כיצד ארגונים יכולים למנוע את המתקפה הבאה?

בתקופה האחרונה חלה עלייה של מאות אחוזים במתקפות פישינג על ארגונים בארץ ובעולם. המגמה התעצמה עם העלייה בכמות התעבורה באתרי אונליין בתקופת הקורונה, וממשיכה גם בימים אלה, עם מתקפת הסייבר שתקפה לאחרונה אתרים ישראליים על ידי קבוצת האקרי הישועה וקמפיין הפישינג הגדול, המנצל כלי מאקרו של אקסל, שמיקרוסופט (Microsoft) הזהירה מפניו באחרונה.

פישינג (דיוג) – ניסיון לגניבת מידע רגיש כמו פרטי אשראי, סיסמאות ומידע אישי על ידי התחזות ברשת האינטרנט, באפליקציות של הארגון וברשתות החברתיות באמצעות שליחת הודעה אלקטרונית (לרוב מייל או מסרון) ללקוח בצורה של בקשה לאימות פרטים או הודעת טיזר על מבצע כלשהו – גורם לפגיעה קשה במוניטין של הארגון, החושפים אותו לתביעות ולהפסדי ענק.

לעיתים, משתמש הקצה כלל לא מודע שהוא תחת מתקפה בגלל הקושי של אדם מן המניין להבדיל בין אתר או אפליקציה אמיתית לבין פישינג. במרבית המקרים התכנים כמעט זהים, ועין רגילה לא תבחין בשינוי.

לאחרונה אנו נתקלים בזן חדש ומתוחכם יותר של פישינג, שזכה לכינוי וישינג  (Vishing – Voice Phishing), המתבצע באמצעות שיחת הונאה טלפונית, שבה אדם מתחזה לבעל תפקיד בארגון, כגון איש תמיכה טכנית, על מנת לקבל פרטי התחברות מרחוק לרשת של החברה באמצעות שם משתמש וסיסמה. במצב כזה, המותקף חווה מניפולציה פסיכולוגית באמצעות פנייה הנתפסת לגיטימית ואמינה, ולכן גם כאן אחריותו מוטלת בספק ומצריכה מהלך תומך של לקיחת אחריות של הארגון והסתייעות בפתרונות אנטי פישינג.

רוב מחתרות פשיעת הסייבר, והאקרים בכלל, יודעים מיד לזהות חולשות של ארגון, ולכן יעדיפו לרוב לתקוף ארגונים לא מוגנים, המהווים "טרף קל", כלומר כאלה שלא משקיעים משאבים בהגנה על מתקפות פישינג. התוקף המסורתי יחפש "הצלחות מהירות", ואם יראה שהוא מתקשה לתקוף ארגון מסוים הוא יעדיף לעבור לארגון הבא.

איך למנוע?

לכן, ארגונים יכולים לנקוט כמה צעדים פשוטים על מנת למנוע את מתקפת הפישינג הבאה.

1. הטמעה פשוטה: ודאו שפתרון האנטי פישינג שאתם מחפשים לא דורש אינטגרציה או תהליך של הטמעה שיגזול מכם זמן רב בהתעסקות, ביישום ובתחזוקה. התוקפים לא נחים על זרי הדפנה, ויישום מהיר של הפתרון יכול לעשות את ההבדל בין מזעור הנזקים לבין משהו שהוא לאט מדי, מאוחר מדי.

2. ניסיון: חפשו שירותים של חברות שיש להן ניסיון רב שנים בהתמודדות זו. ודאו מי הם הלקוחות הצורכים את השירות וכמה שנות ניסיון יש בפעילות זו.

3. 24/7: פשיעת הסייבר לא נחה, גם בזמנים שבהם פעילות החברה היא לא מהותית כמו חגים, צומות וימי מנוחה, חשוב מאוד שהשירות יהיה בזמינות כוח אדם של 24/7 על מנת להיות ערוכים תמיד לכל תרחיש.

4. ביזור: בימים אלו, פעולות הפישינג מגוונות ולא מתבססות על אפיק תקיפה בודד. פעולות אלה יהיו לרוב מבוזרות על גבי כמה פלטפורמות בו זמנית. על מנת לצמצם את החשיפה ככל האפשר מומלץ לצרוך שירות, הכולל הגנה על כמה אפיקי תקיפה: פישינג לכתובת ה-URL של האתר, טרויאנים, רוגלות באפליקציות ואיומים ברשתות החברתיות.

5. שקיפות: באירוע פישינג בהתהוות, חשוב מאוד שהשירות יהיה שקוף לארגון בממשק מרכזי. כך יוכל הארגון להיות במעקב אונליין על סטטוס המתקפה ובכך לבצע פעולות פרו-אקטיביות למזעור הנזק, כמו שליחת מייל תפוצה להזהיר את הלקוחות, לשים דגש על פעילות חשודה וכו'.

6. הוכחת יכולת: כמו בכל שירות בעולם התוכנה, מומלץ לבצע איזושהי הוכחת יכולת על ידי בחינה של אחד מהדומיינים המרכזיים בארגון ולבחון את כדאיות השירות והאם הוא באמת נותן ערך מוסף (לדוגמה: משתמשים שדלפו, תקיפות שבוצעו, או כל מידע רלוונטי שיראה את חוזקת השירות).

7. החזר השקעה (ROI):  מדובר במדד כלכלי להערכת כדאיות של פעולה הכרוכה בהשקעת כסף. נסו לחשב בצורה עמוקה כיצד ישפיע עליכם מזעור נזק של תקיפת פישינג. כמה משתמשים להערכתם "ייפלו בפח" ויגרמו נזק כספי? כמה שווה כתבת ראשית על מתקפת פישינג שבוצעה על הארגון שלכם וגרמה לנזקים? כמה לקוחות יעדיפו לצרוך את השירות שלכם בגלל ההתמודדות שלכם עם התקפות פישינג ברגע האמת? לאחר חשיבה עמוקה זו חשבו שוב האם השירות כדאי מבחינה כלכלית.

הכותב הוא מנהל פעילות הדטה סנטר והענן של חברת אקסגלוב מקבוצת טלדור.