article banner
מן העיתונות

דייג (פישינג) אינו מרגיע כמו שזה נשמע כיצד להימנע מלהיות הפיתיון האולטימטיבי

שי מדינה שי מדינה

דייג (פישינג) אינו מרגיע כמו שזה נשמע  כיצד להימנע מלהיות הפיתיון האולטימטיבי

המושג "פישינג" שב ונשמע בתקופה האחרונה בעולם ובפרט במדינת ישראל, אך נראה כי אנשים רבים עדיין אינם מבינים את משמעות המושג, מה הנזקים שנגרמים ממנו ואיך ניתן להימנע מליפול קורבן אליו.

פישינג זוהי שיטה בה מפתים את הקורבן לספק פרטים אישיים וחסויים, ללא ידיעתו ומבלי שהוא יחשוד בכך. תופעת הפישינג נפוצה יותר מכפי שאנו משערים. חברות אינן נוטות לספר על כך, עקב חששן לתדמית שלילית כלפי המשקיעים/קהל הלקוחות/תביעות וכו'.

מהן השיטות הנפוצות לפישינג?

  • התחזות לחברות/אתרים מוכרים באמצעות שליחת דואר אלקטרוני הנושא דומיין עם סממנים מזהים של אותה חברה/ אתר מוכר.
  • התחזות לספק חיצוני, מתוך מטרה לקבל תשלום על חשבוניות לא קיימות ואף להירשם כספק במאגרי המידע של החברה.
  • התחזות לבעל תפקיד בתוך הארגון בו עובד הקורבן, לצורך העברת כספים או ביצוע פעולות זדוניות אחרות.

לאחרונה אנו נתקלים בפניות של חברות שחוו התקפת פישינג, באופן בו התוקף מתחזה לספק קבוע עמו עובדת החברה ומבקש מגורם במחלקת הכספים באמצעות שליחת דוא"ל, לעדכן את פרטי חשבון הבנק של הספק לחשבון חדש (של התוקף).

בדרך כלל מייל זה יגיע מכתובת הנושאת דומיין עם סממנים מזהים של הספק האמיתי עמו עובדת החברה.

כלים למניעת התקפות פישינג כאמור שרצוי לשלב במערך הבקרה:

  • הטמעת מנגנון עורך מאשר בכל עדכון שדה פרטי חשבון בנק של ספק במערכת הפיננסית, כך לא ניתן יהיה להשלים עדכון חשבון בנק על ידי גורם יחיד.
  • ביצוע שיחת CALL BACK לספק עמו עובדת החברה לוודא כי פרטי חשבון הבנק החדש הועברו על ידו.
  • בקשה לקבלת מסמך המעיד על קיום חשבון הבנק מהספק כתנאי לביצוע העברה בנקאית (אישור ניהול חשבון/ המחאה).
  • הטמעת מנגנון DMARC להבטחת מהימנות מיילים שמתקבלים בארגון

לפירוט בנושא מניעת הונאות פישינג ניתן לפנות לרו"ח שי מדינה ורו"ח חנן טויזר.

היבטי SOX

חברות רבות חוו אירועי פישינג ונדרש לאפיין כיצד אירועים אלו משפיעים על היבטי ה- SOX והגילוי. להלן מספר תובנות ביחס להתמודדות אם אירועי פישינג ביחס לפרויקט ה-  SOX:

עיצוב בקרות ה SOX – יש לוודא קיום בקרות מפתח בנושאים הבאים:

  1. בשלב התשלומים
    • לפני כל ריצת תשלום יש להפיק דוח לוג שינויים בגין פרטי ספקים, אשר יאושרו על ידי גורם בכיר בחברה.
    • בעת העברת תשלום בסכום גבוה לספק לו עודכן פרטי חשבון הבנק (בהתאם לרף שיקבע על ידי החברה), ניתן לקבוע מספר סוגי בקרות בהתאם לאופי החברה, כגון: ביצוע התשלום בהדרגה ובדיקת קבלת התשלום לאחר הפעימה הראשונה, שליחת הודעות אוטומטיות לנייד של מקבל התשלום וכדו'.
  2. היבטי ממשל תאגידי (Entity Level Controls)

יש למסד את הנהלים הבאים לצורך העלאת המודעות בקרב עובדי הארגון:

  • הדרכות ייעודיות בנושא פישינג אשר תתבצענה ע"י עובדי מחלקת אבטחת המידע בארגון.
  • תרגולים תקופתיים- אחת לתקופה יתבצע ניסיון דמה למתקפת פישינג.

באם התרחש אירוע פישינג, יש להעריך את עוצמת הליקוי. להלן מספר פרמטרים רלוונטיים לביצוע הערכה:

  1. האם אירוע הפישינג עבר את סף המהותיות שנקבע בחברה.
  2. האם האירוע השפיע על נאותות הדיווח הכספי.
  3. האם הליקוי תוקן עד למועד הדיווח הכספי.
  4. האם כתוצאה משקולים איכותיים נדרש לעדכן את דירקטוריון החברה.
  5. הערכת השפעת האירוע ביחס ליכולת החברה לעמוד בהתחייבויותיה הכספיות והמשך פעילותה העסקית.

נציין כי נדרש להעריך את עוצמת הליקוי בהתאם למתודולוגיה סדורה שעל החברה למסד ביחס לתהליך הערכת ליקויים.

לפירוט בנושא היבטי SOX  ניתן לפנות לרו"ח ישראל גבירץ, שותף, ורו"ח מיכל נמתיוף.