וקטורי התקיפה של נסיונות פישינג הולכים ומתרבים – ונהיים יצירתיים יותר. גנבי המידע לא מסתפקים יותר בהודעות גנריות מ"הדואר" או באיומי סחיטה מפוברקים בשיטת "מצליח", דוגמת: "צילמנו אותך צופה בפורנו".
לאחרונה צצו דיווחים על שימוש ב-DocuSign, שירות חתימה דיגיטלית פופולארי ונפוץ מאוד שמאפשר חתימה מרחוק על מסמכים, הסכמים וכדומה – כווקטור למתקפות פישינג. על פי הדיווחים, ההתקפה מתחילה באימייל שנראה כאילו נשלח מאיש קשר מוכר, ומפנה למסמך DocuSign לחתימה.
האימייל מבקש מהנמען לחתום על מסמך אלקטרוני, ואם תנסו לאמת את הדומיין באמצעות SPF, DKIM ו־DMARC – הוא יעבור את המבחן. הקישור ל"צפייה במסמך" מוביל לכתובת תצוגה מקדימה של Webflow (שירות בניית אתרים ויזואליים, בדומה לוויקס). מפתחי אתרים עשויים להשתמש בקישורים כאלה כדי להציג אתרי אינטרנט בשלבי פיתוח, לפני שמשיקים אותם. בשלב הזה, זה נראה מעט חשוד אך לא בהכרח זדוני.
העובדה שהקישור אינו של דומיין של DocuSign היא כבר מחשידה בפני עצמה. עם זאת, ההודעות הצליחו בחלק מהמקרים לעקוף כלי הגנת סייבר שמסננים הודעות פישינג. דף התצוגה המקדימה של Webflow הציג ממשק מזויף בסגנון DocuSign, עם כפתור אחד בלבד: "View Document".
הכפתור מוביל לדומיין חשוד שהשם שלו הוא מחרוזת תווים אקראית. זוהי טכניקה ידועה של פורצים וגנבי מידע, והיא משמשת למעקף הפילטרים שמבוססים על מוניטין של דומיינים. אם מקליקים על הכפתור, מגיעים למנגנון Captcha (הוכח שאתה אנושי) מזויף, שנועד ליצור מצג שווא של אמינות בעיני המשתמש.
על פי הדיווח, בשלב הזה המשתמש הועבר לגוגל (לא לגירסה מזויפת, אלא לאתר האמיתי). ככל הנראה, הקישור הזדוני הציג לזמן קצר דף מוסווה, שאסף פרטים טכניים על המשתמש: כתובת IP, גרסת הדפדפן, שפת הממשק, רזולוציית המסך ועוד. לאחר מכן, הוא הועבר לגוגל מכיוון שככל הנראה זוהה כלא רלוונטי למתקפה.
החוקרים משערים כי מדובר במתקפה מסוג חדש, שנועדה לבצע סריקה ראשונית של נתונים, ולהתאים את המתקפה הבאה לפי המשתמש.
אם הגיע אליכם פישינג כזה והקלקתם על הלינקים, מומלץ לנקות קאש וקוקיז בדפדפן, לנתק לוגינים פעילים חשודים בחשבונות שונים, להפעיל אימות רב שלבי ולהריץ סריקת נוזקות מעמיקה על המחשב.
על SPF, DKIM ו-DMARC – מנגנוני אימות דואר אלקטרוני
SPF – Sender Policy Framework: זו דרך לבדוק האם שרת הדוא"ל ששלח את ההודעה באמת מורשה לשלוח אימיילים בשם הדומיין הזה (למשל: example.com). אם מישהו שולח אימייל עם כתובת מזויפת של example.com אבל עושה את זה משרת לא מורשה – SPF יזהה זאת ויוכל לסמן את ההודעה כחשודה.
DKIM – DomainKeys Identified Mail: חתימה דיגיטלית שנוספת לאימייל. בעזרתה, מקבל ההודעה יכול לוודא שהאימייל באמת נשלח מהדומיין שכתוב בכתובת, ושאף אחד לא שינה את התוכן בדרך.
DMARC – Domain-based Message Authentication, Reporting and Conformance: מנגנון שבעל הדומיין מגדיר, והוא קובע מה לעשות אם SPF או DKIM נכשלו. למשל: לסמן את ההודעה כחשודה, לשלוח אותה לספאם או לחסום אותה לגמרי. DMARC גם מאפשר לבעל הדומיין לקבל דיווחים ולראות אם מישהו מנסה להתחזות אליו.
