קיבלתם לאחרונה מייל מחשיד, אבל הכתובת שלו נראתה לכם מהימנה לחלוטין? בהחלט יכול להיות שנפלתם קורבן לקמפיין פישינג בינלאומי שעורך גוף שזהותו לא ידועה ומתחזה לחברות לגיטימיות מתחומי האופנה, התקשורת ועוד. פרצת האבטחה החמורה התגלתה במחקר של חברת הסייבר הישראלית גרדיו (Guardio), שגילתה שאותו גוף מסוכן גנב עשרות אלפי סאב-דומיינים, כתובות של אתרים לגיטימיים מרחבי העולם, מתוכם כ-20 כתובות של אתרים ישראליים.
"גוגל מתגאה בזה שהיא עוצרת את רוב הספאם ומעדכנת כל הזמן את ג'ימייל בחוקים חדשים כדי לחזק את ההגנות שלה, אבל דברים מאוד רעים עדיין נכנסים לנו לאימייל", מסביר נתי טל, העומד בראש גוף המחקר (head of labs) בחברת גרדיו. "במסגרת המחקר שלנו זיהינו כמויות אדירות של מיילים שעוברים את כל ההגנות, וכשניסינו להבין מה משותף להם וכיצד הם בנויים, גילינו שהם עוברים דרך אתרים של חברות גדולות ולגיטימיות. מנגד, כשלוחצים על הלינק שמופיע בהם, מגיעים לאתר פישינג".
נזכיר שמתקפות פישינג הן דבר נפוץ ומוכר, במסגרתו אתרים מסוכנים מתחזים לאתרים לגיטימיים. על פי האתר של מערך הסייבר הלאומי, הודעות פישינג הן אחת השיטות הקלות והנפוצות להתחיל מתקפת סייבר. מטרתן היא לגרום לכם להכניס פרטים אישיים, להביא להורדת תוכנה מזיקה למכשיר, לגנוב כסף או מידע, להשתלט על חשבונות ברשת החברתית ואף להיכנס לארגון שלכם. במקרה הזה, המיילים שזיהתה גרדיו מגיעים מכתובות אותנטיות ולגיטימיות - אבל התוכן שלהם ממש לא.
"זיהינו שיש איזשהו שחקן, חברה, גוף כלשהו - זה נראה כמו עסק רציני, זה לא בן אדם שעושה את זה בעצמו בבית - שהצליח להשיג במשך שנים כמות גדולה של סאב-דומיינים של חברות, ארגונים גדולים בעולם. זיהינו יותר מ-12,000 סאב-דומיניים גנובים כאלה, מחברות ישראליות כמו יס וסלקום ועד לחברות אופנה בינלאומיות כמו לקוסט ופוט לוקר", מסביר טל.
מה זה אומר סאב-דומיין? מדובר בכתובת בת של הכתובת הראשית לאתר מסוים. אותו גוף עוין סורק את האינטרנט ומאתר כתובות "אבודות" שכאלה, קונה אותן תמורת מספר דולרים ולאחר מכן עושה בהן שימוש. "כשאתה שוכח מסאב-דומיין כזה ולא מעדכן אותו, הוא חוזר לפול, כלומר, מישהו אחר יכול לקנות אותו. מאותו רגע הוא יכולים לעשות המון דברים איתו, כולל לשלוח דרכו מיילים שרק נראים לגיטימיים. החבר'ה האלה השיגו במשך שנים עשרות אלפי דומיינים, ועם הארסנל הענק הזה, הם יכולים לשלוח כמויות מטורפות של אימיליים ולהשתמש במוניטין הטוב של הסאב-דומיין שהם קנו".
טל מבקש להדגיש שהעלות של הקמפיין הזה למי שמבצע אותו היא לא זולה, ולכן סביר להניח שמדובר בגוף ממומן היטב עם משקיעים, עובדים ומשכורות, ולא באדם פרטי שעושה זאת ממרתף ביתו. "הקמפיין הזה עולה להם הרבה מאוד כסף, אבל הרווח ממנו עצום", הוא אומר.
כדי לנסות למזער את הנזק, גרדיו הקימה אתר ייעודי שבו ניתן לבדוק אילו סאב-דומיינים נגנבו, לצד הסבר כיצד לפתור את הבעיה החמורה. "החברות מתקנות את זה, אבל עדיין זה לא מדביק את קצב ההתפשטות", אומר טל. "פנינו לחברות גדולות כמו מיקרוסופט, IBM וסיסקו שנגנבו מהם דומיינים וזה מאוד הטריד אותן. סאב-דומיין גנוב יכול לעשות צרות איומות ונוראיות - מגניבת פרטי אשראי ועד חדירה למערכות של החברות שהסאב-דומיינים שלהן נגנבו".
על אף שברור שהתוקף במקרה הזה הוא גוף מאורגן היטב ולא אדם פרטי, טל מסביר שקשה לשים את האצבע במי מדובר. "הלוואי ונצליח להגיע אליהם. הם עושים עבודה טובה בלהסתיר את עצמם, הם שולחים המיילים האלה מ-30,000 שרתים ברחבי העולם, לפעמים אפילו משרת שהם מעלים ומורידים אותו מיד", הוא מסביר. "מעבר לזה שאנחנו חוסמים את המיילים המסוכנים כך שלא יגיעו למשתמשים שלנו, חשוב לנו לפתור את הבעיה מהשורש שלה, להעלות את המודעות לגבי איך לשמור על האתר שלך, גם אם יש לך אפילו בלוג קטן".
מדובר במתקפה שמכוונת אך ורק נגד ישראלים או בתופעה עולמית?
טל: "ממש לא. האופרציה היא בינלאומית, להפך, המיילים מגיעים באנגלית או בשפות אירופאיות מקומיות ולא בעברית. עצם זה שהם גנבו סאב-דומיינים ישראליים זה כי הם פשוט מצאו אותם, לא כי הם חיפשו ישראלים ספציפית, אבל יש להם נכס גדול בידיים. עבור המחיר הנכון, הם יכולים בהחלט למכור אותו לארגוני טרור או לכל גוף אחר שפועל נגד ישראלים. עם זאת, אין לנו הוכחה שזה קרה".
במערך הסייבר הלאומי מבקשים להדגיש כי חלק מהסאב-דומיינים שעליהם דווח כבר טופלו, וכי אין סאב-דומיינים ממשלתיים שנמצאו.
גרדיו, הפועלת בשונה מרוב חברות הסייבר הישראליות בתחום ההגנה על הצרכן הפרטי ולא מול חברות עסקיות (B2C), מכנה עצמה "הנטפליקס של עולם הסייבר". "אנחנו מציעים הגנה תמורת דמי מנוי חודשיים. כל מה שצריך לעשות זה להוריד את התוסף שלנו לדפדפן או את האפליקציה שלנו. אני ממליץ לכולם להשיג הגנה מסוימת, כי אי אפשר לסמוך רק על ההגנות הבסיסיות החינמיות, כמו של גוגל לדוגמה. חשוב לזכור שיש גם ניגוד אינטרסים, פרסומת שמקבלים בפייסבוק לדוגמה יכולה להוביל לאתר פישינג, ולפייסבוק אין אינטרס להוריד אותה".
ובכל זאת, למי שלא מעוניין לשלם עבור הגנת סייבר, טל ממליץ להיות ספקן ולתמיד לשאול האם יכול להיות שמה שאני רואה כרגע הוא למעשה הונאה. "אין שום דבר בחינם או בהנחה של 95%. אם נתקלתם במודעה כזאת, כנראה שהיא מסוכנת", הוא מסכם.
אלה המלצות מערך הסייבר הלאומי בנושא הגנה מפישינג:
רבות מהודעות הדיוג (פישינג) באחרונה נראות אמינות בניסוח ואף מצליחות להתחזות בשם השולח ולעיתים לדמות בשינוי קל את הקישור. ההמלצה המרכזית של מערך הסייבר הלאומי בהקשר הזה היא לא ללחוץ על קישורים שמתקבלים בהודעות – במקום, היכנסו ישירות לאתר הרשמי המבוקש באמצעות חיפושו בדפדפן ובידקו את המידע המבוקש שם. בנוסף, ניתן להיעזר בשירות חינמי לבדיקת קישורים חשודים כגון ScanMySMS הפועל בשיתוף פעולה עם המערך.