דואר זבל ופישינג – זיהוי ודרכי התמודדות

a

דואר זבל ופישינג – זיהוי ודרכי התמודדות

רשת האינטרנט היא הרשת הגדולה בעולם בה כל אדם יכול לבצע מתקפות מתוחכמות ובנוסף לשמור על אנונימיות, תוקפים רבים משתמשים בשיטת הפישינג ( דיוג ) על מנת לדלות מידע מהמשתמשים ו/או להתקין במחשבי הקצה תוכנה זדונית. כיצד ניתן להתגונן ואיך זה קורה ?

שיטת פישיניג ( דיוג ) .

בשיטה זו התוקף מבצע מספר מניפולציות על מנת לגרום לנמען ללחוץ על ההודעה ולפתוח קישור מסוים, להוריד נוזקה ו/או למלא פרטים שישמשו את התוקף על מנת לפרוץ לחשבונותיו של הנמען.

הודעת פישינג לרוב תכלול מספר מאפיינים :

  1. פנייה כללית לנמען – מכיוון שבדרך כלל נסון הפישינג מיועד למספר רב של משתמשים תינתן כותרת כללית לדוגמא : “מנוי יקר ….. “
  2. דחיפות  – לדוגמא : מייל האומר כי חשבונך נפרץ ועלייך למלא פרטים על מנת לשחזר את החשבון (בדרך כלל פרטים אלה יכללו את שם המשתמש והסיסמא של חשבונך על מנת שהתוקף יוכל להיכנס אליהם ולעשות ככל העולה על רוחו )
  3. כתובת דומיין דומה לכתובת הדומיין המקורי, לדוגמא : restartit.co.il (מקורי ) restartlt.co.il (מזויף).

רק רגע האם התוקף יכול להשתמש בדומיין של החברה / אתר שלי ?

בעיקרון כן, תוקף יכול להשתמש בכתובת הדומיין שלך אלא כן הוגדרו מספר הגנות :

SPF – Sender Policy Framework

רשומת SPF מכילה את פרטי השרתים אשר מאושרים לשלוח הודעות עם כתובת הדומיין שלך.

כאשר תוקף ינסה לבצע מניפולציה ולשלוח הודעת זדונית דרך השרת לו ההודעה תיחסם בצד הנמען בזכות רשומת ה SPF אשר מגדירה אילו שרתים מאושרים להשתמש בכתובת הדומיין.

DKIM – DomainKeys Identified Mail

פרוטוקול DKIM חותם דיגיטלית את הודעת הדואר האלקטרוני הנשלחת והשרת המקבל מוודא את חתימה זו מול ה Public Key הרשום ברישומי ה DNS של השרת.

מכיוון שרק השרת השולח מסוגל לחתום את ההודעה בצורה שה Public Key יאשר אותה, ניסיון הזיוף של התוקף ייחסם.

DMARC – Domain-based Message Authentication, Reporting and Conformance

פרוטוקול DMARC הוא בעצם השילוב של פרוטוקול SPF פרוטוקול DKIM.

פרוטוקול זה מיידע את שרת הדואר של הנמען אם מופעל SPF ו/או DKIM ומגדיר לשרת מה לעשות במידה ויש הצלחה / כישלון באימות הפרוטוקולים האלו, בדרך כלל בעזרת פרוטוקול זה נקבל חיווי על מצב הודעות האלקטרוני שלנו ברשת האינטרנט.

מומלץ להיוועץ בגורם מוסמך על מנת להגדיר רשומות אלו.

בדוגמא הבאה ניתן לראות את הפשטות בזיוף כתובת השולח :

  1. נכנס לאתר שניתן דרכו לזייף מיילים, לדוגמא : https://emkei.cz
  2. נזין את הפרטים בשדות המתאימים, לדוגמא :3. נלחץ על Send והמייל יישלח לתיבת הדואר של הנמען.
כיצד ניתן לזהות מייל עם כתובת מזויפת ?

כדי לזהות מייל עם כתובת מזויפת נלחץ על אייקון חץ כלפי מטה ▼ שמופיע מתחת לכתובת השולח ונחפש את השורה שבה כתוב “חתום בידי” ו/או “נשלח על ידי”.

ניתן להבחין כי בהודעה המקורית מצורפים הפרטים “נשלח על ידי ” ו “חתום בידי” לעומת ההודעה המזוייפת שבה חסרים פרטים אלו.

פרטים אלו עוזרים לנו לזהות כי השולח של ההודעה הוא השולח המקורי ולא תוקף המנסה לדלות מאיתנו מידע.

כיצד ניתן להתגונן מפני פישינג ?

כאשר נקבל מייל נעבוד לפי מספר כללים :

  • האם המייל צריך להגיע אליי ? מייל שלא היה אמור להגיע אלייך לא צריך להיפתח, אין צורך לחפש חוויות שיכולות להזיק לנו בסופו של דבר.
  • צרו קשר עם השולח – קיבלת מייל אבל אתה לא בטוח במאה אחוז ? נסה ליצור קשר עם השולח, במידה וקבלת מייל מהבנק התקשר אל מחלקת שירות הלקוחות ושאל אותם בנוגע להודעה שקיבלת.
  • הכנס לאתר דרך כתובתו בגוגל – תוקפים מתוחכמים ינסו להסוות את כתובת האתר המזויפת שלהם, לכן עדיף להיכנס דרך גוגל כדי להיות בטוחים כי אנו ניגשים אל האתר דרך הכתובת הנכונה.
  • אף פעם אל תמסרו סיסמאות – אתרים מהימנים לעולם לא ידרשו מכם להכניס סיסמאות.
  • דווחו לגורם האחראי על מייל חשוד – כך תוכלו לשמור על הארגון שלכם מפני נזק גדו ותעזרו למגר את תופעת הפישינג בארגון.

דוגמא לניסיון פישינג על ידי מייל המתחזה לשירות פייפאל :

ניתן לראות כי כתובת האתר הינה Peypal.com ולא Paypal.com כמו הכתובת האמיתית

בנוסף ניתן להבחין כי בהודעה פנו אלינו בצורה גנרית ולא עם שמנו הפרטי.

זהו ניסיון פישינג דיי פשוט, תוקפים מנוסים יחביאו את כתובת האתר הזדוני תחת כתובת אתר לגיטימית.

בדוגמא הבאה ניתן לראות כי הכתובת היא הכתובת האמיתית של פייפאל אך ברגע שנעבור עם הסמן עליה נראה בפינה השמאלית התחתונה את הכתובת האמיתית אליה מפנה הקישור.

לכן יש להיות מאוד זהירים ולבדוק את הקישור לפני שלוחצים עליו.

כך המייל מוצג באאוטלוק:

במקרה מסוג זה נחקור יותר ונכנס דרך סימון החץ התחתון מהפסקה הקודמת ▼ ונבדוק אם יש את סימן “נשלח על ידי” ו “נחתם בידי”

ניתן לראות כי לא קיימת אינדיקציה לגבי זהות החותם והשולח ולכן המייל לא אמין.

במצב כזה נדווח לממונה על הנושא בארגון בו אנו עובדים ונמחק את המייל לאחר בחינתו.

במאמר זה סקרנו את שיטות הפישינג המוכרות ולמדנו איך להתגונן מפניהן, תמיד צצות שיטות חדשות והתוקפים נהיים יותר ויותר מתוחכמים.  חשוב לשמור על היגיון בריא, לדווח לממונה על מיילים שנראים לא לגיטימיים ולא לפתוח קישורים חשודים, כך נוכל למנוע התקפות על הארגון.

מאמר זה נכתב על ידי נריה באשה