בשיתוף אתר "המקצוענים"
פושעי הסייבר מכירים את לוח השנה ואת החולשות של הקורבנות שלהם. הם יודעים שבחגים עובדים יוצאים לחופשות ורוכשים יותר מוצרי צריכה ומתנות חג. במקביל, האיוש בחדרי הבקרה של חברות וארגונים מצטמצם למינימום והתקשורת בין פונקציות שונות בארגון קשה ואיטית. לכן, הם מתזמנים את המתקפות דווקא לימים אלו.
בישראל, העובדה שחופשת הקיץ סמוכה לתקופת החגים השנה, גרמה לארגונים רבים לעבוד במתכונת חלקית למשך תקופה ארוכה יחסית של חודשיים. כעת, אנו בעיצומם של החגים, אך ההערכות של גורמים בתחומי הסייבר הן שייקחו עוד 10 ימים מסיום תקופת החגים, עד שכלל הארגונים יחזרו לעבוד במתכונת מלאה. כלומר, לפנינו עוד תקופה של מספר שבועות של איום מוגבר.
החודש, ה-FBI ו-סוכנות הסייבר CISA הוציאו התראה לעסקים שמזהירה בדיוק מפני תרחיש שכזה. על פי הסוכנויות, לפחות בשלושה מקרים, פושעי סייבר תזמנו התקפות משמעותיות לסופי שבוע ארוכים של חג בהם יש "גשר" בין ימי חול לימי חופש.
בין התקיפות: מתקפה על חברת Colonial במהלך סוף השבוע של Mother’s Day, מתקפה על יצרן הבשר JBS בסוף השבוע של Memorial Day ומתקפת Kaseya שתוזמנה לסוף השבוע של הארבעה ביולי.
האם ניתן להסיק מכך שתוקפי סייבר יתקפו גורמים פרטיים ועסקים בישראל במהלך חגי תשרי? לפי מומחי סייבר, התשובה מעט מורכבת.
כשמדובר בצרכן הפרטי, הרי שישנם יותר ניסיונות פישינג ("דייג") של פרטי אשראי, שכן זו תקופה שבה היקף הזמנות האונליין (מוצרי צריכה בסיסיים לצד מתנות לחג ומימוש שוברים).
ואולם, כשמדובר בתקיפת בעלי עסקים, ארגונים וחברות, ישנו הבדל. "שלוש המתקפות שהוזכרו לעיל הינן מתקפות על ארגוני ענק שמשרתים מיליוני לקוחות בצפון אמריקה וברחבי העולם- לא בדיוק הפרופיל של עסק ישראלי", מסביר איגור גליק, ראש שירותי סייבר מנוהלים בחברת SentinelOne.
"ועדיין, בהחלט יכול להיות שמתקפות של פושעי סייבר (וגם קבוצות סייבר מדינתיות- לדוגמא מאירן) יתרחשו במהלך החגים".
לדבריו, "במקרה כזה, להיערכות המוקדמת יש משמעות עצומה והיא יכולה להיות ההבדל בין אירוע מינורי שמטופל במהירות לבין אירוע משמעותי שאת נזקיו יחוש הארגון עוד זמן רב".
11 צפייה בגלריה
סיבות לחשד: כתובת אתר מוזרה, ובקשה לעדכון פרטים אישיים אמורה להדליק אצלכם נורה אדומה
תקיפות צרכנים: שולחים הודעה שנראית תמימה ובה דרישה לפרטי זיהוי ופרטי אשראי
גם אתם קיבלתם בשבועיים האחרונים הודעות מוזרות לנייד או למחשב? בין אם רק לחצתם על הלינק, עניתם על מספר שאלות או השארתם פרטי זיהוי שלכם, אתם יכולים למצוא את עצמכם קורבן למתקפת סייבר. הנה דוגמאות להודעות שנראות תמימות, אך מאוד קל ליפול בהן בפח, בייחוד אם נשלחו מאדם שברשימת אנשי הקשר שלכם ומוכר לכם אישית.
בהודעה הזו למשל, שמתחזה להיות של חברת 'טויטה', אם תנסו ללחוץ על ה"תפריט" (עם 3 הקווים) הוא לא יילחץ לכם. זוהי דרך לבדוק האם האתר הוא אמיתי. דרך גלישה בנייד, שורת כתובת האתר פעמים רבות מוסתרת, לכן, צריך להיות הרבה יותר זהירים בפתיחת מיילים, הודעות טקסט או הודעות ווטסאפ שנשלחות אליכם. מתלבטים? כנסו עצמאית אל האתר הרשמי של החברה.
11 צפייה בגלריה
קל ליפול בפח: חוות-דעת בעברית שמוצגות כאילו הועלו לפני מספק דקות, תאריך שמתעדכן אוטומטית.
אם אתם מצפים לפיצוי מחברת האשראי, חברת השילוח או העסק שאליו התחזו התוקפים - הנמיכו ציפיות. באתר דואר ישראל, למשל, נכתב בצורה ברורה מאוד: "דואר ישראל אינה נושאת באחריות לכל עלויות, חיובים או תשלומים שבוצעו כתוצאה מפעולות מרמה".
עוד מציינים באתר זה, כי "אם קיים ספק לגבי אתר המתחזה למותג דואר ישראל, יש להיכנס תמיד לאתרנו".
כלומר, בכל מקרה שבו אתם מתלבטים, צאו מההודעה החשודה והיכנסו בעצמכם לאתר חברת השילוח או לבית העסק שכביכול פנה אליכם.
דואר ישראל מציגה באתר מספר דוגמאות הונאה להתחזות אליה, הנה כמה מהן:
אך דואר ישראל אינה הדרך היחידה של תוקפי הסייבר להתחזות. הנה עוד כמה דוגמאות שקל ליפול בהן, כשלא מודעים לסיכון, ובתמימות מוסרים פרטי זיהוי ואשראי.
11 צפייה בגלריה
מזכיר מאוד את הפישינג של טויטה. תאריך בעברית, דרישה כביכול 'תמימה' להעביר לאנשי הקשר שלכם.
איך זה עובד ומה הנזק שיכול להיגרם לצרכנים?
"לא כדאי לקחת סיכונים מיותרים", מדגיש משולם. "ברגע שאנו מקבלים הודעה עם לינק, אנו חשופים לכך שקוד זדוני יירד למכשיר שלנו. כלומר, עצם הלחיצה על הלינק יכולה לאפשר את הורדת הקוד למכשיר שלנו.
"קוד זדוני, הוא למעשה תוכנת מחשב שמאפשרת חדירה לסמארטפון או למחשב שלנו, ומאפשר לצרוך את המידע של המכשיר, להיכנס לדואר האלקטרוני שלנו, לשלוף נתונים מהווטסאפ, להוריד תמונות וסרטונים שלנו, להתחקות אחרי פרטים אישיים (תעודת זהות ופרטי אשראי שלנו, למשל)".
לדבריו, "לרוב, לא נדע על כך שחדרו לנו למכשיר, אלא רק בשעת תקיפה. כלומר, כשהתוקף יחליט לנעול לנו את המכשיר, לעשות שימוש בכרטיס האשראי שלנו או לשלוף מידע ולסחוט אותנו בדרישות כופר".
כיצד הצרכן הפרטי יכול להתגונן מפני תקיפה?
היזהרו מלינקים חשודים: "ראשית, למרבה הצער זה יכול לקרות לכל אחד", אומר משולם. "גם הצרכן הכי טכנולוג ומודע, יכול ללחוץ בטעות על לינק. חשוב להימנע מהשארת פרטי זיהוי. בכל מקרה של ספק, כדאי להתייעץ עם מישהו מהסביבה הקרובה. בכל מקרה של ספק, מוטב להתעלם מהלינק מאשר לעשות טעות שיכולה לעלות ביוקר".
עקבו אחר החשבונות שלכם: "כדאי לעקוב אחר פירוט ההוצאות שלנו, ולזהות פעולות חריגות בחשבון", מוסיף משולם. "במקרה של חשד לרכישה שלא ביצעתם, כדאי להודיע לחברת האשראי ולהחליף את הכרטיס".
בדקו האם יש לכם אפליקציות חשודות במכשיר: "אם יש אפליקציות שאתם לא מכירים, לא זוכרים שהורדתם וחושדים בהן, מוטב למחוק אותן מהמכשיר", ממליץ משולם. "במקרים שבהם מזהים פעילויות חשודות במכשיר, כמו למשל פופ-אפ חשוד שקופץ, או מצב שבו מנסים לגלוש ברשת ומגיעים לכל מיני אתרים שלא התכוונו אליהם, מבלי יכולת לשלוט בכך, מוטב לאפס את המכשיר.
"כלומר, למחוק את כל האפליקציות, לעשות שחזור של הגדרות היצרן ולהתקין אותן מחדש. חשוב להקפיד לשנות את כל הסיסמאות אחת לכמה חודשים, או בכל מצב של חשד לניסיון תקיפה. כדאי לשמור גיבוי של קבצים חשובים גם מחוץ למכשיר עצמו (כולל כונן קשיח חיצוני למחשב הנייח, שאינו מחובר דרך קבע אליו). בכל מקרה, אם שולחים לכם דרישת כופר, מומלץ להימנע מניהול משא ומתן עם האקרים".
אחד מכל שלושה ארגונים בעולם הותקפו בשנה האחרונה
ממחקר שפורסם השבוע ואשר נערך בקרב 1,000 אנשי IT (טכנולוגיות מידע) מ-15 מדינות שונות, עולה כי 1 מכל 3 ארגונים מבין הארגונים שהשתתפו במבדק, חווה התקפת סייבר או כופר במהלך 12 החודשים האחרונים. את המחקר ערכה חברת דל טכנולוגיות, והוא בהחלט מספק אינדיקציה להיקף הפגיעות בשנה האחרונה.
במחקר השתתפו אנשי IT מארגונים (הכוללים מעל 250 עובדים), מתעשיות שונות מבחינת ההגנה על נתוניהם וממספר יבשות.
בכל 11 שניות ישנה מתקפת סייבר על ארגונים
74 אחוז מאנשי ה-IT שהשתתפו במחקר חושבים שהארגונים שלהם חשופים יותר לאובדן נתונים, עקב עליית כמות האנשים שעובדים מהבית. 62 אחוז מהם חוששים שהפתרונות הנוכחיים שלהם לא יהיו מספיקים על מנת להתמודד עם איומי סייבר. 30 אחוז מהארגונים חוו אובדן נתונים, 45 אחוז מהארגונים חוו השבתה לא מתוכננת של מערכות המחשוב בשנה האחרונה ו-67 אחוז לא חושבים שיוכלו להתאושש ממתקפת כופר.
"אחת לשנתיים אנו עורכים את המבדק הזה, ובהחלט מורגשת עלייה בהיקף תקיפות הסייבר", מציין איתי משולם, מנהל הטכנולוגיות של גוף הייעוץ והשירותים בחברה, באזור EMEA. "על-פי הערכות גלובאליות לשנת 2021, ההשפעה הכלכלית המצטברת של מתקפות הסייבר העולמית נאמדת בכ-6 מיליון דולר".
על פי תוצאות המחקר, ארגונים כיום מנהלים פי 10 יותר נתונים מהכמות שניהלו לפני 5 שנים. בנוסף, הם מתמודדים עם אתגרים רבים יותר, על מנת להגן על נתוניהם. זאת, עקב האיום התמידי של תוכנות כופר ושימוש בטכנולוגיות מתקדמות כמו יישומי ענן ובינה מלאכותית.
"בכל 11 שניות ישנה מתקפת סייבר על ארגונים", אומר משולם. "איומי הסייבר הולכים ונהיים מתוחכמים יותר, וזו אינה שאלה של 'אם' תתרחש בארגון מתקפת סייבר, אלא שאלה של 'מתי' זה יקרה".
ארגונים וחברות: מדוע הסיכון לתקיפת סייבר עולה דווקא בימי חופשה?
הסיבה העיקרית לתקיפת ארגונים בזמן חגים היא פוטנציאל הפגיעה הגדול יותר בארגון.
מהו ההבדל בין תקיפת סייבר שמתרחשת בזמן שגרה לבין תקיפת סייבר במהלך החגים?
"בזמן שיגרה מרכז הבקרה מאויש באופן מלאֿ, בעלי התפקידים השונים בארגון זמינים וכך גם ספקי משנה ונותני שירותים שונים", מסביר רם לוי, מנכ״ל קונפידס.
"בזמן חגים, אנשים יוצאים לחופשות, חברות מדללות את האיוש למינימום ואנשים מתפזרים על פני הגלובוס. זמני התגובה מתארכים, לא ניתן להשיג את כל האנשים הרלוונטיים וקשה לייצר תמונת מצב. כפועל יוצא, זמני התגובה מתארכים והנזק הנגרם לארגון גדול יותר".
כיצד מומלץ להיערך בימים אלו?
מודעות והנחיית כלל העובדים: ראשית, חשוב להיות מודעים לסיכון המוגבר וליידע את העובדים על כך. "כדאי ליצור רשימה מסודרת של כל בעלי התפקידים, כולל אמצעי קשר", ממליץ גליק. "דבר זה, חשוב במיוחד כשאנשים מטיילים ברחבי הארץ והעולם. חשוב לוודא שגם המנהלים של הארגון מכירים את תפקידם בזמן אירוע ויהיו זמינים במידת הצורך. אם הארגון פרוס על פני מספר מדינות (או אזורי זמן שונים), שווה לנצל את העובדה הזו כדי לשמור על כיסוי וכוננות מיטבית".
מבדק בהפתעה: "חשוב לוודא שהעובדים בקיאים באיומים ומוכנים למתקפה. אחת הדרכים היעילות לעשות כן היא על ידי מבדק חדירה בהפתעה. מבדק כזה יציף בוודאי פערים ויאפשר להיערך טוב יותר לאירוע אמת. קיום של הוראות מסודרות (למי מדווחים בארגון, למי מדווחים מחוץ לארגון (לרגולטור, למטה הסייבר, לרשות לניירות ערך) יסייע מאוד בזמן אירוע. זאת, משום שבזמן אמת, ישנו כאוס, ובהיעדר מידע, מאלתרים בצורה פחות טובה".
לוודא שהמערכות מוכנות: דבר זה מוטב לעשות לפני יציאה לחופשה, אך עדיין לא מאוחר לכך. עובדים רבים מנצלים את חופשת סוכות להדממה ארוכה, וכדאי כבר בימים אלו להיערך לכך.
"צריך לוודא שמערכות הניטור פועלות, שמערכות ההגנה פועלות לפי המדיניות שהוגדרה, ושחולשות קריטיות (שפורסמו) עודכנו", מפרט לוי. "בנוסף, יש לוודא שקיימים גיבויים (של מצב הארגון לפני היציאה לחופשה), ובמידת האפשר, לשמור אותם 'אופליין' (לא בענן). זאת, בכדי שלא ייפגעו במקרה של תקיפה. אם יש צורך, כדאי לצייד עובדים קריטיים בציוד (לפטופ, מודם נייד או סים קארד ייעודי בחו"ל) שיסייע להם לשמור על זמינות".
אם בכל זאת קורה אירוע, למה עלינו לצפות?
גליק: "לצערנו, שנת 2020 הייתה שנה מצוינת לבחון מה באמת קורה באירועי סייבר. בשנה זו, ראינו עליה משמעותית בכמות ואינטנסיביות של מתקפות, כולל מתקפות מדינתיות, מתקפות כופרה משתקות וכמות גדולה של קורבנות מסקטורים שונים".
לדבריו, "כתוצאה מכך, הרגולציה במדינה שונתה וכיום יש הרבה יותר חובות שמוטלות על חברות שנתקפות. החל מזמני דיווח קצרים, דרך מידע רב שיש להעביר לגופים שונים (על פי סוג הקורבן וסוג המתקפה) וכמובן האספקט התקשורתי שחברות נדרשות להתייחס עליו יותר מבעבר".
אל תגידו: "לעסק שלי זה לא יקרה"
ההבנה של חברות משלל האירועים הללו צריכה להיות אחת: בשעת משבר, החברה בעצם נושאת באחריות לבדה. עם כל הרצון הטוב של גורמים שונים (משטרה, מערך הסייבר וכו׳) החברה ואנשיה נושאים בנטל העיקרי של התמודדות עם מתקפות.
משבר כזה יש לנהל בחוכמה, ולהתייעץ עם גורמים הבקיאים בדרישות הרגולטוריות. כמובן, שהדבר הטוב ביותר הוא להיערך לתקיפה כזו מראש, להבין שהסיכון גבוה ושהנזק הכלכלי והתדמיתי יכול להיות עצום, עד כדי קריסת העסק, במקרים קיצוניים.
מהו זמן ההתאוששות הממוצע של ארגון ממתקפת סייבר?
לוי: "הזמן הממוצע לחזרה של ארגון לתפקוד מלא לאחר מתקפת סייבר משמעותית הוא 10 ימים. משך הזמן הזה, מגלם למעשה את רוב הנזק הכלכלי שנגרם לארגון. בפרק זמן זה קשה לשרת לקוחות, לעיתים הייצור נעצר והעובדים לא מסוגלים לתפקד בצורה רגילה".
מה לעשות כשמזהים אירוע תקיפה?
במידה ומזהים אירוע סייבר משמעותי, שהארגון לא מסוגל להתמודד איתו בכוחות עצמו, כדאי ליצור קשר עם גוף מקצועי ומנוסה ש״יקח פיקוד״.
לאחר מכן, מנסים להבין את תמונת המצב- מה נפגע, מתי ואיך חושבים שהפירצה אירעה. בהתאם לסוג הארגון המותקף ולרמת הפגיעה, יהיה צורך לערב בתהליך גם מומחים מתחומים שונים: מומחי פורנזיקה (זיהוי פלילי), אנשי מודיעין, ספקי שירותי IT ואינטגרטורים, אנשי ניהול מוניטין ויח״צ ומשפטנים.
גליק: "במסגרת ניהול המשבר מוגדר 'שעון זמנים' שמפרט את כל הפעולות שיש לבצע עד לפתרון המשבר: איפוס יומי, דיווחים להנהלה ולרגולטורים וכו׳. תמונת המודיעין חשובה במיוחד, כי היא מאפשרת לקבוע מי התוקף ומה המוטיבציה שלו, מה שמשפיע על הטקטיקה של הטיפול במשבר. לדוגמא, אם מדובר בתוקף מדינתי אסור לשלם לו כופר, וגם אין ממש טעם לכך, שכן המוטיבציה שלו אינה פיננסית".
עוד כתבות בנושא:
דיווחים ונראות: צריכים להיות ערוכים גם תקשורתית
אירועים כגון הפריצה לחברת הביטוח שירביט הדגימו עד כמה תחום הסייבר נמצא בכותרות היום. לוי: "אם קורה אירוע סייבר משמעותי לא ניתן להתעלם או להשתיקו, וצריך להיות מוכנים לדברר את האירוע לתקשורת. מומלץ מאוד להיות אקטיביים ולא להתעלם או להגיב בלקוניות".
גליק: "דעת הקהל היום אינה סלחנית לחברות שמעלימות מידע באירועים. במקביל, צריך לזכור, שגם הרגולטורים השונים דורשים דיווחים שונים, ולכן יש להיערך מראש ולדעת למי מדווחים, מתי ומה הדיווח צריך להכיל".
פורסם לראשונה: 17:39, 20.09.21
