בספטמבר 2019, פרסמה ג’וניפר נטוורקס את פרטי תוכנת הריגול Masad Stealer המועברת כסוס טרויאני. נוזקה זו משתמשת באפליקציית המסרים טלגרם על מנת לשלוח לתוקף מידע אישי גנוב של המשתמש, כולל ארנקים מוצפנים למטבעות דיגיטליים, מספרי כרטיס אשראי, מסמכים אישיים ועוד. אף על פי שהמפתחים מוכרים תוכנת ריגול זו כתוכנת מדף ולכן נראה אותה תוקפת שוב, אין זה הופך אותה לשיטת התקפה נפוצה או סטנדרטית.

שיטת ההתקיפה הנפוצה ביותר כיום הינה פישינג (phishing), הפועלת דרך מיליוני מיילים המתקבלים ומטופלים על בסיס יום יומי. מנתוני מחקר עדכני של Small Business Trends, 5 מהמיילים שאנו מקבלים מידי יום, בממוצע, הינם הודעות פישינג. כמעט שליש מהמיילים הללו יצליחו לעבור את מנגנוני האבטחה הבסיסיים ויגיעו לתיבת המייל של המשתמש, וכך למעשה, מתהווה איום משמעותי.

בכל הנוגע לפישינג ונגזרותיו (דוגמת Spear Phishing), אנו רגילים לשמוע אודות תוצאות התקפות מוצלחות כחלק משגרה מדאיגה. התקפות אלו כוללת דרישות כופר ההורסות ארגונים רבים אשר נתפסו לא מוכנים. מהו הדבר שהופך את הפישינג למוצלח ומה הם הגורמים המרכזיים המאפשרים להתקפות פישינג להמשיך לפעול?

מודעות משתמשים עדיין מהווה אתגר
משתמשים עדיין נופלים כקורבן לניסיונות פישינג, משום שהם פותחים קבצים מצורפים או לוחצים על קישורים במייל. זאת משום שמחוץ לארגון ה- IT, לרוב המשתמשים תהיה מודעות בסיסית בלבד אודות אבטחת מידע. מודעות זו לרוב מגיעה מהכשרה בסיסית בתחילת עבודה חדשה או מהכשרה של פעם בשנה. במציאות, השקעה רציפה במודעות לאבטחת מידע, חיונית על מנת לעזור לעובדים לזהות התקפות. עם הכשרה נוספת על בסיס קבוע, משתמשים יכולים לדעת טוב יותר כיצד נראים האיומים ויכולים לשתף זאת יותר בשיחות על כך עם חבריהם לעבודה.

הערך של המידע האישי ירד
כפי הנראה, יש כל כך הרבה מידע אישי הגלוי ברשת האפלה (Darknet) שאנשים כבר לא רוצים (או צריכים) לשלם עבורו מחיר גבוה. כתוצאה מכך קיים מעבר מטקטיקות של גניבת מידע בעזרת פישינג למיילים הכוללים קוד מצורף, דוגמת בקשות כופר ונוזקה. כמו כן, ישנה עליה במספר האנשים המוכנים לשלם את הכופר, על מנת לקבל בחזרה גישה לנתונים שלהם. זה ניכר במיוחד במשרדי ממשלה מקומיים, חינוך ובריאות, בהם עלות הנזק לרוב גבוהה מסכום הכופר.

פישינג הוא זול, אך משתמש בטכנולוגיה מתקדמת
כבר התרגלנו לקבל הודעות ספאם (דואר זבל). כיום, פושעי הסייבר מאמצים למידת מכונה לשיפור התוכן וכלי רשתות חברתיות על מנת לחקות מיילים אמיתיים ולזכות באמון המשתמש. חינוך המשתמשים אודות הטקטיקות האחרונות והעברת הדרכות עדכניות שוטפות הינם הדרכים הטובות ביותר להגן מפני התקפה המנסה להגיע למידע עסקי.

ארגונים לא תמיד מעודכנים
העומס על צוותי ה-IT הארגוניים מונע מהם טיפול בכל האתגרים בזמן. שלושת התחומים המרכזיים המנוצלים להתקפה הם:

1. עדכון גרסאות בזמן הוא המהלך החשוב והבסיסי ביותר שיש לעשות על מנת למנוע מפושעי סייבר לחדור למערכת. עדכנו כל הזמן את גרסאות התוכנה שלכם.
2. גיבוי הוא הנושא החשוב ביותר אחרי עדכון הגרסה. גיבוי יציב שנבדק מראש יכול להיות ההבדל בין המשך עבודה רגיל לבין תשלום כופר.
3. טרנד ה-BYO (הבא את המכשיר שלך לעבודה) וטרנד ה-IoT (אינטרנט של הדברים) הופכים למגמה אחת עם הזמן. בעבר חשבנו על BYO כדרך בא ניתן להשתמש בלפטופ פרטי לצרכי עבודה, תוך שאנו נעזרים בכלי האבטחה של הארגון על מנת להגן עליו. הטרנד העכשווי המדאיג יותר הוא הבאת מכשירי IoT לעבודה וחיבורם לרשת האירגונית. רבים מהמכשירים הללו לא כוללים אבטחת מידע ברמה מספקת או לא הוגדרו נכון על ידי המשתמש כך שהם מסכנים את תהליכי ה-IT הארגוניים. זהו סיכון גבוה מאד מכיוון שלחולשות ורגישויות בהתקני IoT יש את הפוטנציאל לשמש פושעי סייבר כבסיס ופירצת גישה למידע ולמערכות אחרות.

לתשתית הנכונה יש תפקיד חשוב
ארגונים צריכים לשקול שימוש בשכבות שונות של אבטחת מידע כדי למנוע התקפות דרך המייל. בשנים האחרונות, ראינו אבולוציה משרתי מיילים מקומיים לפתרונות בענן המגיעים עם הגנה מובנית למייל. אך מה לגבי ההתקפות שחומקות ממנגנוני ההגנה הקיימים? פתרונות ה- Advanced Threat Prevention של ג’וניפר כוללים את יכולות הדור הבא לאיתור נוזקות פוטנציאליות במסמכים מצורפים, והסרתם לפני השליחה למשתמש. בנוסף, הם כוללים יכולות מודיעין סייבר על מנת לזהות בגוף המייל קישור לאתרים בסיכון גבוה או לכתובות IP נגועות, ובכך מונעים מהתוכן הנגוע להגיע למשתמש קצה.

לאחר מימוש הטכנולוגיות המתקדמות הללו לטיפול באיומים, ניתן למנף אותם טוב יותר על פני כל הנתונים שמיוצרים על ידי פתרונות שונים. כאן מהווה אוטומציית אבטחת נתונים כלי משמעותי. בעזרת שימוש בנתונים הקיימים בכלי האבטחה ברשת ובמקורות מודיעין סייבר נוספים, ניתן ליצור מדיניות ולהטמיע אותה כדי להבטיח זיהוי מוקדם של איום פוטנציאלי והגנה טובה יותר על סביבת הרשת והמחשוב.

לסיכום, גם אם התקנת את פתרון האבטחה הטוב ביותר כדי להגן על הרשת שלך ועל מאגרי המידע הרגישים שבה מפני פישינג, אתה צריך לוודא שהמשתמשים עושים את חלקם. עליהם להישאר ערניים ומעודכנים בכל עת, וניתן לצפות זאת מהם רק לאחר מתן הדרכה נכונה בתדירות גבוהה.

המאמר נכתב ע”י: לורנס פיט, אסטרטג אבטחת מידע, ג’וניפר נטוורקס