תוכנות זדוניות: המדריך לבעל עסק שרוצה להבין מה באמת מאיים עליו
פתיחה: השיחה שאף בעל עסק לא רוצה לקיים
רונן התקשר אליי ביום שלישי בצהריים. הקול שלו היה שונה מהרגיל. שקט, מבוהל קצת. "יש לי בעיה," הוא אמר. "כל הקבצים במחשב הפכו למשהו מוזר. יש הודעה על המסך שדורשת ממני לשלם כסף."
רונן מנהל משרד עורכי דין קטן. שלושה עורכי דין, שתי מזכירות, מאות תיקים של לקוחות. הכל היה על המחשבים. והכל הפך לבלתי נגיש ברגע אחד.
"איך זה קרה?" הוא שאל. התשובה הייתה פשוטה ומכאיבה. מזכירה פתחה קובץ שנראה כמו חשבונית מספק. היא לא חשדה. למה שתחשוד? היא מקבלת עשרות מיילים כאלה ביום.
חודש אחרי, אחרי שרונן שילם לחברת שחזור, אחרי שהפסיד שבועות של עבודה, אחרי שהיה צריך להתקשר ללקוחות ולהסביר למה יש עיכובים, הוא אמר לי משהו שנשאר איתי: "אף אחד לא הסביר לי שזה יכול לקרות. ידעתי שיש וירוסים, אבל לא הבנתי שזה ככה."
המאמר הזה נכתב בשביל כל בעלי העסקים כמו רונן. אלה שיודעים שיש איומים אבל לא באמת מבינים מה הם, איך הם עובדים, ומה אפשר לעשות כדי להגן על העסק.
למה בכלל מישהו רוצה לתקוף את העסק שלי?
זו שאלה שאני שומע הרבה. "אני עסק קטן, למה שמישהו יתעניין בי?"
התשובה פשוטה ומפתיעה: בדיוק בגלל שאתם קטנים.
התוקפים של היום לא מחפשים דווקא את הבנקים הגדולים או את חברות הטכנולוגיה. הם יודעים שלארגונים גדולים יש צוותי אבטחה, מערכות מתוחכמות, תקציבים ענקיים. קשה לפרוץ אליהם.
עסקים קטנים ובינוניים? הם מטרה קלה. אין צוות IT ייעודי. אין מערכות אבטחה מתקדמות. עובדים לא מאומנים לזהות איומים. והכי חשוב, יש להם מידע ששווה כסף. פרטי לקוחות, מספרי כרטיסי אשראי, מידע עסקי רגיש.
התוקפים לא צריכים לבחור ביניכם לבין חברה גדולה. הם תוקפים את כולם בו זמנית. שולחים מיליוני מיילים זדוניים, ומחכים לראות מי נופל בפח. הרבה יותר קל להרוויח אלף שקל מאלף עסקים קטנים מאשר מיליון שקל מחברה אחת גדולה.
סוגי התוכנות הזדוניות שצריך להכיר
וירוסים: הקלאסיקה שעדיין קיימת
כשאנשים אומרים "וירוס מחשב," הם בדרך כלל מתכוונים לכל סוג של תוכנה זדונית. אבל וירוסים במובן המקורי הם דבר ספציפי.
וירוס מחשב הוא קוד שמצמיד את עצמו לקבצים לגיטימיים. כמו וירוס ביולוגי שחי בתוך תאים, וירוס מחשב חי בתוך תוכנות. כשאתם מריצים את התוכנה הנגועה, הוירוס מתעורר ומתחיל לפעול.
מה שמיוחד בוירוסים זה שהם מתפשטים. מקובץ לקובץ, ממחשב למחשב. עובד שולח קובץ נגוע לעובד אחר, והנה כבר שני מחשבים נגועים.
הבשורה הטובה היא שוירוסים "קלאסיים" הם היום רק כעשרה אחוז מהתוכנות הזדוניות. הבשורה הפחות טובה היא שהם קשים במיוחד להסרה, כי הם משתלבים בתוך קבצים לגיטימיים.
תולעים: אלה שמתפשטות לבד
תולעים דומות לוירוסים, אבל עם הבדל קריטי אחד: הן לא צריכות שתעשו משהו כדי להתפשט. הן עובדות לבד.
תולעת יכולה להיכנס דרך מייל שנפתח, ואז לשלוח את עצמה לכל אנשי הקשר בספר הכתובות. אדם אחד פותח מייל נגוע, ותוך שעות כל הארגון נגוע.
תולעות היו פופולריות במיוחד בשנות ה-2000, עם מפורסמות כמו ILOVEYOU שהדביקה עשרות מיליוני מחשבים. הן עדיין קיימות היום, אם כי פחות נפוצות.
סוס טרויאני: המתחזה המסוכן
כמו הסוס המפורסם מהמיתולוגיה היוונית, סוס טרויאני הוא תוכנה שנראית לגיטימית מבחוץ אבל מכילה משהו זדוני בפנים.
זו אחת הצורות הנפוצות ביותר של תוכנות זדוניות היום. היא יכולה להגיע כתוכנה חינמית שהורדתם מהאינטרנט, כמייל עם קובץ מצורף שנראה כמו חשבונית, או כאתר שמתחזה לאתר לגיטימי.
הדבר המפחיד בסוסים טרויאניים הוא שהם עובדים ברקע. המשתמש ממשיך לעבוד כרגיל, לא יודע שמשהו קורה. בינתיים הסוס הטרויאני יכול לגנוב סיסמאות, להקליט הקלדות, לפתוח דלת אחורית לתוקפים.
סוג מיוחד ומעצבן הוא "אנטי וירוס מזויף." פתאום קופצת הודעה שאומרת שהמחשב שלכם נגוע ושצריך להתקין תוכנה מסוימת כדי לנקות אותו. ההודעה עצמה היא ההתקפה. התוכנה שהיא מציעה היא הסוס הטרויאני.
תוכנות כופר: הסחטנים הדיגיטליים
זו התוכנה הזדונית שהרסה את היום לרונן מתחילת המאמר, וזו כנראה הצורה המפחידה ביותר של תוכנות זדוניות לעסקים.
תוכנת כופר מצפינה את הקבצים שלכם. לא מוחקת, מצפינה. הקבצים עדיין שם, אבל בלי מפתח ההצפנה הם חסרי ערך. ואז מגיעה ההודעה: שלמו כסף ותקבלו את המפתח.
הסכומים משתנים. לפעמים כמה אלפי שקלים, לפעמים מאות אלפים. התוקפים בדרך כלל דורשים תשלום במטבעות קריפטוגרפיים שקשה לעקוב אחריהם.
והנה הדילמה הנוראית: לשלם או לא לשלם? אם תשלמו, אולי תקבלו את המפתח ואולי לא. אתם גם מממנים פושעים ומעודדים אותם להמשיך. אם לא תשלמו, אתם מאבדים את הנתונים.
אבטחת מידע נגד תוכנות כופר מתחילה הרבה לפני ההתקפה. גיבויים תקינים, מערכות הגנה, הדרכת עובדים.
תוכנות ריגול: העיניים שעוקבות אחריכם
תוכנות ריגול עושות בדיוק מה שהשם מרמז: מרגלות. הן יושבות על המחשב בשקט ואוספות מידע.
מה הן אוספות? הכל. מה אתם מקלידים, כולל סיסמאות. אילו אתרים אתם מבקרים. מה יש בקבצים שלכם. לפעמים הן אפילו מפעילות את המצלמה או המיקרופון.
המידע הזה נשלח לתוקף, שיכול להשתמש בו לגניבת זהות, לגישה לחשבונות בנק, או למכירה לפושעים אחרים.
תוכנות ריגול מגיעות לרוב כחלק מתוכנות אחרות. מורידים משחק חינמי או תוכנת עזר, ובלי לדעת מתקינים גם תוכנת ריגול.
Rootkit: השתלטות מוחלטת
זו הרמה הכי מפחידה. Rootkit נותנת לתוקף שליטה מוחלטת במחשב שלכם, ועושה את זה בצורה שכמעט בלתי אפשרי לגלות.
השם מגיע מעולם הלינוקס, שם "root" זה המשתמש עם כל ההרשאות. Rootkit נותנת לתוקף הרשאות של root.
מה תוקף עם גישת root יכול לעשות? הכל. להתקין תוכנות, למחוק קבצים, לצפות במה שאתם עושים, להשתמש במחשב שלכם לתקיפת אחרים. והכי גרוע, הוא יכול להסתיר את עצמו מתוכנות האבטחה שלכם.
Rootkits קשות לגילוי וקשות להסרה. לפעמים הדרך היחידה להיפטר מהן היא למחוק הכל ולהתחיל מאפס.
באגים: הדלת שנשארה פתוחה
באגים הם לא בדיוק תוכנות זדוניות, אבל הם מה שמאפשר לתוכנות זדוניות להיכנס.
באג הוא טעות בתוכנה. טעות שגורמת לתוכנה להתנהג בצורה לא צפויה. לפעמים באג גורם לתוכנה לקרוס. לפעמים הוא יוצר חור באבטחה שתוקפים יכולים לנצל.
תוקפים מחפשים באגים כל הזמן. כשהם מוצאים באג שאפשר לנצל, הם משתמשים בו כדי להכניס תוכנות זדוניות למחשבים.
לכן עדכוני תוכנה כל כך חשובים. רוב העדכונים כוללים תיקוני אבטחה שסוגרים באגים שהתגלו. מי שלא מעדכן, משאיר דלתות פתוחות.
איך התוכנות האלה מגיעות אליכם?
מיילים: הדרך הקלאסית שעדיין עובדת
רוב ההתקפות מתחילות במייל. זה עובד כי זה פשוט. כל אחד מקבל מיילים, כל אחד פותח מיילים, וקשה להבחין בין מייל לגיטימי למייל זדוני.
המיילים הזדוניים של היום לא נראים כמו הודעות הספאם של פעם. הם נראים לגיטימיים לחלוטין. מייל מהבנק שמבקש לאמת פרטים. חשבונית מספק. הודעה מחברת השליחויות. מסמך מעורך דין.
בתוך המייל יש קישור או קובץ מצורף. לחיצה על הקישור מובילה לאתר זדוני. פתיחת הקובץ מתקינה תוכנה זדונית. ברגע הזה, התוקפים בפנים.
אתרים: הסכנה שמחכה ברשת
לא כל האתרים באינטרנט בטוחים. יש אתרים שנבנו במיוחד כדי להדביק מבקרים. יש אתרים לגיטימיים שנפרצו והפכו לזדוניים.
לפעמים מספיק להיכנס לאתר כדי להידבק. לפעמים צריך ללחוץ על משהו או להוריד קובץ. בכל מקרה, גלישה לאתר לא בטוח יכולה להסתיים בהדבקה.
תוכנות מורדות: החינמי שעולה יקר
תוכנות חינמיות מהאינטרנט הן מקור נפוץ להדבקה. לפעמים התוכנה עצמה זדונית. לפעמים התוכנה לגיטימית אבל מגיעה יחד עם "בונוסים" לא רצויים.
כלל אצבע: אם משהו נשמע טוב מדי מכדי להיות אמיתי, הוא כנראה לא אמיתי. תוכנה יקרה בחינם? כנראה שמישהו הוסיף לה משהו.
התקני USB: הסכנה הפיזית
לא הכל מגיע דרך האינטרנט. התקני USB יכולים להכיל תוכנות זדוניות. מישהו מוצא פלאש דיסק בחניון, מכניס למחשב לראות מה יש שם, ובום. נגוע.
יש אפילו התקפות מתוחכמות שבהן תוקפים משאירים בכוונה דיסקים נגועים במקומות שיש סיכוי שמישהו ימצא אותם.
המהירות המפחידה של התקפות סייבר
הנה מספר שצריך לזכור: 82 שניות.
זה הזמן הממוצע שלוקח להאקר לגרום למישהו ליפול בפח הפישינג. פחות מדקה וחצי בין שליחת המייל הזדוני לבין הרגע שמישהו לוחץ על הקישור.
ומה קורה אחרי? תוך 24 שעות התוקפים כבר עוברים למטרה הבאה. הם לומדים מההתקפה הראשונה ומשפרים את הגישה שלהם.
זה מרוץ חימוש מתמיד. התוקפים משתפרים, ההגנות משתפרות, התוקפים מוצאים דרכים חדשות. אי אפשר להירגע, אי אפשר להגיד "עכשיו אני מוגן לנצח."
איך מגנים על העסק? הגישה המעשית
קו הגנה ראשון: תוכנת אנטי-וירוס טובה
זה נשמע בסיסי, אבל עדיין יש עסקים שעובדים בלי אנטי-וירוס או עם אנטי-וירוס מיושן. תוכנת אנטי-וירוס טובה היא ההגנה הבסיסית ביותר.
אבל לא כל אנטי-וירוס נולד שווה. צריך תוכנה שמתעדכנת כל הזמן, שיכולה לזהות איומים חדשים, ושיודעת לא רק למצוא בעיות אלא גם לפתור אותן.
שירותי מחשוב מנוהלים כוללים בדרך כלל אנטי-וירוס מנוהל, כזה שמתעדכן ומנוטר כל הזמן על ידי מומחים.
קו הגנה שני: חומת אש
חומת אש היא כמו שומר בכניסה לבניין. היא בודקת מי נכנס ומי יוצא ומונעת תנועה חשודה.
חומת אש טובה חוסמת חיבורים מכתובות IP זדוניות מוכרות, מונעת תוכנות לא מורשות מלתקשר עם האינטרנט, ומזהירה על פעילות חריגה.
קו הגנה שלישי: עדכונים
זוכרים את הבאגים שדיברנו עליהם? עדכוני תוכנה סוגרים את הבאגים האלה. מערכת הפעלה לא מעודכנת היא מערכת הפעלה פגיעה.
זה נכון לא רק למחשבים אלא לכל דבר: טלפונים, טאבלטים, נתבים, מדפסות. כל דבר שמתחבר לרשת צריך להיות מעודכן.
קו הגנה רביעי: גיבויים
גם עם כל ההגנות, משהו יכול להשתבש. במקרה כזה, גיבוי הוא מה שמציל.
גיבוי טוב עונה על כלל 3-2-1: שלושה עותקים של המידע, על שני סוגי מדיה שונים, כשעותק אחד לפחות נמצא מחוץ לאתר.
ולא פחות חשוב: לבדוק שהגיבוי עובד. גיבוי שלא בדקתם הוא גיבוי שאולי לא קיים.
קו הגנה חמישי: האנשים
כל ההגנות הטכנולוגיות לא שוות כלום אם העובדים לא יודעים לזהות איומים. הדבקה אחת דורשת לחיצה אחת של אדם אחד.
הדרכת עובדים היא לא הוצאה מיותרת, היא השקעה באבטחה. עובד שיודע לזהות מייל פישינג, שיודע לא לפתוח קבצים חשודים, שיודע לדווח על משהו מוזר, הוא קו הגנה חזק יותר מכל תוכנה.
מה עושים כשקורה משהו?
לא להיבהל, אבל לפעול מהר
אם גיליתם שמשהו לא בסדר, המחשב מתנהג מוזר, יש הודעות מוזרות, קבצים נעלמו או השתנו, הזמן הוא קריטי.
הצעד הראשון הוא לנתק את המחשב הנגוע מהרשת. לא לכבות אותו, רק לנתק את כבל הרשת או לכבות את ה-WiFi. זה מונע מההדבקה להתפשט למחשבים אחרים.
הצעד השני הוא להתקשר למומחים. לא לנסות לתקן לבד אם אתם לא יודעים מה אתם עושים. טיפול לא נכון יכול להחמיר את המצב.
לתעד הכל
צלמו את המסך, רשמו מה קרה ומתי, שמרו את המיילים החשודים. התיעוד הזה חשוב לחקירה, לתביעת ביטוח, ולמניעה של אירועים דומים בעתיד.
ללמוד ולהשתפר
אחרי שהאירוע מטופל, צריך לשבת ולהבין מה קרה ואיך למנוע את זה בפעם הבאה. אולי צריך הגנות טובות יותר. אולי צריך הדרכה לעובדים. אולי צריך לשנות נהלים.
סיכום: אבטחה היא לא מוצר, היא תהליך
תוכנות זדוניות לא הולכות להיעלם. הן רק הולכות להשתכלל. מה שעבד היום לא בטוח יעבוד מחר.
פתרונות מחשוב לאבטחה צריכים להיות מעודכנים כל הזמן. צריך מישהו שעוקב, שמתעדכן, שיודע מה האיומים החדשים ואיך להתמודד איתם.
אפשר להתעלם מהאיומים ולקוות לטוב. אפשר גם לקוות שלא תהיה שריפה ולא לקנות ביטוח. השאלה היא האם אתם מוכנים לקחת את הסיכון.
העסק שלכם, הנתונים של הלקוחות שלכם, שנים של עבודה. האם הם שווים את ההשקעה בהגנה?
התשובה כנראה ברורה.
