אם גם תיבת הדואר הנכנס שלך עולה על גדותיה באופן קבוע, אתה לא לבד. בממוצע, משתמש איימיל עסקי מקבל כ-120(!) מיילים כל יום. כשאנו נאלצים להתמודד עם כמות מיילים כזו, כליום, אנחנו לא תמיד מוודאים שהשולח הוא באמת מי שהוא טוען שהוא. את חוסר תשומת הלב הזו בדיוק מנצלים עברייני הפישינג, והנזק שהם עלולים לגרום הוא אדיר.
אז מה זה פישינג בעצם?
פישינג, או באנגלית Phishing (ואם אתם ממש מתעקשים – דיוג בעברית), היא מתקפה שמטרתה לחלץ מקורבנותיה מידע או נתונים רגישים. למעשה, עברייני הפישינג אינם פורציםלמחשבי הקורבנות אלא מנסים לגרום להם לספק את המידע הרלוונטי בעצמם. לרוב מתבצע הפישינג על ידי שליחת מיילים המתחזים לאתר מוכר כלשהו, המכילים בתוכם קישור לאתר מתחזה שנראה בדיוק כמו האתר האמיתי. בתוכו, מתבקש הקורבן להזין את הפרטים הרלוונטים שמגיעים ישירות למתחזה.
בעוד שלא מדובר במתקפה מתוחכמת במיוחד (שׁלא לומר חובבנית), הפישינג מתברר לעיתים קרובות כיעיל מאד. בדו״ח אבטחת המידע שפרסמה verizon לסיכום 2015, מצאה החברה כיכמעט רבע ממקבלי המיילים נכנסים לקישור המזויף. העבריינים העומדים מאחורי ניסיונות אלו עובדים ב״שיטת מצליח״ – שולחים הודעות רבות ומסתפקים בטעויות של בודדים.כשהעבריינים מתחזים לגופים כמו בנק לאומי, בנק הפועלים ובנק ישראל – הנפילה בפח יכולה לעלות לקורבנות ביוקר.
משפטנים? אתם בקבוצת סיכון
באותו דו״ח, מצאה verizon כי מחלקות משפטיות נוטות ליפול קורבן להונאות פישינג יותר מכל מחלקה אחרת. אז איך קורה שדווקא עורכי הדין הם הראשונים ליפול בפח? ישנן מספר
- סיבות אפשריות:
תחרות – התחרות, אוי התחרות. בשוק התחרותי של ימינו, עורכי דין משתוקקים ללקוחות חדשים. ניסיונות פישינג אחדים מכוונים בדיוק לכך על ידי יצירת מצג שווא של לקוחפוטנציאלי מבטיח. - לחץ זמן – הרצון לתת שירות איכותי ולספק זמינות גבוהה ללקוחות מחייבת את עורכי הדין להגיב למיילים מהר. תוסיפו לזה את הכמות העצומה של מיילים חדשים בכל יום וקיבלתםמתכון בטוח לנפילה ברשת הפישינג.
- ידע טכני בסיסי – אם נודה על האמת, ידע טכנולוגי הוא לא אחד המאפיינים הבולטים של העובדים בשוק המשפטי. עובדה זו הופכת פעמים רבות את עורכי הדין לרגישים פחות לנורותהאזהרה שאמורות להידלק כשאנו פותחים איימיל חשוד.
אפשר בקלות לחפש סיבות נוספות, אך הנתונים לא משקרים; חברת הסייבר Mandiant פרסמה ב-2011 כי לפחות 80 מ-100 משרדי עורכי הדין הגדולים בארה״ב נפרצו בצורה זו או אחרתבאותה שנה. עוד באותה שנה, כינס ה-FBI (!) פגישה עם 200 המשרדים הגדולים בארה״ב על מנת לדון בסוגיית אבטחת המידע בשורותיהם.
השתכנעתי, איך מתגוננים?
כבר ציינו שהונאות הפישינג הן מתקפה חובבנית יחסית, וככזו לא נדרשים צעדים מורכבים מדי על מנת להתגונן בפניה. ריכזנו עבורכם מספר צעדים חשובים שיכולים לסייע מאד בהגנהעל המידע שלכם – ושל לקוחותיכם:
1. בדקו לעומק מיהו השולח
את שם השולח קל מאד לזייף, אך כתובת המייל עצמה יכולה פעמים רבות להדליק נורה אדומה. שימו לב ששם האתר המופיע אחרי סימן ה-@ תואם את כתובת האתר האמיתי. שימו לב כימייל שמגיע מבנק לאומי, לדוגמה, אמור להסתיים כך – leumi.co.il, ולא כפי שמופיע בדוגמה.
2. בדקו את צורת הפנייה
אם המייל מגיע מחברה או לקוח שאתם עובדים איתם, שמכם אמור להופיע בפתח המייל. פנייה בלתי אישית היא עוד נורת אזהרה שכדאי לשים לב אליה.
3. בדקו את הקישורים
פעמים רבות, יסוו המתחזים את הקישורים המזוייפים על ידי קישור המסתיר את כתובת היעד. העבירו את סמן העכבר מעל הקישור ובדקו את הכתובת המופיעה בתחתית הדפדפן. כתובותחריגות הן סיבה טובה להמנע מהקלקה.
אנו ב-Robus מתמחים בייעוץ למשרדי עורכי דין ישראליים ובינלאומיים, ומסייעים ליוזמות עסקיות בתחום ה-Legal Tech בקידום מיזמים חדשניים בתחום. יש לכם פתרון טכנולוגי בתחום המשפטי? קבעו אתנו פגישת ייעוץ ללא עלות ונשמח לחלוק אתכם מניסיוננו, על מנת לסייע להביא את המיזם שלכם לגבהים חדשים.
4. סמכו על האינטואיציה שלכם
אם משהו מרגיש לכם לא בסדר ואתם חושדים שייתכן והמייל אינו אותנטי – מחקו אותו מיד. כידוע – If it feels wrong, it probably is.
לסיכום – ערנות
מעל כל אלו חשובה המודעות. ודאו כי כלל העובדים במשרד מכירים את הסכנות ושימרו על עירנות למול מיילים חשודים. כשמדובר במשרד עו״ד, לא מדובר רק באבטחת המידע הפרטי שלנו,אלא גם בחובה להגן על המידע הרגיש של לקוחותינו.
אנו ב-Robus מתמחים בייעוץ למשרדי עורכי דין ישראליים ובינלאומיים, ומסייעים ליוזמות עסקיות בתחום ה-Legal Tech בקידום מיזמים חדשניים בתחום. יש לכם פתרון טכנולוגי בתחום המשפטי? קבעו אתנו פגישת ייעוץ ללא עלות ונשמח לחלוק אתכם מניסיוננו, על מנת לסייע להביא את המיזם שלכם לגבהים חדשים.