פישינג, איך לזהות ולמנוע הונאות באינטרנט

משהו כאן פישי

יצא לכם לקבל פעם או פעמיים דואר זבל? כזה שמנסה למכור לכם משהו שלא בא לכם ואתם לא יודעים מאיפה בכלל יש להם את כתובת המייל שלכם?

אז פישינג ("דיוג" בעברית צחה) זה די דומה, רק שהם עובדים יותר בטקטיקות של הפחדה, הטעיה ופיתוח ציפיות.


האמצעים העיקריים בהם מבצעים פישינג הם מיילים (דואר אלקטרוני), דפי אינטרנט מתחזים (אתרים מזויפים), הודעות טקסט ומסרים מיידיים באפליקציות שונות, שנשלחים לאנשים במטרה לגרום להם למסור מידע פרטי כמו שם משתמש, סיסמא, מספר כרטיס אשראי ועוד.


פישינג זה ניסיון לגנוב מידע רגיש על ידי התחזות לחברה לגיטימית כמו חברות כרטיסי אשראי, בנקים, ספקי דואר אלקטרוני וכדומה.

הם מבקשים ללחוץ על קישור שמוביל לאתר דומה מאוד (מאוד!) לאתר החברה המקורי, אבל הוא ממש לא.

ההתחזות נראית טוב בדרך כלל: מכילה את הלוגו המקורי ולפעמים הוא נשלח ממישהו ברשימת אנשי הקשר שלכם (פרצו לחברים שלכם למייל).


נכון שגם אתם עושים יותר פעולות כלכליות ברשת בשנים האחרונות? שימוש באתר הבנק לביצוע פעולות בנקאיות, תשלום של חשבונות וכדומה.

זה הביא לעלייה במספר התקפות הפישינג שמנסות להשיג סיסמאות לבנקים, לחשבון ה-PayPal, או את מספר כרטיס האשראי יחד עם קוד הזיהוי.

השאלה היא לא 'האם מכונות חושבות?', אלא 'האם אנשים חושבים?'

זו לוחמת סייבר לכל דבר.

השולחים בדרך מפיצים את האימייל הנגוע לרשימות ארוכות של נמענים והם מסתפקים באחוזי הצלחה בודדים. הפניה שלהם אינה אישית אלא עם ביטויים כלליים, אבל האימייל שהם שולחים נשלח לכל אחד בנפרד, כך שקשה לדעת אם אתם חלק מרשימה ארוכה או שפנו אליכם באופן פרטי.


הנזקים שיכולים להיגרם

פוטנציאל לנזקים כלכליים עצומים. בעזרת מידע כמו שם משתמש וסיסמא אפשר לרוקן את חשבון הבנק, לעשות קניות ולפגוע במוניטין של עסק. אפשר להשתלט על הפייסבוק, על האינטסגרם, על הלינקדאין, בקיצור - גניבת זהות, ואפילו לשלוח לחברים שלכם תוכנות זדוניות ולפגוע גם בהם.


כופר

כופר הוא הדרך הנוחה והקלה להרוויח כסף.

נוזקת כופר (malware) מגבילה את הגישה למחשב הנגוע ומטרתה לסחוט מהמשתמשים תשלום (דמי כופר) כדי שיוכלו להשתמש במחשב שלהם.


אז מה עושים?

קודם כל צריך לזהות את הבעיה.

בפעולות הונאה כאלה משתמשים לעיתים קרובות באתרי-דמה, הנראים כהעתק מדויק של האתר הרשמי.


סימנים לזיהוי:

- אימייל כללי ללא פנייה אישית:

"לקוח יקר", "זכית בהגרלה", "חשבונך נפרץ".


- האם יש במייל שגיאות איות?

שפת ההודעה יכולה להיות עילגת, מלאה בשגיאות כתיב ובסימנים שונים כמו סימני קריאה, אותיות באנגלית, תחביר רעוע או שפה לקויה. רוב המיילים נכתבים בשפה האנגלית, אבל בחלק מהמקרים מגיע מייל פישינג בעברית קלוקלת, לרוב בתרגום של גוגל.


- הקישור בהודעה מכיל תווים מוזרים, מוחלפים או כתובות שאינן מקוריות, לדוגמא:

www.go0gle.com

(שימו לב שהאות o הוחלפה במספר 0).


- כאשר אתר אינטרנט חשוד כמתחזה, שורת הכתובת בדפדפן תופיע על רקע אדום או צהוב, ולצידה תוצג התראה.

אם אתם גולשים בגוגל כרום בדקו כי יש מנעול סגור משמאל לכתובת האתר, כזה:



הידעתם? שליש מכלל מתקפות הפישינג מבוצעות במטרה להשיג עלינו מידע פיננסי

סימני זיהוי נוספים:


- מישהו פונה אליכם ומבקש לשלוח פרטים אישיים שהוא אמור כבר להכיר: המורה מבקשת את כתובתכם, קופת החולים מבקשת את מספר תעודת הזהות שלכם.


- אם תקבלו הודעה של חברה שאתם לא מנויים בה - החשד אמור להיות משמעותית יותר גדול.

בהרבה מקרים השולח יתחזה לאתרי מסחר בינלאומיים כמו אפל, איביי, פייפאל, פייסבוק וכדומה, כך שהסבירות שתחשבו שמדובר בדואר לגיטימי גדלה.


- כתובת הדוא"ל של השולח לא מתאימה לתוכן המכתב. לדוגמה, מכתב מהבנק שנשלח מכתובת בג'ימייל.


- מישהו מבקש מכם להוריד אפליקציה באמצעות קישור בהודעה. הורידו אפליקציות רק ממקור מוכר ואמין כגון חנויות האפליקציות של גוגל ואפל.


- בהודעה יש נימה של דחיפות, איום או פיתוי.

תכלס - זה הכי נפוץ.

למשל זכייה בפרס, מבצע אטרקטיבי, בעיות אבטחה, איום על סגירת חשבון, בקשה לעזרה דחופה ממישהו לא מוכר. ביטויים מעודדים כמו "זכית בהגרלה" או איום כמו "החשבון שלך עומד להיסגר" ו"זיהינו בעיה בחשבון שלך". ניסיונות להלחיץ באמצעות סנקציה או מועד אחרון: "בכרטיס האשראי שלך בוצעה עסקה ב- 12/09 בסך 1225 ₪. לצפיה בהזמנה לחצו על הלינק".


- ההודעה תכיל בקשה להנעה לפעולה כמו לחיצה על כפתור או קישור לעדכון פרטים, איפוס סיסמה, קישור לחידוש דומיין וכדומה.


- פישינג טלפוני

בדרך כלל מגיע ממספר לא מזוהה, מהצד השני מזדהים כ"שירות לקוחות" של חברה מפורסמת המנסה לקבל ממך פרטים אישיים או פרטי אשראי. אל תתפתו לתת להם גם "המבצע תקף ל-5 דקות הקרובות".

אם ינסו למכור לכם משהו ואתם מעוניינים בזה, סיימו את השיחה והתקשרו לשירות הלקוחות הרשמי של החברה ובקשו את המידע.

"בטיחות חשובה יותר מנוחות"

פעולות ומניעה:

- אל תיכנסו לחשבון הבנק דרך הקישורים שבהודעות מייל.

מומלץ להקליד את כתובת אתר הבנק באופן ישיר בשורת החיפוש ולא ללחוץ על קישורים של הודעות לא מוכרות.

- בנקים, חברות כרטיסי אשראי, פייסבוק, פייפאל, לינקדאין, איביי וגוגל לא ישלחו לכם מכתב אזהרה כי חשבונכם עומד להיחסם ולא ידרשו מכם להכניס את פרטיכם האישיים או לעדכן פרטי הזדהות באתר או באפליקציה.


- אל תפתחו קבצים מצורפים שהגיעו בהודעות דואר אלקטרוני, בהודעות טקסט, בוואטסאפ ובכל מקום אחר, אם אתם לא יודעים מי השולח או אם אפשר לסמוך עליו. 


- בשום מקרה אין לשלוח בדוא"ל פרטים אישיים (שם משתמש, סיסמאות, מספר חשבון, מספר כרטיס אשראי וכדומה) לאף אחד.


- במידה והזנתם את פרטי ההזדהות שלכם: היכנסו מיידית לחשבון דרך האתר הרשמי, החליפו סיסמא ובדקו את התנועות האחרונות שבוצעו. תוכלו לפנות לחברה ישירות (ושוב - לא דרך הקישור שבאימייל) ולשאול אותם אם הם שלחו את ההודעה, או שתוכלו לדווח עליה כהודעת פישינג.

המילה פישינג מאוייתת בצורה שונה מבדרך כלל: phishing

- כופר

לא לשלם לתוקף. תשלום עלול לעודד את התוקף, ולגרור פעולה חוזרת של מתקפת נוזקת כופר מצד התוקף.

מומלץ להתכונן מראש ולשמור גיבויים של הקבצים החשובים שלכם באופן קבוע על כונן חיצוני או בענן.


- תשתמשו בתוכנת אבטחה צד שלישי הכוללת בנוסף לאנטי וירוס גם הגנה מפני תוכנות ריגול, חומת אש ואנטי ספאם, או שירותי VPN, לצורך מענה אבטחתי ברמת המחשב האישי ובמכשיר הטלפון הנייד. הקפידו על עדכניות מערכת ההפעלה. אם אתם חושדים שנפגעתם, בדקו וירוסים ורוגלות במחשב שלכם.


- החליפו סיסמאות באופן קבוע. הקפידו על סיסמאות מגוונות ושאינן חוזרות על עצמן. שלבו אותיות ומספרים.



גם אם אתם בני מלוכה נסתרים ונסיך ניגרי ביקש מכם עזרה כספית, לא הגיוני להעביר לו כסף.



אזהרה: התכנים באתר מוצגים למטרות אינפורמטיביות בלבד וללא אחריות מכל סוג שהוא. אינני בעל רישיון לעסוק בייעוץ השקעות, ייעוץ פנסיוני, ייעוץ משפטי או ייעוץ מס כהגדרתם בחוק. אין לראות בתכני האתר בבחינת ייעוץ מקצועי כאמור, ובכלל זה שידול, שיווק או המלצה לביצוע או אי-ביצוע של פעולה כלשהי בניירות ערך. המידע באתר עלול להיות חסר, שגוי, בלתי עדכני או בלתי מותאם לצרכיו המיוחדים של כל אדם, ועל כן חובה להיוועץ באיש מקצוע בטרם ייעשה בו שימוש. בעלי האתר לא ישאו באחריות לכל נזק שייגרם כתוצאה ישירה או עקיפה מן השימוש בתכנים. גלישתך באתר מהווה הסכמה מפורשת להסרת אחריות משפטית ולתנאי השימוש

אין אנו ערבים לנכונות המידע ועדכניותו ולכל תוצאה שתיגרם עקב שימוש במידע זה. אין לראות במידע כל המלצה לביצוע פעולה.

באתר זה נעשה שימוש בקבצי "עוגיות" (cookies). המשך גלישתך באתר מהווה הסכמה לשימוש זה. לתקנון המלא לחצו כאן.

© כל הזכויות שמורות לרונן סימיאן. אין להעתיק או להשתמש במידע המופיע באתר ללא רשות מראש ובכתב |  בניית אתר: סטודיו קורלי