וירוס סוס טרויאני

כך תתמודדו עם וירוס סוס טרויאני

עולם המחשבים מביא איתו אפשרויות נרחבות ותועלת רבה. ללא ספק, עסקים היו מתפקדים כיום שונה לגמרי בלעדיו. אלא שקשת האפשרויות הרחבה הזו עומדת גם לרשות גורמים עוינים והם מנצלים זאת היטב. אחת הדרכים הקלאסיות שבה הדבר מתבטא היא באמצעות סוסים טרויאניים. במה מדובר בדיוק? במה זה שונה מסוגים אחרים של נוזקות (malware) והכי חשוב – כיצד תמנעו הידבקות מכך בעסק שלכם וכיצד תתגוננו ביעילות בפני התקפה שכבר התרחשה מסוג זה?

 

מה זה סוס טרויאני?

במקור, השם הגיע מתכסיס סוס העץ המפורסם שבו השתמשו היוונים כדי לגבור על הטרויאנים במלחמת טרויה.

אחרי שהסוס מוכנס לעיר טרויה, במחשבה שהוא בלתי מזיק ואפילו מועיל, בחשכת הלילה יוצאים מתוכו החיילים ופותחים את השערים לכוחותיהם, אשר כובשים את העיר. זה הסיפור הידוע והוא מבטא עיקרון כללי וחשוב של תכסיסי מלחמה. נוזקות מסוג סוס טרויאני, מנצלות בדיוק את אותה השיטה. בהקשר עולם המחשבים, סוס טרויאני מתייחס בהגדרתו הבסיסית לתוכנה שהיא לכאורה מועילה, אך בפועל מכילה גם קוד מזיק. לשם ההמחשה – נאמר שהורדתם אתמול דפדפן חדש ומעניין והתקנתם אותו על המחשב שלכם. היום אתם קוראים מאמר זה באמצעות אותו דפדפן. טוב ויפה (או לא כל כך – מייד נסביר), אבל מה קורה ברקע? ייתכן שחלק מהדפדפן מרגל אחריכם, ללא כל סימן חיצוני לכך. גונב מידע רגיש ואפילו פוגע באופן קריטי במידע שעל המחשב. לכן לא מומלץ למהר ולהתקין תוכנות לפני שבדקתם את התוכנה ואת מקור הורדתה באופן יסודי. עוד על אמצעי הזהירות המומלצים, נרחיב בהמשך. עבור עסקים ישראליים, המחשה טובה לעניין כולו, ניתן לקבל מקריאה על פרשת הסוס הטרויאני מ-2005.

 

סוגים של וירוס סוס טרויאני

אחרי שהגדרנו מה זה סוס טרויאני באופן עקרוני, אפשר להתעמק בפרטים ולבדוק, אילו סוגים יש לנוזקות מסוג זה? ניתן לסווג אותם באופנים שונים, בהם:

  1. סיווג לפי התוקפים וסיבותיהם – מי עושה את זה? למה הם עושים זאת? יש האקרים שעשויים לעשות זאת מתוך עניין אישי באתגר הטכני, אחרים עושים זאת תמורת כסף. חלקם פועלים לבד, בעוד שאחרים עשויים להיות חלק מצוות עבריינים מאורגן, מתוקצב היטב, בעל מטרות ברורות ושיטות עבודה יעילות. זה עשוי להיות גם וירוס שנכתב בעבר ועכשיו פשוט ממשיך ומתפשט בשטח, כאשר בעליו כבר שכח ממנו (אין זה אומר שהוא לא יזיק!). התקיפה עשויה להיות ממוקדת בעסק הספציפי שלכם או תקיפה כללית בשיטת מצליח. כדאי להזכיר בהקשר זה שעסקים ישראליים נמצאים במצב מיוחד. נוסף לאיומים הרגילים עליהם, הם מטרה גם לגורמים שעוינים את מדינת ישראל ובכלל לגורמים אנטישמיים. למשל תקיפה מצד גורמים כמו ארגוני טרור או גורמים ממשלתיים של מדינות אויב.
  2. לפי היבט אופן ההדבקה – ברמה הטכנית, אופני ההדבקה האפשריים בסוס טרויאני רבים מאוד. יש מאחורינו כבר עשרות שנים של התפתחות הצרה הזו, כך שלרשות התוקפים עומדת קשת רחבה של אפשרויות. בהתאם לכך, העסקים שמתגוננים חייבים לנקוט בגישה רחבה ויסודית – בהמשך נרחיב על כך. לשם ההמחשה: מערכות המחשוב שלכם עשויות להידבק בסוס טרויאני, עקב לחיצת עובד על קישור נגוע. הקישור עשוי להיות בפורמט מקוצר (כגון Bitly), אשר מפריע לראות את הכתובת המקורית שלו, מאחר שהיא עשויה להעלות חשד. הלחיצה מובילה לעמוד אינטרנט שבו לכאורה הכל תקין (נאמר, עמוד שבו רואים שערי מטבע שונים), אך יש בו גם נוזקה. כעת, המחשב נגוע. מאחר שמחשב זה מחובר ברשת פנימית של העסק לשרתים ומחשבים אחרים, הנוזקה יכולה עכשיו להתפשט ברחבי העסק. תסריט אפשרי נוסף הוא פתיחת קובץ נגוע, כגון קובץ התקנה של נוזקה.
  3. לפי הנזק שהווירוס גורם – כפי שהסברנו קודם, סוס טרויאני הוא מונח שמתייחס לאופן החדרת הנוזקה לעסק. לאחר שלב ההחדרה, הנזקים שעשויים להיגרם רבים ומגוונים. במבט כללי, ניתן לחלק זאת לפגיעה במידע או בפעילויות, שני הנושאים העיקריים שבהם המחשוב העסקי מטפל. נזק ומשמעותו עבורכם הוא כמובן דבר סובייקטיבי, אשר נובע משיקולים של חשיבות עסקית. אם למשל מדובר בגניבת המידע הטכני המפורט על המוצרים שלכם, האם זה נזק משמעותי? אם המידע כולל סודות מסחריים, אז סביר שכן. מידע זה, אולי אפילו זמין במילא בגלוי באתרכם. עוד על נזקי הסוסים הטרויאניים, ראו הרחבה כאן בהמשך.

 

דרכי המניעה לסוס טרויאני

כמוכן, לאור הסיכון הרב שמובנה בנושא זה, עסקים ירצו לדעת כיצד למנוע מראש הסתבכות בכך. בהקשר סוס טרויאני, וירוס הוא מונח שכדאי לזכור. מדוע? מהסיבה הפשוטה שהמילה וירוס מתייחסת לאופן ההדבקה בנוזקות שונות, שדומה מהיבטים רבים לאופן העברת וירוסים בין בני אדם. תוכלו לראות היבט זה מקבל ביטוי חוזר בדרכי המניעה. דרכים אלה, כוללות בין השאר את הנקודות הבאות:

עזרי אבטחה

האם כדאי להתקין אנטי וירוס? אולי איזו תוכנה מסוג אנטי סוס טרויאני, אם יש דבר כזה? למעשה, המונח אנטי וירוס הוא מונח מיושן וצר מדי, ביחס למה שתוכנות אבטחה מרכזיות כאלה עושות כיום. לכן, בפועל זה אומר שני דברים: מחד, לא לחשוב במונחים של אנטי וירוס אלא של תוכנת אבטחה מרכזית. מאידך, לא להסתפק רק בה. מעשית, מניעת חדירת סוסים טרויאניים מחייבת שימוש בכלי עזר שונים, במקביל ובאופן קבוע. ניתן וכדאי לצרוך זאת (לפחות את הרוב) ממקור אחד איכותי. זו היא גישה אשר תפשט עבורכם את הדברים מהיבטים מסוימים. למשל שירותי אבטחת מידע בענן ושירותי הגנה מפני מתקפות DDoS (או Anti-DDoS) של חברת GNS. זאת, כחלק מאוסף שירותי מחשוב לעסקים שהיא מציעה, כגון פתרון ה-Kubernetes שלה. אוסף כלי האבטחה המומלץ תלוי בכל עסק ספציפי. לרוב, מדובר לכל הפחות בשני סוגי כלים. האחד, הוא תוכנת אבטחה מרכזית כפי שהזכרנו, אשר תספק הגנה בזמן אמת וגם תאפשר ביצוע סריקות יזומות. סוג הכלים השני הוא כלים להגנת התקשורת, כגון פיירוול.

תכנון יסודי

ככל שהעסק גדול, כך יש בדרך כלל יותר דרכים לתקוף את מערכות המחשוב שלו ולהחדיר סוסים טרויאניים. לתוקפים מספיקה פרצה אחת כדי לעשות זאת. לכן, ברור שחשובה מאוד גישה יסודית להגנה. זו צריכה להתחיל מתכנון יסודי ומקצועי. תכנון כזה ניתן לעשות בעזרת מומחי אבטחה והוא אמור להיות חלק מניהול סיכונים שיטתי בעסק. ניהול הסיכונים במחשוב הוא חלק מכך. סיכוני המחשוב אינם נושא נפרד, מאחר שהמחשוב עצמו בעסקים איננו נפרד מהפעילות העסקית. טיפ חשוב: עסקים הם דבר דינאמי וכך גם האיומים שמולם הם ניצבים. לכן, חשוב לעדכן את תכניות האבטחה באופן תקופתי, במידת הצורך.

נהלים ועדכונם

על בסיס התכנון האסטרטגי הכללי הזה, יופקו נהלים והנחיות עבודה מעשיות בנוגע לאבטחה. למשל, כיצד מונעים מצב שבו עובדים מחדירים לעסק סוסים טרויאניים ללא ידיעתם, בכך שהם מביאים לתוך העסק התקני מחשוב נגועים שלהם? מה שדרוש במקרה זה היא מדיניות Bring Your Own Device (BYOD) – כללים ברורים ורשמיים לגבי מה מותר לעובדים להביא מבחינה זו, מה אסור, מהן המגבלות על כך לשם שימוש בעבודה וכן הלאה. דוגמה נוספת: מה קורה במצב שבו עובד מזהה פעילות חשודה? למי עליו לדווח וכיצד? אלה דברים שכדאי וחשוב להגדיר בבירור ומראש.

ליידע, להדריך ולתרגל

יש ליידע את העובדים והמנהלים לגבי הנהלים שגובשו, מבחינת מה שנוגע להם אישית. חשוב שהדברים יהיו ברורים. כמו כן, יש דברים שצריך להמחיש ואף לתרגל. למשל, לגבי ההיבט המעניין שעליו תקראו בסעיף הבא.

זהירות מיוחדת מהנדסה חברתית

האם שמעתם על המונח הנדסה חברתית? זהו מונח חשוב ביותר בהקשר אבטחה אשר חיוני להכיר בעסקים. מדובר בביצוע מניפולציות שונות על עובדים ומנהלים כדי להחדיר נוזקה, כולל סוסים טרויאניים. למשל להתקשר לעובד חדש ולהתחזות למנהל בעסק, כדי להנחות אותו לבצע פעולות מסוימות שיפתחו פתח להחדרת סוס טרויאני. לדוגמה, לומר שכביכול אותו מנהל שלח לו כרגע באימייל קובץ שעליו לפתוח בדחיפות. להעמיד פנים שמדובר בעניין דחוף לכאורה, זה טריק וותיק של התוקפים. המטרה בכך, היא לצמצם את נטיית העובד האחראי לבדוק את העניין ולחשוב, בנחת ולעומק.

זהירות לגבי מה שלא מכירים

כלל בסיסי חשוב ופשוט הוא להיזהר מכל דבר חדש שמופיע תוך שימוש במחשוב בעסק, אשר מקורו לא ידוע לכם. למשל הודעה שמופיעה בחלונית פופ אפ מוזרה, תוכנה חדשה שמופעלת עם אתחול המחשב ואינכם מכירים או אימייל מגורם שלא מוכר לכם. זהו כלל שלעובדים יהיה קל לזכור ולפעול לגביו. אם יש ספק, אין ספק – עוצרים ומתייעצים עם אגף המחשוב.

עדכוני תוכנה והגנה מפרצות

המורכבות הרבה של מערכות מחשוב מביאה לכך שתוקפים מצליחים למצוא בהן פרצות רבות, שוב ושוב. יש למעשה משחק חתול ועכבר מבחינה זו בין התוקפים לבין מומחי האבטחה בעסקים, יצרני עזרי האבטחה ויצרני תוכנה וחומרה בכלל. זה הולך כך: פרצה (מכונה vulnerability) מאפשרת להשתמש בטכניקה כזו או אחרת (מכונה Exploit) לשם ניצולה לרעה. למשל, כחלק ממה שדרוש להחדרת סוס טרויאני למערכת. נאמר שמדובר בפרצה במערכת ההפעלה חלונות, באחת מגרסותיה לעסקים. אם הפרצה ידועה גם ליצרנית חלונות מיקרוסופט, סביר שנראה בתוך זמן קצר עדכון לחלונות שסוגר את הפרצה. התקנתו הזריזה תפתור את העניין מבחינת העסק. אם הפרצה ידועה רק לחברת אבטחה מסוימת, סביר שאותה חברה תחלוק את הידע עם גורמים אחרים במשק, כמקובל. באופן מיידי, לקוחות חברה זו יהיו מוגנים כנראה, באמצעות עדכון שהיא תוציא למוצרי האבטחה שלה. אם הפרצה לא ידועה לאיש מלבד לתוקפים, הם יכינו בעזרתה מתקפה שאיש לא ערוך לה עדיין (מכונה zero-day exploit) וזה מצב מסוכן במיוחד. חשוב להבין ולקחת בחשבון שמצבים כאלה מתרחשים כל הזמן. יש אפילו שוק פעיל למדי של מכירת מידע על פרצות כאלה, שהן רבות ערך עבור התוקפים. בשל כך יש לעדכן תוכנות באופן יזום ובהתמדה, כולל ובמיוחד מערכות הפעלה, תוכנות אבטחה, דפדפנים ותוכנות דואר. ולא לשכוח שגם בחומרה יש תוכנה מובנית ולכן דרושים (אם כי לעתים נדירות יותר, אם בכלל) גם עדכוני קושחה (firmware). טיפ שימושי: יש כלי עזר אשר נועדו לבדוק זמינות עדכונים לתוכנות השונות שמותקנות אצלכם.

לצמצם מטרות

ככל שיש לכם יותר תוכנות, כך סביר שיש  לכם יותר פרצות. המסקנה הפשוטה היא שכדי לצמצם סיכונים לחדירת סוסים טרויאניים, כדאי לצמצם את היקף התוכנות שברשותכם. גישה זו של צמצום ה-attack surface, מתבטאת קודם כל בהסרת או הימנעות מהתקנת תוכנות שלא ממש נחוצות. באיזו תדירות אתם משתמשים בכלי המיוחד ההוא שהתקנתם בחודש שעבר? האם יש תוכנות שמותקנות מהעבר הרחוק ובכלל שכחתם מהן? כדאי לבדוק ולצמצם.

כיוונים טובים

בכל תוכנה ממוצעת יש לא מעט אפשרויות כיוון (settings). הגדרות אלה, משליכות לעתים במידה רבה על אבטחה. גם אם לא מדובר בהגדרות אבטחה ממש. לדוגמה: איך יגיב הדפדפן שלכם אם וכאשר תיכנסו לאתר שבכתובת שלו אין https אלא רק http? כידוע, הבדל קטן כזה הוא משמעותי מאוד מבחינת אבטחה. ניתן להגדיר לדפדפנים שיימנעו גישה לאתרים ללא https. כך שלא יקרה מצב שבו עובדים נכנסים אליהם בטעות. כיוונים אלה צריכים לבצע באופן יזום, מאחר שברירות המחדל שמובנות בתוכנות עצמן לא תמיד תהיינה הבטוחות ביותר. כמו כן, כדאי לשים לב לכך בכל התקנת או עדכון תוכנה. כמובן, הדבר מתייחס לא רק לדפדפנים אלא לכל התוכנות, בעיקר אלה שהן רגישות יותר מבחינת אבטחה. דוגמה בולטת במיוחד לכך מספקות מערכות הפעלה.

ניהול זהויות וגישה

מבחינת מערכות המחשוב בעסק יש עקרון חשוב של מידור. לא לתת לאנשים לגשת לחלקים רגישים של המערכת, אם זה לא ממש נחוץ. רעיון פשוט זה גם יצמצם אפשרות להחדרת סוסים טרויאניים. הרעיון אמנם פשוט, אך יישומו מורכב יותר. בגדול, מדובר ב"ניהול זהויות" ו"ניהול גישה”. חלק מכך, הוא הנושא של ניהול סיסמאות יעיל והזדהות מתקדמת. טיפ: את השימוש בסיסמאות פופולארי מאוד להספיד. כבר לא מעט שנים שומעים שהגיע סופן, מאחר שהן אמצעי הזדהות חלש. אבל מסתבר שזה אף פעם לא קורה בפועל. מעשית, כדאי לעסקים להשתמש בעיקרון החשוב של Multi-factor authentication, כולל שימוש בסיסמאות חזקות.

מקורות איכותיים ואמינים

עוד עיקרון פשוט וחשוב שיסייע לצמצם סיכונים מסוסים טרויאנים, הוא להתקין תוכנות רק ממקורות ספציפיים מאושרים. אלה יהיו מקורות אמינים ואיכותיים, לפי שיקול הדעת של מחלקת המחשוב בעסק. ובכלל – כדאי להשאיר את בחירת התוכנות והתקנתן רק למחלקת המחשוב או לצוות מקצועי שמחלקה זו משתתפת בו. אם עובדים מורידים ביוזמתם ומתקינים תוכנות, צרות כמו סוסים טרויאניים הן רק עניין של זמן. למעשה, יש נושא רחב של rogue IT – מחשוב שעובדים מביאים כחומרה ותוכנה מהבית, ללא ידיעת מחלקת המחשוב. אחד הדברים שהם עלולים להביא בצורה כזו לעסק הוא תוכנות אבטחה כביכול, שהן בפועל סוסים טרויאניים, מה שמכונה rogue security software.

בדיקות חדירה

אז עד כמה העסק שלכם מוגן מהתקפות? מסוסים טרויאניים ובכלל? לא תדעו בפועל עד שלא תבדקו זאת. לכן, המלצה וותיקה וחשובה, היא לפרוץ לעסק שלכם. ליתר דיוק, להזמין מומחים שמציעים שירותי בדיקות חדירה, אשר ינסו לפרוץ (ואם אתם חושבים שהם לא יצליחו, אתם טועים..) ויספקו לכם המלצות מעשיות לשיפור האבטחה.

לעבוד לפי best practices

מומלץ וחשוב שלא להמציא את הגלגל מחדש בכל הנוגע לאבטחה. הגיוני ומשתלם למנף לטובתכם את הידע הרב שהצטבר עם השנים בעסקים בנושא ההתגוננות. ידע זה בא לידי ביטוי בין השאר באופני פעולה מומלצים שגובשו עם הזמן ופורסמו, כולל בנושא אבטחה.

עדכון חדשותי לגבי איומי אבטחה

מחלקת המחשוב שלכם צריכה להיות מעודכנת בהתפתחויות העדכניות בנושא אבטחה. אם יש סוס טרויאני חדש למשל, מוטב לשמוע עליו דרך מקור של חדשות אבטחה, מאשר ללמוד עליו לאחר שתיפגעו ממנו. יש גם המרכז הארצי לניהול אירועי סייבר, אשר מקבל דיווחים מעסקים וארגונים מקומיים שונים על מתקפות, מנטר את המצב ומציג עדכונים בנדון. בין פעילויותיו, יש גם "המרכז המבצעי לדיווח על אירועי סייבר 119”. המרכז עובד במודל בינלאומי ידוע שמכונה (CERT) Computer Emergency Response Team.

ייעוץ ממומחי אבטחה

ייעוץ מקצועי מומלץ מאוד. הוא חשוב בין השאר כדי להתאים את צעדי המנע לכל עסק ספציפי.

ניטור יעיל ומתמשך של מערכות המחשוב

Network Operations Center הוא שילוב של ציוד מתאים וצוות מיומן, שמנטרים את תעבורת הרשת הפנימית והאינטרנט שלכם. זהו היבט חשוב מאוד, מאחר שרשתות אלה הן הערוץ אשר דרכו גורמים עוינים מנסים לקבל גישה למערכות המחשוב שלכם. לצד NOC כזה, עשוי להיות גם Security Operations Center, שעוסק בניטור האבטחה באופן כללי בעסק. המטרה היא בין השאר לזהות ולנתח במהירות מקרים חשודים. פעילות חשודה במערכות מחשוב שונות בעסק, האטה מוזרה בתקשורת, תוכנות לא מוכרות שמותקנות, אירועים מוזרים וכדומה.

מה הן דרכי ההגנה?

אם כבר הותקפתם, מה כדאי לעשות? מומלץ וחשוב לצאת מנקודת הנחה שההגנה שלכם איננה מושלמת. כלומר, לקחת בחשבון ולהיערך בהקדם למצב סביר שבו מחשבי העסק יידבקו בסוס טרויאני. כמו כן, התקפה עשויה להיות סמויה ומתמשכת. כפי שתראו מייד בפסקה לגבי סוגי הנזקים, חלק מהם מתרחש ללא ידיעת העסק.

כזכור, התסריט הקלאסי של סוס טרויאני ממשיך בכך שהסוס נמצא בתוך המחנה שלכם, אבל עדיין לא הזיק. אם לא הצלחתם לזהות ולמנוע את המצב, מוטב לכל הפחות לזהות את מצב הסוס בתוך המחנה ולמנוע או לצמצם את נזקיו. כיצד עושים זאת? במצב שבו זוהה סוס טרויאני במערכות המחשוב של העסק, בין אם הוא כבר פעיל או עדיין לא, יבואו לידי ביטוי בעיקר הדברים שהזכרנו בהקשר מניעה:

  • נהלים – יופעלו נהלי חירום למצבים כאלה. כאשר יש נהלים ברורים מראש, פועלים במהירות וביעילות מרביים. אלה כמה דוגמאות לכך: בידוד האזור הנגוע במהירות כך שהנוזקה לא תוכל להתפשט הלאה ברחבי העסק. יידוע כל הגורמים שחשוב לידע בשלב זה, ותחקור מהיר.
  • הסתייעות במומחים – העסקת מומחי אבטחה מומלצת בכל מקרה כחלק מצוות המחשוב הקבוע של העסק. אפשרות נוספת היא הסתייעות במומחים חיצוניים. העיקר שיהיה לכם גורם מקצועי שאליו תוכלו לפנות במהירות במקרי חירום כאלה. גם במקרה שהם מתרחשים בשעות הלילה, סופ"ש, חגים וכדומה.
  • ניתוח מידע – תודות לניטור השוטף, יעמדו לרשותכם בין השאר לוגים של מערכות שונות שמרכזים תיעוד של מצבן ושל הודעות שונות שהמערכות הפיקו. זהו מאגר מידע שבו עשויים להיות רמזים רבים למתרחש. הוא אמנם טכני מאוד, עשיר במידע ולא פשוט להתמצאות במצבו הגולמי, אך יש כלי עזר אשר מסייעים לנתח מידע זה במהירות.
  • ניצול גיבויים – עסקים מבצעים גיבויים איכותיים במילא, לא רק בהקשר אבטחה. אך גם במקרי חירום של סוס טרויאני, גיבויים אלה עשויים לסייע.
  • לתחקר ולשפר – נקודה חשובה נוספת היא שאם כבר התרחש מקרה חירום והעסק נפגע מסוס טרויאני, בסיום הפרשה כדאי מאוד לתחקר אותה היטב. זה עשוי להיות מקור שימושי להפקת מסקנות מעשיות להמשך ולצמצום הסיכונים.

מה הם הנזקים שיכולים לקרות בעקבות הסוס טרויאני?

אלה כמה דוגמאות בולטות במיוחד של תוצאות אפשריות של חדירת סוס טרויאני למערכות המחשוב של העסק שלכם:

  • גניבת מידע – סוס טרויאני עשוי לפעול כרוגלה (Spyware) ולגנוב מידע רגיש, כגון פרטי כרטיסי אשראי. הוא עשוי לעשות זאת באמצעות ניטור סמוי של הקלדות (keylogger). בעסקים רבים יש בין השאר מידע אישי של לקוחות ולעתים יש תקנות מחייבות בנידון (כמו GDPR) וסיכון של תביעות אם מידע זה נגנב. אגב, המידע שמצטטים לו עשוי להיות גם ויזואלי. זאת בעקבות התחברות סמויה למצלמות האבטחה של העסק, באופן שמספק הצצה קבועה וישירה לכל מקום שהמצלמות מכוונות אליו. נפוצה במיוחד גניבת פרטי זהות (פישינג), כולל בהתקפות שממוקדות באדם ספציפי (spear phishing) ובמיוחד בבכירים בעסק (whaling). למשל מנהל בכיר אשר באמצעות גניבת פרטיו התוקפים ימשיכו לביצוע התקפות מתוחכמות יותר.
  • סחיטה – סוג נבזי במיוחד של נזק מסוס טרויאני עלול להיות ניסיון סחיטה. במקרים כאלה, מדברים על הנוזקה כעל כופרה (Ransomware). תסריט אופייני יהיה חדירה שקטה, הצפנת חלק מהמידע בעסק ואז דרישת כופר, בתמורה לפתיחת ההצפנה (שלא בהכרח תבוצע).
  • הפעלת המחשבים שלכם לטובת ההאקרים – למשל לשם כריית מטבעות וירטואליים או ביצוע התקפות מסוג מניעת שירות מבוזרת Distributed Denial of Service (DDoS). זו היא התקפה שבה יוצרים גל מלאכותי של פניות לאתר העסק, כדי לגרום לפקק תנועה בכניסה אליו. משמע – להפריע ליכולת להשתמש בו באופן תקין.
  • הכנת המחשב להמשך ההתקפה – באמצעות Rootkit, שהוא קוד שמשתלב בליבת מערכת ההפעלה ומקל על פעולת הנוזקות, או באמצעות דלת אחורית (Backdoor), שהיא מנגנון שמאפשר שליטה על המחשב מרחוק.
  • נזק לשם הנזק – ישנם בהחלט גם מקרים שבהם התוקפים מעוניינים בעיקר להזיק או רק להזיק. זה יכול להיות למשל מקרה של טרוריסטים אנטי ישראלים, ששמים על הכוונת עסקים ישראליים ידועים או בולטים. הם ייתקפו, יזיקו ויפרסמו את מעשיהם ברבים. אפשרות אחרת, נדירה יותר אך קיימת, היא של נקמה אישית – למשל מקרה של עובד לשעבר אשר מחפש לנקום במעסיקיו. הנזק עצמו עשוי להיות מסוגים רבים. זה יכול להיות למשל הפרעה לפעילות אתר מסחרי, באמצעות התקפת DDoS. זה יכול להיות השחתת תכני האתר ובעיקר העמוד הראשי שלו (website defacement). במקרים אחרים, תבוצע מחיקת מידע ממחשבי העסק.
  • שיבוש פעולת מערכות מבוקרות מחשב – מערכות Supervisory control and data acquisition הן מערכות לבקרה על פעילויות פיזיות שונות בעסקים. למשל, בקרה על תהליכי ייצור. התקפות על מערכות SCADA כאלה דורשות תחכום רב, אך הן לא נדירות. המיוחד בהן הוא ביכולת לשבש פעילויות פיזיות כתוצאה משיבוש פעולתה התקינה של המערכת, למשל שיבושים באספקת החשמל כתוצאה מהתקפה מסוג זה על מערכות של חברת חשמל מקומית (לדוגמה, מקרה כזה שהתרחש באוקראינה ב-2015).

לסיכום

ניתן בהחלט לצמצם את הסיכוי להידבק בנוזקות מסוס סוס טרויאני ובכלל, באופן מקיף ביותר. מצב שבו העסק נפגע מכך אמור להיות מצב נדיר ויוצא דופן. כל זאת אפשרי, אך תלוי ביישום שיטתי ויסודי של המלצות מהסוג שהבאנו כאן, בהפקת לקחים ממקרי עבר ובהתייעצות עם מומחים במקרה הצורך.

Cloud Security