מה זה פישינג ואיך נזהרים מכייסים וירטואליים?

פישינג (phishing) היא שיטת הונאה המבוססת ברובה על שכפול אתרי 'דמה' הזהים לחלוטין לאתרים לגיטימיים, כמו אתרי בנקים, אתרי משלוחים, אתרי חברות אשראי ועוד. ההונאה פועלת באופן שבמהלך הגלישה באתרים אמינים, קופצת הודעת דואר אלקטרוני.

הודעות מסוג זה נחזות כהודעות המגיעות ממקורות שניתן לבטוח בהם, אך כוללות קישורים לאתרי אינטרנט מזויפים כגון אתרי בנקים. באמצעות אתרים אלה נוכלים מנסים לדלות מהגולש פרטים אישיים - בתוכם משולבים טפסים המעודדים גולשים להזין את נתוניהם המוכמנים - מספרי כרטיסי אשראי, סיסמאות, חשבונות בנק וכל מידע אישי אחר אשר הנוכל מבקש לחשוף.

לוחץ הגולש על מקש ה-Enter על מנת לשגר את המידע למערכות המחשוב של הבנק ולפתע מוצגת הודעת שגיאה "מתנצלת" בגין תקלה כלשהי בתקשורת ומציעה לגולש לנסות במועד מאוחר יותר. כמובן שבמועד

המאוחר יותר חשבונו של הגולש הרבה יותר "קל".

וישינג - סוג חדש של הונאה

ב-2006 התוודענו גם לסוג חדש של מתקפה העושה שימוש במענה קולי, שכבר הספיק לקבל את השם ווישינג (Vishing - Voice Phishing). עברייני גניבת המידע עולים מדרגה וכבר לא מסתפקים במשלוח הודעות דואר אלקטרוני המזמינות נמענים תמימים להיכנס לאתרי אינטרנט מתחזים.

עתה שולחים העבריינים הודעת דואר אלקטרוני הכוללת מספר טלפון לבירורים בלבד. תוכן הדואר האלקטרוני מודיע לנמען כי חשבון הבנק שלו נחסם ועליו להתקשר למספר הטלפון המופיע בהודעה. בצד השני של מספר הטלפון, מענה קולי הדורש מן המתקשר להזין את פרטיו האישיים כדוגמת מספר חשבון הבנק שברשותו.

דוגמה נוספת לווישינג פורסמה על-ידי ה-FBI שהזהיר משתמשים מפני מעשי הונאה חדשים באמצעות הודעות דואר אלקטרוני מרוצח שכיר הדורש מהמשתמשים לשלם כופר של אלפי דולרים או שחייהם יהיו בסכנה. לפי הודעות הדואר הרוצח השכיר נשכר על ידי חבר של מקבל ההודעה. מקבלי ההודעה נתבקשו להשיב מהר להודעת הדואר ולספק את מספר הטלפון שלהם.

הסטטיסטיקה אינה משקרת

הסטטיסטיקה יודעת לספר כי רוב האזרחים הנופלים קורבן למעשי ההונאה שייכים לשכבות המבוססות יותר. ככל שהקורבן עשיר יותר, הסבירות שהוא ייפול למלכודת קטנה יותר, אך כאשר זה קורה, הוא נופל בסכום גבוה יותר. מומחים בתחום צופים כי לקראת עונות החגים תחל עליה משמעותית בכמות ההונאות ברשת כי אחד מכל עשרה קונים בחגים עתיד להיתקל בניסיון הונאה. ההונאות באינטרנט מהוות מכה לא קטנה גם בעבור סוחרים ולא רק עבור צרכנים. קימות הערכות כי כל סוחר המשתמש באינטרנט צפוי לעבור לפחות ניסיון הונאה אחד.

למרות שמצבה של ישראל טוב מאשר ארה"ב ואירופה, יש לזכור כי גם בישראל חלה עלייה בכמויות ההונאה באינטרנט. חברת אלדין פרסמה כי ישראלים הפסידו כ-10 מיליון דולר במהלך שנת 2005 כתוצאה מהונאה וגניבת זהויות באינטרנט. מומחים מתחום האבטחה של גוגל מצאו כי האתרים של eBay ,PayPal ובנק אמריקה מרכזים 2/3 (63%) מהונאות אתרי האינטרנט.

חברות הטכנולוגיה והרשויות תוקפות חזרה

לאחרונה ניתן לראות כי חברות הטכנולוגיה אינן ממתינות לסיום טחינת הצדק האיטית ומנסות למנוע את תופעת הפישינג בעצמן. מיקרוסופט היא בין החברות הטכנולוגיות הנוקטות בפעילות יזומה כנגד תופעת הפישינג ובשנה שעברה השיקה יוזמה גלובלית לצמצום התופעה.

במסגרת זו גם הכריזה מיקרוסופט על שיתוף פעולה עם הממשל בניגריה, אפריקה. מדינה זו ידועה

כאחת מן המקורות הגדולים ביותר להונאות באמצעות דואר אלקטרוני. 

נוסף על כך, שדה הכתובת בדפדפן Internet Explorer 7 החדש הופך לירוק בעת גלישה לאתר חוקי. שדה הכתובת הצבעוני מתוכנן להוות סימן היכר לאתר בטוח, על ידי מתן "אור ירוק" להמשיך בעסקאות באתר. זהו עוד כלי במאבק נגד מעשי הונאה מסוג פישינג.

הרעיון להפוך את שדה הכתובת לצבעוני הוא חלק מן הקווים המנחים שנוצרו על ידי פורום תוכנת הגלישה CA, ארגון המאגד חברות המנפיקות אישורים לאתרי אינטרנט ויצרנים עיקריים של תוכנות גלישה. בין יתר הפעילויות היזומות של מיקרוסופט בשנה האחרונה, ניתן לראות הגשת 117 כתבי תביעה אזרחיים נגד גורמים שהונו את לקוחותיה במטרה לדלות מהם פרטים אישיים כגון מספרי כרטיסי אשראי.

וכן הגישה החברה 129 תביעות בנושא זה גם באירופה ובמזרח התיכון. חברה נוספת שנלחמת בתופעת הפישינג היא אמריקה אונליין (AOL) אשר פתחה בשלוש תביעות אזרחיות לסעד כספי כולל של 18 מיליון דולר נגד "כנופיות" העוסקות בדייג ואיסוף מידע. העילה, הפרת חקיקה משנת 2005 במדינת וירג'יניה האוסרת על "דיג מידע".

לחוק יש שיניים?

לקראת סוף 2006 עברה הצעת חוק חדשה באנגליה, הקובעת כי מתחילת שנת 2007, כל אתר אינטרנט המתחזה להיות אתר אחר או אף מוכר או מוסר כלים העשויים לשמש להשגת נתוני גולשים עשוי להיות מורשע בהונאה.

החוק נחשב כמהפכני באנגליה משום שעד היום הונאה באינטרנט הייתה עשויה להיכנס לתוך שמונה סעיפי חוק שונים, אשר לא עסקו בעבירת ההונאה במפורש, אלא: "השגת קניין באמצעים פסולים" למשל. בית המחוקקים האנגלי מקווה כי החוק ישיג את מטרתו, ולשם כך ניתנו לחוק שיניים - עונש מאסר מקסימלי של 10 שנים. באנגליה מקווים כי החוק יביא לשיפור ניכר בטיפול התופעה, שכן הנזק הנגרם מהונאות אלה הוא אדיר.

לעומת זאת, בקליפורניה, ארה"ב נחקק באחרונה חוק נגד פישיניג אך המושל שוורצנגר אשר חתם עליו לא נתן לו שיניים פליליות, למרות שהחוק מאפשר שימוש בסעיפי חוק אחרים לרבות נקיטה בהליכים פלילים.

ומה המצב בארצנו הקטנטונת?

בישראל אין כיום חוק המוקדש באופן יעודי רק לסוגיית הפישינג. אולם פעילות עבריינית שכזו נכנסת למסגרת מספר חוקים. לדוגמה, סעיף 3 לחוק המחשבים יכול להתאים לתופעת הפישינג, על כל עוד הפרשנות של הסעיף לעניין התוצאה המתקבלת מהטעיית בעל המידע תענה על הגדרת "מידע כוזב" או "פלט כוזב".

סעיפים 4-6 לחוק המחשבים אשר יכולים בנסיבות מסויימות להתאים לתופעת הפישינג, ככל שמדובר על עבריינים המשתמשים בצלצל במקום בחכה, לדוגמה - חדירה או שימוש בנגיף מחשב על מנת לאסוף מידע אודות לקוחות חברות אשראי או בנקים. הפישינג עונה גם כל הגדרות מרמה וזיוף בחוק העונשין. לכן, המקבל דבר במרמה, דינו - מאסר שלוש שנים, ואם נעברה העבירה בנסיבות מחמירות, דינו - מאסר חמש שנים.

מאידך, המקבל דבר בתחבולה או בניצול מכוון של טעות הזולת שאין בהם מרמה, דינו - מאסר שנתיים. המזייף מסמך, דינו - מאסר שנה; זייף מסמך בכוונה לקבל באמצעותו דבר, דינו - מאסר שלוש שנים; ואם נעברה העבירה בנסיבות מחמירות, דינו - מאסר חמש שנים. יש לציין כי גם המגיש או מנפק עמוד אתר מזויף או משתמש בו בדרך אחרת, בידעו שהוא מזויף, דינו כדין הזייפן.

בנוסף לעבירת המרמה, קימת עבירת ההונאה וההתחזות, המהווה את הבסיס לפעילות הפישינג. בהתאם לסעיף 441 לחוק העונשין נקבע כי מי שמציג עצמו בכזב כמישהו אחר בכוונה להונות, דינו - מאסר שלוש שנים; מאחר והעבירה הקלאסית לעניין פישינג היא גניבה, בין אם גניבת פרטים ובין אם גניבת זהות, סעיף 383. לחוק העונשין קובע כי אדם גונב דבר אם הוא...נוטל ונושא דבר הניתן להיגנב, בלי הסכמת הבעל, במרמה ובלי תביעת זכות בתום לב, כשהוא מתכוון בשעת הנטילה לשלול את הדבר מבעלו שלילת קבע.

לעניין גניבה - "נטילה" - לרבות השגת החזקה - בתחבולה. דינו של הגונב - מאסר שלוש שנים, זאת אם לא נקבע לגניבה עונש אחר לאור נסיבות העניין.

גם החזקת הפרטים אשר דג העבריין מקורבנו, הינם עבירה בפני עצמה, בשל היותם ברוב המקרים שווי כסף: לכן כל מי שיקבל במזיד, בעצמו או על ידי שלוח, דבר, כסף, נייר ערך או כל נכס אחר, כשהוא יודע כי בפשע נגנב, נסחט, הושג או נעשה בו, והנוטל עליו בעצמו או על-ידי שלוח, לבדו או ביחד עם אחר, את השליטה או העשייה בנכס כאמור, דינם - מאסר שבע שנים, כמובן שכל העבירות הללו חלות גם לגבי מבצע בצוותא ומסייע.

נוסף על כך, ניתן אף להטיל אחריות פלילית על האדם אשר למשל יצר את דף האינטרנט המדומה המשמש לדיג הנתונים. חוק הגנת הפרטיות חל אף הוא על עבירת הפישינג, משום גניבת פרטיו הסודיים של הקורבן לשם הפקת רווח. 2. פגיעה בפרטיות היא אחת מאלה: שימוש בשם אדם, בכינויו, בתמונתו או בקולו, לשם ריווח.

לבסוף, עבירת הפישינג מעלה גם עילה לתביעה נזיקית כנגד העבריינים, מכורח פקודת הנזיקין, חוק הגנת הפרטיות וחוק עשיית עושר ולא במשפט. בישראל עדיין לא הורשע אדם משום שביצע פישינג. העבירה הכי קרובה הייתה פרשת הסוס הטרויאני - פ 40061/06 מדינת ישראל נ' רות בת תומס האפרתי, מיכאל בן יוסף האפרתי, שם הוחדרה תוכנה למחשבי הקורבנות וזו שאבה מידע לא מסונן אל מחדירי הווירוס. מדובר למעשה בפישינג אקטיבי, למרות שהמעשה לא הוגדר כלל כפישינג, לא בתקשורת ולא בבית המשפט.

תופעת הפישינג לא תעלם כנראה בזמן הקרוב. כאשר מספר אתרי ההונאה, באמצעות דייג פרטים אישיים, מגיע לשיא כל הזמנים ולא נראה כי פעילות משפטית ואכיפה בסדר גודל שמושקע כיום, הופכת את חיי "הדייגים" לקשים יותר.אמצעי המאבק העיקריים נגד פישינג הינם אכיפה מוגברת, טכנולוגיה משופרת, חינוך ומודעות.

*זכרו כי כל מקרה לגופו, ובעת הצורך מומלץ לפנות לעו"ד המתמחה בתחום הרלוונטי. מידע נוסף הנוגע לנושא מאמר זה לרבות עסקי דין, מאמרים, חדשות, קישורים והצטרפות לרשימת דיוור, ניתן למצוא באתר דיני רשת .

כתבו: אביב אילון ונדב קגן. פורסם בגיליון ינואר-פברואר של "זמן דיגיטלי", מגזין ברזולוציה גבוהה. לחצו כאן לרכישת מנוי במחיר היכרות.