שאלות ותשובות בנושא וירוס כופר

הדואר האלקטרוני הוא אחד האמצעים העיקריים באמצעותם חודר וירוס הכופר למחשבים. כיצד ניתן לזהות הודעת דואר אלקטרוני חשודה?
הודעת דואר אלקטרוני נושאת וירוס, תכיל חשבונית או קבלה על רכישה שנראית לגיטימית למראה. הדרך היחידה להבחין שלא מדובר באימייל לגיטימי היא על ידי בחינה דקדקנית של כתובת האימייל ממנה נשלחה ההודעה. הכתובת לא תהיה זהה לכתובת המקורית שהיא מחקה, בין אם מדובר בכתובת של אדם פרטי, חברה או תאגיד, אלא תדמה לה מאוד. רק שינוי קטן יבדיל בין כתובת מקורית למזויפת. במקרה של כתובת דואר אלקטרונית זהה, ניתן לבחון את אמינות התוכן של ההודעה. חשוב לוודא את אמינות כתובת השולח, התוכן ומהות הבקשה לפעולה, לצד גיבוי טכנולוגי של בקרות אבטחת המידע.

מה מידת האחריות של הגורם האנושי - העובדים, בהכנסת וירוס כופר לארגון?
80% מתקיפות הסייבר שיוצאות לפועל, נגרמות ע"י טעות אנוש מצד משתמשי מערכת, כלומר פעולה אקטיבית, כמו: לחיצה על לינק, הורדת קובץ או כניסה לאתר אינטרנט המכיל וירוס. עם זאת, וירוס הכופר יודע להיכנס גם דרך פרצות פתוחות במערכות המחשוב, ללא התערבות ישירה של משתמשי מערכת. אף על פי שאין היום כמות גדולה של פרצות כאלו, חשוב לקחת זאת בחשבון. באופן כללי, היות ורמת התחכום בהם הוירוסים תוקפים היא כל כך גבוהה כיום, יש להיזהר מלפנות בהאשמות כלפי העובדים.

האם ניתן ללמוד להימנע מהידבקות בוירוסים?
בהחלט ניתן ורצוי. ישנן שיטות מגוונות להטמיע הרגלי שמירה על אבטחת המידע בעסק, בין היתר ע"י הדרכות מודעות שמומלץ מאוד לעבור. אנחנו יודעים שמרבית העובדים בעסקים אינם מודעים לאופי של עולם הרשת כיום, אינם מקפידים על נהלי אבטחת המידע ולא מודעים לתפקיד הקריטי שיש להם בהגנה על העסק. לכן, ישנה חשיבות גבוהה להעברת המסר של הקפדה וזהירות לתודעה שלהם. כמובן שיש להגן על המערכות באמצעות פתרונות אבטחת מידע במספר שכבות והקשחות. באמצעות מניעה, זיהוי, מיגור, ניטור ובקרה, ניתן יהיה להשיג את התוקפים. ניתן לעשות זאת, אך כדאי לזכור שלא לעולם חוסן.

האם אפשר לפתוח את ההצפנה של וירוס הכופר ברגע שארגון כבר נדבק בוירוס?
ברוב המקרים לא. ישנם סוגי כופר שאיתם אפשר לפתוח את ההצפנה שלהם, אך הם מועטים מאוד.
ההצפנה של וירוס הכופר מורכבת מאד, וברוב המוחלט של המקרים, חלון הזמן שבו צריך לשלם את דמי הכופר הוא קצר, מה גם שהצורך של בעלי העסקים לחזור ולתפקד במהירות האפשרית - אינו מאפשר את פתיחת ההצפנה באותו חלון זמן.

לא כדאי פשוט לשלם את דמי הכופר?
קודם כל נסביר שהדרישה של תוקפי הסייבר מגיעה בפורמט של הודעה שמשאירים על המחשב של הקורבן.  ההודעה מפרטת את הסכום שעליו לשלם, את פרטי החשבון שעליו להעביר אליו את הכספים וחלון הזמן שיש לו לעשות זאת. כביכול, פושעי הסייבר מבטיחים שברגע שהסכום הנקוב יועבר, ההצפנה על המידע תשתחרר והעסק או האדם יוכל לשוב לשגרה. הבעיה היא שבמציאות זהו לא משהו שכדאי לסמוך עליו, וזאת מכמה טעמים: ראשית, כל הסכומים המבוקשים עשויים להיות גבוהים מאוד ולהגיע לעתים גם לעשרות אלפי דולרים. הבעיה היא שבסופו של דבר מדובר בפושעים, ולכן אמינותם בספק. ניתן כיום להתבלבל ולחשוב שמדובר בחברה לגיטימית - עם מוקד שירות לקוחות, עיצוב גרפי למודעות הכופר וכולי, כשבשורה התחתונה מדובר כאמור בפושעים, שאם אינם מעוניינים לשחרר את הקבצים - לא ניתן להכריח אותם לעשות זאת. ואכן, מחקרים מראים שאחד מכל חמישה "לקוחות" שמשלמים את דמי הכופר - אינו מקבל את הקוד לפתיחת ההצפנה על המידע שלו.

יש כיום בשוק לא מעט תוכנות חינמיות שמבטיחות להגן מפני וירוס כופר. האם ניתן לסמוך עליהן?
אנחנו בודקים כמעט כל תוכנה חדשה שיוצאת לשוק ומדמים תקיפה שלה באמצעות כל הוירוסים המוכרים בשוק, החל מווירוסים פשוטים וממוצעים וכלה במשוכללים ובמתקדמים ביותר. מניסיוננו, תוכנות ההגנה החינמיות לא מחזיקות מעמד, גם בפני הוירוסים הפשוטים יותר. בנוסף, כדאי לזכור שהוירוסים משתנים ומשתכללים באופן מתמיד, ולכן אין טעם להתפשר ולהסתמך על תוכנה שיכולה לעמוד רק בהתקפה ממוצעת של ימינו, כי גם במידה והיא יכולה להגן מפני וירוס ספציפי, מחר היא כבר לא תספק הגנה ראויה מפני וריאציה מתקדמת יותר של אותו הוירוס.

לא רק שהתוכנות עצמן אינן יעילות במרבית המקרים, הן גם עשויות בעצמן לגרום נזק. לפעמים תוכנת ההגנה עצמה יכולה לעצור פתאום מערכת חשובה של הארגון, ואי אפשר יהיה לפנות לבירורים מול החברות שמייצרות את התוכנה, היות וזו תוכנה חינמית ללא תמיכה. בנוסף, התוכנות החינמיות גם לא מציעות ממשק ניהול מרכזי נוח. אם יש לעסק יותר מעשרה מחשבים, הוא כבר זקוק לממשק ניהול איכותי.

כך שבשורה התחתונה, זה לא יעיל להסתמך על תוכנת הגנה חינמית. זה מבזבז זמן ועלול לגרום נזק ישיר או עקיף לארגון. לכן, ההעדפה היא לבחור בתוכנות שמשקיעים בהן - הן מבחינת המוצר והן מבחינת השירות והאחריות. כל דבר חינמי עשוי לעלות לעתים מאוד ביוקר, על אחת כמה וכמה כאשר מדובר בלב הארגון - מערכות המידע שלו.

במידה ומדובר בעסק קטן או במשתמש ביתי, האם במקרה זה יש טעם להיעזר בתוכנות חינמיות?
כשמדובר בשימוש ביתי זה עדיף מכלום. אבל אם מדובר על עסק, מומלץ בחום שלא לבחור בתוכנה חינמית, שיכולה לעשות יותר נזק מתועלת. ברוב הגדול של המקרים, עדיפה תוכנה בתשלום.

מה מומלץ לחברות קטנות מאד לעשות מבחינת הגנה והכנה למתקפות סייבר? האם לא מספיק רק לגבות את כל הנתונים והמידע של הארגון על הארדיסק בסוף כל יום?
באופן כללי, על מנת להיות מוכנים לכל תרחיש ולא רק בעולם הסייבר, גיבוי הוא הדבר הראשון שצריך לדאוג לו. במקרים קיצוניים של אסונות מסוגים שונים, עסק שנתוניו לא יהיו מגובים במקום בטוח, עשוי לאבד אותם כליל.
בעניין וירוס הכופר - אין ספק שגיבויים איכותיים הם הדבר הראשון שיש לדאוג לו. יחד עם זאת, זו טעות להסתמך רק על גיבויים ולא לספק הגנות נוספות למערך המידע של העסק. ראשית, בשל העובדה שהיה והעסק נפגע מוירוס כופר, זמן השחזור יכול להיות ארוך מאוד. למשל, עסק של 30 מחשבים שכולם הוצפנו, צריך לשחזר כמות נתונים מאוד גדולה לשרתים, והדבר יכול לקחת ימים של עבודה, במקרה הטוב. נוסיף לזה את הצורך לפרמט כל אחד מהמחשבים ולהתקין עליו הכל מחדש; זה יכול לקחת ימים ושבועות. כמו כן, ישנם מקרים, בהם סוג הנזק שהוירוסים גורמים איננו הצפנת המידע של העסק, אלא שימוש בסודות העסק למטרות סחיטה. לכן, אף על פי שגיבוי תקין הוא הכרחי לכל עסק, הוא לא הדבר היחיד שצריך לעשות. כפי שעסק הממוקם בשכונה בעייתית, יודע שעליו להתקין סורגים, אזעקות ומערכות הגנה נוספות, כך אנו צריכים להבין שעולם הסייבר של היום הוא שכונה בעייתית במיוחד, ויש להיערך אליו בהתאם.

המידע הובא ע״י אלון צוקר, מנכ״ל SOPHTIX 

חזור