דיוג? אתה בטוח שכתבת את זה נכון?

אז כן, מסתבר שיש מילה כזאת, “דיוג” או כפי שרושמים אותה באנגלית Phishing (שיבוש מהמילה Fishing) או לעיתים בעברית פישינג. זהו בעצם גם הרעיון – זוהי שיטת התקפה בה התוקף מנסה להעלות בחכתו קורבן תמים בכדי לתקוף אותו, את המחשב שלו, את הסמארטפון או כל תשתית מחשוב אחרת שברשותו.

סביר להניח שרבים כבר מכירים כיום את המונח פישינג, אבל לא כולם יודעים איך בדיוק להזהר מהתקפות שכאלה, כיצד הן באות לידי ביטוי ושיש בכלל סוגים.. המטרה שלי כאן היא לספר לכם קצת על העולם הזה בשאיפה שעם הידע הזה תהיו קצת יותר מוכנים ומודעים במידה ומישהו יחליט לתקוף אתכם.

אז נתחיל מהבסיס: “איך התקפה כזאת נראית”? לרוב התקפת פישינג מבוססת על אימייל מפחיד שאתם מקבלים ובו טענות כאלה ואחרות (כגון שאותר ניסיון פריצה לחשבון הפייסבוק שלכם) ואתם מתבקשים ללחוץ על לינק בגוף האימייל שיפנה אתכם לאתר המסביר כיצד להתמודד עם מה שקרה. אותו אתר הוא לרוב אתר מתחזה הנראה מאוד דומה אתר הלגיטימי שאתם מכירים (כגון אתר הבנק שלכם, אתר שנראה כמו מסך הכניסה לחשבון הג’ימייל או הפייסבוק שלכם). ההתקפה באותו הלינק היא לרוב באחת מהשיטות הבאות:

 1. תתבקשו לספק פרטים אישיים כדי “להוכיח את הזהות שלכם” לפני שיגלו לכם כיצד להתמודד עם המצב שקרה (כגון שם משתמש וסיסמא לג’ימייל שלכם, פרטי כניסה לחשבון הבנק שלכם, מספר כרטיס אשראי וכולי). מובן שאם תספקו את הפרטים לאתר המתחזה, בעצם סיפקתם גישה מלאה לחשבון שלכם לתוקף.

2. במקרים מסויימים באתר יהיה סרטון שתתבקשו לצפות בו בטענה כזו או אחרת, אך לפני כן תתבקשו לעדכן את נגן הסרטונים במחשב שלכם. כיצד עושים זאת? אין בעיה, האתר המתחזה יישמח להגיש לכם קובץ הרצה שאמור לכאורה לעדכן את נגן הסרטונים שלכם, אך בפועל אותו קובץ עושה דברים אחרים לגמרי שממש לא נעימים למחשב שלכם.

3. לעיתים לא תתבקשו לבצע אף פעולה. מספיק שנכנסתם לאתר וההתקפה כבר החלה מאחורי הקלעים מבלי שתבצעו שום פעולה מעבר לכך. (ההתקפה מתבססת על כך שאתם עובדים עם דפדפן שאיננו מעודכן לגרסא החדשה והמאובטחת ביותר ומנצלת פרצת אבטחה הקיימת בגרסא הישנה שלו בה אתם עושים שימוש).

אבל רגע, “למה שמישהו ירצה לתקוף דווקא אותי?” אז זה בעצם מביא אותנו לסוג הראשון והבסיסי של התקפת פישינג שהיא מדומה לרעיון של דייג הזורק את חכתו לתוך המים וממתין שקורבן אקראי ייתפס. הרעיון מאחורי התקפת פישינג שכזו היא לבצע שליחה מאסיבית של ההתקפה לכל כיוון אפשרי (לאוסף של מיליוני כתובת אימייל שהתוקף אסף מהאינטרנט בשלל דרכים) מתוך מחשבה על חוק המספרים הגדולים: גם אם 1% ממקבלי המייל אכן ילחצו על הלינק המסוכן, היות ושלחנו את ההתקפה לעשר מיליון אנשים הרי שההתקפה תצליח ב100,000 מקרים מתוכם. ומה ייצא לתוקף מכך?

 1. אם מדובר בפרטי חשבון בנק – הרי שהוא יוכל לבצע העברה בנקאית בשמכם

 2. אם מדובר בפרטי כרטיס אשראי – הוא יוכל לבצע רכישות בשמכם או למכור את פרטי האשראי בפורומים של האקרים תמורת סכום נאה

 3. אם מדובר בהרצה של תוכנה זדונית על המחשב שלכם התוקף יוכל כנראה להשתלט עליו ולגרום למחשב שלכם לבצע דברים עבור התוקף מבלי שתדעו – כגון להגיש לכם שלל פרסומות המניבות רווח כספי לתוקף לאורך זמן.

 4. אם מדובר בפרטי גישה לרשתות חברתיות – הוא יוכל לפרסם פוסטים בשמכם המפנים את חבריכם לאתר התקפה אחר וכך להרחיב את מעגל הקורבנות שלו.

 5. אם מדובר בפרטי הכניסה לחשבון הג’ימייל שלכם – ובכן כאן כבר יש לנו בעיה רצינית. תחשבו רגע מה קורה במידה ואתם שוכחים את הסיסמא שלכם לשירות כלשהו… אתם לוחצים בו על כפתור “שכחתי את הסיסמא”.. ואז מייל איפוס סיסמא נשלח לאן? לרוב לחשבון הג’ימייל שלכם.. כלומר שאם יש לתוקף גישה מלאה לחשבון הג’ימייל שלכם הוא למעשה יכול לאפס את הסיסמא שלכם לכל שירות אליו אתם מחוברים ולמעשה להשתלט על כל החשבונות שלכם בשלל האתרים!

סוג אחר של התקפת פישינג הוא עולם הspear phishing (דיוג באמצעות חנית). אם נחזור רגע לעולם הדייג בים, הרעיון הוא לא לזרוק חכה למים ולחכות לקורבן אקראי, אלא לבחור בעצמנו מראש את הקורבן ולהשליך לכיוונו חנית במטרה לתפוס אותו באופן ספציפי. כך גם בעולם הדיוג – הרעיון הוא לאתר קורבן מעניין, לאסוף עליו מידע ואז להכין התקפת פישינג מותאמת אליו באופן ספציפי כך שהסיכויים שהקורבן יילחץ על הלינק גדולים במיוחד. למשל: אם יש לכם ילדה בכיתה ב’ ואתם מקבלים מייל שנראה שהגיע מבית הספר שלה ושם מציינים את שמה הנכון, את שם המחנכת שלה ועוד פרטים נכונים ואז מציינים שבשל האירוע שהיא הייתה מעורבת בו בית הספר ייאלץ לנקוט אמצעים. לקבלת פרטים ליצירת קשר עם בית הספר יש ללחוץ על הלינק.. מה הסיכוי שהייתם לוחצים על הלינק? כנראה גדול משמעותית מאשר במקרה של התקפת פישינג אקראית, וגם כאן כמו במקרים הקודמים אתם מובלים לאתר מתחזה המנסה לתקוף אתכם באחת משלל דרכים.

אוקיי.. אז עכשיו שהפחדתי אתכם מספיק בואו נבין כיצד אפשר להתגונן. נתחיל בשיטות התגוננות שאינן בהכרח אפקטיביות ולכן מומלץ לא להסתמך עליהן כלל:

 1. עברית קשה שפה – Google Translate – חלק גדול מהתוקפים כלל אינם ממוקמים בישראל ואינם דוברי עברית, ולכן בכדי לתקוף חבר’ה בישראל הם נעזרים לעיתים בשירותי Google Translate כדי לתרגם את טקסט ההתקפה לעברית. היתרון בכך שעברית היא שפה מורכבת וקשה ללימוד הוא בכך שלרוב התרגום יוצר רצפי מילים לא הגיוניים ולא ברורים מה שמקל עלינו מאוד להבין שמשהו כאן חשוד. למשל במקרה של התקפת הפישינג על לקוחות בנק הפועלים משנת 2010 במייל היו ביטויים כגון: “הרישומים שלנו מראים כי הפגישה המקוונת שלך ננעל עקב בעקבות סיבה” או “היכנס ניסיונות עם מידע לא חוקי“.

למה זה לא אפקטיבי: כיום דוברי עברית משתפים פעולה עם התקפות שכאלה, וכן חלק מההתקפות הן פשוט באנגלית תקינה.

2. להסתמך על הטקסט שמופיע על גבי הלינק (בצבע כחול עם קו תחתון) – הרבה אנשים לא מודעים לכך אבל כאשר אנו יוצרים לינק, אנו למעשה שולטים לא רק ביעד אליו הוא מפנה אלא גם במה שכתוב ומוצג למשתמש. כך למשל אתם חושבים שהלינק הבא מפנה למיקום אחד אך בפועל מפנה למיקום אחר:

www.not-practis-site.co.il

3. להסתכל על הכתובת אליה הגענו לאחר הלחיצה על הלינק – במידה וכבר לחצתם (לא רעיון טוב) תוכלו לראות לאיזו כתובת הגעתם בפועל וכך תנסו לקבוע האם האתר לגיטימי. כך למשל אם לחצתם על לינק שמתחזה להגיע מחטיבת האבטחה של פייסבוק ובפועל הגעתם לאתר: www.evil.com אז נדע שמשהו פה לא תקין..

למה זה לא אפקטיבי: כי התוקפים מנסים שלל דרכים לבלבל אתכם כדי שלא תבחינו בכך שאתם לא באתר לגיטימי. למשל במקרה של התחזות לשירות האבטחה של פייסבוק ייתכן ותגיעו לאחת מהכתובות הבאות:

www.facebook.securityfb.com

yoav.com/www.facebook.com

http://bit.ly/Pn0TBc

וכמו כן קיימת טכניקות כדי להפוך את הלינקים לאפילו פחות חשודים, כגון הדוגמא הבאה שנראית מאוד לגיטימית אך שימו לב לנקודה מעל האות e. זוהי בעצם אות שונה לחלוטין מe רגילה ולכן ההפנייה היא לאתר אחר לגמרי.. במקרה זה, לצורך הדוגמא, בחרתי באתר שלא קיים.. אם כי ניתן היה בקלות להרים אתר עם הכתובת המדוברת או דומה לה.

www.facėbook.com

למרות שיש עוד שלל שיטות לא אפקטיביות, בואו ננסה להתמקד במה כן מומלץ לעשות:

1) בחרו דפדפן טוב – כלומר דפדפן מודרני אשר שם דגש על אבטחה כגון כרום או פיירפוקס

2) וודאו שמותקן לכם אנטי-וירוס על המחשב המסוגל להגן עליכם בזמן אמת במידת הצורך

3) הקפידו שמערכת ההפעלה, הדפדפן שלכם והאנטי-וירוס יתעדכנו על בסיס קבוע. כך הם יכירו את ההתקפות החדשות ביותר וידעו להגן עליכם מפניהן.

4) ישנם שירותי סריקה חינם אונליין אשר יישמחו לבדוק את האימייל עצמו, את הקבצים המצורפים לו ואפילו את הלינקים שבתוכו. למשל אחד האתרים האהובים עלי הוא VirusTotal אשר יסרוק את מה שתיתנו לו מול כ50 אנטי-וירוסים שונים וייתן לכם דו”ח מפורט האם מדובר במשהו חשוד או לא. שימו לב שלא תמיד מדובר ב100% הצלחה בזיהוי ולכן אין לסמוך על המסקנות של האתר בעיניים עצומות!
הלינק: http://www.virustotal.com

5) לעולם אין לגשת לחשבון אונליין שלכם באמצעות לינק מתוך אימייל. ברצונכם להגיע לחשבון הבנק שלכם? פיתחו בעצמכם את הדפדפן, ותקתקו את הכתובת בעצמכם.

6) לפני שאתם מתקתקים פרטים אישיים ורגישים באתר מסויים וודאו שהחיבור אליו מאובטח (הכתובת מתחילה בHTTPS). חשוב לציין שזה איננו סימן חד משמעי שאתם בטוחים אבל במידה והוא לא מתקיים אזי בוודאות משהו כאן לא תקין.

יש טיפים נוספים רבים אבל בסופו של דבר הטיפ הכי טוב הוא: היו חשדנים והשתמשו בהיגיון שלכם. אם משהו לא נראה לכן תקין, משהו לא נשמע הגיוני – עדיף להתייעץ עם אחרים לפני שעושים טעות שנתחרט עליה לאחר מכן. למשל אם קיבלתם מייל מהבנק בו הוא מבקש מכם לתקתק את מספר האשראי המלא שלכם לצורך זיהוי, כנראה שמשהו כאן לא תקין (הרי בנקים לעולם לא יבקשו מכם לתקתק את מספר האשראי המלא) וכדאי להתקשר לחטיבת התמיכה הטכנית של הבנק ולנסות להבין במה מדובר.

בהצלחה!

הכותב הוא אחד המייסדים ואחראי ההדרכות בחברת פרקטיס המספקת הכשרות מעשיות וממוקדות בשלל תחומי ההי-טק – מעולם הסייבר, פיתוח, ועד לעולם בדיקות התוכנה.