fbpx

מאמר אורח: לסיכום שבוע הסייבר – כל מה שצריך לדעת על פישינג

מאמר אורח מאת שרון קספר, מנהל תחום מודעות סייבר ומניעת דליפת מידע בבנק הפועלים.

מה זה פישינג (PHISHING)?
שיטת ההונאה הנפוצה והיעילה ביותר באמצעותה פושעי הסייבר גונבים פרטים אישיים, כסף או מדביקים מחשבים בנוזקות.

  • 92% מתקפות הסייבר כנגד ארגונים מתחילות באמצעות הודעות פישינג
  • החל מתקופת הקורונה והמעבר לעבודה מרחוק זינקו אחוזי מתקפות הפישינג במאות אחוזים
  • נכון ל 2021 ישראל במקום השני בעולם במתקפות פישינג עם מעל 3.3 מיליון ניסיונות

כיצד זה מתבצע?
פושעי הסייבר אוספים מידע על משתמשים בעיקר ברשתות החברתיות במטרה לייצר הודעה שנראית לגיטימית וכזו היכולה לגרום לעובד להגיב
ההודעה נשלחת לרוב במייל, מסרון, וואטסאפ או ברשתות החברתיות.

 אלמנטים פסיכולוגיים בתוכן ההודעה

  • לחץ והפחדה – החשבון שלך עומד להחסם
  • זכייה או הטבה – כרטיס זוגי במתנה לזמן מוגבל
  • יצירת סקרנות – מסמך סודי ביותר

פישינג היא הונאת הדיגיטל הכי אפקטיבית מצד פושעי הסייבר באמצעותה הם שולחים הודעות שלעיתים נראות לגיטימיות שמטרתן לגנוב את פרטי הזיהוי שלנו כדי לנסות להיכנס לחשבונות שלנו, לגנוב מידע אישי, להדביק את המכשיר בווירוס ועוד. 

ניתן לחלק את הודעות הפישינג לשני סוגים עיקריים:

spray phishing – הודעות גנריות שאינן מכילות פניה אישית אותם שולחים למספר רב של האנשים במטרה לתפוס לפחות כמה בודדים
Spearfishing – הודעות ממוקדות הנשלחות לאנשים או ארגונים ספציפיים לאחר שהתוקפים השקיעו משאבים רבים באיסוף מידע מקדים על המטרות/ הודעות אלו מאופיינות בפניה אישית לנמען ויעסקו בנושא המזוהה עמו, לרבות תחום התעסקות תחביבים אישיים וכדומה/ חברת הסייבר kaspersky פרסמה לאחרונה דוח המסכם את מתקפות הפישינג שראו בעולם ברבעון 2 לשנה הזו. הדוח מציג מעל 50 מיליון ניסיונות פישינג שאירעו בעולם בתקופת זמן זו, ושימו לב לנתון הבא: 6.65 אחוזים מתוכם פנו לעבר ישראלים (מעל 3.3 מיליון). בכך ישראל דורגה במקום השני בעולם אחרי ברזיל (6.7 אחוז למדינה עם מעל 212 מיליון אזרחים).

בשבוע הסייבר כדאי להיזכר במתקפות הפישינג הנפוצות ביותר שהיו בארץ בשנה האחרונה, בנוסף כמה עצות  כיצד להתגונן מפני התקפות מהסוג הזה

אחת מהונאות הפישינג המתמודדות על תואר "ההודעה הנפוצה ביותר בשנה הזו" היא הודעות המתחזות לחברות שילוח ושירותי דואר מוכרות כמו דואר ישראל, DHL ודומיהם. ריבוי ניסיונות fishing בתחום זה קורה לאור ביקושים גוברים לשירותי משלוחים בתוך הארץ ומהעולם שהעלו הילוך עקב מגפת הקורונה והעלייה החדה בביצוע רכישות מקוונות. התוקפים מאמינים שיש המון רוכשים פוטנציאלים שיחשבו שההודעה רלוונטית אליהם ואף הגיוני שיגיבו להודעה שמציגה נוסח שקשור לחבילה שמצפים לה ולא יבחינו שמדובר בהודעה מתחזה.

הקמפיינים השונים כללו לוגו של חברה מוכרת אם של דואר ישראל או חברת שילוח בינלאומית, בכותרת מתחזה מספר חבילה ולעיתים אף קישור לביצוע תשלום לטובת שחרור ממכס. לחיצה על הקישור מפנה לעמוד מתחזה בו נדרש להזין את אמצעי התשלום. 

במידה וקיבלת הודעה דומה יש לנהוג באופן הבא: 

  1. במקום ללחוץ על הקישור בהודעה, עשו את המסלול הבטוח והיכנסו לאתר הרשמי של חברת השילוח דרך גוגל. 
  2. באתר חפשו את אזור מעקב המשלוחים והזינו בשורת החיפוש את מספר החבילה שקיבלתם בהודעה.
  3.  במידה וההודעה אמיתית, תוצאות החיפוש תציג את סטטוס המשלוח. במידה וההודעה לא אמיתית, סביר להניח שנקבל תוצאה כדוגמת אין נתונים.
  4.  במקרים רבים ניתן ליצור קשר ישיר עם שירות הלקוחות של חברת השליחויות לבירור אודות החבילה.
שרון קספר, קרדיט: אביב גוטליב

מתקפות הפישינג הבולטות של השנה האחרונה:
בחודש ספטמבר האחרון התפשט קמפיין שופרסל בוואטסאפ, תחת הגרלה שבמסגרתה ניתן לזכות במתנה בשווי 2000 שקלים לאחר המענה ביקשו להזין פרטים אישיים ולהפיץ ההודעה לחברים נוספים.
חברת שופרסל פרסמה הצהרה שלא קיים קמפיין כזה, הדבר הוא מבחינתם הונאה פרסומית שמטרתה להתחזות לרשת במטרה לאסוף מידע מאזרחים.
גם ענף הרכב זכה לקמפיין פישינג, בחסות חגיגות ה-100 לטויוטה- הגרלה בה ניתן לזכות במכשיר סלולרי מתקדם מדגם גלקסי S21
בשני הקמפיינים הללו מדובר בהונאה דומה המבטיחה הפרס נחשק כל עוד המשתתפים בהגרלה ימלאו פרטים ויפיצו הלאה לחבריהם.

כיצד כדי לנהוג עם הודעות מסוג זה: 

  1.  במידה וקיבלתם הודעה כזו תנהגו בחשדנות ואל תמהרו למסור את פרטיכם האישיים.
  2.  במקום ללחוץ על הקישור, גם כאן מומלץ לעשות את המסלול הבטוח והיכנסו לאתר הרשמי של החברה או לאפליקציה הרשמית. במידה והטבה אמיתית היא כנראה תוצג בעמוד הראשי של האתר או באפליקציה באופן בולט. 

משבר הקורונה גרם למרביתנו לבלות יותר זמן בבית ובכך, השימוש בשירותי הצפייה השונים ובראשם נטפליקס נסק במאות אחוזים. פושעי הסייבר לא נשארו לצפות בסדרות האהובות עליהם ונצלו את המומנטום לקמפיין פישינג מטעם נטפליקס.

מחקר של חברת צ׳ק פוינט שיצא בשנה האחרונה מציג הכפלה במספר אתרי הפישינג העושים שימוש בשם נטפליקס וזינוק בניסיונות הפישינג באותם אתרים מתחזים. קמפיין זה מאופיין בשתי דרכים עיקריות, שמטרתן להשיג פרטי לקוחות וחשבונות בנק של ישראלים – הודעת מסרון המכילה קישור לאתר מתחזה של נטפליקס או מייל המתחזה להודעה רשמית מטעם החברה. בשתי הדרכים נוסח ההודעה הציג שכביכול התגלתה בעיה באמצעי התשלום או שיש צורך לעדכן את פרטי המשתמש יחד עם הפנייה לאתר מתחזה.

הנה כמה טיפים מתוך אתר נטפליקס לזיהוי הודעות חשובות הקשורות לשירותי החברה:

  1. נטפליקס לעולם לא תבקש להזין פרטים אישיים בהודעת טקסט או מייל
  2.  נטפליקס לא תדרוש כרטיס חיוב מיידי או כרטיס אשראי פרטי חשבון בנק או סיסמאות
  3.  נטפליקס לא תדרוש תשלומים באמצעות ספק חיצוני או אתר אינטרנט חיצוני
  4.  אם בהודעת הטקסט או המייל מצורף קישור לכתובת אתר שאינה מוכרת לכם אל תלחצו. אם כבר לחצתם חשוב לא להזין פרטים באתר אליו הגעתם

אלפי ישראלים קיבלו בשנה האחרונה הודעות במסרונים ובמיילים המתריעים כביכול על בעיה בחשבון PayPal. ההודעה מכילה קישור המפנה לאתר מתחזה בו נדרשים המשתמשים להזין את שם המשתמש והסיסמה לחשבון PayPal ובהמשך גם מבקשים פרטי כרטיס אשראי. מטרת התוקפים היא ברורה – השגת פרטי חשבונות PayPal של משתמשים תמימים במטרה להעביר אליהם את הכספים.

חברת אבטחת המידע ESET מדווחת בנושא כי מדובר בהודעות פישינג שנשלחו לתפוצה רחבה במיוחד של אזרחים חלקם בעלי חשבון PayPal וחלקם מעולם לא נכנסו לאתר או השתמשו בשירותי האתר. לפי פרסומים זרים ההשערה היא שמאחורי קמפיין PayPal שנשלח לישראלים מסתתרת קבוצת תוקפים בחסות מדינת לוב או גורם שמסווה את עצמו שכזה. זאת מאחר וחקירת הקמפיינים הציגה שימוש באתר של ארגון לובי העוסק באיכות הסביבה. יתכן שבעלי האתר כלל לא ידע שהאתר שלו משמש לקמפיין נגד ישראלים או בכלל. מה שבטוח שהגורם שהפיץ את הקמפיינים השיג את מספרי הטלפון של הישראלים וניסה להפיל אותם בפח.

אז איך כדאי להתנהג עם הודעות מהסוג הזה?

  1. אם אין לכם חשבון PayPal מומלץ למחוק את ההודעה מבלי ללחוץ על קישורים או להשיב עליה.
  2.  במידה וקיים לכם חשבון PayPal במקום ללחוץ על הקישור בהודעה עשו את המסלול הבטוח והיכנסו לאתר החברה ביוזמתך במידה וההודעה אמיתית היא תופיע בחשבונכם.

פושעי הסייבר מנסים להשיג את פרטי הזיהוי שלכם כדי להשתלט על חשבונותיכם (כמו PayPal, Amazon ואחרים ולגנוב מהם כספים. בדומה לאופן שבו אתם שומרים על מפתחות דלת הכניסה לביתכם ולא מוסרים אותם לאדם שאתם לא סומכים עליו או מחליפים את המנעול במקרה של אובדן המפתח, כך יש לשמור גם על פרטי הזיהוי המשמשים לכניסה לחשבונותיכם הדיגיטליים. אל תעבירו לאף אחד את קוד המשתמש, הסיסמה וקודי אימות הנשלחים אליכם. מומלץ מאוד לקבוע סיסמה מורכבת וייחודית לכל אחד מחשבונותיכם.

חלק גדול מהאתרים מאפשרים רכישות באמצעות כרטיס אשראי בלבד. אך האם זה בטוח? אמנם במקרה הכי גרוע, פרטי הכרטיס שלנו ייגנבו וישמשו לרכישת מוצרים, אם כי סביר להניח שחברת האשראי (או הבנק) תזהה את הגניבה ונקבל החזר. אבל התהליך כרוך בטרחה ובהחלפת הכרטיס ועדכון החיובים השוטפים.

אחד הפתרונות הוא שימוש בכרטיס נטען. שירותים שונים מציעים כרטיס נטען בינלאומי המאפשרים רכישות און-ליין באמצעות כרטיס ייעודי שנטען מראש בסכום המקסימלי שאתם מקצים. כך נמנע הצורך להקליד באתרים את פרטי הכרטיס האמיתי שלנו ולהיחשף להונאה.

לידור צרויה
עם מספר שנים של עבודה וניסיון בתחום ה-New Media והטכנולוגיה, לידור החליט להקים את Tech-IL בשנת 2018 עם מטרה ברורה – להיות שם דבר בתחום הטכנולוגיה. עם ניסיון וידע רב בניהול דיגיטל, עריכה, וטכנולוגיה, לידור מביא מוטיבציה ורצון לשים תוכן איכותי וטוב בחזית המדיה ע"י סיקורים, חדשות, וסרטונים בערוץ היוטיוב.
דילוג לתוכן