מה זה פישינג של כתובות URL ואיך לזהות?

בשנת 2023 התגלו ברחבי העולם 9 מיליון התקפות פישינג, כאשר גורמים פושעים השתמשו בדמויות דומות לאתרים לגיטימיים כדי להערים על אנשים ולגרום להם לבקר בקישורים מזויפים, להוריד תוכנות זדוניות ולחשוף מידע אישי – ולאחר מכן לבצע גניבת זהות, להשתלט על חשבונות או לגנוב כסף. 

גרוע מכך, התקפות פישינג הפכו מתוחכמות יותר וקשות יותר לזיהוי, הודות להתקדמות בטכנולוגיות כמו בינה מלאכותית. בהתחשב בכך שקליק אחד יכול להספיק כדי לפגוע בפרטיות הדיגיטלית שלכם, חשוב לדעת כיצד מתרחש פישינג של כתובות URL וכיצד להימנע ממנו.

המשיכו לקרוא כדי לגלות כיצד תוכלו להגן על עצמכם מפני פשיעת סייבר מסוכנת זו. אסביר כיצד כלי פרטיות דיגיטליים כמו שירותי ה-VPN הטובים ביותר ותוכנת האנטי-וירוס הטובה ביותר יכולים לעזור לכם לזהות אפילו את התקפות הפישינג המתוחכמות ביותר.

מהי פישינג של כתובות URL? 

פישינג של כתובות URL הוא שיטה של הנדסה חברתית המשמשת לעודד אנשים ללחוץ על קישור. הקישור שולח משתמשים לעתים קרובות לאתר מזויף שנועד לאסוף פרטי התחברות ומידע אישי אחר (כגון פרטי כרטיס אשראי ומספרי ביטוח לאומי), אך יכול גם ליזום הורדות של תוכנות כופר ותוכנות זדוניות.

חשבו על זה כטריק שבו משתמשים פושעי סייבר כדי לפתות אנשים למסור את שמות המשתמש והסיסמאות לחשבונות הדוא"ל או הבנק שלהם.

פרטים אלה יכולים להיות מנוצלים על ידי הגורם הפוגע כדי לפרוץ חשבונות אחרים שבבעלות המשתמש שנפרץ. לחלופין, הם עשויים למכור את האישורים הגנובים ברשת האפלה למטרות רווח.

כפי שצוין קודם לכן, הגורם הפוגע יכול גם להשתמש בקישור הפישינג כדי להתקין תוכנה זדונית על מכשיר הקורבן. תוכנה זדונית יכולה לרגל אחר פעילותם, לאסוף נתונים או לנעול אותם לחלוטין מהמערכת שלהם – ואף לבצע כופר לאחר מכן. ההורדה בדרך כלל מוסווית כקובץ PDF תמים. 

סקרנים לגבי יצירה וביצוע של מתקפת פישינג באמצעות כתובות URL? הרשו לי לתת לכם סקירה יסודית של התהליך. זה מתחיל עם גורם רשע שיוצר אתר מזויף – דמיון למקור. אחרי הכל, האתר המזויף צריך להיראות משכנע אם הוא הולך להטעות את המשתמשים לחשוב שהוא אמיתי.

לאחר מכן, פושע הסייבר כותב הודעה שנועדה לגרום לקורא ללחוץ על קישור ולבקר באתר.

זה נעשה בדרך כלל על ידי כך שהמשתמש חושב שמשהו לא בסדר בחשבון שלו. לדוגמה, זה יכול להיות הודעה המתריעה בפני המשתמש על משיכת יתר או יתרה שלילית בחשבון הבנק שלו. לחלופין, זה יכול להיות אזהרת אבטחה המבקשת מהמשתמש לאפס את הסיסמה שלו או לאמת את זהותו מכיוון שחשבונו נפרץ. 

למרות שדוא"ל הוא הערוץ הנפוץ ביותר להעברת קישור פישינג, ניתן לשלוח אותו גם באמצעות הודעה פרטית ברשתות חברתיות, הודעת טקסט או פלטפורמות מקוונות אחרות.

ללא קשר למסר המדויק שנשלח, הרעיון הוא ליצור פאניקה (או דחיפות) אצל המשתמש ולגרום לו לנקוט פעולה מיידית – או להסתכן במשהו רע.

ה"פעולה" היא, כמובן, לחיצה על הקישור המצורף, אשר מוביל את המשתמש לפורטל התחברות מזויף אך משכנע. לאחר מכן המשתמש מזין את הסיסמה שלו ופרטים אישיים אחרים ובסופו של דבר הוא "נפגע מפישינג".

ראוי לציין שרוב מתקפות הפישינג של כתובות URL נוקטות בגישת "ריסוס והתפלל", שבה הגורם הרע שולח הודעות זהות למאות או אלפי משתמשים, בציפייה שלפחות כמה עשרות אנשים ילחצו עליהן. 

עם זאת, עם התפתחותן של מתקפות פישינג, הן הפכו מתוחכמות ומותאמות אישית יותר. דוגמה טובה לכך היא פישינג מסוג spear, שבו הגורם הרע מכוון רק לקומץ אנשים, או אולי אפילו לאדם בודד, ופונה אליהם בשמם ו/או באמצעות שם זיהוי, כמו עמית לעבודה. 

לאחר מכן, ישנן מתקפות וישינג, שהן שיחות טלפון מזויפות המבוצעות למספרי טלפון אקראיים. הן משלבות כלי בינה מלאכותית (לחיקוי קול אנושי) וטכניקות פישינג מסורתיות, מה שמקשה על הימנעות מהן.

איך לזהות הונאות פישינג של כתובות URL 

למרות שיש מודעות גוברת בקרב המשתמשים לקמפיינים מסורתיים של פישינג, גורמים פוגעניים כל הזמן ממציאים התקפות חדשות ומתוחכמות יותר שקשה יותר לזהות. לכן, חשוב להישאר ערניים ומודעים לדגלים האדומים שיעזרו לכם לזהות מקרים של פישינג בכתובות URL בצורה יעילה הרבה יותר. 

הנה הטיפים המובילים שלי לאיתור הונאות פישינג:

1. היו חשדניים: אם הודעה נראית מוזרה, משום מקום, או טובה מכדי להיות אמיתית, היו זהירים. גורמים רעים משתמשים ב"קליקבייט" ובדחיפות כדי לגרום לאנשים ללחוץ על קישורים מזויפים. לעתים קרובות, הדפדפן שלכם יזהיר אתכם בהתראת "חיבור לא מאובטח" אם תבקרו באתר פישינג.
2. בדקו את כתובת האתר: כתובות URL של פישינג, מכיוון שהן רוצות לחקות את האתר המקורי, משתמשות לעתים קרובות בשגיאות כתיב, מקפים נוספים או דומיינים שהשתנו, כגון .net במקום .com של האתר המקורי. בדקו את כתובת האתר והיזהרו במיוחד אם היא קוצרה.
3. שאלו מי שלח את ההודעה: בדקו אם יש שגיאות בכתובת הדוא"ל של השולח על ידי השוואת הפרטים לפרטים האמיתיים; תוכלו למצוא את האחרונים פשוט על ידי חיפוש בגוגל. גורמים זדוניים לעיתים קרובות מבצעים שינויים קלים בכתובות הדוא"ל שלהם בתקווה שלא תשימו לב. 
4. הטילו ספק בבקשות: גורמים רעים גם מנסים להונות משתמשים באמצעות קישורי איפוס סיסמה מזויפים – לכן יש לוודא תמיד שהבקשות לגיטימיות. 
5. בחנו את תוכן האתר: לרוב החברות בעלות המוניטין יש אתרים איכותיים עם ממשק משתמש נקי ותמונות ברזולוציה גבוהה. אתרי פישינג מזויפים, לעומת זאת, בדרך כלל כוללים אתרים באיכות ירודה עם שגיאות דקדוק מגושמות ותמונות ברזולוציה נמוכה. בנוסף, בניגוד לאתרי פישינג, אתרים עסקיים אמיתיים כמעט תמיד כוללים דף "צור קשר" שבו הם מציגים את כתובות הדואר, מספרי הטלפון, כתובות הדוא"ל וכו' שלהם.
6. בדקו אמצעי תשלום : אתרים לגיטימיים מאפשרים ביצוע עסקאות באמצעות כרטיסי חיוב/אשראי ו-PayPal. עם זאת, אתרי פישינג אינם מציעים אמצעי תשלום אלה ומתעקשים על תשלום באמצעות העברה בנקאית או מטבעות קריפטוגרפיים.
7. גלו למי שייך האתר: כל שם דומיין חייב להירשם, ותוכלו לחפש את פרטי הבעלות על אתר, כולל תאריך היצירה, הבעלים הנוכחי ופרטי הקשר של הבעלים, ללא תשלום.
8. למי מיועדת ההודעה: מיילים מפוקפקים משתמשים לעתים קרובות בברכות כלליות ולא בשמך האמיתי.

כיצד למנוע פישינג של כתובות URL

הנה ארבעה כלים בהם תוכלו להשתמש כדי להבטיח שלעולם לא תיפול קורבן למתקפת פישינג של כתובות URL.

• בודק קישורים: במילים פשוטות, בודק סורק כתובת URL ומודיע לך אם היא לגיטימית או לא. הוא עושה זאת על ידי השוואת הקישור לרשימה של אתרים שסומנו כתרמיות או תוכנות זדוניות. החלק הטוב ביותר הוא שבודקי קישורים הם לרוב בחינם (ההצעות המובילות כוללות את NordVPN Link Checker ו-Google Ads Scripts) וקלים לשימוש.
• השתמשו ב-VPN: שירותי ה-VPN המאובטחים הטובים ביותר מצפינים את התקשורת שלכם באינטרנט על ידי ניתוב התעבורה שלכם דרך מנהרת VPN מוצפנת (ולא דרך שרת ספק האינטרנט שלכם), מה שהופך את הנתונים שלכם לבלתי מובנים לגולשים. הם גם יזייפו את כתובת ה-IP האמיתית שלכם, כך שפושעי סייבר אופורטוניסטיים לא יוכלו לעקוב אחר הפעילויות המקוונות שלכם.
• הפעלת אימות רב-גורמי: אימות רב-גורמי (MFA) יסייע במניעת גישה לא מורשית לחשבונות שלך. כך, גם אם בסופו של דבר תיפגע בפישינג, כלומר, אם פרטי ההתחברות שלך ייגנבו, גורמים פושעים לא יוכלו להתחבר לאף אחד מהחשבונות שלך מכיוון שזה ידרוש קוד חד-פעמי, הזמין רק בטלפון הנייד שלך .
• השתמשו באנטי-וירוס: תוכנת האנטי-וירוס הטובה ביותר תחסום אתרי פישינג ותתפוס איומים לפני שהם יכולים לגרום לכם נזק כלשהו.