דו"ח האיומים החדש של סימנטק: 2.5 מיליארד הודעות פישינג נשלחו בשנת 2006 ברחבי העולם

בשנת 2006 הגיע מספר ההודעות ששולחים נוכלי הפישינג בדואר האלקטרוני לשבעה מיליון מדי יום או 2.5 מיליארד בסיכום שנתי, כך על פי דו"ח האיומים השנתי של חברת האבטחה סימנטק. על פי הדו"ח, אשר מסכם את המגמות בעולם האבטחה לשנת 2006, תשע מכל עשר הודעות פישינג נשלחו לכאורה מבנקים או ממוסדות פיננסיים אחרים.

מהדו"ח עולה, כי בתרמית פישינג אופיינית, מפיצים הנוכלים הודעות בדואר אלקטרוני ומנסים לשכנע את הנמענים, כי נתגלתה בעיה כלשהי בחשבון הבנק שלהם. על מנת לפתור אותה - מסבירים הנוכלים - יש ללחוץ על קישור שמשולב בהודעה, ולעדכן את הפרטים. הקישור מוביל לאתר אינטרנט, אשר מזכיר מאוד את אתר הבנק, אך למעשה מופעל על ידי הנוכלים. באתר מתבקשים קורבנות התרמית להזין את מספר הביטוח הלאומי או מספר הזהות, וכן את שם המשתמש והסיסמה של חשבון הבנק. בעזרת פרטים אלו, הנוכלים יוכלו לעשות שימוש על מנת להעביר כספים לחשבון שלהם, או לבקש הלוואות וכרטיסי אשראי על חשבון הקורבנות.

לדברי אריה דנון, מנהל אזור אגן הים התיכון בסימנטק, "בהתקפות פישינג חלה עלייה בולטת במהלך 2006, וזו צפויה להימשך בשנת 2007. מגמה זו בולטת במיוחד בארגונים כלכליים. גם כאן אנו רואים שימוש מצד התוקפים ב'טכנולוגיה' ישנה – משתמש הקצה. ניצול תמימות המשתמש והבאתו למסור נתונים חשאיים שלו עצמו או של הארגון בו הוא עובד - מספק את הסחורה לתוקף ללא צורך לפרוץ מערכות מוגנות".

"לקוחות בארץ של חברות בינלאומיות, – הם החשופים ביותר למתקפות שכאלו. טרם נעשו התקפות על בנקים ישראל, אבל אין לי ספק שההתקפות הללו תגענה ב-2007 לארץ", הוסיף דנון. "נכון שסיטי בנק יותר אטרקטיבי, שכן האינטרס הוא להתקיף אוכלוסיות גדולות, אבל בסוף ההתקפות תגענה גם למוסדות פיננסיים בארץ, אם לא מחר – אז מחרתיים. מבחינה סטטיסטית – בסוף תמיד מישהו עונה למיילים אלו ומאבד את זהותו או כספו".

"על מנת להתגונן מפני תרמיות פישינג, יש להימנע מללחוץ על קישורים בהודעות חשודות, שנשלחות לכאורה מהבנק", ממליץ דנון. "מרבית המוסדות הפיננסיים אינם נוהגים לשלוח ללקוחותיהם הודעות שכוללות קישורים. אם מגיעה בדואר האלקטרוני הודעה שנשלחה לכאורה מהבנק, יש לפנות לבנק - על מנת לוודא שמקורה אכן בבנק או להודיע על התרמית. ניתן גם לבדוק קישורים חשודים במנגנונים להתראה מפני תרמיות פישינג".

נוזקות - חמקמקות מאי פעם לדבריו, "לעומת שנים קודמות בהן רוב ההתקפות היו למטרות תהילה, פרסום אישי והפגנת יכולות טכנולוגיות, מתמקדים התוקפים בשנתיים האחרונות - וכך יהיה גם בשנה הבאה - בהתקפות שמטרתן היא השגת רווח כספי. התקפות אלה כוללות התקפות פישינג, ספאם, התקפות ממוקדות מגזר עסקי ואף התקפות ממוקדות על ארגונים ספציפיים לשם גניבת מידע עסקי. ככל שהטכנולוגיה מתקדמת, כך גם האיומים מתפתחים".

עוד תכניות

מהדו"ח עולה עוד, כי עד לא מכבר המזיקים הנפוצים ביותר היו תולעים שהופצו בהמוניהן בדואר האלקטרוני. התולעים צורפו כקבצים נספחים להודעות, הציפו את תיבות הדואר הנכנס ויצרו עומס תעבורה כבד ברשת האינטרנט. ההפצה ההמונית הקלה על חברות האנטי וירוס לזהות את התולעים במועד, ולפתח אמצעי הגנה מתאימים. "למרות שהתולעים הופצו בכמויות גדולות גם בשנת 2006, הרי שהן מוחלפות בהדרגה במזיקים מתוחכמים יותר", אמר דנון, "דוגמת הסוס הטרויאני שמכונה על ידי סימנטק LinkOptimizer. סוס טרויאני זה מושתל במחשבים של משתמשים תמימים שמבקרים באתרי אינטרנט עוינים, תוך ניצול של פרצות בדפדפנים הנפוצים – אינטרנט אקספלורר של מיקרוסופט ופיירפוקס של מוזילה".

לאחר ההשתלה נעשה שימוש בשיטות שונות, כדי להסתיר את הסוס הטרויאני ולמנוע את גילויו והסרתו. אחת השיטות מכונה "תוכנה נסתרת" (rootkit) - והיא מאפשרת להוריד ולהפעיל קוד עוין מבלי שהמשתמש מודע לכך, או מביע את הסכמתו. "תוכנות נסתרות כאלה הופכות לנפוצות יותר ויותר, וחברת סימנטק צופה שהן תסייענה לנוכלים להשיג פרטים אישיים ולגנוב כספים, מבלי להתגלות על ידי המשתמשים", אמר.

המצעד בראש "מצעד" הנוזקות של סימנטק, מככבת התולעת Stration, אשר אוספת כתובת דואר אלקטרוני מספר הכתובות שבמחשב הנגוע. גרסאות מסויימות של התולעת הצליחו לחמוק מתוכנות אנטי-וירוס. הווירוס משטה בתוכנות אלו, כיוון שהוא נשלח בגרסאות המשתנות במהירות, תוקף בגלים, ומשנה את תבניתו ואת צורתו באופן תדיר. מאות גרסאות שונות של הוירוס אותרו ונחסמו על ידי סימנטק, בשל הסכנה שההפצה המהירה שלו יכולה לגרום. "ישנן היום המון התקפות דרך תוכנות המסרים המיידיים", אמר דנון, "באחת מהן – ה-ICQ, התולעת Stration פגעה בארץ בצורה מאד חזקה. אחד מהאפקטים היו הגדלת רמת הספאם - המחשבים המותקפים הפכו לשולחי דואר זבל. בשל נפוצות התוכנה, ניזוקנו בצורה קשה בישראל. המחשבים של אלפים רבים של משתמשים הפכו לספאמרים מבלי דעת. בתקופה שיצאה התולעת, ישראל הפכה ל'יצואנית' ספאם רצינית".

במקום השני ברשימה נמצאת Netsky.P, תולעת ותיקה, אשר הופיעה לראשונה בשנת 2004 ולא עזבה את רשימת האיומים השכיחים ביותר מדי חודש. למרבה האירוניה, תולעת זו מנצלת פרצת אבטחה בדפדפן האינטרנט אקספלורר, אשר תוקנה כבר לפני מספר שנים. החברה מסבירה את התפוצה הגבוהה של התולעת, בכך שרבים עדיין אינם משתמשים בתוכנות אנטי-וירוס ומוסיפים להפיץ את התולעת מבלי דעת.

במקום השלישי נמצא Tooso, סוס טרויאני חדש, שמוריד קוד עוין למחשב הנגוע ופוגע בביצועיו. סימנטק סיווגה את התפוצה שלו כ"גבוהה". להתגוננות מפניו, מומלץ להתקין טלאים ועדכונים באופן קבוע ולהפעיל תוכנות אנטי-וירוס ופיירוול עדכניות, כמו גם לחסום תהליכים שאינם חיוניים.

"בהתקפות רגילות של רוגלות, נוזקות, וקוד זדוני – אין הבדל בין ישראל והעולם", קובע דנון. "ההתקפות הללו אינן מבדילות בין מדינות. כל עשרת הנוזקות המככבות ברשימה הן ברמה העולמית. ישראל ייחודית רק במקרה של התקפות ממוקדות, דוגמת נסיונות תקיפה לאתרים ישראלים – ממשלה ואחרים. זה אתגר של רבים ו'טובים' להתקיף אתרים".

פרצות: לא רק במערכות הפעלה עוד עולה מהדו"ח, כי עד שנת 2006, מרבית הפרצות החמורות התגלו במערכות הפעלה – דוגמת חלונות של מיקרוסופט. אולם, ככל שגברה המודעות לפרצות אלה, התרחב השימוש בתוכנות פיירוול, על מנת לחסום מתקפות שמבוססות על ניצול של פרצות במערכות ההפעלה. מסיבה זו, על פי חברת סימנטק, מעדיפים כיום הנוכלים לנצל פרצות ביישומי לקוח - דוגמת חבילת אופיס של מיקרוסופט או דפדפני אינטרנט.

"הפורצים מעדיפים, כמובן, לנצל פרצות שטרם הוטלאו על ידי ספקיות התוכנה", אמר דנון, "שבע מתקפות שונות בוצעו בשנת 2006, תוך ניצול של פרצות שטרם הוטלאו בחבילת אופיס של מיקרוסופט, אשר כוללת את התוכנות אקסל, וורד ופאואר-פוינט. הניצול מתבצע באמצעות קובץ עוין - למשל מסמך וורד, או מצגת פאואר-פוינט, שמצורף כקובץ נספח להודעת דואר. בעקבות פתיחה של הקובץ, מושתל במחשב הקוד העוין".

הפרצות לא רק במערכת ההפעלה – הן גם על היישומים, אמר דנון וציטט מהדו"ח, לפיו בשנה האחרונה התפתח שוק שחור לסחר בפרצות. "פרצות שטרם הוטלאו, אשר מאפשרות לבצע מתקפות המוניות ולזכות לאחוזי 'הצלחה' גבוהים יחסית, נסחרות במחירים גבוהים במיוחד", אמר.

מה עוד צפוי ב-2007? לדברי דנון, "ב-2007 צפוי גידול באפשרות של התקפות מבוססות הכנסת תוכן ושימוש בסקריפטים בין אתרים. צפי זה נובע מהשימוש הגובר והולך בטכנולוגיות מבוססות WEB 2.0 ו-AJAX. השימוש בטכנולוגיות אלה כמטרה להתקפה, יגדיל את מספר המשתמשים המותקפים ויאפשר עקיפה של טכנולוגיות הגנה מסורתיות".

"מגמה צפויה נוספת", הוא אומר, "נובעת מכניסתה של מערכת ההפעלה החדשה של מיקרוסופט - ויסטה. המערכת החדשה, הצפויה להיות פופולארית יותר ויותר לקראת אמצע 2007, תגרום לקהילת המחקר בעולם לנסות ולמצוא פגמים בה. כניסת ויסטה יוצרת אתגר עבור קהילת ההאקרים, כדי להראות שגם אותה אפשר לתקוף. על פי ניסיון העבר - שחרור חלונות XP והוצאת Service Pack 2 לאחר מכן - הדבר יביא לגל התקפות חדש, אשר ינסה לפגוע במערכות אלו ותוך כדי כך אף יפגע במערכות ישנות יותר, אני משוכנע שזה יקרה. איני מאמין שיש משהו שסגור הרמטית, ולכן בשנת 2007 נראה נסיונות פריצה והגנות על ויסטה. ויסטה יותר מוגנת, אבל אין 100% הגנה".