מחקר: ישראל מובילה בגידול במתקפות פישינג ובישראל הכי חשדניים להודעות SMS
מאת:
מערכת ,Telecom News3.10.21, 14:44
המחקר, שנערך בקרב 5,400 מקבלי החלטות IT,
העלה הבדלים משמעותיים בדרך בה צוותי IT בארץ תופסים פישינג. אילו סוגי תוכניות מודעות למאבק בפישינג הטמיעו ארגונים בישראל?
מתקפות פישינג מלוות אותנו כבר יותר מ-25 שנים, ועדיין מדובר בשיטה אפקטיבית עבור עבריינים להשיג פרטים אישיים וסיסמאות ולגרום למשתמשים להתקין תוכנות זדוניות. התוקפים ממשיכים לזהות הזדמנויות חדשות להפלת קורבנות, ומגפת הקורונה סיפקה כאלה למכביר.
בדו"ח שמפרסמת חברת אבטחת המידע
סופוס, בשם "
Phishing Insights 2021", מציגה החברה תמונה של התרחבות פעילות הפישינג ברחבי העולם מאז מגפת הקורונה, לרבות גידול משמעותי לצד מודעות רחבה - בישראל.
מהסקר, שערכה החברה בקרב 5,400 מקבלי החלטות
IT בארגונים המתפרסים על פני 30 מדינות, עולה, ש-70% מהמשיבים דיווחו על גידול בהתקפות פישינג על ארגונים מאז תחילת המגיפה.
בישראל, עמד שיעור המדווחים על הגידול במתקפות על 90% מהמשיבים. הגידול חוצה את כל המגזרים, כאשר גופי ממשל חווים את הגידול הגבוה ביותר (77%), ומיד אחריהם נמצאים שירותים מקצועיים ועסקיים (76%) ושירותי בריאות (73%).
הגידול הרוחבי בהתקפות מראה, שעבריינים הזדרזו לנצל את הגידול המהיר בעבודה מהבית שהתרחש במהלך המגיפה, שלווה בקושי ארגוני לאבטח סביבת עבודה, שאינה עסקית, והפך מיליוני עובדים מהבית למטרה מרכזית של פושעי רשת.
במקביל, חלה גם צמיחה עצומה בהיקף המשלוחים, ומתקפות פישינג המתחזות להודעות מחברות משלוחים הפכו למחזה נפוץ בחודשים הראשונים של המגיפה. גם החרדה מהמגפה נוצלה ע"י התוקפים, שענו על הצורך של אנשים לקבל מידע עדכני על הקורונה ובתוך כך נטו להקליק באופן אימפולסיבי יותר על תכני
COVID-19.
אז מה זה פישינג?
הסקר גם מעלה הבדלים משמעותיים בדרך בה אנשים תופסים פישינג. לדוגמא:
68% מצוותי ה-
IT בישראל מקשרים פישינג עם הודעות דואר אלקטרוני המתחזות כמגיעות מארגון לגיטימי, ובד"כ משולבות עם איום או בקשת מידע.
46% תופסים פישינג כ-
Business Email Compromise (
BEC). כלומר, שליחת הודעה לגורם בארגון עם בקשה לשליחת כסף או נתונים אחרים,
בעוד ש-43% סבורים, שפישינג הוא בכלל
threadjacking - כאשר תוקפים מכניסים את עצמם לשרשור דוא"ל ארגוני רגיל.
הישראלים הכי חשדניים להודעות SMS
מקום בולט בסקר ניתן להודעות
SMS זדוניות, המוכרות גם כהודעות סמישינג (
smishing) - אלו הן הודעות המגיעות ממותגים מוכרים והמנסות להוציא מהמשתמש את פרטיו האישיים.
מהסקר עולה, ש-60% מן הישראלים שנשאלו חושדים בהודעות
SMS אלו ומתייחסים אליהן כאל הודעות המנסות להוציא מהן מידע. זהו אחוז המשיבים הגבוה ביותר המתייחס כך אל הודעות
smishing.
לשם השוואה, מדובר בנתון הגבוה פי 3 כמעט ממקסיקו (23%), שמופיעה בתחתית הרשימה, וגבוה משמעותית גם מבריטניה (40%) והוא מדגים מודעות אבטחה גבוהה של המשתמש הישראלי.
החדשות הטובות הן, ש-90% מהארגונים ברחבי העולם כבר הטמיעו תוכניות להגברת מודעות כדי להילחם בפישינג.
בישראל, רוב הארגונים (79%) יישמו תוכניות מודעות למאבק בפישינג. הנשאלים אמרו, שהם משתמשים בתוכניות אימון מבוססות מחשב (52%), תוכניות אימון בהנחיית אדם (41%) והדמיות פישינג
(31%).
צ'סטר ויסנייבסקי, מדען מחקר ראשי בסופוס: "אחת הסיבות להצלחת הפישינג היא ביכולתו להתפתח ללא הרף, להתאים התקפות לנושאים או לגלי חרדות אקטואליים, כמו המגיפה, ולשחק על רגשות ואמון אנושיים. זה יכול להיות מפתה עבור ארגונים לראות בהתקפות פישינג איום ברמה נמוכה יחסית, אבל אין לזלזל בכוחם של הפושעים העוסקים בתחום זה.
פישינג הוא לרוב הצעד הראשון בהתקפה מורכבת ורבת שלבים. תוקפים משתמשים לעתים קרובות בדוא"ל פישינג כדי להערים על משתמשים להתקין תוכנות זדוניות או לשתף אישורים המספקים גישה לרשת הארגונית.
האידיאל יהיה למנוע הודעות דוא"ל מפישינג להגיע לנמען. פתרונות אבטחת דוא"ל אפקטיביים יכולים לעשות את החלק העיקרי, אבל כדי להגיע לאבטחה מלאה יש להתמקד בגורם האנושי ולוודא, שעובדים דרוכים תמיד ומסוגלים לזהות הודעות חשודות ולדווח עליהן".