מה הקשר בין סיכוני סייבר לבין עבירוּת מיילים? |

מה הקשר בין סיכוני סייבר לבין עבירוּת מיילים?

כחלק מהערכות לסיכוני סייבר ארגונים השואפים לשמור על המוניטין שלהם צריכים לקחת בחשבון לא רק סיכונים בהגנה על מידע אישי, אלא כדאי להם גם להיזהר מפני סיכונים ישירים ועקיפים של אימייל. כפועל יוצא הם ייהנו גם משיפור עבירוּת אימיילים

האזנה לפודקאסט

תוכן עניינים

מכירים את הספאם במסרונים בהודעות SMS? טוב, מי לא מכיר. מכה שלא כתובה בתורה.

אמנם חוק הספאם צמצם את התופעה, אך אם לא הפעלתם על המכשיר הנייד שלכם מסננת ספאם שמגינה מפני מסרונים לא רצויים, ההודעות הספאמיות ממשיכות לזרום, עם החוק ובלעדיו.

הספאם עצמו מרגיז ואף טומן בחובו לא רק הטרדה אלא גם סיכוני הונאה.

אחת הבעיות עם הודעות SMS הוא שכל מי שמשתמש במערכת דיוור או מערכת למשלוח SMS יכול לרשום בשם השולח מה שבא לו. כל טקסט. למשל Ministry of Health או Mother. עד עתה אפשר היה גם לרשום במספר השולח כל מספר ולאו דווקא אם הוא בבעלות השולח וזה היווה פתח לתופעות של התחזות והונאות.

קישורים המופצים בהודעות SMS יכולים להיות קישורים זדוניים ומאוד קשה לדעת אם מדובר בהודעה אותנטית או הודעה ממתחזה.

בינואר 2021 נכנסה לתוקף רגולציה חדשה של משרד התקשורת, האמורה להפחית חלק מתופעת ההתחזות. לפי הרגולציה, במערכות דיוור ומערכות למשלוח הודעות SMS (מסרונים), ניתן יהיה להמשיך לשלוח בשם שולח טקסטואלי, אך השינוי המשמעותי הוא כי מעתה מספר הטלפון של השולח יהיה חייב בזיהוי ואימות "בעלות" על מספר הטלפון (בדומה להוכחת בעלות על מספר בתהליך ניוד בין מפעילי תקשורת).

זה כמובן לא מונע מהשולח לשלוח קישורים זדוניים בהודעות SMS ותמיד מומלץ לשים לב לקישורים בהודעות SMS לפני שלוחצים עליהם.

כמו ה-SMS גם הטלפון הקווי או הטלפון הסלולרי אינם כוללים מנגנון סינון המובנה ברמת המפעיל. בדומה לסינון מסרונים, משתמשים שחפצים בכך מתקינים על הטלפון הנייד שלהם אפליקציית call screening דוגמת טרו-קולר שמספקות רמה מסוימת של סינון שיחות ו/או סינון ספאם בהודעות SMS, אך הוכח שהן פוגעות בפרטיות המשתמשים מאחר והן שואבות את רשימת אנשי הקשר מכל המשתמשים שלהם ולכן רבים נמענים משימוש בהן.

אז מה הקשר בין סיכוני סייבר לעבירוּת מיילים?

האימייל המודרני הוא ערוץ קשוח והרבה יותר בטוח.

המונח פישינג שוכפל להונאות אימייל מודרניות אך מקורו של הביטוי בהונאות של מערכות טלפוניה שהיתה נפוצה בשנות ה-70 וה-80, באמצעות "חטיפת" מערכות ניהול רשתות טלפוניה ולווין שהופעלה על ערוץ הדיבור, באמצעות השמעת צלילים בתדירות מסוימת שהפעילה סיגנליג (איתות) ואפשרה ל"תוקף" לבצע שיחות טלפון חינם.

העסק הראשון של סטיב ווזניאק וסטיב ג'ובס מייסדי אפל היה בניה ומכירה של Blue Boxes. קופסה שאפשרה השתלטות על קו תקשורת בינלאומי על ידי השמעת צליל באמצעות הצמדת הקופסא לאפרכסת הטלפון, חיוג אל המרכזנית בשירותי החיוג הבינלאומיים והשמעת הצליל המיוחד שהקופסא השמיעה. הצליל המיוחד "דָג" קו תקשורת בינלאומי ואפשר לחייג ללא תשלום לכל מקום בעולם. פעם כשיחות טלפון היו יקרות…

בעוונותיי, גם לי הזדמן להתנסות בחיוג עם קופסא כזו בשנות השמונים. תוכלו לשמוע על כך בפודקאסט:

ומה עם אימייל?

שיגור הודעות SMS או ביצוע שיחות טלפון אוטומטיות (robocalls) עולה כסף. שיחות טלמרקטינג מאוישות בוודאי עולות הרבה כסף. לעומת זאת, כבר בראשית דרכו כאמצעי שיווק, האימייל התגלה כמשתלם במיוחד בשל העלות הזעומה הדרושה כדי לדוור לנמענים ונכון להיום האימייל הוא כלי פופולרי בארגז הכלים של משווקים.

בחלוף השנים מאז המצאתה, טכנולוגיית האימייל כמעט ולא השתנתה ולא רק משווקים לגיטימיים הבינו את כוחו של האימייל. כך האימייל הפך לאמצעי שיווק החביב על ספאמרים. הקלות בה ניתן לקנות רשימות אימיילים או לאסוף אימיילים באתרי אינטרנט מרחבי הרשת (על ידי זחלני רשת) וחסם הכניסה הנמוך כדי לבצע שליחת מיילים בתפוצה נרחבת כמעט חינם, הפכה את האימייל לערוץ צפוף לעייפה שרוב מה שעובר בו הוא ספאם מקצועי שחלק ממנו משמש כאמצעי להפצת נוזקות, או פישינג והוא מהווה סיכון סייבר עבור ארגונים.

כחלק מהערכות לסיכוני סייבר ארגונים השואפים לשמור על המוניטין שלהם צריכים לקחת בחשבון לא רק סיכונים בהגנה על מידע אישי, או הרשת הארגונית שלהם באמצעות פיירוולים, או להתגונן מפני וירוסים, אלא כדאי להם גם להיזהר מפני סיכונים ישירים ועקיפים של אימייל.

סיכונים ישירים ועקיפים מאימייל

סיכונים ישירים: וירוסים, רוגלות, פישינג.

סיכונים עקיפים: פגיעה במונטין ונזק שעשוי להיגרם ללקוחות במקרה של spoofing של הדומיינים של הארגון והתחזות לארגון במשלוח אימיילים על ידי גורמים בלתי מורשים.

לארגונים צריך להיות אינטרס לתפוס שתי ציפורים במכה: טיפול בסיכוני סייבר ושיפור העבירוּת (email deliverability).

בניגוד להודעות SMS ושיחות טלפון, באימייל המודרני הוכנסו מנגנוני הגנה וסינון מובנים ברמת המפעילים. המנגנונים כוללים אימות של הדומיין השולח (spf, dkim) ופוליסי "הרוכב" מעל שני הפרוטוקולים לאימות הדומיין כדי לזהות spoofing כלומר התחזות של גורמים זדוניים לדומיינים.

האיימיל הוא ידידו הטוב של האדם, אך אולי דווקא בגלל שכולנו כל כך רגילים לאימייל הוא יכול להפיל אותנו בפח, במתקפות פישינג וסקאמינג, שהאימייל הוא האמצעי העיקרי להפצתם.

לפי נתונים שפורסמו על ידי ארגון m3aawg.org, מתחילת משבר הקורונה כמות הפישניג בעולם עלתה ב-1400%.

העניין הוא שאפילו בעסקים קטנים יש מציאות של "ריבוי שולחים". כלומר אימייל נשלח בשם הדומיין של הארגון ממחלקות שונות וממערכות שונות. הדרך הנכונה היא להפריד פעילויות דיוור ושולחים לתת דומיינים (ובמקרים מסויימים דומיינים אחרים של הארגון) על מנת לפזר סיכונים, הן סיכוני סייבר והן סיכונים ל-deliverability.

ראוי להבדיל בין פישינג שנשלח להמונים לבין פישינג שמטרתו לטרגט אדם ספציפי (Spear Phishing המשמש לרוב פישינג הנקרא הונאת מנכ"ל).

סף הכניסה (שמדוורים רבים לא מיישמים) הוא לאמת את הדומיין השולח במערכות הדיוור השולחות (SMTP).

האימייל המודרני הרבה יותר קשוח (ובטוח)

בניגוד למסרונים ולשיחות טלפון, באימייל פותחו במשך השנים אמצעים לסינון מובנה ברמת המפעיל (ספקיות האימייל). אם בעבר האימייל "התנהג" כמו SMS או טלפון – ללא שום סינון בצד המפעיל, כיום מופעלות טכנולוגיות שונות לסינון ספאם, פישינג, וירוסים וקודים זדוניים וכך מדוורים שלא מודעים ל"כללי המשחק" העדכניים מתרחקים ממישוש הפוטנציאל הגלום באימייל מרקטינג.

סינון ספאם ברמת המפעילים (MBP)

טכנולוגית האימייל הוותיקה לא מפסיקה להשתפר בנושא האבטחה ובמרוצת השנים פותחו פרוטוקולים לשיפור האבטחה ולסינון ספאם.

  • SPF (Sender Policy Framework):
    כאשר שרת מיילים מקבל אימייל מדומיין מסויים, השרת המקבל יבדוק ברשומת ה-DNS של הדומיין השולח את רשומת ה-SPF, על מנת לוודא שהמייל המתקבל מגיע משרת המורשה לשלוח בשם הדומיין.
  • DKIM (DomainKeys Identified Mail):
    פרוטוקול חדש ומתוחכם יותר לאימות דומיין, המצפין מקטע מהודעת המייל בעת השליחה באמצעות מפתחות הצפנה פרטי וציבורי. כאשר שרת מיילים מקבל אימייל מדומיין מסויים, השרת יבדוק ברשומת ה-DNS של הדומיין השולח את מפתח ההצפנה הציבורי באמצעותו השרת מפענח את החלק המוצפן בהודעה ומשווה אותו לחלק הגלוי שבהודעת המייל. אם התוכן זהה, זיהוי השולח הצליח והוא מייל לגיטימי. זה לא אומר שהמייל יגיע אל ה-INBOX ולא לספאם כי email deliverability מורכב מגורמים רבים נוספים…
  • DMARC (Domain-based Message Authentication, Reporting and Conformance)
    פרוטוקול שהתנאי ליישום שלו הוא הטמעה נכונה של פרוטוקולי SPF ו- DKIM (רצוי להטמיע את שניהם לפני הטמעת DMARC), על מנת להורות לשרת מיילים שמקבל הודעות אימייל לבדוק ברשומת ה-DNS של הדומיין השולח, מה המדיניות שעליו לנקוט לגבי המיילים המתקבלים, במקרה של אי התאמה בפרוטוקולי האימות. כלומר DMARC מגדיר מדיניות לשרת המקבל כיצד לטפל במיילים שנראים לו כניסיונות הונאה (Spoof), למי הוא אמור לדווח עליהם ובאיזה אופן.
  • BIMI (Brand Indicators for Message Identification)
    פרוטוקול חדש שנועד לתפוס שתי ציפורים במכה: לשפר את אבטחת המיילים ולאפשר לעסקים להציג את לוגו המותג שלהם (שיצטרכו להוכיח עליו בעלות) בתיבת המייל של הנמענים ובכך לסייע לנמענים לזהות  את המותג השולח וכך לשפר את ה-engagement של הנמענים.
    להבדיל משאר הפרוטוקולים, שאינם חשופים לנמען, פרוטוקול BIMI יבטיח שמשתמש הקצה יוכל לוודא את זהות השולח. כפי שבעבר הודעות ומכתבים חשובים היו חתומים בחותם שעווה הכולל חותמת, כך גם הודעות מייל יקבלו את אותו חותם.
01022102
נתונים עדכניים לגבי תעבורת אימייל בעולם: ספאם / לגיטימי. לחצו למקור

Reputation

בנוסף לפרוטוקולים הללו יש משמעות רבה ל-reputation של הדומיין, ל-reputation של ה- IP השולח (שעבור רוב המדוורים היא כתובת משותפת שמוקצית על ידי מערכת הדיוור). יש משמעות לאיכות ולהיגיינה של הדאטה, יש משמעות למקורות המידע, יש משמעות ל-engagement של הנמענים:

Engagement חיובי: פתיחה, הקלקה, העברה לאחר, הוספת השולח לאנשי הקשר, גרירה מתיבת ספאם לתיבה הראשית וכדומה.

Engagement שלילי: מחיקת אימייל לפני קריאה, דיווח על ספאם.

מסע האימייל
email deliverability - כדי להצליח באימייל מרקטינג יש כל כך הרבה דברים שצריכים לסנכרן

בניגוד לנטייה הראשונית לחשוב שהספאמרים פועלים במחשכים, מתחת לרדאר, זה לחלוטין אינו המצב.

"הספאם המאורגן"  מופץ בגלוי על ידי גורמים ידועים ומוכרים.

נכון להיום 80% מהספאם הנשלח בעולם מופץ על ידי 100 קבוצות ספאמרים ידועים ומוכָּרות כאשר שבעת "הגרועים" שבהם פועלים מארה"ב.

דפי זהב של הספאמרים

ארגון SPAMHAUS (ארגון הנלחם בספאם ואחת מהמקורות בהם משתמשות מסננות ספאם) מתחזק רשימה של ספמארים. סוג של "דפי זהב" לסאפמרים. על כל אחד מהם ניתן לקבל מידע מורחב.

מדוע הספאם המאורגן ממשיך לפעול באין מפריע? כי ספאם חוקי ברוב המדינות ובראשון ארה"ב. אמנם יש חוקים ורגולציות שונות בארה"ב (כגון CAN-SPAM Act) אך משלוח ספאם בארה"ב ובמדינות רבות אחרות אינו מהווה עבירה על החוק.

 

spamhaus.org Rokso
קישור לנתונים עדכניים של הספאמרים המקצועיים. לחיצה על כל שורה כוללת תיעוד מלא

רשימת אימיילים קנויה – סכנה גדולה

כחלק ממנגנוני סינון הספאם נלקחת בחשבון האיכות וההיגיינה של הדאטה שלכם.

רשימות אימייל קנויות עשויות להכיל רשימות ביקורת שנקראות "מלכודות דבש" שנוצרות על ידי ספקיות האמיילים הגדולות כחלק מהמלחמה בספאם.

מלכודות דבש יכולות להיות מיילים שלא היו שייכים לאף משתמש שמפורסמים ברשת במטרה שספאמרים ויצרני רשימות יקצרו את אותם מיילים (scraped), מיילים שאינם בשימוש והוחזרו לספקיות האימייל (במעבר בין ג'ימייל לאאוטלוק למשל) , או מיילים עם טעויות כתיב. 

כשידוורו אל מלכודות דבש (seed list) השולחים הללו יסומנו כספאמרים.

החלטתם בכל זאת לשלוח מיילים לרשימה קנויה: זה חייב להיות פרויקט צדדי נפרד (ממש side hustle) שאתם חייבים להפריד לחלוטין מפעילויות אימייל אחרות שלכם.

מאמרים קשורים:

מי אחראי על העבירוּת? אתה או ספק מערכת הדיוור?

האמיילים שלך מגיעים לספאם? מי אחראי על העבירוּת? אתה או מערכת הדיוור?

האימיילים שלך מגיעים לספאם? מי אחראי על העבירוּת? אתה או ספק מערכת הדיוור? השולח (המדוור) אחראי על ה-sender reputation ועל העבירוּת (deliverability) שלו, אך יש לספק מערכת הדיוור תפקיד משמעותי ביכולת של המדוור לשפר ולשמר את העבירוּת שלו. אז מי האחראי?? מורה נבוכים האזנה לפודקאסט תוכן עניינים הדעה הרווחת בקרב

להמשך קריאה »
איך לעבור מערכת דיוור?

איך לעבור מערכת דיוור?

איך לעבור מערכת דיוור? לא עם תשובות שקיבלתם בקבוצת פייסבוק. מעבר בין מערכות דיוור צריך להתחיל באפיון צרכים, בתכנון ראוי קדימה ובליווי של אנשי מקצוע מעולים * מהם הסימנים המעידים על כך שכדאי לבחון מעבר של מערכת דיוור? האזנה לפודקאסט תוכן עניינים איך לעבור מערכת דיוור?  מערכת דיוור זה כמו

להמשך קריאה »
למה המיילים ששלחת מגיעים לדואר זבל?

למה המיילים ששלחת מגיעים לדואר זבל?

למה המיילים ששלחת מגיעים לדואר זבל? כי email זה לא "שגר ושכח"… נגמרו הימים בהם אפשר היה לטעון רשימה למערכת דיוור ולהפציץ אימיילים. הסטטיסטיקה היא כי 1 מכל 6 אימיילים לגיטימיים יגיע לתיבת הספאם (דואר זבל) או לא יגיע כלל (יחסם) * מה זה עבירוּת מיילים? * איך לא להגיע

להמשך קריאה »

רוצים להתייעץ איתי לגבי שיפור האימייל מרקטינג או עבירוּת המיילים אצלכם?

לקריאה נוספת

פרויקט ROKSO של SPAMHAUS

הודעות ה־SMS של משרד הבריאות פתח למתקפות פישינג והונאה, כלכליסט

זהירות! הונאה חדשה מתחזה לבזק, ישראל היום

החלטת משרד התקשורת, רגולציה זיהוי SMS

מה זה פישינג?

מי באמת שולח לכם מיילים?, מערך הסייבר הלאומי

הונאות unsubscribe, מייזם Block  של איגוד האינטרנט

כמות הפישינג עלתה בזמן הקורונה, ארגון m3aawg.org

אודות המחבר

sella
סלע יֹפֶה
מומחה לאימייל מרקטינג, עבירוּת אימיילים ואיכות דאטה. מנכ"ל , | אתר

מלווה עסקים בארץ ובעולם בפעילות אימייל מרקטינג ומסייע בשיפור עבירוּת אימיילים (email deliverability) כדי שאימיילים שעסקים שולחים יגיעו ל-Inbox ולא אל ה-Spam.

מסייע לעסקים למכור יותר ולחסוך בהוצאות תפעול באמצעות שיפור איכות הנתונים (data quality).

מנכ"ל חברת דאטה מדיה ועורך שותף של הבלוג והפודקאסט crm.buzz

היי. אני סלע

אני שולח ניוזלטר שבועי עם מאמרים איכותיים בנושא שיווק, אימייל מרקטינג ודאטה

אני מזמין אותך להצטרף למקצוענים כמוך שכבר מקבלים את הניוזלטר

נרשמים לניוזלטר, עונים על סקר קצר ואולי מקבלים ספר