דיוג – הבדלי גרסאות

ב[[אבטחת מידע]], '''דִּ‏יּוּ‏גדִּיּוּג''' או '''פישינג''' (ב[[אנגלית]]: '''Phishing''' גם '''Fishing''') הוא ניסיון לגניבת [[מידע]] רגיש על ידי [[התחזות]] ברשת ה[[אינטרנט]]. המידע עשוי להיות, בין היתר, שמות משתמש ו[[סיסמה|סיסמאות]] או פרטים פיננסיים. פישינג מתבצע באמצעות [[התחזות]] לגורם לגיטימי המעוניין לקבל את המידע. לרוב שולח הגורם המתחזה הודעת [[מסרים מידיים]] או [[דואר אלקטרוני]] בשם [[אתר אינטרנט]] מוכר, בה מתבקש המשתמש ללחוץ על [[היפר קישור|קישור]]. לאחר לחיצה על הקישור מגיע המשתמש לאתר מזויף בו הוא מתבקש להכניס את הפרטים אותם מבקש המתחזה לגנוב.{{הערה|שם=MS_ph_en|1=‏[http://www.microsoft.com/israel/protect/yourself/phishing/engineering.mspx "מהי הנדסה חברתית?"] באתר‏באתר [[מיקרוסופט]]}}. לאחר הכנסת הפרטים, מנותב לעיתים המשתמש לאתר האמיתי וכן באתר המזוייף יופיעו על פי רוב קישורים רבים לדפים באתר האמיתי.

המילה פישינג נכתבת באנגלית (Phishing) והיא מושפעת מהמילה [[פריקינג|Phreaking]]. כך, מוחלפת האות F באותיות Ph. באופן דומה מזכירה המילה העברית "דיוג" את המילה דַּיִג.‏‏{{הערה|1=‏[http://www.merriam-webster.com/dictionary/phishing המילה Phishing במילון מרים ובסטר]‏}}‏‏‏‏{{הערה|1=‏[http://itre.cis.upenn.edu/~myl/languagelog/archives/001477.html אטימולוגיה]‏}}

החל משנת [[1995]] השתמש [[ספק שירותי אינטרנט|ספק שירותי האינטרנט]] [[AOL]] במנגנון המונע יצירת חשבונות באמצעות [[כרטיס אשראי|כרטיסי אשראי]] מזויפים. כתוצאה מכך נחסמו חשבונות של משתמשים שביצעו [[עבירה|פעילויות שאינן חוקיות]] דרך שרתי החברה (כמו העברת [[משחק מחשב|משחק]]ים ו[[האקינג]]). כתגובה פנו משתמשים אלה לפעילויות פישינג על מנת לקבל סיסמאות לחשבונות לגיטימיים ולהמשיך את פעילותם ב-AOL.‏‏{{הערה|שם=warez|1=‏[http://www.rajuabju.com/warezirc/historyofaolwarez.htm ההיסטוריה של הוורז (Warez)]‏}}

כדי לקבל פרטים לחשבון לגיטימי היה המתחזה שולח הודעה בשם אחד מ[[מנהל מערכת (מחשבים)|מנהלי המערכת]] למשתמש תמים ומבקש את פרטיו. כדי לשוות נופך של אמינות, בהודעה התנוססה הכותרת "אשר את פרטיך" או "אשר את פרטי החיוב שלך". לאחר קבלת הפרטים יכול המתחזה להשתמש בחשבון הגנוב לצרכיו.‏‏{{הערה|1=[http://www.wordspy.com/words/phishing.asp Word Spy - phishing<!-- Bot generated title -->]}}

דיוג הפך כה נפוץ ב-AOL, עד שהיא הוסיפה לשירותי ההודעות שלה באופן קבוע את השורה "אף נציג של AOL לא יבקש ממך את סיסמתך או פרטי כרטיס האשראי שלך". בשנת [[1997]] הקשיחה AOL את מדיניותה לגבי תוכנות לא חוקיות ואלה הוסרו מ[[שרת]]יה באופן מיידי. כמו כן, היא פיתחה מנגנון שחסם חשבונות המעורבים בדיוג, לרוב לפני שהמשתמש הספיק להגיב להודעה. פעילויות אלו צמצמו משמעותית את פעילות הדיוג בשרתי החברה.‏‏{{הערה|שם=warez}}

דיוג הוא שיטה של [[הנדסה חברתית (אבטחת מידע)|הנדסה חברתית]] שמטרתה להערים על המשתמש לבצע פעולה המסכנת את המחשב שלו על ידי הטעיה, [[פחד|הפחדה]] או פיתוח [[תקווה|ציפיות]].{{הערה|שם=MS_ph_en}}‏ הודעות דיוג נכתבות כך שייראו אמינות. הן עשויות להכיל את סמל הארגון אליו מתחזים, או לפנות באופן ישיר למקבל ההודעה (דיוג כזה נקרא '''דיוג ממוקד'''). כתובת השולח עשויה להיות דומה לכתובת ממנה נוהג הארגון לשלוח את הודעותיו בדרך כלל. לעתים נעשה שימוש ביותר מאמצעי תקיפה אחד, כך שמחשב פרוץ עלול להפיץ הודעות דיוג בשמו לכתובות הכלולות בפנקס הכתובות שלו ובכך להגדיל את אמינות ההודעה.

בשיטה זו משתמשים המתחזים בקישור ה[[טעות|מטעה]] את המשתמש לחשוב שהקישור עליו הוא מקיש והאתר אליו הוא מגיע שייכים לחברה לגיטימית. למשל, הלינק HTTP://WWW.bank.credit.com עלול להטעות משתמש לחשוב שהוא נכנס לעמוד האשראי באתר bank.com כאשר למעשה הוא נכנס לעמוד הנקרא bank תחת האתר credit.com{{כ}}. אם העמוד מעוצב כמו דף הכניסה של הבנק, המשתמש עשוי להכניס את פרטיו וכך לאפשר למתחזה לבצע פעולות בשמו.‏‏{{הערה|שם=MS_ph_id|1=‏[http://www.microsoft.com/israel/protect/yourself/phishing/identify.mspx זיהוי תרמיות והודעות דיוג - אתר מיקרוסופט]‏}}

שיטה ישנה יותר היא שימוש בסימן [[@]] כחלק מקישור. קישור הכולל את הסימן @ מאפשר למשתמש להכניס שם משתמש וסיסמה כחלק מהקישור לאתר הדורש זאת. באתרים בהם לא נדרשים שם משתמש וסיסמה הדפדפן מתעלם מהטקסט המופיע לפני סימן ה-@. כך, הכתובת HTTP://he.wikipedia.org@en.wikipedia.com נראית כאילו היא מובילה לו[[ויקיפדיה העברית]] כאשר למעשה היא מובילה לו[[ויקיפדיה האנגלית]].‏‏{{הערה|שם=MS_IE|1=‏[http://support.microsoft.com/kb/834489 Internet Explorer does not support user names and passwords in Web site addresses (HTTP or HTTPS URLs)]‏}} בדפדפנים מודרניים כתובת המפנה לאתר המכיל @ לא תפתח או שתוצג הודעת אזהרה.‏‏{{הערה|שם=MS_IE}}‏‏‏{{הערה|1=‏[https://bugzilla.mozilla.org/show_bug.cgi?id=232567 Bug 232567 - Warn when HTTP URL auth information isn't necessary or when it's provided]‏}}

לחיצה על קישור עשויה להוביל משתמש לדף מזויף הנראה כמו דף של אתר לגיטימי. כאשר המשתמש מכניס את פרטיו הדף מפנה אותו באופן אוטומטי לאתר האמיתי ומכניס עבורו את הפרטים כך שהמשתמש אינו יודע שמסר את פרטיו לאתר מזויף.‏‏{{הערה|שם=fwi|1=‏[http://www.fraudwatchinternational.com/phishing-fraud/phishing-web-site-methods/ שיטות דיוג]‏ באתר Fraud Watch International}}‏‏ שיטות מסוג זה נקראות "אדם באמצע" (Man in the Middle).

שיטות מתוחכמות יותר כוללות את שינוי הכתובת בשורת הכתובת של הדפדפן והצגת תמונה של הכתובת הנכונה או סגירת שורת הכתובת האמיתית והצגת שורת כתובת מזויפת בדפדפן.‏‏‏‏{{הערה|שם=fwi}}‏{{הערה|1=‏[http://news.bbc.co.uk/1/hi/technology/3608943.stm Phishing con hijacks browser bar] באתר [[BBC]]‏}} שיטות [[XSS]] מאפשרות לאתר להפעיל [[תוכנה]] ב[[מחשב]] הקורבן כך שניתן למעשה לבצע כל פעולה מתוך המחשב בהרשאות המשתמש.‏‏‏‏{{הערה|1=‏[http://securitylabs.websense.com/content/Alerts/1319.aspx ‏MySpaceMySpace XSS QuickTime Worm], באתר Websense‏Websense}} שיטה זו קשה מאוד לזיהוי על ידי מי שאינו מומחה. בשנת [[2006]] נתגלתה פרצה מסוג זה באתר Paypal.‏‏{{הערה|1=‏[http://news.netcraft.com/archives/2006/06/16/paypal_security_flaw_allows_identity_theft.html PayPal Security Flaw allows Identity Theft]‏}}

עברייני דיוג משתמשים בטכנולוגיית [[וב 2.0]] כדי ליצור [[דף אינטרנט|דפי אינטרנט]] המובילים לדיוג. אחסון הדפים על שרתי וב 2.0 אמינים (כמו [[ויקיפדיה]] ומערכות [[בלוג]]ים) והוספת תוכן לגיטימי יחד עם תוכן מטעה מגבירים את אמינות הדף, וגורמים לגולשים להיכנס אליו. מפעילי הבלוג משתמשים בטכניקות [[קידום אתרים במנועי חיפוש|קידום במנועי חיפוש]] כדי לשפר את דירוג הבלוג ומעדכנים אותו באופן תדיר. מכיוון שהחברות המציעות שירותי בלוגים לרוב אינן מפקחות על תוכנם (משיקולי [[עלות-תועלת]]), אתרי וב 2.0 העוסקים בדיוג שורדים זמן רב יותר משיטות הדיוג המסורתיות.‏‏{{הערה|1=‏httphttp://securitylabs.websense.com/content/Blogs/3296.aspx‏aspx Web 2.0 Phishing leading to Multi-vector Attacks באתר Websense - (שני חלקים) {{אנגלית}} }}‏‏{{הערה|1=‏httphttp://securitylabs.websense.com/content/Blogs/3120.aspx Web 2.0 Abuse of Functionality‏Functionality}}

מומחים מעריכים ש-2.3 מיליון אמריקאים נפלו קורבן להונאת דיוג בשנת [[2006]] ו-3.6 מיליון בשנת [[2007]] בצורה שגרמה להם להפסד כספי. הסכום הממוצע שהפסיד קורבן דיוג בשנת 2006 היה 1244 [[דולר]] וירד בשנת 2007 ל-886 דולר. מספטמבר 2007 עד ספטמבר [[2008]] נפלו כחמישה מיליון אמריקאים קורבן להונאת דיוג בעלות של 351 דולר בממוצע לאדם. הנזקים שנגרמו למשתמשים בשנת 2007 הסתכמו ב-3 מיליארד [[דולר]]‏‏.{{הערה|1=‏[http://www.gartner.com/it/page.jsp?id=565125 Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks ] אתר גרטנר‏גרטנר}}‏‏{{הערה|1=[http://www.gartner.com/it/page.jsp?id=936913 Gartner Says Number of Phishing Attacks on U.S. Consumers Increased 40 Percent in 2008] אתר גרטנר‏גרטנר}}

ניסיונות דיוג באמצעות דואר אלקטרוני יכללו בדרך כלל פנייה כללית או יפנו למקבל הדואר באמצעות כתובת האימייל שלו ולא בשמו; קישור ל[[כתובת IP]] במקום לכתובת אתר ו[[שגיאות כתיב]] הן שיטות נפוצות להתחמקות ממסנני דיוג, ולרוב הן יכולות להזהיר את המשתמש מפני ניסיון דיוג.{{הערה|שם=MS_ph_id}} בשנים האחרונות התפתחה שיטת דיוג הנקראת "דיוג ממוקד". הודעות אלה מופנות לאדם מסוים או לקבוצה מצומצמת של אנשים ונראות כאילו הן מגיעות מאדם מוכר או בעל סמכות. מטרתן של הודעות אלה היא בדרך כלל לפגוע בחברה המותקפת.‏‏{{הערה|[http://www.microsoft.com/israel/protect/yourself/phishing/spear.mspx דיוג ממוקד: הונאות המתמקדות ביעד ספציפי - אתר מיקרוסופט]}}

בעת שליחת מידע באינטרנט, הדפדפן מתריע בפני המשתמש אם המידע מוצפן ומודיע לו אם [[צד שלישי]] יוכל לקרוא את המידע שהוא שולח. הדפדפנים מכילים לרוב מסנני דיוג לדיווח על אתרים החשודים בדיוג. כאשר משתמש נכנס לאתר, מסנן הדיוג של הדפדפן בודק אם האתר חשוד בדיוג ומתריע בהתאם.‏‏‏‏{{הערה|1=‏[http://www.microsoft.com/israel/athome/security/online/phishing_filter.mspx מסנן הדיוג של מיקרוסופט]‏}}‏‏{{הערה|1=‏[http://www.mozilla.com/en-US/firefox/phishing-protection/ מסנן הדיוג של [[פיירפוקס]]]‏}}

קיימות שיטות אימות בהן המשתמש בוחר [[קובץ תמונה|תמונה]] אישית שתופיע בכל ה[[טופס|טפסים]] בהם נדרשים פרטים אישיים. על פי שיטה זו המשתמש אמור להכניס את פרטיו רק בעמודים בהם מופיעה התמונה שבחר.‏‏{{הערה|1=‏[http://www.bankofamerica.com/privacy/sitekey/ הסבר באתר בנק אוף אמריקה]‏}}‏‏{{הערה|1=‏[http://www.washingtonpost.com/wp-dyn/content/article/2005/07/13/AR2005071302181.html Bank of America Personalizes Cyber-Security באתר הוושינגטון פוסט]‏}} שיטה נוספת היא בחירת תמונה שתוצג ב[[צד לקוח|צד הלקוח]] לאחר אימות הדדי בין הדפדפן לאתר.‏‏{{הערה|1=‏[http://www.schneier.com/blog/archives/2005/07/security_skins.html Security Skins] בבלוג של ברוס שיינר‏שיינר}}

מכיוון שהמתחזים מעתיקים לרוב את הקוד או ה[[לוגו]] של האתר אליו הם מעוניינים להתחזות, ניתן לשנות את הקוד כך שתמונות מסוימות יופיעו רק במסגרת אתר לגיטימי ויציגו הודעת שגיאה במקרה של התחזות.‏‏{{הערה|1=‏[http://blog.washingtonpost.com/securityfix/2006/08/using_images_to_fight_phishing.html Using Images to Fight Phishing] באתר הוושינגטון פוסט‏פוסט}}‏‏{{הערה|1=‏[http://www.eweek.com/c/a/Security/Spotting-Phish-and-Phighting-Back/ Spotting Phish and Phighting Back] באתר eweek.com‏com}}

חברות נוהגות לכלול בהודעותיהן פרטים אישיים של המקבל, כגון שם המשתמש שלו או ארבע הספרות האחרונות של [[חשבון בנק|חשבון הבנק]] או [[כרטיס אשראי|כרטיס האשראי]] שלו. עם זאת, לניסיונות דיוג בעבר צורפו פרטים אישיים של המקבל, כך שאי קיומו של פרט מזהה צריך לעורר חשש אך קיומו של פרט כזה אינו מבטיח את לגיטימיות ההודעה. אנשי מקצוע ממליצים לא לחשוף פרטים אישיים (סיסמאות, מספר [[תעודת זהות]], מספר חשבון בנק, פרטי כרטיס אשראי, שמות בני משפחה ותאריכים חשובים) כאשר קיים ספק לגבי זהות הצד השני או בטיחות התווך.‏‏{{הערה|1=‏[http://www.gov.il/FirstGov/SafeSurfing/General/SSStealingIdentityNet/ איך תתגוננו מפני פישינג?] בפורטל [http://www.gov.il/firstgov/ השירותים והמידע הממשלתי]‏}}