מתקפות פישינג מזויפות מעבירות תוכנת More_eggs המסוכנת לאנשי משאבי אנוש

מתקפות פישינג מתוחכמות: איך תוכנת More_eggs מהווה איום על אנשי משאבי אנוש

הקדמה לתופעת הפישינג

פישינג הוא מושג שמתאר טכניקות התקפה שמיועדות להוציא מידע רגיש מתוך קורבנות לא מודעים. התקפות אלה נסמכות על שיטות הונאה שונות, והן מתבצעות בדרך כלל באמצעות שליחת הודעות דואר אלקטרוני או הודעות מיידיות שנראות כאילו נשלחו ממקורות מהימנים. המטרה היא להניע את הקורבן ללחוץ על קישורים מזיקים או להוריד תוכנות זדוניות שמסכנות את פרטיותם ואת אבטחת המידע הארגוני.

More_eggs: תוכנה מסוכנת הממוקדת על משאבי אנוש

כלי התקפה זה, שהוא למעשה תוכנה זדונית, נועד לחדור למערכות מחשוב של חברות ומשאבי אנוש בפרט כדי לגנוב מידע אישי רגיש. המידע שעלול להיגנב כולל פרטי עובדים, מסמכים עסקיים חשובים, ונתונים על לקוחות. More_eggs בדרך כלל מתפשטת באמצעות מתקפות פישינג, והנתונים מראים כי אנשי משאבי אנוש מהווים את המטרה העיקרית שלהן.

התפתחות המתקפות בשנה האחרונה

בשנה החולפת נצפה עלייה ניכרת במתקפות פישינג שמכוונות להפיץ את תוכנת More_eggs. על פי דיווחים, במהלך הסגרים שנגרמו כתוצאה מהשפעת מגפת הקורונה, 75% מהחברות דיווחו על מתקפות פישינג. מתקפות אלו לא כוללות רק ניסיונות פריצה לפעולות פנימיות אלא גם פיתוי עובדים דרך הצעות עבודה מזויפות או הנחות לאמצעי שירות ומוצר.

דוגמאות למתקפות פישינג

בין הדוגמאות שהיו ידועות, נרשמה מתקפת פישינג שהחלה בהודעת דואר אלקטרוני שנשלחה כביכול ממחלקת משאבי אנוש, בה הומלץ לעובדים למלא סקר גיוס. הקישור בסקר הוביל לדף מזויף שזייף את העיצוב של האתר הרשמי של החברה, ובו נתבקשו העובדים להזין את פרטי ההזדהות שלהם. דוגמאות נוספות כוללות הצעות עבודה שקריות הנשלחות לאנשים מחפשי עבודה, המציעות תנאים אטרקטיביים מדיי.

סטטיסטיקות מדאיגות בתחום הפישינג

דו"ח מאת חברת אבטחת מידע מובילה מציין כי כ-90% מההתקפות בשנה האחרונה הכילו מידע שנועד לדלוף למידע אישי או ארגוני. בנוסף, 65% מהחברות ציינו כי פרטיהם הפנימיים נגנבו או נוצלו על ידי קמפיינים המתמקדים בפישינג. זהו נתון שמצביע על הצורך הדחוף להקפיד על תקני אבטחה קפדניים כדי להבטיח את שמירת הפרטיות של המידע.

צעדים להבטחת אבטחת מידע

1. **הדרכה לצוות:** העברת סדנאות והדרכות לעובדים בנוגע לסיכוני פישינג וכיצד לזהות הודעות חשודות. יש לעודד עובדים לשאול שאלות אם הם מתלבטים בנוגע לתקינות ההודעות שהם מקבלים. 2. **אימות דו-שלבי:** חברות צריכות לאמץ שיטות זיהוי מאובטחות, כמו אימות דו-שלבי, שמפחיתות את הסיכון לגניבת מידע מתוך חשבונות לא פיזיים. זה יכול לכלול שליחת קודים חד פעמיים למכשירים ניידים שנדרשים לאימות הכניסה. 3. **עדכוני תוכנה:** יש לוודא שכל התוכנות, כולל תוכנות אבטחה, מעודכנות לגרסאות האחרונות כדי למנוע חדירה של תוכנות זדוניות. חשוב לאנשי IT לבצע עדכונים באופן קבוע וליצור תהליכי עבודה שמוודאים שהמערכת נשארת עדכנית. 4. **דיווח על חשדות:** לעודד את העובדים לדווח על הודעות ודפי אינטרנט חשודים באופן מיידי. דיווחים מהירים יכולים לסייע במניעת נזק ולהקטין את הסיכון לחדירות נוספות. 5. **התמודדות עם התקפות:** לחברות יש לחשוב על פעולות תגובה מיידיות במקרה של מתקפת פישינג. זה כולל קווי תקשורת פתוחים עם אנשי אבטחה ואימון עובדים כיצד לפעול במקרי חירום.

סיכום והמלצות עתידיות

מתקפות פישינג מתוחכמות והפצת תוכנת More_eggs מהוות איום משמעותי על תחום משאבי האנוש, והן ממחישות את חשיבות האבטחה בארגונים. באמצעות חינוך והדרכה עובדים בנושא אבטחת מידע, מחדלת המידע, מניעת חדירות ותגובה מהירה בעת הצורך, ניתן למגר את הסיכונים ולהגן על המידע הארגוני. השקעה באבטחת מידע היא לא רק הצעד הנכון, אלא הכרחי להבטחתה של סביבת עבודה בטוחה. לאור כל זאת, חברות צריכות להשקיע משאבים משמעותיים בתחומים הללו, כדי להדוף מתקפות עתידיות ולהשיב את הביטחון לעובדים וללקוחות. נוסף על כך, מומלץ לחברות להדריך את העובדים בנוגע למקומות שמהם ניתן לקבל מידע נוסף על אבטחת מידע וכן על כלים ופתרונות שיכולים לסייע ולהגן על המידע הארגוני. למידע נוסף תוכלו לבקר בדף הבא: אבטחת מידע.