מתקפות פישינג מלוות אותנו כבר יותר מ-25 שנים, ועדיין מדובר בשיטה אפקטיבית עבור עבריינים להשיג פרטים אישיים וסיסמאות ולגרום למשתמשים להתקין תוכנות זדוניות. התוקפים ממשיכים לזהות הזדמנויות חדשות להפלת קורבנות - ומגפת הקורונה סיפקה כאלה למכביר. בדוח שמפרסמת חברת אבטחת המידע המובילה סופוס, בשם "Phishing Insights 2021", מציגה החברה תמונה של התרחבות פעילות הפישינג ברחבי העולם מאז מגיפת הקורונה, לרבות גידול משמעותי - לצד מודעות רחבה - בישראל.
מהסקר שערכה סופוס בקרב 5,400 מקבלי החלטות IT בארגונים המתפרסים על פני 30 מדינות, עולה כי 70% מהמשיבים דיווחו על גידול בהתקפות פישינג על ארגונים מאז תחילת המגיפה. בישראל, עמד שיעור המדווחים על הגידול במתקפות על 90% מהמשיבים. הגידול חוצה את כל המגזרים, כאשר גופי ממשל חווים את הגידול הגבוה ביותר (77%), ומיד אחריו נמצאים שירותים מקצועיים ועסקיים (76%) ושירותי בריאות (73%).
הגידול הרוחבי בהתקפות מראה כי עבריינים הזדרזו לנצל את הגידול המהיר בעבודה מהבית שהתרחש במהלך המגיפה, שלווה בקושי ארגוני לאבטח סביבת עבודה שאינה עסקית והפך מיליוני עובדים מהבית למטרה מרכזית של פושעי רשת. במקביל, חלה גם צמיחה עצומה בהיקף המשלוחים, ומתקפות פישינג המתחזות להודעות מחברות משלוחים הפכו למחזה נפוץ בחודשים הראשונים של המגיפה. גם החרדה מהמגיפה נוצלה על ידי התוקפים - שענו על הצורך של אנשים לקבל מידע עדכני על הקורונה ובתוך כך נטו להקליק באופן אימפולסיבי יותר על תכני COVID-19.
אז מה זה בעצם פישינג?
הסקר של סופוס גם מעלה הבדלים משמעותיים בדרך בה אנשים תופסים פישינג. לדוגמא, 68% מצוותי ה-IT בישראל מקשרים פישינג עם הודעות דואר אלקטרוני המתחזות כמגיעות מארגון לגיטימי, ובדרך כלל משולבות עם איום או בקשת מידע. 46% תופסים פישינג כ-Business Email Compromise (BEC) - כלומר, שליחת הודעה לגורם בארגון עם בקשה לשליחת כסף או נתונים אחרים, בעוד ש-43% סבורים כי פישינג הוא בכלל threadjacking -כאשר תוקפים מכניסים את עצמם לשרשור דוא"ל ארגוני רגיל.
"אחת הסיבות להצלחת הפישינג היא ביכולתו להתפתח ללא הרף, להתאים התקפות לנושאים או לגלי חרדות אקטואליים, כמו המגיפה, ולשחק על רגשות ואמון אנושיים", אמר צ'סטר ויסנייבסקי, מדען מחקר ראשי בסופוס. "זה יכול להיות מפתה עבור ארגונים לראות בהתקפות פישינג איום ברמה נמוכה יחסית, אבל אין לזלזל בכוחם של הפושעים העוסקים בתחום זה. פישינג הוא לרוב הצעד הראשון בהתקפה מורכבת ורבת שלבים. תוקפים משתמשים לעתים קרובות בדוא"ל פישינג כדי להערים על משתמשים להתקין תוכנות זדוניות או לשתף אישורים המספקים גישה לרשת הארגונית. "
מקום בולט בסקר ניתן להודעות SMS זדוניות, המוכרות גם כהודעות סמישינג (smishing) - אלו הן הודעות המגיעות ממותגים מוכרים והמנסות להוציא מהמשתמש את פרטיו האישיים.
מהסקר עולה כי 60% מן הישראלים שנשאלו חושדים בהודעות SMS אלו ומתייחסים אליהן כאל הודעות המנסות להוציא מהן מידע. זהו אחוז המשיבים הגבוה ביותר המתייחס כך אל הודעות smishing. לשם השוואה, מדובר בנתון הגבוה פי 3 כמעט ממקסיקו (23%) שמופיעה בתחתית הרשימה, וגבוה משמעותית גם מבריטניה (40%) והוא מדגים מודעות אבטחה גבוהה של המשתמש הישראלי.
החדשות הטובות הן כי 90% מהארגונים ברחבי העולם כבר הטמיעו תוכניות להגברת מודעות כדי להילחם בפישינג. בישראל, רוב הארגונים (79%) יישמו תוכניות מודעות למאבק בפישינג. הנשאלים אמרו שהם משתמשים בתוכניות אימון מבוססות מחשב (52%), תוכניות אימון בהנחיית אדם (41%) והדמיות פישינג (31%).
"האידיאל יהיה למנוע הודעות דוא"ל מפישינג להגיע לנמען", מסכם ויסנייבסקי. "פתרונות אבטחת דוא"ל אפקטיביים יכולים לעשות את החלק העיקרי, אבל כדי להגיע לאבטחה מלאה יש להתמקד בגורם האנושי ולוודא כי עובדים דרוכים תמיד ומסוגלים לזהות הודעות חשודות ולדווח עליהן ".