ארבעה מיתוסים של גנבת זהויות
באמצעות פישינג (דיוג) אשר אי אפשר להתעלם מהם

כשמדובר בפישינג, ידע הוא כוח. אנו נוטים לזלזל בהשפעתו על הארגון ולהניח שההגנה הקיימת מספיקה בכדי להילחם בהתקפות אלה.

בכדי להבין את הפישינג משמעו הבנת אחת מהשיטות הנפוצות ביותר בהן משתמשים התוקפים, במטרה לפרוץ ולפגוע ברשתות ארגוניות. בכדי לעשות זאת אנו צריכים להפריך כמה מיתוסים. קרא את המסמך הזה בכדי ללמוד את הטקטיקות הקימות ומה הם שלבי המפתח לבניית אסטרטגיית אבטחה מלאה המגנה מפני פישינג של זהויות.

פישינג של זהויות מתבטא בגניבת זיהוי משתמש / כתובת דוא"ל ושילובי סיסמאות על ידי התחפשות לגוף או לאדם ידוע או לא ידוע בדוא"ל, בהודעות מיידיות או בערוץ תקשורת אחר. לאחר מכן, התוקפים משתמשים בזהות הקורבן כדי לבצע פיגועים על מטרה משנית.

מיתוס ראשון: חברות אינן היעד, הצרכנים הם היעד

רובנו חשבנו שהפישינג הוא איום מבוסס צרכנים. נכון, רוב הפישינג עדיין נועד להשיג גישה לחשבון הבנק של האדם. עם זאת, תוקפים בעלי מוטיבציה כלכלית רואים ערך עצום גם במיקוד בארגונים, למשל, בגניבת רישומי חולים לביצוע הונאת ביטוח, גניבת IP ומכירתו בשוק השחור, או פריצה למערכות קופה. ה- Verizon DBIR דיווח כי 73% מההפרות היו בעלות מוטיבציה כלכלית – רבות מהן בוצעו על ידי שחקנים המזוהים עם מדינת הלאום.

התחזות צרכנית התפתחה להתקפה ארגונית מכיוון ש:

1. עובדים עושים שימוש חוזר בסיסמאות מחשבונותיהם האישיים בחשבונות העסקיים שלהם.
2. התוקפים למדו שהם יכולים להיכנס לרשתות על ידי ניצול החשבונות האישיים של העובדים.

למשתמש הממוצע יש למעלה מ- 40 שירותים הרשומים לכתובת דוא"ל אחת, ובכל זאת, רק חמש סיסמאות ייחודיות, על פי Experian. פעמים רבות אלו אותן סיסמאות המשמשות בחשבון העבודה של העובד. יתר על כן, העובדים ממנפים קישוריות ארגונית; הם קוראים ומגיבים להודעות דוא"ל ולחץ על קישורי פישינג בזמן שהם מחוברים לרשת הארגונית. ארגונים רואים פישינג בכל שעות היממה, אם כי נפח הקליקים המובילים לכתובות אתרים זדוניות גבוה משמעותית בימי חול. ביחוד בימי חמישי – 22% מארועי ה- פישינג קרו בימי חמישי על פי Wombat State of the Phish report.

התוקפים התאימו את עצמם למקום העבודה המודרני, הפישינג אינו תלוי במכשירים ואפליקציות ספציפיות ויכול להגיע גם לתקשורת SMS, למדיה חברתית ואתרי אחסון בענן.

במקום העבודה הנייד של היום – Bring-Your-Own-Your-Everything – התיחום המסורתי בין עבודה לאישי הטשטש מאוד ולכן הארגון פתוח לסיכון העקיף כתוצאה מהתנהגות דיגיטלית אישית של העובדים שלנו.

מיתוס שני: זה הכל אודות פתיחת Attachments ! 

אוקיי, אתה אומר – אבל הסכנה בפישינג היא ההתקשרות, נכון? אז זהו, שלא בהכרח. החל מסוף 2016, החוקרים ראו שיותר פתיונות מובילים קורבנות לאיומים מבוססי כתובות URL שמקורם במספר ערוצים כולל הודעות SMS. ככה זה עובד:

  1. הצעד הראשון הוא שהתוקפים יתפשרו על אתר לגיטימי או ירשמו דומיין מזויף. בסוף 2015, הפישינג נעשה מסחרי. התוקפים של היום קונים ערכות פישינג המכילות את כל מרכיבי ההתקפה הדרושים. כחלופה, ניתן להפעיל פישינג כשירות.
  2. לאחר הקמת הסביבה וזיהוי המטרות, נשלחות הודעות פישינג לקורבן שלרוב נאלץ לחקור את תוכן ההודעה. כמה מההודעות היעילות ביותר שמכוונות הן לצרכנים והן לעובדים מתייחסות למשלוח מקוון להזמנות או עסקאות פיננסיות.
  3. ברגע שהקורבן לוחץ על הקישור, הם נשלחים לאתר מזויף שמבקש מידע אישי. אחד משני דברים קורה אחר כך:
  •  הקורבן מזין את זיהוי המשתמש והסיסמה הנוכחיים שלהם לאתר המזויף, וכך נתונים מועברים לתוקף, או:
  •  האתר המזויף מכיל תוכנות זדוניות שמורדות אוטומטית למכשיר הקורבן כדי לאסוף את כל תעודות המשתמש המאוחסנות במכשיר או בזיכרון הדפדפן.

נתוני הקורבן נשלחים לחשבון דוא"ל זמני או מועברים לדומיין אחר שבשליטת התוקף.
ברגע שתוקפים ישימו ידם על פרטי זהות הקורבן הם יכולים לבצע את השלב הבא של ההתקפה שלהם:

  • התוקף מזין את האישורים לאתרים רבים ככל האפשר באמצעות סקריפטים אוטומטיים.
  • התוקף מזין את האישורים הגנובים ישירות למשאבים ארגוניים המקבלים גישה בלתי מוגבלת לרשת הארגונית.

הסבירות להתרחשות מתקפות אלו עולה, ולפי הדיווח שפרסמה לאחרונה חברת Akamai, "יותר מ- 40% מניסיונות הכניסה העולמיים הם זדוניים הודות להתקפות מרוכזות המונעות על ידי בוט". בהתקפות על משתמשים ארגונים קיימות טקטיקות דומות עם מרכיב אחד נוסף: הנדסה חברתית. התוקפים של ימינו מאורגנים ולעתים קרובות פועלים בחסות מדינה או לפחות ממומנים היטב. הם מבצעים את המחקר שלהם ומכוונים לעובדי מפתח – בדרך כלל אלו המטפלים בעסקאות פיננסיות או בכירים – וממציאים סיפור אמין, אותו הקורבן בד"כ מקבל ללא היסוס.

מיתוס שלישי: ניתן לאמן את העובדים לא ללחוץ על כל הקישורים

הנתונים מראים כי העובדים נעשים מודעים יותר, ופחות נוטים ליפול טרף להתקפות פישינג . זה מצביע על כך שיותר חברות משקיעות במודעות להתקפות ההתחזות, וכי התחזות מדומה עושה את ההבדל. אימון העובדים להימנע מלחיצה על קישורים ולדיווח על דוא"ל חשוד יכול להפחית את זמן הגילוי הממוצע מימים ל- 7שעות, לפי PhishMe, המובילה בסימולציות פישינג ואימוני מודעות.

עם זאת, אימונים עשויים שלא להתמודד עם הפתיונות הקשים ביותר שהעובדים אמורים להימנע מהם – כאלה עם קונטקסט עסקי תקף.

התקפה על הדוא"ל עסקי (BEC – Business Email Compromise ) מותאמת אישית במיוחד עבור העובדים, ומטרת התוקף היא להערים על העובד לבצע עסקאות פיננסיות חשובות באמצעות אישורים גנובים, תוקף יכול לפגוע בחשבונות הדוא"ל הפנימיים של מנהלי המפתח כדי לגשת לנתונים ארגוניים רגישים. בעוד ארגונים רבים מכשירים את עובדיהם לגילוי פישינג, חברת סימנטק דיווחה כי הם רואים כ- 8,000 יעדים עסקיים בחודש עם BEC.

מיתוס רביעי: בקרות אבטחה ב PERIMITER שלי הם כל מה שאני צריך

בעבר, איתור וחסימה היו רכיבים יעילים להגנה שכבתית מפני מתקפת פישינג. כאשר משאבים ארגוניים רגישים עמדו אך ורק מאחורי ה- FIREWALL הארגוני, לארגונים הייתה שליטה ריכוזית יותר במה שהגיע דרך ההיקף המסורתי. עם המעבר ליישומי ענן, לעתים קרובות לא ניתן ליישם בקרות היקפיות מסורתיות באותו אופן. יתר על כן, הקלות והמהירות בה ניתן לפרוס דומיינים זדוניים כדי לתמוך בהתקפות פישינג ממוקדות יותר והופכות את ההגנות ההיקפיות המסורתיות שלנו ליעילות באופן חלקי בלבד, שכן חסימת דומיינים הופכת למשחק בלתי נגמר של "חתול ועכבר" המובילה לארועי False Positive וNegative שגויים.


הפתרון הוא לקבוע בקרות, כגון מדיניות אימות הודעה מבוססת-Domain דיווח ותואם (Domain-based Message Authentication, Reporting & Conformance DMARC). מדיניות זו מקשה על התוקפים לבצע פישינג כאשר היא מאפשרת רק הודעות בהן מסגרת מדיניות השולח חוקית ובנוסף הדואר מזוהה עם Domain Keys, יישום ראוי של DMARC יכול למנוע זיוף של כתובת הכותרת.


פקדי דואר אלקטרוני הם דבר אחד – אבל מה עם SMiShing? (SMS Fishing ) התוקפים מוצאים דרכים חדשות לבצע מתקפות פישינג שנמנעות לחלוטין משימוש בדואר האלקטרוני, כמו SMS ומדיה חברתית. הארגון יכול, וצריך, להתמודד עם אבטחה בכל נקודות הקצה של העובדים כולל ניידים, אך בקרות היקפיות לא יתייחסו ישירות לבעיית הפישינג. זוהי הגישה לרשת הארגונית ולנתונים שלך. כך שאתה יכול למנוע מהתוקפים כניסה על ידי הסרת סיסמאות מהטבלה לחלוטין.

ההגנה הטובה ביותר כוללת הגנה המונעת גניבת זהות

ברור שהגיע הזמן לחשב מסלול מחדש בכל הנוגע להגנות שלנו מפני מתקפות פישינג. אנו יודעים שהחברה שלנו היא יעד ברור למתקפת פישינג – באופן ישיר ועקיף. אנו יודעים שעובדינו משתמשים לעיתים קרובות בסיסמאות וכי ניתן בקלות להערים עליהם למסור מידע זה.

מניעת מתקפת פישינג מוצלחת מתחילה בהצבת זהות במרכז אסטרטגיית האבטחה שלנו.

ריכוז ניהול זהויות

זהות מייצגת נקודת בקרה קריטית, כאשר אנו חושבים על הנקודה הזו, היא משפרת באופן דרמטי את האבטחה בארגון. אנו יכולים להגן על משתמשים, ובכך על הארגונים שלנו, מפני גניבה והשתלטות על חשבון על ידי ריכוז ניהול זהויות וגישה (IAM). לשם כך עלינו פשוט להבטיח אימות חזק בכל השירותים ובכל מקום. כניסה יחידה לכל האפליקציות הארגוניות באמצעות Okta Identity Cloud: יום עבודה, Microsoft Office 365, Salesforce וכו '- Okta משתלב בצורה חלקה עם היישומים שבהם העובדים משתמשים. Okta משתלב עם יותר מ -7,000 יישומי ענן, כמו גם עם תשתיות ה- IT והמכשירים הישנים.

להפסיק את משחק החתול והעכבר

במקום לנסות לאתר ולחסום את כל התחומים הקשורים לפישינג, ניתן ליישם שכבת אבטחה מקיפה באמצעות אימות מושכל, מונע Context , המצוי באימות (Adaptive MFA). Adaptive MFA המשתמש במערכת מגוונת של גורמים משניים בכדי לאמת ניסיון התחברות, כגון Toke-ים של צד שלישי, קודי שימוש חד-פעמיים ב- SMS, אישור באמצעות אפליקציה לנייד, ביומטריה ו PIN קוד ייחודיים.

MFA אדפטיבי מסתגל להתנהגויות הגישה של המשתמש כדי לקבוע מתי לשלול גישה או מתי "להגביר" גישה ולבקש אימות נוסף. טכנולוגיה זו מתייחסת לכל הפרופיל הדיגיטלי כולל המשתמש, המכשיר והרשת. האם המשתמש מנסה להתחבר ממכשיר לא ידוע? האם הוא נמצא ברשת מהימנה או מחוץ לארגון ? בעזרת מידע זה, הארגון יכול להתאים באופן דינמי מדיניות אבטחה ואכיפת אימות לכל משתמש ובכל מצב.

MFA אדפטיבי יעיל במיוחד מכיוון שהוא לא בא על חשבון חווית המשתמש. מדיניות גמישה יכולה לבקש מ- MFA במצבים מסוימים למזער את ההפרעה, למשל כאשר משתמשים ניגשים למשאב בפעם הראשונה או כאשר המשתמש אינו נמצא ברשת הארגונית.

הגבלת החשבונות ומשטח ההתקפה

צימצום שטח ההתקפה וניהול אוטומטי של מחזור החיים של העובדים במערכות הארגוניות שווה אבטחה משופרת. ניתן לחסל "אזורים מתים" על בסיס הידיעה למי יש גישה למה;. Okta מנוהלת וממוקמת במיקום מרכזי המסייע להבטיח הרשאות מדויקות ומאפשרת להתאים את גודל הקצאה, והמדיניות של המשתמשים, הקבוצות וההרשאות. תהליך ה- Onboarding הארגוני נעשה פשוט. למנהלים יש נראות מלאה במבט מהיר ומתן אפשרות גישה למשתמשים לכל חנות אפליקציות, שירות ומידע.

שיפור זמן התגובה

אחרון חביב, הוספת יכולת תגובה בזמן אמת לאירועי אימות. חיבור ה- IAM ישירות לתשתית האבטחה תאפשר לצוותי האבטחה לצמצם את זמן ההכלה וההפחתה. באמצעות אימות Okta בזמן אמת, ניתן להגיע לנתונים באמצעות ממשק API ל syslog. אירועי זהות קשורים לכלי ניהול אבטחה כמו Splunk, ArcSight ו- IBM QRadar, בין היתר. יכולת לנקוט בפעולה מיידית כדי לעצור התקפות השתלטות על חשבונות כפי שהן מתרחשות ברחבי הארגון. יש לקשר אירועי זהות בצורה חלקה לכלי ניהול אבטחה כדי להעשיר את המתאם ובסופו של דבר לשפר את זמן התגובה.

האמת היא שפישינג, בסופו של דבר, היא בעיה אנושית

בלי קשר לאיך הארגון מאמן את העובדים , לטקטיקות מתוחכמות יהיה אחוז הצלחה לא קטן. כדי להפחית סיכון זה, ארגונים מודעי אבטחה מעמידים יותר ויותר את ניהול הזהות והגישה במרכז אסטרטגיית האבטחה שלהם. כצעד ראשון, יש למקם את MFA Adaptive ו- Single Sign-On (SSO) מול יישומים קריטיים לעסקים – ענן, נייד, ובמקום. צעד זה לא רק שיחזק את האימות, אלא גם ישפר את חווית העובדים על ידי ביטול ניהול הסיסמאות בין אפליקציות. הארגון יכול לשלב שינויים אלה באמצעות מדיניות חכמה שמבקשת רק אימות צעד במצבים המסוכנים ביותר או למשתמשים ספציפיים ביותר. ארגון המאפשר גמישות והבטחה לניהול זהויות מרכזי באמצעות SSO ו- MFA, IT יהנה מקלות ניהול ומהפחתה בכמות הכרטיסים.

לקבלת פרטים נוספים על השירות והתאמתו לארגון שלך:

צור קשר

info@unicloud.co.il

+972 – 79-5555917

יוניקלאוד ישראל, רח' הסיבים 49
 פתח תקווה, 4959504

צור קשר

info@unicloud.co.il

+972 – 79-5555917

יוניקלאוד ישראל, רח' הסיבים 49

פתח תקווה, 4959504