02-6645511
כשהטכנולוגיה פוגשת פסיכולוגיה
כך נראה פישינג מודרני
פישינג כבר מזמן אינו בעיה טכנולוגית בלבד. מדובר בזירה שבה מנגנוני אבטחה מתקדמים פוגשים הבנה עמוקה של התנהגות אנושית. כדי להבין מדוע מתקפות פישינג מצליחות גם היום, יש לבחון את השילוב בין ההיבט הטכני לבין ההיבט הפסיכולוגי.
הצד הטכני כולל שלושה מנגנונים מרכזיים לאימות מיילים: SPF, DKIM ו DMARC.
SPF Sender Policy Framework נועד לבדוק האם השרת ששלח את המייל מורשה לשלוח בשם הדומיין שמופיע בשדה From. כאשר מתקבל SPF Fail המשמעות היא שהמייל נשלח משרת שאינו מורשה על ידי הדומיין, וזהו סימן חזק לזיוף זהות. גם אם המשתמש רואה כתובת שולח מוכרת, בפועל מקור ההודעה אינו לגיטימי.
DKIM DomainKeys Identified Mail הוא מנגנון חתימה קריפטוגרפית שמטרתו לוודא שני דברים: שהמייל לא שונה בדרך, ושהוא נחתם על ידי הדומיין השולח. במתקפות פישינג מתקדמות ניתן לראות מצב שבו חתימת DKIM של תשתית ביניים כמו Microsoft או Google עוברת, אך החתימה של הדומיין הארגוני האמיתי נכשלת. מצב כזה יוצר תחושת אמינות מזויפת, למרות שהמייל אינו אותנטי.
DMARC הוא מנגנון מדיניות שמחליט כיצד להתייחס למיילים שנכשלו ב SPF או DKIM. חשוב להבין ש DMARC אינו בודק אמת מוחלטת אלא תנאי סף. מספיק ש SPF או DKIM אחד יעבור, ובתנאי שקיים יישור לדומיין שבשדה From, כדי ש DMARC יסומן כ Pass. לכן מייל יכול לעבור DMARC ועדיין להיות מסוכן.
כאן נכנס הצד הפסיכולוגי של ההתקפה.
המייל אינו נועד רק לעבור מנגנוני סינון. הוא נועד לעבור את האדם שמקבל אותו. התוקף בוחר נושא רלוונטי, שפה מקצועית והקשר שמותאם במדויק לפרופיל הקורבן. מרצים יקבלו מיילים אקדמיים, אנשי כספים יקבלו חשבוניות, ואנשי IT יקבלו התראות גישה או אבטחה.
זה אינו פישינג אקראי אלא מתקפה ממוקדת, המכונה Spear Phishing או Targeted Phishing. ההצלחה אינה תלויה רק בטכנולוגיה אלא ביצירת אמון, תחושת דחיפות והפעלה של שגרות עבודה יומיומיות.
החיבור הקריטי בין הטכנולוגיה לפסיכולוגיה הוא נקודת התורפה האמיתית. התוקף יודע שחלק מהמנגנונים הטכניים יעברו, ש DMARC יסמן את ההודעה כתקינה, ושבסופו של דבר ההחלטה תתקבל על ידי אדם.
המסקנה ברורה. פישינג מודרני אינו מצליח משום שמערכות ההגנה נכשלות, אלא משום שהן אינן יכולות להתמודד לבדן עם מניפולציה אנושית. הגנה אפקטיבית דורשת גם הבנה טכנית של SPF, DKIM ו DMARC וגם חשיבה ביקורתית מצד המשתמש.
זו אינה מלחמה של קוד מול קוד. זו מלחמה של אמון מול מניפולציה.