עד כה ראינו בעיקר מתקפות פישינג על אתרים גדולים מאוד, בעלי תעבורת משתמשים/לקוחות גדולה מאוד. לתומי הערכתי כי אין תועלת רבה בתקיפת מטרות קטנות וכי מן הסתם לא נראה פישינג בארץ (מהסיבות האלה בעיקר). אלא שאז נתקלתי בכתבה משעממת שהכותרת שלה היא "גנבי זהות מתכווננים על גופי מסחר אלקטרוני קטנים". זה הזכיר לי את תורת הזנב הארוך ואת העובדה שמתקפות Cross Site Scripting מובילות את עולם הפריצה המקוון.
תורת הזנב הארוך מתייחסת להתפלגות נתונים מסוימת בה כמות קטנה של מופעים תופסת נתח מרכזי, אך סך המופעים ה"זניחים" משמעותי אף הוא. לדוגמא - ספרים. 10 רבי מכר מחזיקים 35% מהמכירות. 65% מהמכירות משויכות ל-1500 ספרים. לכן לרוב החנויות כדאי להתמקד במכירת רבי המכר, כי החזקת המלאים של כל שאר הספרים גדולה מאוד ואינה כדאית כלכלית. אך אמזון לדוגמא, הפכה את הזנב הארוך למכרה זהב. מאחר ומלכתחילה שיטת ניהול המלאי שלה שונה מחנות רגילה היא הצליחה להגיע לקהל יעד עצום, הצרכן של ה-65%, עליו מוותרות רוב החנויות. הזנב הארוך הנו מונח שנולד לפני כשלוש שנים ולמעשה טוען שבאינטרנט קל יותר להגיע לזנב הארוך ולייצר ממנו כסף ולכן אין הכרח להתמקד רק במופעים המרכזיים.
מה בין זה לאבטחת מידע?
פישינג הנה מתקפה זולה באופן יחסי. ייתכן מאוד כי לאחר שהאתרים הגדולים, המהווים את היעד המרכזי למתקפה כיום, יהיו מספיק מוגנים, נתחיל לראות את המתקפות זולגות לכיוון של אתרים קטנים של גופי מסחר שאמנם קהל היעד שלהם קטן יותר, אך גם המשאבים שהם יכולים להקצות לאבטחה קטנים משמעותית.
אך ניתן לקחת את זה גם מעבר לפישינג, לכיוון של גניבת מידע (בידיעה ממנה התחיל העניין נגנבו פרטי כרטיסי אשראי מהאתר), וזה עולה בקנה אחד עם המגמה של מתקפות יותר ממוקדות. בקיצור, הזנב הארוך מציף יתרון כלכלי לגורמי פשיעה.