מורה נבוכים למתקפות סייבר
כמה פעמים שמעתם על סוס טרויאני, תולעת מחשב או תוכנת כופר ולא ממש ידעתם מה ההבדל או מה עושה על אחד? קבלו את המדריך המקיף למתקפות סייבר, שלא ישאיר אתכם עם סימני שאלה בפעם הבאה שתתקלו במונחים הללו
תוכנות זדוניות
למרות שמשתמשים בו לעיתים יחסית נדירות, "נוזקה" הוא המונח העברי הנכון ל- Malware, שהוא קיצור באנגלית לצירוף Malicious Software. "תוכנות זדוניות" או "נוזקות" הן המונחים המתארים את כלל הסוגים של התוכנות המזיקות למחשב או לסמארטפון שלנו. למרות שבמקרים רבים עדיין נוטים להשתמש במונח "וירוס" כדי לתאר את כלל התוכנות הזדוניות, מה שלא עושה צדק עם המונח.
וירוס, למעשה, הוא סוג מאוד מסוים של נוזקה, ומה שמייחד ומבדיל אותו מתוכנות זדוניות אחרות הוא אופן ההדבקה וההתפשטות שלו במחשבים. הווירוס מעתיק את עצמו על ידי הדבקה של קבצים במחשב, בדיוק כפי שווירוסים מדביקים תאים בריאים בגוף ומשתמשים בהם כדי להתרבות.
ניתן לעשות דברים רבים עם וירוסים, כמו לגנוב סיסמאות לחשבונות מקוונים, להציג פרסומות קופצות, או פשוט לגרום להתרסקות של המחשב אבל המאפיין העיקרי של וירוס הוא הדרך בה הוא מתפשט. כשקובץ או תוכנה הנגועים בווירוס מופעלים במחשב, הוא ידביק קבצים ותוכנות נוספים באותו מחשב. אם מעבירים קבצים או תוכנות נגועים באמצעות דיסק-און-קי למחשב אחר, הווירוס ידביק את הקבצים והתוכנות באותו המחשב וכן הלאה.
סוג נוסף של תוכנה זדונית, המזכירה מאוד את הווירוס באופן פעולתה, נקראת תולעת (worm). התולעת דומה מאוד לווירוס מבחינת הפעולות המזיקות שהיא מסוגלת לבצע על גבי מחשבים נגועים, אך ההבדל העיקרי בינה לבין וירוס היא הדרך שבה היא מדביקה מחשבים אחרים; בניגוד לווירוס, שדורש הפעלה של קובץ או תוכנה נגועים, התולעת מפיצה את עצמה בצורה עצמאית על גבי רשתות פנימיות או רשת האינטרנט. דוגמה טיפוסית היא תולעת שלאחר הדבקת המחשב שולחת את עצמה לכל כתובות האימייל השמורות במחשב.
בניגוד לווירוס ולתולעת, הסוס הטרויאני (Trojan Horse) הוא סוג של נוזקה שמנסה להתנחל לנו במחשב במסווה של קובץ או תוכנה לגיטימיים. כשמורידים ומפעילים את התוכנה, הסוס הטרויאני ירוץ ברקע ויאפשר לתוקף להתחבר למחשב מרחוק או לשלוף ממנו מידע. סוסים טרויאנים כאלה יכולים גם לשמש את התוקף כדי לעקוב אחר הפעולות שמתבצעות על המחשב, צירוף המחשב לבוטנט (נסביר מהו בהמשך), או כדי להוריד נוזקות נוספות למחשב בהתאם לרצון ההאקר ששתל אותו אצלכם.
בניגוד לווירוסים ותולעים, שינסו להפיץ את עצמן ככל הניתן ממחשב נגוע, המטרה של סוסים טרויאנים היא לפעול ברקע בשקט, כדי לא לעורר את החשד של המשתמש. דרכים נפוצות להדבקה של סוסים טרויאנים הן דרך תוכנות פרוצות או אתרים עם תכנים לצפייה ישירה.
משפחה נוספת של תוכנות זדוניות היא משפחת תוכנת הריגול (spyware), וכפי שמשתמע מהשם שלהן, מטרת תוכנות ריגול היא לעקוב אחר המשתמש ללא ידיעתו ולאסוף עליו מגוון רחב של סוגי מידע. בהרבה מהמקרים תוכנות הריגול משולבות בטרויאנים, כמו למשל טרויאנים המתעדים את הקשות המקלדת שלכם על מנת לגנוב את פרטי כניסה לחשבון הבנק.
ישנן גם תוכנות ריגול, המשולבות עם תוכנות חינמיות, שאוספות מידע על הרגלי הגלישה של המשתמש כדי למכור אותו לחברות פרסום.
אי אפשר להזכיר פרסום מבלי לדבר על סוג נוסף של תוכנות זדוניות המכונות תוכנות פרסום או Adware שכל תכליתן הצגה של פרסומות על גבי המחשב. למעשה, תוכנות הפרסום האלה אינן מוגדרות כנוזקות כלל, למרות שהן משולבות לעתים קרובות עם תוכנות ריגול, כך שתוכנת הריגול אוספת מידע על הרגלי הגלישה של המשתמש, ותוכנת הפרסום מקפיצה לו פרסומות מותאמות. תוכנות ה-Adware למיניהן בעיקר פוגעות בפרטיות המשתמש, אך פושעי הרשת עלולים להשתמש בהן ככלי להפצה של תוכנות זדוניות אחרות.
תוכנת תיעוד הקשות (keylogger) היא סוג נוסף של נוזקה הפועלת ברקע ומתעדת את כל ההקלדות שאתם עושים במחשב. בגרסאות חכמות יותר הן יודעות להתחיל לתעד הקלדות רק כשהמשתמש מקליד פרטי חשבון בנק או סיסמה לאימייל, או מתחבר לפרופיל ברשת חברתית. קיימות גם גרסאות חוקיות של תוכנות לתיעוד הקשות, המיועדות לשימוש של חברות המעוניינות לעקוב או לנטר אחר פעילות העובדים במהלך יום העבודה, או עבור הורים שרוצים להגן על ילדיהם מתכנים לא רצויים באינטרנט. גם תוכנות לתיעוד הקשות משולבות פעמים רבות עם תולעים או סוסים טרויאנים, כמו התולעת המפורסמת Conficker שנהגה לגנוב את הסיסמה של מנהל הרשת על מנת להדביק את כל התחנות והשרתים ברשת.
עתיד פשיעת הסייבר
התחום החם ביותר בעולם הנוזקות ואבטחת המידע כיום הוא תוכנות הכופר (ransomware), ולא סתם הן מקבלות סעיף שלם משלהן. תוכנות הכופר הן מהאיומים הנפוצים ביותר והן מהוות אחוז משמעותי מכלל הנוזקות בעולם. שיעורי ההדבקה בתוכנות הכופר נמצאים בעליה מתמדת בשנים האחרונות, עם יותר ויותר פושעי סייבר המאמצים אותן, בעיקר משום שהן מאפשרות להם הכנסה כספית ישירה, בניגוד לנוזקות אחרות שבדרך כלל מצריכות מכירה של מידע לגורם נוסף.
תוכנות כופר הן נוזקות המחזיקות את הגישה למחשב, או לקבצים חיוניים למשתמש, כבני ערובה, ודורשות תשלום של כופר עבור החזרת הגישה אל המחשב או המידע. בגרסאות המוקדמות שלהן, תוכנות כופר בדרך כלל היו נועלות את הגישה למחשב ומציגות את הודעת הכופר עם עליית המחשב, אולם השיטות שבהן השתמשו לנעילת המחשב היו בדרך כלל פשוטות יחסית וניתנות לתיקון בקלות.
בגרסאות העדכניות שלהן, מהשנתיים האחרונות, סורקות תוכנות הכופר את המחשב ומצפינות קבצים חיוניים כמו קבצי אופיס ותמונות בהצפנה שבמרבית המקרים אינה ניתנת לפריצה. כדי לפתוח את ההצפנה של הקבצים נדרש מפתח הצפנה, שהתוקפים מבקשים עבורו את תשלום הכופר.
מדוע תוכנות אנטי וירוס לא נקראות תוכנות אנטי-נוזקות?
מדובר בעיקר בשימור של מושגים שהשתרשו בשנות ה-90, כשסוג הנוזקות היחיד בנמצא היה וירוסים. למרות שווירוסים מהווים היום אחוז זניח מכלל סוגי הנוזקות, גם אנשים מתחום ההיי-טק ממשיכים להשתמש במושג "מחשב עם וירוס" כשהם פונים אלינו לעזרה. תוכנות אנטי-וירוס אינן מגינות רק בפני וירוסים, אלא בפני מכלול הנוזקות, ולכן השחקניות החדשות בתחום מוסיפות בדרך כלל את המילים Security או Anti-Malware במקום המונח Antivirus.
הכותב הוא מנהל טכנולוגיות בחברת אבטחת המידע ESET ישראל.