עם ריבוי האפליקציות, כך גם עלייה גלובלית בפישינג ובפגיעויות אבטחת יישומים

ממצאים חדשים המדווחים מטעם חברת F5 Labs מראים כי חלה עלייה גלובלית באיומי פישינג, עובדה המספקת תובנות לגבי הסיבה שבעטיה טכניקה זו הופכת במהירות לווקטור התקיפה הקל והפרודוקטיבי ביותר של פושעי הסייבר.

הנתונים של F5 מגובים על ידי נתונים מה- Anti-Phishing Working Group המעידים כי איומי הפישינג עלו בשיעור הזוי של 5,753% במהלך 12 השנים האחרונות.

העבודה ברשת האינטרנט הפכה להיות פחות מסוכנת, כאשר מגוון אמצעי אבטחה מיושמים בהם. עם זאת, אפליקציות שונות, אף על פי כי הינן מובנות גם על אתר חיצוני, נמצאות היום כמקור סיכון גבוה יותר לפריצה, בשל תנאי השימוש בהן.

לכתחילה, כתנאי להורדת מרבית מן האפליקציות, נדרשת גישה למידע אישי רב כגון מיקום, ספר טלפונים, הודעות ועוד כך שלמעשה, פורצים יכולים לכאורה להתנהג עם הטלפון כאילו שהם בעליו. אם כך, הנזק שעלול להיגרם חלילה למי שמוריד אפליקציה ומאשר בכך גישה לאינפורמציה בנייד, גדול יותר ממי שעושה שימוש באותו אתר, אף כמנוי.

משמעות הנזק לארגונים

קיירון שפרד, מהנדס מערכות בכיר ב- F5 networks, הסביר כי "בכל העולם ברור יותר כי האקרים מתוחכמים מיישמים בהצלחה הנדסה חברתית וטכניקות פישינג בקנה מידה מסיבי. בכל מקום שאתה מביט, פושעי סייבר ממשיכים להשיג גישה ללא מאמץ למידע נרחב, הן בארגונים והן בקרב עובדיהם, דבר שמייצר פגיעויות משמעותיות. ברוב המקרים, יישומים הם נקודת הגישה העיקרית. ברגע שישנו ניצול פגיעות של יישום, האקרים מוצאים את דרכם דרך הרשת וגונבים את המידע."

שושי ליבוביץ, מנהלת הפעילות של F5 בישראל, יוון וקפריסין אמרה כי "התקפות פישינג ממשיכות לעלות בקצב מסחרר משום שהן מאד רווחיות עבור התוקפים. עבור הארגון, לעומת זאת, משמעותן של חלק ממתקפות אלו היא הרסנית ביותר, הן כספית והן למוניטין."

הגנה על הפרטיות

המודעות לצורך ולרצון המועמד בפרטיות, מיושמת ב- Platformust

ב- Platformust מבינים את רצונם של מועמדים רבים לעבודה, ליצור תקשורת באופן אנונימי, לפחות בתור התחלה, ולכן אחד הקווים המנחים את הפעילות באתר הינה מינימום חדירה לפרטיות, במידת האפשר.

ישנם לא מעט מועמדים שמחפשים עבודה תוך כדי שהם מחויבים לארגון, וריבוי פניות וההתקשרויות עמם, עלול חלילה לפגוע באיכות תהליך חיפוש העבודה שלהם. לא מעט פעמים יעדיפו מועמדים המועסקים באותה עת, לחפש עבודה בהיקף ובתדירות נמוכים, ולהשהות עד כמה שניתן את אופן ומידת חשיפתם למגייסים ולמעסיקים פוטנציאליים.

גם כאשר מדובר במועמדים שאינם עובדים, ייתכן כי יעדיפו לשמור לא מעט פרטים לעצמם. כך או כך, סביר להניח כי באיזשהו שלב עתיד המועמד להיחשף על ידי המגייס, במידה וירצה להמשיך בתהליך הקבלה לארגון. שיחת טלפון, ראיון מצולם או ראיון פרונטאלי, יכולים להיות מצבים בהם יבחר מחפש העבודה, שזוהה עד כה כפלוני אלמוני, להחליט לספק אינפורמציה נוספת הנדרשת ודאי.

אימוץ התנהגויות המסייעות לארגון להילחם באיום הפישינג

תוך התבססות מחקרית, זיהתה חברת F5 שש התנהגויות מפתח, שבכוחן לסייע לארגונים להילחם באיום הפישינג הגדל, באופן יעיל ומעשי. על ארגונים שמחליטים לקחת אחריות ולהעלות מודעות לתופעה בקרב עובדיהם, כדאי לדעת כי זו עשויה להיות כרוכה במשאבים ובהם זמן, אמצעי הדרכה ותשומת לב. לפי F5, כדי להצליח בהטמעת תהליך שכזה בארגון ובפרט למנוע אפשרות בה העובדים נכשלים בהגנה על המידע, במסגרת עבודתם ואף מחוצה לה, כדאי לאמץ מספר דברים:

1. היזהרו עם התוכן בו אתם משתפים: פלטפורמות המדיה החברתית מעודדות משתמשים לשתף מידע אישי מקיף, שיכול להכיל תובנות רגישות על העבודה שלהם. זהו אוצר עבור ההאקרים שנמצאים במסעות פישינג. ראוי כי ארגונים יעלו תכניות להעלאת המודעות לנושא, בכדי להבטיח כי כלל העובדים מאמצים תרבות של אחריות בשיתוף מידע במדיה החברתית.

2. העריכו באופן שגרתי את התוכן העסקי באינטרנט: התוקפים מטרגטים ארגונים ספציפיים באמצעות פרטי עובדים שנמצאים באתרי האינטרנט של החברה ושותפיה. מידע דוגמת רשומות בעלות, טפסי ניירות ערך, תביעות משפטיות ומידע מהרשתות החברתיות, כולם ניתנים לשימוש באופן זדוני. ראוי כי עסקים יעברו תקופתית על האינפורמציה המוצגת באתר החברה, ובדפיהם ברשתות החברתיות, כדי לבדוק האם המידע הוא חיוני.

3. אבטחו את הרשת: מערכות רשת פגיעות ויישומים שאינם מוגנים כהלכה יכולים להדליף מידע פנימי דוגמת שמות שרתים, כתובות רשת פרטיות, כתובות אימייל ואפילו שמות משתמשים. צוותי אבטחה חייבים לבדוק באופן שגרתי כי מערכות הרשת הן בעלות קונפיגורציה שמאפשרת להתמודד עם הסיכון של דליפת מידע רגיש.

4. זכרו שיישומים מכילים רמזים: יישומים רבים אינם בנויים עם "אבטחה מובנית" והם בדרך כלל מורכבים מספריות ומסגרות קיימות. רכיבים מסוימים יכולים להכיל רמזים בנוגע לצוות הפיתוח והתהליכים הארגוניים. האבטחה של אלו היא בראש סדר העדיפות.

העלאת מודעות העובדים לסכנות בתחום אבטחת המידע

5. בדקו את כותרות האימיילים: כותרות אימיילים הנן מקורות נפלאים לקונפיגורציה פנימית של מידע והתוקפים ישלחו שאילתות באימיילים למשתמשים על מנת לאסוף כתובות IP, לקבוע את תוכנת שרת המייל ולגלות כיצד האימיילים זורמים מחוץ לארגון. עסקים חייבים להזהיר עובדים על מנת שיבדקו את כותרות האימיילים לפני שהם פותחים אותם, אם הם ממקור לא ידוע.

6. אל תהיו שאננים: מודעות לאבטחת מידע ותכניות הדרכה עוזרות לעובדים להבין כיצד המידע שלהם און-ליין יכול להיפרץ ומה יכולות להיות תוצאות הפעילות של הנוכלים. עדכונים שוטפים, הדרכות נהלים המחייבות השתתפות, וקורסים און-ליין יכולים לעזור לבנות תרבות אבטחת מידע טובה יותר.