כיצד להגן על כסף ונתונים אישיים באינטרנט

2024 מְחַבֵּר: Malcolm Clapton | [email protected]. שונה לאחרונה: 2023-12-17 03:56

ככל שאתה מעודכן יותר, כך קשה יותר לרמות אותך. הנה כל מה שאתה צריך לדעת על דיוג עם Microsoft.

מצא טיפים נוספים כיצד להגן על עצמך מפני איומים דיגיטליים.

מה זה פישינג וכמה זה מסוכן

פישינג הוא סוג נפוץ של הונאת סייבר, שמטרתה להתפשר ולחטוף חשבונות, לגנוב פרטי כרטיסי אשראי או כל מידע סודי אחר.

לרוב, פושעי סייבר משתמשים בדואר אלקטרוני: למשל, הם שולחים מכתבים מטעם חברה ידועה, ומפתים משתמשים לאתר המזויף שלה בתואנה של קידום מכירות רווחי. הקורבן אינו מזהה את הזיוף, מזין את פרטי הכניסה והסיסמה מחשבונו, וכך המשתמש עצמו מעביר את הנתונים לרמאים.

כל אחד יכול לסבול. מיילים דיוג אוטומטיים מכוונים לרוב לקהל רחב (מאות אלפי או אפילו מיליוני כתובות), אך ישנן גם התקפות המכוונות למטרה ספציפית. לרוב, יעדים אלו הם מנהלים בכירים או עובדים אחרים בעלי גישה מועדפת לנתונים ארגוניים. אסטרטגיית דיוג מותאמת אישית זו נקראת ציד לווייתנים, שמתורגם כ"לכידת לווייתנים".

ההשלכות של התקפות דיוג יכולות להיות הרסניות. רמאים יכולים לקרוא את התכתובת האישית שלך, לשלוח הודעות פישינג למעגל אנשי הקשר שלך, למשוך כסף מחשבונות בנק, ובדרך כלל לפעול בשמך במובן הרחב. אם אתה מנהל עסק, הסיכון עוד יותר גדול. פישרים מסוגלים לגנוב סודות תאגידים, להרוס קבצים רגישים או להדליף את הנתונים של הלקוחות שלך, ולפגוע במוניטין של החברה.

על פי דו"ח מגמות פעילות דיוג של קבוצת העבודה נגד פישינג, ברבעון האחרון של 2019 לבדו, מומחי אבטחת סייבר גילו יותר מ-162,000 אתרי הונאה ו-132,000 קמפיינים בדוא"ל. במהלך תקופה זו, כאלף חברות מכל העולם הפכו לקורבנות של פישינג. נותר לראות כמה התקפות לא זוהו.

אבולוציה וסוגי דיוג

המונח "פישינג" מגיע מהמילה האנגלית "פישינג". סוג זה של הונאה ממש דומה לדיג: התוקף זורק את הפיתיון בצורה של הודעה מזויפת או קישור ומחכה שהמשתמשים ינשכו.

אבל באנגלית דיוג מאוית קצת אחרת: פישינג. הדיגרף ph משמש במקום האות f. לפי אחת הגרסאות, מדובר בהתייחסות למילה מזויפת ("רמאי", "נוכל"). מצד שני - לתת-תרבות ההאקרים המוקדמים, שכונו phreakers ("פריקרים").

מאמינים שהמונח דיוג שימש לראשונה בפומבי באמצע שנות ה-90 בקבוצות דיון של Usenet. באותה תקופה, רמאים פתחו בהתקפות פישינג ראשונות נגד לקוחות של ספקית האינטרנט האמריקאית AOL. התוקפים שלחו הודעות וביקשו לאשר את האישורים שלהם, והתחזו לעובדי החברה.

עם התפתחות האינטרנט, הופיעו סוגים חדשים של התקפות דיוג. רמאים החלו לזייף אתרים שלמים ושלטו בערוצים שונים ובשירותי תקשורת שונים. כיום ניתן להבחין בין סוגים כאלה של פישינג.

• דיוג בדוא"ל. רמאים רושמים כתובת דואר דומה לכתובת של חברה מוכרת או מכר של הקורבן שנבחר, ושולחים ממנה מכתבים. יחד עם זאת, לפי שם השולח, עיצוב ותוכן, מכתב מזויף יכול להיות כמעט זהה למקור. רק בפנים יש קישור לאתר מזויף, קבצים מצורפים נגועים או בקשה ישירה לשלוח נתונים חסויים.
• דיוג ב-SMS (סמיסינג). סכימה זו דומה לקודמת, אך נעשה שימוש ב-SMS במקום בדוא"ל.המנוי מקבל הודעה ממספר לא ידוע (בדרך כלל קצר) עם בקשה לנתונים חסויים או עם קישור לאתר מזויף. לדוגמה, תוקף יכול להציג את עצמו כבנק ולבקש את קוד האימות שקיבלת קודם לכן. למעשה, הרמאים צריכים את הקוד כדי לפרוץ לחשבון הבנק שלך.
• דיוג במדיה חברתית. עם התפשטות המסרים המיידיים והמדיה החברתית, התקפות דיוג הציפו גם את הערוצים הללו. תוקפים יכולים ליצור איתך קשר באמצעות חשבונות מזויפים או שנפגעו של ארגונים ידועים או חברים שלך. אחרת, עקרון ההתקפה אינו שונה מהקודמים.
• פישינג טלפוני (vishing). הרמאים אינם מוגבלים להודעות טקסט ויכולים להתקשר אליך. לרוב, טלפוניה אינטרנטית (VoIP) משמשת למטרה זו. המתקשר יכול להתחזות, למשל, לעובד בשירות התמיכה של מערכת התשלומים שלך ולבקש נתונים כדי לגשת לארנק - כביכול לצורך אימות.
• חפש דיוג. אתה יכול להיתקל בדיוג ישירות בתוצאות החיפוש. מספיק ללחוץ על הקישור שמוביל לאתר המזויף ולהשאיר בו נתונים אישיים.
• דיוג קופץ. תוקפים משתמשים לעתים קרובות בחלונות קופצים. בביקור במשאב מפוקפק, ייתכן שתראה באנר המבטיח הטבה כלשהי - למשל, הנחות או מוצרים בחינם - מטעם חברה ידועה. בלחיצה על קישור זה תועברו לאתר הנשלט על ידי פושעי סייבר.
• חַקלָאוּת. לא קשור ישירות להתחזות, אבל חקלאות היא גם התקפה נפוצה מאוד. במקרה זה, התוקף מזייף את נתוני ה-DNS על ידי הפנייה אוטומטית של המשתמש במקום האתרים המקוריים לאתרים המזויפים. הקורבן אינו רואה הודעות וכרזות חשודות, מה שמגביר את יעילות התקיפה.

דיוג ממשיך להתפתח. מיקרוסופט דיברה על טכניקות חדשות ששירות האנטי-פישינג של Microsoft 365 Advanced Threat Protection גילה ב-2019. לדוגמה, רמאים למדו להסוות טוב יותר חומרים זדוניים בתוצאות החיפוש: קישורים לגיטימיים מוצגים למעלה, שמובילים את המשתמש לאתרי דיוג באמצעות הפניות מרובות.

בנוסף, פושעי סייבר החלו לייצר באופן אוטומטי קישורי פישינג והעתקים מדויקים של מיילים ברמה חדשה מבחינה איכותית, מה שמאפשר להם להונות משתמשים בצורה יעילה יותר ולעקוף אמצעי אבטחה.

בתורה, מיקרוסופט למדה לזהות ולחסום איומים חדשים. החברה השתמשה בכל הידע שלה בנושא אבטחת סייבר כדי ליצור את חבילת Microsoft 365. היא מספקת את הפתרונות הדרושים לך לעסק שלך, תוך הבטחה שהמידע שלך מוגן ביעילות, כולל מפני פישינג. Microsoft 365 Advanced Threat Protection חוסם קבצים מצורפים זדוניים וקישורים שעלולים להזיק במיילים, מזהה תוכנות כופר ואיומים אחרים.

כיצד להגן על עצמך מפני דיוג

שפר את האוריינות הטכנית שלך. כמו שנאמר, מי שהוזהר מראש הוא חמוש. למד אבטחת מידע בעצמך או התייעץ עם מומחים לקבלת ייעוץ. אפילו רק ידע מוצק ביסודות ההיגיינה הדיגיטלית יכול לחסוך לך הרבה צרות.

הזהר. אין לעקוב אחר קישורים או לפתוח קבצים מצורפים במכתבים מבני שיח לא ידועים. אנא בדוק היטב את פרטי ההתקשרות של השולחים ואת הכתובות של האתרים שבהם אתה מבקר. אל תגיב לבקשות למידע אישי, גם כשההודעה נראית אמינה. אם נציג של החברה מבקש מכם מידע, עדיף להתקשר למוקד שלו ולדווח על המצב. אל תלחץ על חלונות קופצים.

השתמש בסיסמאות בחוכמה. השתמש בסיסמה ייחודית וחזקה עבור כל חשבון. הירשם לשירותים המזהירים את המשתמשים אם סיסמאות לחשבונות שלהם מופיעות ברשת, ומיד שנה את קוד הגישה אם יתברר שהוא נפגע.

הגדר אימות מרובה גורמים. פונקציה זו מגנה בנוסף על החשבון, למשל, באמצעות סיסמאות חד פעמיות. במקרה זה, בכל פעם שתיכנסו לחשבון שלכם ממכשיר חדש, בנוסף לסיסמה, תצטרכו להזין קוד בן ארבע או שש תווים שנשלח אליכם באמצעות SMS או שנוצר באפליקציה מיוחדת. זה אולי לא נראה מאוד נוח, אבל גישה זו תגן עליך מפני 99% מההתקפות הנפוצות. אחרי הכל, אם רמאים גונבים את הסיסמה, הם עדיין לא יוכלו להיכנס ללא קוד אימות.

השתמש במתקני כניסה ללא סיסמה. בשירותים אלה, במידת האפשר, עליך לוותר לחלוטין על השימוש בסיסמאות, החלפתן במפתחות אבטחה חומרה או אימות באמצעות אפליקציה בסמארטפון.

השתמש בתוכנת אנטי וירוס. אנטי וירוס מעודכן יסייע בחלקו להגן על המחשב שלך מפני תוכנות זדוניות שמפנה לאתרי דיוג או גונב כניסות וסיסמאות. אבל זכור שההגנה העיקרית שלך היא עדיין הקפדה על כללי היגיינה דיגיטלית ועמידה בהמלצות אבטחת סייבר.

אם אתה מנהל עסק

הטיפים הבאים יועילו גם לבעלי עסקים ומנהלי חברות.

הכשרת עובדים. הסבר לכפופים מאילו הודעות להימנע ואיזה מידע אסור לשלוח בדוא ל ובערוצי תקשורת אחרים. לאסור על עובדים להשתמש בדואר ארגוני למטרות אישיות. הנח אותם כיצד לעבוד עם סיסמאות. כדאי גם לשקול מדיניות שמירת הודעות: למשל, לצורכי אבטחה, ניתן למחוק הודעות ישנות יותר מתקופה מסוימת.

בצע אימון התקפות פישינג. אם אתה רוצה לבדוק את תגובת העובדים שלך להתחזות, נסה לזייף התקפה. למשל, רשמו כתובת דואר דומה לשלך, ושלחו ממנה מכתבים לכפופים בבקשה שיספקו לכם נתונים חסויים.

בחר שירות דואר אמין. ספקי אימייל בחינם פגיעים מדי לתקשורת עסקית. חברות צריכות לבחור רק שירותים ארגוניים מאובטחים. לדוגמה, למשתמשים בשירות הדואר של Microsoft Exchange, שהוא חלק מחבילת Microsoft 365, יש הגנה מקיפה מפני דיוג ואיומים אחרים. כדי להתמודד עם רמאים, מיקרוסופט מנתחת מאות מיליארדי מיילים מדי חודש.

שכור מומחה אבטחת סייבר. אם התקציב שלך מאפשר, מצא איש מקצוע מוסמך שיספק הגנה שוטפת מפני דיוג ואיומי סייבר אחרים.

מה לעשות אם אתה קורבן של פישינג

אם יש סיבה להאמין שהנתונים שלך נפלו לידיים הלא נכונות, פעל מיד. בדוק את המכשירים שלך עבור וירוסים ושנה סיסמאות לחשבון. הודע לצוות הבנק שייתכן שפרטי התשלום שלך נגנבו. במידת הצורך, הודע ללקוחות על הדליפה הפוטנציאלית.

כדי למנוע הישנות מצבים כאלה, בחר בשירותי שיתוף פעולה אמינים ומודרניים. מוצרים עם מנגנוני הגנה מובנים הם המתאימים ביותר: זה יעבוד בצורה נוחה ככל האפשר ולא תצטרך להסתכן באבטחה דיגיטלית.

לדוגמה, Microsoft 365 כולל מגוון של תכונות אבטחה חכמות, לרבות הגנה על חשבונות וכניסות מפני התפשרות באמצעות מודל הערכת סיכונים מובנה, אימות ללא סיסמה או רב-גורמי שאינו דורש רישיונות נוספים.

כמו כן, השירות מספק בקרת גישה דינמית עם הערכת סיכונים ובהתחשב במגוון רחב של תנאים. כמו כן, Microsoft 365 מכיל אוטומציה מובנית וניתוח נתונים, וגם מאפשר לך לשלוט במכשירים ולהגן על מידע מפני דליפה.