בכנס שערכה יבמ (IBM) בתחילת השבוע, אמר יוסי טל – מנהל תחום אבטחת המידע ביבמ-ISS, האחראי על ישראל ויוון, כי מסקר האבטחה שערכה החברה עולה, שכמות תרמיות הפישינג בישראל ירדה כמעט לאפס. זאת, ציין, ככל הנראה בזכות חוק הספאם. הנתון הזה עורר הפתעה בקרב רבים מהנוכחים, כי הוא לא הסתדר להם עם מה שהם מכירים מ-"השטח".

 אופיר זילביגר, מנכ"ל חברת הייעוץ SECOZ ו-ויטלי אוניק – מומחה לפישינג ואבטחת מידע, טוענים שהקביעה של יבמ-ISS – שקושרת את הפישינג לחוק הספאם – אינה הגיונית. "חוק הספאם הוא חוק פרוצדוראלי", אומר אוניק, "החוק לא יצר מנגנונים טכניים למניעת הפצת דואר זבל. את מי שעוסק בפישינג באופן פלילי, ומפיץ ספאם כדי לגרום לאנשים להגיע לאתר המזויף, לא מעניין האם הוא מפיץ את המיילים בהתאם לדרישות חוק הספאם או לא".

 השניים סבורים, כי חוק הספאם לא פתר את בעיית הפצת הספאם של העסקים הלא לגיטימיים, שמתחבאים מאחורי כתובות מזויפות. "החוק יצר בעיה של רף כניסה גבוה לכל מיני עסקים חדשים שרוצים להפיץ ללקוחותיהם דואר לגיטימי, כי יש את הפרוצדורה של לקבל אישור לקוחות – והלקוחות מתחילים להתעייף. זה עלול לפגוע בתחרות העסקית", אומרים השניים.

 גם בועז דולב, לשעבר מנהל ממשל זמין בממשלה וכיום מנכ"ל איוויז'ן סיסטמס, טוען, כי למרבה הצער אין ירידה במספר ניסיונות הפישינג בישראל. דולב לא הסתפק באמירה זו, וטרח לבדוק את הנושא אצל ספקיות האינטרנט הגדולות. גם מהן, הוא מדווח, שמע שאין שינוי בכמות הניסיונות לביצוע תרמיות פישינג בארץ. בין היתר, גילה דולב, שספקיות האינטרנט הגדולות – 012-סמייל, 013-נטוויז'ן ובזק בינלאומי, מקבלות בין שש לעשר התראות מדי יום על פעילות פישינג מכתובות הנמצאות בטווח ה-IP שלהן.

 ההתראות נחלקות לארבעה סוגים מובחנים:

א.    התראות על דף פישינג המאוחסן על שרת web של לקוח.

ב.    התראות על דף פישינג המאוחסן על כתובת IP דינמית, אשר מובילה למחשב פרוץ של משתמש קצה ("בוט").

ג.    התראות על אתר אינטרנט המאוחסן אצל הספקית ומפנה לדף פישינג באמצעות קישור.

ד.    התראות על הודעת דוא"ל פישינג שהגיעה מכתובת IP השייכת לספקית (ברוב המקרים, גם כאן הכתובת תוביל למחשב "בוט").

"לא ניתן להגדיר מי מהסוגים נפוץ יותר מאחר ואין סטטיסטיקות מסודרות לגבי הנושא", אומר דולב. הוא מבהיר, כי בעת קבלת תלונה על ניסיון פישינג, ספקית האינטרנט יוצרת קשר עם הלקוח ומבקשת ממנו להסיר את הקישור או העמוד הבעייתי. אם מדובר במחשב "בוט", ספקית האינטרנט דורשת מהלקוח לאבטח את מחשבו או לפרמטו, אומר דולב.

"השינוי הגדול שהתרחש בשנתיים האחרונות והמאפשר לנו לעבוד בנוחות יחסית עם דואר אלקטרוני, מתבסס על השיפור הגדול במערכות הארגוניות לאיתור וחסימת ספאם", מעריך דולב. לדבריו, מספר מנהלי תקשורת בכמה חברות דיווחו, כי כ-90% מהדואר המתקבל אצלם נחסם על ידי מערכות אלה. לדוגמה: ארגון שמקבל כמיליון דברי דואר ביום, עוצר באופן אקטיבי באמצעות מערכות סינון וחסימה כ-900,000 דברי דואר המוגדרים כספאם.

מה זה "פישינג"?

פישינג הוא ניסיון שליפה של פרטים אישיים של גולשים בדרכי מרמה. פרטים אלה יהיו כרטיס אשראי ו/או סיסמאות לחשבונות בנק מקוונים, חשבונות תשלום כמו PayPal, שמות משתמש וסיסמה לאתרי מסחר אלקטרוני כגון אי-ביי (eBay) או חשבונות אינטרנטיים אחרים. התקשורת הראשונית בין העבריין או יוזם הפישינג לבין הקורבן, תהיה באמצעות דוא"ל או מסר מיידי, וברוב המקרים תפנה את הקורבן לדף אינטרנט שהוא mirror לאתר לגיטימי (כמו דף הכניסה לחשבון הבנק, למשל) שם יכניס הקורבן את פרטיו האישיים שייאספו על ידי העבריין והוא יעשה בהם שימוש.

בועז דולב מציין, כי "לאחרונה מתרבים הדיווחים על הודעות שלקוחות מקבלים, אשר נראות כמו בקשה למסירת מידע אישי כמו שם משתמש, סיסמה, מספר תעודת זהות או כל מידע אישי אחר. מדובר בהשתכללות של מפיצי דואר הזבל מסוג פישינג שמנסים להגיע אל קהלי יעד שונים באמצעות שימוש במתרגמי אונליין שונים כמו Google Translator או Babelfish. שולחי דואר הזבל מסגננים הודעה באנגלית, מעבירים אותה דרך מנוע התרגום ושולחים את התוצאה אל מספר רב של נמענים ממדינת היעד שנבחרה, תוך שהם משנים, בהתאם לדומיין של הנמען, את כותרת ההודעה ואת שורת החתימה בכל הודעה".

השורה התחתונה: חוק הספאם לא הוריד את מפלס הזבל שאנו מקבלים כל יום בדואר האלקטרוני. חוק הספאם שייך לאותם חוקים שמן הראוי שלא היו נחקקים, כי הוא נכתב מתוך רצון להלחם בתופעות כמו פישינג – אבל בסופו של דבר העניש את אלו שמשתמשים באינטרנט למטרות מסחריות לגיטימיות

ישראל כמקור ההתקפה

• התפלגות פישינג שמקורו ב- ISP ישראלים החל מה-1 לינואר 2010:

• זמן תגובה ממוצע עד הורדת האתר:

• סוג ההתקפות:

59 התקפות פישינג רגילות (לא Proxy), הרוב אתרים חטופים. התקפה אחת שהיא brand, ו-14 התקפות מסוג Trojan.

20 אימיילים ((drop point ו-419 אחד.

סה"כ 95 התקפות שמקורן בישראל.

• סה"כ התקפות שמקורם בישראל, לפי חודשים

סה"כ תקיפות (כל הסוגים):

סה"כ תקיפות פישינג:

• ישראל כיעד ההתקפה:

מספר התקפות ומספר יעדים, לפי חודשים

• ישראל כאחוז סה"כ ההתקפות בעולם:

סה"כ התקפות בעולם שזוהו ע"י מוקד ה-AFCC: מעל ל-98000 התקפות

מספר ההתקפות נגד יישויות ישראליות שואף ל-0

סטטיסטיקות עולמיות בקישור: http://rsa.com/node.aspx?id=1331

הבלוג הרשמי של חטיבת הלוחמה בהונאות: http://www.rsa.com/blog/blog.aspx?author=RSAF

הבלוג של אורי ריבנר בנושא פשע מקוון: http://www.finextra.com/community/blogs.aspx?mem_id=39696

הבלוג של עידן אהרוני, ראש מחלקת מודיעין הונאות: http://www.rsa.com/blog/blog.aspx?author=aharoni

אז מה זה פישינג ?

"פישינג" הוא ניסיון שליפה של פרטים אישיים של גולשים בדרכי מרמה. פרטים אלה יהיו כרטיס אשראי ו /או סיסמאות לחשבונות בנק מקוונים, חשבונות תשלום כמו paypal, שמות משתמש וסיסמא באתרי מסחר אלקטרוני כגון Ebay או חשבונות אינטרנטיים אחרים. התקשורת הראשונית בין ה"עבריין" או יוזם הפישינג לבין ה"קורבן" תהיה באמצעות דוא"ל או מסר מיידי, וברוב המקרים תפנה את ה"קורבן" לדף אינטרנט שהוא mirror לאתר לגיטימי (כמו דף הכניסה לחשבון הבנק, למשל) שם יכניס ה"קורבן" את פרטיו האישיים שייאספו ע"י ה"עבריין" והוא יעשה בהם שימוש.  

פישינג יכול לבוא לידי ביטוי גם כאתר אינטרנט וגם באמצעות הודעות דוא"ל.

לאחרונה מתרבים הדיווחים על הודעות שלקוחות מקבלים, אשר נראות כמו בקשה למסירת מידע אישי כמו שם משתמש, סיסמא, מספר תעודת זהות או כל מידע אישי אחר. מדובר בהשתכללות של מפיצי דואר הזבל מסוג פישינג שמנסים להגיע אל קהלי יעד שונים באמצעות שימוש במתרגמי און ליין שונים כמו Google translator או Babelfish. שולחי דואר הזבל מסגננים הודעה באנגלית, מעבירים אותה דרך מנוע התרגום ושולחים את התוצאה אל מספר רב של נמענים ממדינת היעד שנבחרה, תוך שהם משנים, בהתאם לדומיין של הנמען, את כותרת ההודעה ואת שורת החתימה בכל הודעה.

אפשר להבחין בין הודעת דוא"ל פישינג לבין פניה לגיטימית באמצעות שימת לב לסגנון הניסוח הלקוי של ההודעה ולעובדה שאין בהודעה שום פרט מזהה כגון לוגו החברה, שם הנציג ששלח את ההודעה או כל אלמנט אחר שיכול להעיד על אותנטיות. אתרי פישינג אפשר לזהות באמצעים שונים המפורטים בקישור ה"בוחן" של חברת verisign: https://www.phish-no-phish.com/default.aspx 

הודעת פישינג לדוגמא:  

—–Original Message—–

From: שירות לקוחות [mailto:argusdca@cox.net]

Sent: Thursday, June 25, 2009 5:25 AM

To: Undisclosed recipients:

Subject: הודעה חשובה לכל המשתמשים 012.NET.IL.

 לקוח יקר,

 אנו כותבים על מנת להודיע לך כי נמשיך לבצע כמה זמני תחזוקה השירותים שלנו בגלל גודש בכל הלקוחות של חשבון הדואר האלקטרוני. בבקשה הודיע כי ללקוחות תהיה גישה הוגבלה את חשבון הדואר האלקטרוני ב פעם בכמה ימים. זהו מדריך למניעת דואר זבל, וכן מאפשר לנו לעדכן כל חשבון דואר אלקטרוני עבור שירות טוב יותר. במונחים של, אתה חייב לשלוח את פרטי החשבון שלנו Mail עבור שליטה תחזוקה עדכון מיידי.

 זיהוי משתמש :………………………

סיסמה :……………………….

תאריך לידה :…………………..

מדינה או טריטוריה :…………………

 לאחר מכן בצע את ההוראות המופיעות על הגיליון, חשבון הדואר האלקטרוני שלך אינה מושעה וימשיך כפי normal.Thanks על תשומת הלב לבקשה זו.

 NBהסיסמאות בטוחים איתנו ושוב אנו מתנצלים על כל אי נוחות או inconveniences בבקשה

       לשאת איתנו.