על מנת למנוע מתקפות אלה", אמר וולובסקי. "לצד זאת נדרשת בעיקר העלאה של המודעות. גם הממשלה צריכה להירתם, ועליה לצאת בקמפיין פרסום על מנת להזהיר מפני האיום. האזרחים צריכים להיות חשופים להתראות מפני הסכנות".

לדבריו, "סימנטק רכשה בשנה שעברה את Skycure הישראלית, שעסקה בזיהוי, איתור, ניבוי ומניעה של מתקפות על מכשירי סלולר, על בסיס שימוש ביכולות בינה מלאכותית. על בסיס הרכישה השקנו לפני כמה חודשים את פתרון סייבר טוטאל להגנת סייבר על טלפונים חכמים ברשתות אלחוטיות, שמתווסף לפתרון שהשקנו להגנה על רשת הסלולר. כך אנחנו מציעים הגנה על מכשירים מפני שלל איומים".

אריה דנון, מנהל מחלקת אבטחת המידע באבנט תקשורת. צילום: יח"צ

"החשוב ביותר הוא חינוך ומודעות"

אריה דנון, מנהל מחלקת אבטחת מידע באבנט תקשורת, המפיצה את פתרונות סופוס בישראל, אמר כי "מתקפות פישינג היו ויהיו גם בעתיד. יש דרכים טכנולוגיות רבות להתגונן נגד מתקפות כאלה, אבל החשוב ביותר הוא חינוך ומודעות". דנון קרא ל-"כל מי שמקבל הודעה שדורשת ממנו לתת פרטים אישיים, בוודאי פרטי כרטיס אשראי, לנקוט במשנה זהירות. כדאי להתקשר לשולח ההודעה ולבדוק אתו אם זאת כוונתו. ככלל, חשוב לשים לב לפני שמקישים על קישור. יש לחשוב פעמיים ולוודא אם המטרות חיוביות".

לדברי דוד משיח, מומחה אבטחת מידע מ-2BSecure, חברת אבטחת המידע והסייבר של מטריקס, "באחרונה אנחנו נחשפים לנפחים גדולים של מתקפות פישינג, שלא הכרנו כמותם, ובכל פלטפורמה אפשרית. לרוב המשתמשים אין את היכולת הטכנולוגית לזהות מתקפות מסוג זה". אולם, אמר, "ישנם כמה כלים בסיסיים שבאמצעותם ניתן להימנע מפגיעה: יש להימנע ממסירת פרטים לגורמים שפונים אליכם ולהקפיד למסור את המידע האישי שלכם רק בעקבות פנייה עצמאית שלכם לאותו גורם שמעוניין במידע. חשוב תמיד לבדוק שהדומיין תואם לשולח ההודעה או המייל".

דוד משיח, מומחה אבטחת מידע מ-2BSecure. צילום: יח"צ

"בכל גוף שנותן שירות יש מודעות לנושא אבטחת המידע ובהתאם לזאת, האתרים והקישורים שבהם המיועדים להזנת פרטים צריכים להיות מאובטחים", הוסיף. "לכן, כשנדרש מכם להזין פרטים אישיים בדפדפן מסוים, בדקו היטב שדף זה מוצפן וסומן במנעול הירוק בשורת הכתובת".

עוד הוא המליץ: "היו חשדנים כלפי כל הודעה הזהה לאלה שפורסמו באחרונה, או הודעות שמגיעות מגורם שאינו מוכר לכם. אין מתנות חינם וגם אם יש – אין צורך בפרטי כרטיס אשראי כדי לקבלן. המידע שלכם יקר – אל תנדבו אותו מבלי לבדוק מי מקבל אותו".

מגזר הסלולר אינו היחיד שלקוחות של חברות בו נופלים קורבן לפישינג ולמתקפות סייבר אחרות, והדבר נעשה לא רק באמצעות מיילים והודעות סמס. על פי eset, ההאקרים ניצלו ב-2017 ביתר שאת את הרשתות החברתיות ואפליקציות המסרים המידיים – פייסבוק, ווטסאפ ואינסטגרם. בשתי מתקפות בולטות שאירעו בשנה שעברה הם שילבו גם את תחום התעופה הפופולרי כדי ללכוד את קורבנותיהם: בתחילת השנה נערכה מתקפת פישינג בפייסבוק, שקורבנותיה קיבלו הצעות לכרטיסי טיסה חינם, כביכול מתנת אל על, ובסופה הם שלחו הודעות בווטסאפ ובסמס אודות הגרלת כרטיסי טיסה, כביכול מטעם בריטיש איירווייס. מטרת התוקפים הייתה לדלות פרטים על הקורבנות התמימים ואז לרשום אותם לשירותי מסרונים בתשלום – בלי שידעו זאת.