אם גם תיבת הדואר הנכנס שלך עולה על גדותיה באופן קבוע, אתה לא לבד. בממוצע, משתמש איימיל עסקי מקבל כ-120(!) מיילים כל יום. כשאנו נאלצים להתמודד עם כמות מיילים כזו, כל יום, אנחנו לא תמיד מוודאים שהשולח הוא באמת מי שהוא טוען שהוא. את חוסר תשומת הלב הזו בדיוק מנצלים עברייני הפישינג, והנזק שהם עלולים לגרום הוא אדיר.

אז מה זה פישינג בעצם?

פישינג, או באנגלית Phishing (ואם אתם ממש מתעקשיםדיוג בעברית), היא מתקפה שמטרתה לחלץ מקורבנותיה מידע או נתונים רגישים. למעשה, עברייני הפישינג אינם פורצים למחשבי הקורבנות אלא מנסים לגרום להם לספק את המידע הרלוונטי בעצמם. לרוב מתבצע הפישינג על ידי שליחת מיילים המתחזים לאתר מוכר כלשהו, המכילים בתוכם קישור לאתר מתחזה שנראה בדיוק כמו האתר האמיתי. בתוכו, מתבקש הקורבן להזין את הפרטים הרלוונטים שמגיעים ישירות למתחזה.

בעוד שלא מדובר במתקפה מתוחכמת במיוחד (שׁלא לומר חובבנית), הפישינג מתברר לעיתים קרובות כיעיל מאד. בדו״ח אבטחת המידע שפרסמה verizon לסיכום 2015, מצאה החברה כי כמעט רבע ממקבלי המיילים נכנסים לקישור המזויף. העבריינים העומדים מאחורי ניסיונות אלו עובדים ב״שיטת מצליח״שולחים הודעות רבות ומסתפקים בטעויות של בודדים. כשהעבריינים מתחזים לגופים כמו בנק לאומי, בנק הפועלים ובנק ישראלהנפילה בפח יכולה לעלות לקורבנות ביוקר.

משפטנים? אתם בקבוצת סיכון

באותו דו״ח, מצאה verizon כי מחלקות משפטיות נוטות ליפול קורבן להונאות פישינג יותר מכל מחלקה אחרת. אז איך קורה שדווקא עורכי הדין הם הראשונים ליפול בפח? ישנן מספר סיבות אפשריות:

  • תחרותהתחרות, אוי התחרות. בשוק התחרותי של ימינו, עורכי דין משתוקקים ללקוחות חדשים. ניסיונות פישינג אחדים מכוונים בדיוק לכך על ידי יצירת מצג שווא של לקוח פוטנציאלי מבטיח.
  • לחץ זמןהרצון לתת שירות איכותי ולספק זמינות גבוהה ללקוחות מחייבת את עורכי הדין להגיב למיילים מהר. תוסיפו לזה את הכמות העצומה של מיילים חדשים בכל יום וקיבלתם מתכון בטוח לנפילה ברשת הפישינג.
  • ידע טכני בסיסי אם נודה על האמת, ידע טכנולוגי הוא לא אחד המאפיינים הבולטים של העובדים בשוק המשפטי. עובדה זו הופכת פעמים רבות את עורכי הדין לרגישים פחות לנורות האזהרה שאמורות להידלק כשאנו פותחים איימיל חשוד.

אפשר בקלות לחפש סיבות נוספות, אך הנתונים לא משקרים; חברת הסייבר Mandiant פרסמה ב-2011 כי לפחות 80 מ-100 משרדי עורכי הדין הגדולים בארה״ב נפרצו בצורה זו או אחרת באותה שנה. עוד באותה שנה, כינס ה-FBI (!) פגישה עם 200 המשרדים הגדולים בארה״ב על מנת לדון בסוגיית אבטחת המידע בשורותיהם.

השתכנעתי, איך מתגוננים?

כבר ציינו שהונאות הפישינג הן מתקפה חובבנית יחסית, וככזו לא נדרשים צעדים מורכבים מדי על מנת להתגונן בפניה. ריכזנו עבורכם מספר צעדים חשובים שיכולים לסייע מאד בהגנה על המידע שלכםושל לקוחותיכם:

1. בדקו לעומק מיהו השולח

את שם השולח קל מאד לזייף, אך כתובת המייל עצמה יכולה פעמים רבות להדליק נורה אדומה. שימו לב ששם האתר המופיע אחרי סימן ה-@ תואם את כתובת האתר האמיתישימו לב כי מייל שמגיע מבנק לאומי, לדוגמה, אמור להסתיים כךleumi.co.il, ולא כפי שמופיע בדוגמה.

מייל חשוד הוא נורה אדומה
שימו לב לכתובת המייל של השולח (אילוסטרציה)

 

2. בדקו את צורת הפנייה

אם המייל מגיע מחברה או לקוח שאתם עובדים איתם, שמכם אמור להופיע בפתח המיילפנייה בלתי אישית היא עוד נורת אזהרה שכדאי לשים לב אליה.

phishing_example2
מיילים אמייתים לרוב יכללו פנייה אישית (אילוסטרציה)

 

3. בדקו את הקישורים

פעמים רבות, יסוו המתחזים את הקישורים המזוייפים על ידי קישור המסתיר את כתובת היעד. העבירו את סמן העכבר מעל הקישור ובדקו את הכתובת המופיעה בתחתית הדפדפן. כתובות חריגות הן סיבה טובה להמנע מהקלקה.

phishing_example3
בדקו לאן מקשר הקישור לפני שאתם לוחצים (אילוסטרציה)
4. סמכו על האינטואיציה שלכם

אם משהו מרגיש לכם לא בסדר ואתם חושדים שייתכן והמייל אינו אותנטימחקו אותו מיד. כידוע – If it feels wrong, it probably is.

לסיכוםערנות

מעל כל אלו חשובה המודעות. ודאו כי כלל העובדים במשרד מכירים את הסכנות ושימרו על עירנות למול מיילים חשודים. כשמדובר במשרד עו״ד, לא מדובר רק באבטחת המידע הפרטי שלנו, אלא גם בחובה להגן על המידע הרגיש של לקוחותינו.

אולי יעניין אותך גם