אחד מאירועי הסייבר הכי קשים שחברות חוות הם ״התחזות״ בגלל שלרוב התחזות היא ״ קריאה לפעולה ״ שמתבצעת בזמן שמתחזים לאדם עם סמכות בתוך הארגון.

למרבה הצער ראינו במשך השנים הרבה חברות שנפלו קורבן למתקפה זאת והעבירו כספים או מידע רגיש מאד למתחזה. 

 

מהו אירוע התחזות במייל ?

 

התחזות הינה מקרה שבו אתה מקבל מייל שמתחזה למישהו אחר, הן ברמת ״האדם השולח״ והן ברמת ״ החברה ( הדומיין )״

רוב מקרי ההתחזות הינם לאדם שעובד בתוך הארגון , לרוב חברי הנהלה או אנשים שיש להם ״ פרופיל ציבורי ״ כך שאפשר בקלות למצוא את המייל שלהם.

 

ההגדרה הטכנית היא Spoofing:

Spoofing or Masquerading is when someone sends an email and it appears to come from someone else

 

מיילים של התחזות הם גם לרוב מיילים של Phishing זאת אומרת מיילים שמנסים ״לגרום לך לפעולה״ , מנסים ״לגרום לך לעשות משהו כגון מתן סיסמה או יותר גרוע – העברת כספים וכו״.

 

סוגים שונים של התחזות:

 

התחזות חיצונית – אתה מקבל מייל מלקוח / ספק / מישהו שאתה מכיר שהוא חיצוני לארגון.

 

התחזות Domain Lookaline – אתה מקבל מייל מדומיין שממש דומה לדומיין שלך אבל זה בעצם דומין שונה ( לרוב באות אחת או מספר ), מתקפה זאת הינה גם סוג של ״ התחזות חיצונית״.

 

התחזות פנימית – אתה מקבל מייל שהוא ״כאילו״ פנימי , פנים ארגוני , מקולגה, מהבוס/ית וכו.

 

 

דוגמאות:

 

 

במקרים אחרים ההתחזות יכולה להגיע ״ממחלקת הכספים״ שלך , פנימי של הארגון או  ספק או לקוח וותיק שאתה עובד אתו:


 

 

והנה דוגמה ממש מהזמן האחרון, התוקפים משתמשים ב ״ אזהרת נמען חיצוני ״ כחלק ממתקפת הפישינג שלהם:

* בדוגמה הזאת הכתובת מייל לא מתחזה אלא רק ״ השם שלה ״ אבל …. שימו לב ל This mail is from a trusted Sender 


 

איך זה קורה ( הסבר טכני ):

 

ברוב המקרים התוקפים מנצלים חולשה , שהיא לרוב הגדרה לא נכונה או הגדרה חסרה של רכיבים בדומיין שלכם ( הגדרות טכניות כמו SPF/DKIM ) את הפוליסי של מערכת המייל של הארגון לאכוף את הגדרות ה SPF/DKIM.

 

כדי להסביר בצורה פשוטה, ה SPF מאפשר להגדיר ״ לאיזה שרת דואר מותר לשלוח בשם הדומיין שלך״ , אם ההגדרה הזאת לא מוגדרת תקין , כל שרת דואר יכול לשלוח בשם הדומיין שלך, בעצם להתחזות מכל שרת דואר אחר.

 

ישנם גם סוגים קשים יותר של התחזות שבהם קונים כתובת דומיין שהיא ״99% כמו הדומיין האמיתי״ אבל לא באמת , מתקפת Domain Lookalike , לדוגמה:

 Domain Doppelgangers: Your Good Name as Phishing Bait? - Cofense

* קרדיט לתמונה – https://cofense.com/blog/domain-doppelgangers-your-good-name-as-phishing-bait/

 

מה לעשות כדי להתמודד עם המתקפה הזאת:

1. מגדירים את רשומות ה SPF/DKIM בצורה תקינה 

2. מגדירים מדיניות חסימה ״רגישה״ כך שאם ה SPF לא עובר – המייל נחסם 

3. מגדירים הודעת ״ מייל זה הגיע מנמען חיצוני לארגון״ – ההודעה ׳הקטנה׳ הזאת מאד עוזרת , בעיקר במקרים ובהם מנסים להתחזות לדוגמה למנכל או סמנכל כספים של הארגון , במקרה הזה ״לא הגיוני״ לקבל מייל מהמנכל / סמנכל עם הודעת ״ נמען חיצוני״, 

הכלי הפשוט הזה מאד עוזר להעלת מודעות ומסייע לעובדים, גם הלא טכנולוגיים ״להבין שמשהו לא בסדר״ ולהעביר את המייל ל IT SUPPORT במקום לפעול לפיו.

 

 הנה דוגמה של הודעה שהגדרנו ללקוחות שלנו:

* שימו לב – הודעה זאת תמיד תופיע ראשונה , זאת אומרת שגם אם התוקף מנסה לייצר ״ הודעה דומה״ , היא תמיד תופיע בשורה השניה


4. הגדרת תהליכים ברורים מאד להעברת כספיות – כל שינוי / תוספת של נמען או פרטי חשבון בנק דורש שיחה / יצירת קשר יזומה מהצד שלכם לצד שמבקש את השינוי , לא ״לחזור אליהם״ אלא ליזום שיחה למספר / דרך התקשרות שיש לכם  ( תקחו בחשבון שאולי המייל שלהם נפרץ לכן עדיף דרך אחרת למייל כגון טלפון , הודעת Whatsapp וכו )

5. הדרכת עובדים למודעות סייבר  – עובד מודע יודע למה לצפות , יודע איך להגיב והכי חשוב לוקח חלק פעיל בהגנת החברה ממתקפות סייבר

 

* להדרכת עובדים ומודעות ותהליכי תשלומים סדורים יש ערך עליון במתקפות מתקדמות , מתקפות של domain lookalike ( דומיין אמיתי , לא מתחזה שהוא דומה לדומיין שלכם ) , בכאלה מקרה , רק המודעות והשיקול דעת של העובדים יגן על הארגון ולא כלי טכנולוגי.

 

 

אתם לא בטוחים איך להגדיר ? – תקבעו אתנו שיחת התייעצות 

 

אתם לא בטוחים איך עושים הדרכות עובדים למודעות סייבר ? – תקבעו אתנו שיחת התייעצות 

 

אתם לא בטוחים איך להגדיר נהלים בטוחים להעברת כספים – תקבעו אתנו שיחת התייעצות 

 

אלי מגדל – שותף אחראי סייבר  – מגדל פתרונות מחשוב בע״מ