יום שלישי, 1 באוגוסט 2023

דיוג לא רק של אנשים פרטיים ולא רק למטרות של הונאות כספיות

 


מי שקורא פוסטים שלי ושל אחרים על דיוג (Phishing), נוטה לחשוב שזו הונאה פשוטה המכוונת לאזרחים תמימים על מנת להונות אותם כספית. 

זה נכון אבל רק באופן חלקי. סיכוני רשת הם סיכונים כמו סיכונים אחרים. טווח הסיכונים כולל אנשים פרטיים אבל גם ארגונים ומדינות. 

בדיוג אפשר להשתמש לא רק כדי לדוג מידע אישי. אפשר לדוג מידע עסקי ואפשר לדוג מידע על מדינות. 

מידע עסקי דגים לא רק כדי לבקש כופרה. יותר שכיח דיוג למטרות תחרות עסקית.

מידע על מדינות עלולים לדוג גם למטרות של תחרות כלכלית בין מדינות אבל גם על ידי גורמים עוינים לשימוש המיועד לפגוע במדינה ו/או באזרחיה.


פוטנציאל לדיוג מידע ביטחוני


לאחד מה-Connections שלי ב-Linkedin קוראים אבי וייסמן. 

שלא כמו חלק לא קטן מה-Connections שלי, אותו אני מכיר אישית. 

בשנת 1994 הייתי יועץ מחשוב של חברת הפניקס הישראלי. אבי וייסמן היה איש מכירות של אחד הספקים. ישבנו ביחד לא מעט שעות. 

כעצמאי בתחום המחשבים ניסיתי לבנות רשת גדולה של קשרים באמצעות Linkedin. 

אי אפשר לדעת אילו הזדמנויות יצמחו משם. צמחו לי כמה הזדמנויות כאלה שהתבטאו בעבודות. 

זוהי גם הסיבה שנעניתי לבקשתה של גברת ישראלית שהציגה את עצמה כבכירה בתחום המחשוב בארגון ביטחוני בישראל להיות Connection שלה.

לא הייתי היחיד. מצאתי הרבה אנשי הייטק ישראלים שהיכרתי אישית, שעשו את מה שאני עשיתי. 

בינתיים אבי וייסמן התקדם והפך למנכ"ל של בית ספר לאבטחת מידע. 

חלק מהאנשים שעבדו שם היו מומחים ברמה גבוהה בתחום זה.

יום אחד הוא שלח הודעה לכל ה-Connections שלו. בהודעה שלו נכתב שהפרופיל של הגברת הזו מזויף והיא שייכת לארגון עויין. מיד ניתקתי את הקשר שלי איתה בפלטפורמה. 


מדוע נזכרתי בזה דווקא עכשיו?


אתמול (31.7.2023) לפני שעה 7:00 בבוקר נסעתי במכונית שלי. שמעתי חלק מראיון בגלי צה"ל עם אדם שברור לי שהוא מבין על מה הוא מדבר. 

הוא רואיין בנושא ניסיונות של האירנים לאסוף מידע על ישראל. 

אחד האמצעים שלהם הוא Phishing. 

לטענתו, במקרים רבים זה מכוון כלפי מוסדות מחקר ישראלים. למידע שיש להם עשויה להיות תועלת גדולה למכונת המלחמה האירנית.

המושג הכללי הזה, "מוסדות מחקר ישראלים", נפרט לפרטים ומגיע לאנשים שיושבים ליד מסך ומקלדת. 

האיש אומר, בצדק, שעובדים של מוסדות כאלה צריכים להיזהר מללחוץ על קישורים חשודים. כמובן שלא רק הם. 

אני מעריך ומקווה, שלעובדים בארגונים ביטחוניים יש מודעות לסיכוני דיוג. 

זה הרבה פחות ברור ביחס לעובדי מוסדות מחקר. 

כמובן שגם אנשים פרטיים המחזיקים במידע כזה צריכים להיזהר. 

לא צריך להסתפק בכך שלא לוחצים על קישור. חשוב גם ליידע גורם מוסמך.

בסופו של יום החוליה החלשה באבטחת מידע היא בני אדם ומודעות היא אחד הגורמים הקריטיים.


סיכוני גניבת מידע עסקי


בתחילת המאה השתתפתי כ-Free Lancer ביעוץ באירופה. 

אחת המטלות שלי הייתה ביצוע Penetration Test. לא מבצעים Penetration Test בלי הכנה מוקדמת ותכנון.

במסגרת ההכנה קראתי Research Note של אחת מחברות האנליסטים. 

הובאה בו דוגמה של חברה שלא הבטיחה מספיק טוב את המידע שהיה לה בגיליונות ה-Excel. 

הגיליונות דלפו החוצה ואיכשהו הגיעו למתחרה של החברה. 

המידע המודלף כלל את כל התכנית העסקית והשיווקית של החברה. 

המתחרה היה יכול להסתיר את זה שהמידע הגיע אליו ולהשתמש בו על מנת לקדם את התחרות שלו מול אותה חברה.

הוא בחר באפשרות קטלנית יותר

הוא פירסם שמערכות המחשוב של המתחרה שלו נפרצו והמידע העסקי הקריטי שלו הגיע גם לידיו.


מה ניתן ללמוד מהדוגמה?

במועד שבו נחשפו נתונים עסקיים של אותה חברה אף לא אחד דיבר על Phishing. 

היום הרבה יותר קל לנצל לחיצות על קישורים והזנחות אחרות של בטיחות מידע על מנת לחשוף נתונים עסקיים. 

זה מחייב היערכות ומודעות של חברות עסקיות. 

זה מחייב גם מודעות של עובדים ושותפים של חברות. 

במיוחד היום כשרבים עובדים מהבית.


עוד הערה קטנה


לפעמים מידע קריטי עסקי של ארגון נחשף רק לפני הבכירים ביותר בארגון. גם אם מודעים לסכנות לא פעם המידע נחשף גם לכאלה שעובדים איתם צמוד. 

לרוב מדובר במזכירה או ראש לשכה. לא תמיד המזכירה מודעת באותה מידה לסיכונים.


השורה התחתונה


הגורם הקריטי ביותר במניעת דיוג הוא מודעות. חשוב לשמור על מודעות גבוהה לאורך זמן.





אין תגובות:

הוסף רשומת תגובה