כחלק מהערכות לסיכוני סייבר ארגונים השואפים לשמור על המוניטין שלהם צריכים לקחת בחשבון לא רק סיכונים בהגנה על מידע אישי, אלא כדאי להם גם להיזהר מפני סיכונים ישירים ועקיפים של אימייל. כפועל יוצא הם ייהנו גם משיפור עבירוּת אימיילים
האזנה לפודקאסט
תוכן עניינים
סייבר ספאם
מכירים את הספאם במסרונים בהודעות SMS? טוב, מי לא מכיר. מכה שלא כתובה בתורה.
אמנם חוק הספאם צמצם את התופעה, אך אם לא הפעלתם על המכשיר הנייד שלכם מסננת ספאם שמגינה מפני מסרונים לא רצויים, ההודעות הספאמיות ממשיכות לזרום, עם החוק ובלעדיו.
הספאם עצמו מרגיז ואף טומן בחובו לא רק הטרדה אלא גם סיכוני הונאה (פישינג).
אחת הבעיות עם הודעות SMS הוא שכל מי שמשתמש במערכת דיוור או מערכת למשלוח SMS יכול לרשום בשם השולח מה שבא לו. כל טקסט. למשל Ministry of Health או Mother. עד עתה אפשר היה גם לרשום במספר השולח כל מספר ולאו דווקא אם הוא בבעלות השולח וזה היווה פתח נרחב עוד יותר להתחזות והונאות.
קישורים המופצים בהודעות SMS יכולים להיות קישורים זדוניים ומאוד קשה לדעת אם מדובר בהודעה אותנטית או הודעה ממתחזה.
בינואר 2021 נכנסה לתוקף רגולציה חדשה של משרד התקשורת, האמורה להפחית חלק מתופעת ההתחזות. לפי הרגולציה, במערכות דיוור ומערכות למשלוח הודעות SMS (מסרונים), ניתן יהיה להמשיך לשלוח בשם שולח טקסטואלי, אך השינוי המשמעותי הוא כי מעתה מספר הטלפון של השולח יהיה חייב בזיהוי ואימות “בעלות” על מספר הטלפון (בדומה להוכחת בעלות על מספר בתהליך ניוד בין מפעילי תקשורת).
זה כמובן לא מונע מהשולח לשלוח קישורים זדוניים בהודעות SMS ותמיד מומלץ לשים לב לקישורים בהודעות SMS לפני שלוחצים עליהם.
כמו ה-SMS גם הטלפון הקווי או הטלפון הסלולרי אינם כוללים מנגנון סינון המובנה ברמת המפעיל. בדומה לסינון מסרונים, משתמשים שחפצים בכך מתקינים על הטלפון הנייד שלהם אפליקציית call screening דוגמת טרו-קולר שמספקות רמה מסוימת של סינון שיחות ו/או סינון ספאם בהודעות SMS, אך הוכח שהן פוגעות בפרטיות המשתמשים מאחר והן שואבות את רשימת אנשי הקשר מכל המשתמשים שלהם ולכן רבים נמענים משימוש בהן.
אז מה הקשר בין סיכוני סייבר לעבירוּת מיילים?
האימייל המודרני הוא ערוץ קשוח והרבה יותר בטוח.
המונח פישינג שוכפל להונאות אימייל מודרניות אך מקורו של הביטוי בהונאות של מערכות טלפוניה שהיתה נפוצה בשנות ה-70 וה-80, באמצעות “חטיפת” מערכות ניהול רשתות טלפוניה ולווין שהופעלה על ערוץ הדיבור, באמצעות השמעת צלילים בתדירות מסוימת שהפעילה סיגנליג (איתות) ואפשרה ל”תוקף” לבצע שיחות טלפון חינם.
העסק הראשון של סטיב ווזניאק וסטיב ג’ובס מייסדי אפל היה בניה ומכירה של Blue Boxes. קופסה שאפשרה השתלטות על קו תקשורת בינלאומי על ידי השמעת צליל באמצעות הצמדת הקופסא לאפרכסת הטלפון, חיוג אל המרכזנית בשירותי החיוג הבינלאומיים והשמעת הצליל המיוחד שהקופסא השמיעה. הצליל המיוחד “דָג” קו תקשורת בינלאומי ואפשר לחייג ללא תשלום לכל מקום בעולם. פעם כשיחות טלפון היו יקרות…
בעוונותיי, גם לי הזדמן להתנסות בחיוג עם קופסא כזו בשנות השמונים. תוכלו לשמוע על כך בפודקאסט עם ד”ר יהל בן-דוד
האזנה לפודקאסט
ומה עם אימייל?
שיגור הודעות SMS או ביצוע שיחות טלפון אוטומטיות (robocalls) עולה כסף. שיחות טלמרקטינג מאוישות בוודאי עולות הרבה כסף. לעומת זאת, כבר בראשית דרכו כאמצעי שיווק, האימייל התגלה כמשתלם במיוחד בשל העלות הזעומה הדרושה כדי לדוור לנמענים ונכון להיום האימייל הוא כלי פופולרי בארגז הכלים של משווקים.
בחלוף השנים מאז המצאתה, טכנולוגיית האימייל כמעט ולא השתנתה ולא רק משווקים לגיטימיים הבינו את כוחו של האימייל. כך האימייל הפך לאמצעי שיווק החביב על ספאמרים. הקלות בה ניתן לקנות רשימות אימיילים או לאסוף אימיילים באתרי אינטרנט מרחבי הרשת (על ידי זחלני רשת) וחסם הכניסה הנמוך כדי לבצע שליחת מיילים בתפוצה נרחבת כמעט חינם, הפכה את האימייל לערוץ צפוף לעייפה שרוב מה שעובר בו הוא ספאם מקצועי שחלק ממנו משמש כאמצעי להפצת נוזקות, או פישינג והוא מהווה סיכון סייבר עבור ארגונים.
כחלק מהערכות לסיכוני סייבר ארגונים השואפים לשמור על המוניטין שלהם צריכים לקחת בחשבון לא רק סיכונים בהגנה על מידע אישי, או הרשת הארגונית שלהם באמצעות פיירוולים, או להתגונן מפני וירוסים, אלא כדאי להם גם להיזהר מפני סיכונים ישירים ועקיפים של אימייל.
סיכונים ישירים ועקיפים מאימייל
סיכונים ישירים: וירוסים, רוגלות, פישינג.
סיכונים עקיפים: פגיעה במונטין ונזק שעשוי להיגרם ללקוחות במקרה של spoofing של הדומיינים של הארגון והתחזות לארגון במשלוח אימיילים על ידי גורמים בלתי מורשים.
לארגונים צריך להיות אינטרס לתפוס שתי ציפורים במכה: טיפול בסיכוני סייבר ושיפור העבירוּת (email deliverability).
בניגוד להודעות SMS ושיחות טלפון, באימייל המודרני הוכנסו מנגנוני הגנה וסינון מובנים ברמת המפעילים. המנגנונים כוללים אימות של הדומיין השולח (spf, dkim) ופוליסי “הרוכב” מעל שני הפרוטוקולים לאימות הדומיין כדי לזהות spoofing כלומר התחזות של גורמים זדוניים לדומיינים.
האיימיל הוא ידידו הטוב של האדם, אך אולי דווקא בגלל שכולנו כל כך רגילים לאימייל הוא יכול להפיל אותנו בפח, במתקפות פישינג וסקאמינג, שהאימייל הוא האמצעי העיקרי להפצתם.
לפי נתונים שפורסמו על ידי ארגון m3aawg.org, מתחילת משבר הקורונה כמות הפישניג בעולם עלתה ב-1400%.
העניין הוא שאפילו בעסקים קטנים יש מציאות של “ריבוי שולחים”. כלומר אימייל נשלח בשם הדומיין של הארגון ממחלקות שונות וממערכות שונות. הדרך הנכונה היא להפריד פעילויות דיוור ושולחים לתת דומיינים (ובמקרים מסויימים דומיינים אחרים של הארגון) על מנת לפזר סיכונים, הן סיכוני סייבר והן סיכונים ל-deliverability.
ראוי להבדיל בין פישינג שנשלח להמונים לבין פישינג שמטרתו לטרגט אדם ספציפי (Spear Phishing המשמש לרוב פישינג הנקרא הונאת מנכ”ל).
סף הכניסה (שמדוורים רבים לא מיישמים) הוא לאמת את הדומיין השולח במערכות הדיוור השולחות (SMTP).
האימייל המודרני הרבה יותר קשוח (ובטוח)
בניגוד למסרונים ולשיחות טלפון, באימייל פותחו במשך השנים אמצעים לסינון מובנה ברמת המפעיל (ספקיות האימייל). אם בעבר האימייל “התנהג” כמו SMS או טלפון – ללא שום סינון בצד המפעיל, כיום מופעלות טכנולוגיות שונות לסינון ספאם, פישינג, וירוסים וקודים זדוניים וכך מדוורים שלא מודעים ל”כללי המשחק” העדכניים מתרחקים ממישוש הפוטנציאל הגלום באימייל מרקטינג.
סינון ספאם ברמת ספקיות האימייל (MBP)
טכנולוגית האימייל הוותיקה לא מפסיקה להשתפר בנושא האבטחה ובמרוצת השנים פותחו פרוטוקולים לשיפור האבטחה ולסינון ספאם.
- SPF (Sender Policy Framework):
כאשר שרת מיילים מקבל אימייל מדומיין מסויים, השרת המקבל יבדוק ברשומת ה-DNS של הדומיין השולח את רשומת ה-SPF, על מנת לוודא שהמייל המתקבל מגיע משרת המורשה לשלוח בשם הדומיין.
- DKIM (DomainKeys Identified Mail):
פרוטוקול חדש ומתוחכם יותר לאימות דומיין, המצפין מקטע מהודעת המייל בעת השליחה באמצעות מפתחות הצפנה פרטי וציבורי. כאשר שרת מיילים מקבל אימייל מדומיין מסויים, השרת יבדוק ברשומת ה-DNS של הדומיין השולח את מפתח ההצפנה הציבורי באמצעותו השרת מפענח את החלק המוצפן בהודעה ומשווה אותו לחלק הגלוי שבהודעת המייל. אם התוכן זהה, זיהוי השולח הצליח והוא מייל לגיטימי. זה לא אומר שהמייל יגיע אל ה-INBOX ולא לספאם כי email deliverability מורכב מגורמים רבים נוספים… - DMARC (Domain-based Message Authentication, Reporting and Conformance)
פרוטוקול שהתנאי ליישום שלו הוא הטמעה נכונה של פרוטוקולי SPF ו- DKIM (רצוי להטמיע את שניהם לפני הטמעת DMARC), על מנת להורות לשרת מיילים שמקבל הודעות אימייל לבדוק ברשומת ה-DNS של הדומיין השולח, מה המדיניות שעליו לנקוט לגבי המיילים המתקבלים, במקרה של אי התאמה בפרוטוקולי האימות. כלומר DMARC מגדיר מדיניות לשרת המקבל כיצד לטפל במיילים שנראים לו כניסיונות הונאה (Spoof), למי הוא אמור לדווח עליהם ובאיזה אופן.
- BIMI (Brand Indicators for Message Identification)
פרוטוקול חדש שנועד לתפוס שתי ציפורים במכה: לשפר את אבטחת המיילים ולאפשר לעסקים להציג את לוגו המותג שלהם (שיצטרכו להוכיח עליו בעלות) בתיבת המייל של הנמענים ובכך לסייע לנמענים לזהות את המותג השולח וכך לשפר את ה-engagement של הנמענים.
להבדיל משאר הפרוטוקולים, שאינם חשופים לנמען, פרוטוקול BIMI יבטיח שמשתמש הקצה יוכל לוודא את זהות השולח. כפי שבעבר הודעות ומכתבים חשובים היו חתומים בחותם שעווה הכולל חותמת, כך גם הודעות מייל יקבלו את אותו חותם.
it’s all about reputation
בנוסף לפרוטוקולים הללו יש משמעות רבה ל-reputation של הדומיין, ל-reputation של ה- IP השולח (שעבור רוב המדוורים היא כתובת משותפת שמוקצית על ידי מערכת הדיוור). יש משמעות לאיכות ולהיגיינה של הדאטה, יש משמעות למקורות המידע, יש משמעות ל-engagement של הנמענים:
Engagement חיובי: פתיחה, הקלקה, העברה לאחר, הוספת השולח לאנשי הקשר, גרירה מתיבת ספאם לתיבה הראשית וכדומה.
Engagement שלילי: מחיקת אימייל לפני קריאה, דיווח על ספאם.
בניגוד לנטייה הראשונית לחשוב שהספאמרים פועלים במחשכים, מתחת לרדאר, זה לחלוטין אינו המצב.
“הספאם המאורגן” מופץ בגלוי על ידי גורמים ידועים ומוכרים.
נכון להיום 80% מהספאם הנשלח בעולם מופץ על ידי 100 קבוצות ספאמרים ידועים ומוכָּרות כאשר שבעת “הגרועים” שבהם פועלים מארה”ב.
דפי זהב של הספאמרים
ארגון SPAMHAUS (ארגון הנלחם בספאם ואחת מהמקורות בהם משתמשות מסננות ספאם) מתחזק רשימה של ספמארים. סוג של “דפי זהב” לסאפמרים. על כל אחד מהם ניתן לקבל מידע מורחב.
מדוע הספאם המאורגן ממשיך לפעול באין מפריע? כי ספאם חוקי ברוב המדינות ובראשון ארה”ב. אמנם יש חוקים ורגולציות שונות בארה”ב (כגון CAN-SPAM Act) אך משלוח ספאם בארה”ב ובמדינות רבות אחרות אינו מהווה עבירה על החוק.
רשימת אימיילים קנויה – סכנה גדולה
כחלק ממנגנוני סינון הספאם נלקחת בחשבון האיכות וההיגיינה של הדאטה שלכם.
רשימות אימייל קנויות עשויות להכיל רשימות ביקורת שנקראות “מלכודות דבש” שנוצרות על ידי ספקיות האמיילים הגדולות כחלק מהמלחמה בספאם.
מלכודות דבש יכולות להיות מיילים שלא היו שייכים לאף משתמש שמפורסמים ברשת במטרה שספאמרים ויצרני רשימות יקצרו את אותם מיילים (scraped), מיילים שאינם בשימוש והוחזרו לספקיות האימייל (במעבר בין ג’ימייל לאאוטלוק למשל) , או מיילים עם טעויות כתיב.
כשידוורו אל מלכודות ספאם (spam traps) השולחים הללו יסומנו כספאמרים.
החלטתם בכל זאת לשלוח מיילים לרשימה קנויה: זה חייב להיות פרויקט צדדי נפרד (ממש side hustle) שאתם חייבים להפריד לחלוטין מפעילויות אימייל אחרות שלכם.
מאמרים קשורים:
האמיילים שלך מגיעים לספאם? מי אחראי על העבירוּת? אתה או מערכת הדיוור?
האימיילים שלך מגיעים לספאם? מי אחראי על העבירוּת? אתה (המדוור) או ספקית מערכת הדיוור? בעוד המדוור אחראי על ה-sender reputation ועל העבירוּת (deliverability) שלו, לספקית מערכת הדיוור תפקיד משמעותי ביכולת של המדוור לשפר ולשמר את העבירוּת שלו. אז מי האחראי?? מורה נבוכים תוכן עניינים עבירוּת אימיילים בממוצע פעמיים בשנה האתר
איך לעבור מערכת דיוור?
איך לעבור מערכת דיוור? לא עם תשובות שקיבלתם בקבוצת פייסבוק. מעבר בין מערכות דיוור צריך להתחיל באפיון צרכים, בתכנון ראוי קדימה ובליווי של אנשי מקצוע מעולים * מהם הסימנים המעידים על כך שכדאי לבחון מעבר של מערכת דיוור? תוכן עיניינים איך לעבור מערכת דיוור? מערכת דיוור זה כמו נעלי בית
למה המיילים ששלחת מגיעים לדואר זבל?
למה המיילים ששלחת מגיעים לדואר זבל? כי email זה לא “שגר ושכח”… נגמרו הימים שבהם אפשר היה לטעון רשימה למערכת דיוור ולהפציץ אימיילים. הסטטיסטיקה היא כי 1 מכל 6 אימיילים לגיטימיים יגיע לתיבת הספאם (דואר זבל) או לא יגיע כלל (יחסם) | מה זה עבירוּת מיילים – email deliverability |
אני סלע יפה, מומחה אימייל מרקטינג ועבירוּת אימיילים. כשיהיה לך רצון לשפר את ביצועי האימייל מרקטינג שלך, כך אוכל לעזור לך: אני מזמין אותך לפגישת יעוץ ראשונית של 1/2 שעה ללא עלות בנושא עבירוּת אימיילים ואסטרטגיית אימייל מרקטינג. book a 1/2 email deliverability discovery call.
לקריאה נוספת
פרויקט ROKSO של SPAMHAUS
הודעות ה־SMS של משרד הבריאות פתח למתקפות פישינג והונאה, כלכליסט
זהירות! הונאה חדשה מתחזה לבזק, ישראל היום
החלטת משרד התקשורת, רגולציה זיהוי SMS
מי באמת שולח לכם מיילים?, מערך הסייבר הלאומי
הונאות unsubscribe, מייזם Block של איגוד האינטרנט
כמות הפישינג עלתה בזמן הקורונה, ארגון m3aawg.org
Sella Yoffe
Email Deliverability & Email Marketing Expert
working with global email senders, startups, and ESPs to improve their deliverability and email authentication
Podcast host & Blogger @ CRM.BUZZ & EmailGeeks.Show