סוף שבוע של פורענות: מה עושים נגד מתקפות הפישינג?
חברות הסלולר ממש לא מציעות חבילות בשנקל, מקדונלדס לא תחלק לכם ארוחות חינם ושופרסל ממש לא תפנק בהנחות ענק. מה עושים כדי לא ליפול ברשת?
במהלך סוף השבוע האחרון, כנראה שקיבלתם הודעת SMS מאחת מחברות הסלולר הגדולות: "לקוח יקר, חבילת הסלולר/הגלישה שלך מסתיימת היום. לחידוש החבילה בעלות מבצע של 2.5 שקלים לחודש בצורה מאובטחת אונליין (לחצו על הקישור)". אלא שעל אף שההודעות האלה נשלחו, לכאורה, ממספרים המקושרים לחברות - מדובר בהונאת פישינג נרחבת.
ההודעות נשלחו לא רק ללקוחות החברות, וספקיות הסלולר הן לא הכסות היחידה. הודעת שרשרת שהועברה בוואטסאפ הבטיחה הנחות ענק לקונים ברשת שופרסל, והודעה אחרת הבטיחה ארוחות חינם ברשת מקדונלדס למי שיסכימו להשיב על סקר קצר. גם במקרים אלה מדובר היה בהונאת פישינג שהתפשטה במהירות בקרב משתמשים ברחבי הארץ.
הקישורים השונים שנשלחו הובילו במקרה של חברות הסלולר לעמוד תשלום בעברית, שאפילו נראה מאובטח על פי הנהלים. במקרה של מקדונלדס ה"סקר" הוביל לקישור להתקנת אפליקציית אנטי וירוס לטלפון, או אפליקציית היכרויות. במקרה של שופרסל הציבור הוזהר מפני וירוסים למכשיר. בכל המקרים מדובר בהונאות מתוחכמות יותר משהכרנו בעבר.
"פישינג" (או "דיוג" בעברית) הוא פרקטיקה עתיקה כמו האינטרנט. מדובר בניסיונות לגניבת מידע, התחזות וקבלת פרטים רגישים כמו מספרי אשראי, שמות משתמש וסיסמאות. מתקפות פישינג לובשות צורות שונות בכל פעם, והן הולכות ומשתכללות ככל שהמשתמשים לומדים לזהות אותן. זוכרים את הודעות המייל שהיו נשלחות ומבטיחות כי ירשתם סכום דמיוני מקרוב משפחה רחוק וכל מה שאתם צריכים עכשיו זה להעביר שכר טרחה לעורך-דין כלשהו והכסף בדרך אליכם? היום כבר כולם יודעים לזהות כי מדובר בפישינג, ולכן השיטות הפכו מתוחכמות הרבה יותר.
"הודעות ה-SMS הן צורת התקפה מסוכנת", מסביר רן בר-זיק, מתכנת ב-OATH, "כיוון שרוב האנשים לא יודעים כמה קל לזייף כתובת שולח של SMS. המסרונים הנשלחים מחברות בארץ, לא נשלחים ממספר טלפון אלא ממערכת ששולחת ללא טלפון - זו הסיבה שאי אפשר לראות את המספר שממנו מגיעים המסרונים. בארצות-הברית למשל, חייב להיות מספר מאחורי המסרון. הודעות בוואטסאפ קשה יותר לזייף, אך למרבה הצער נוכלים יודעים ליצור הודעות שמופצות באופן ויראלי".
ואכן, בניגוד לקישורים שרצים באווטסאפ או להודעות מייל שמנוסחות באמצעות תרגום מכונה, הרבה יותר קשה להתמודד עם פישינג בהודעות SMS, שנראה כאילו ונשלח מטעם החברה, ובמקרים מסויימים מופיע בתוך שרשור הודעות לגיטימי. אז איך בכל זאת מתמודדים עם הסכנה?
"חשוב להתייחס לכל SMS שמגיע בחשד כבד", אומר בר-זיק. "לא להיכנס כלאחר יד לקישורים הנשלחים, אלא רק כאשר יש זמן ופנאי לבחון היטב את האתר. במידה ויש חשד - כדאי ומומלץ לפנות לחברה עצמה. לגבי הודעות שרשרת בוואטסאפ, דרך ההתגוננות פשוטה יותר: לא להפיץ הודעות. דברים מצחיקים, תמונות או ממים כמובן שמומלץ לשתף - אבל מבצעים והצעות פיננסיות כדאי לשתף רק לאחר בדיקה מעמיקה". כחלק מהמאבק בתופעת הפייק ניוז וואטסאפ החלה לסמן הודעות שהועברו, כך שגם במקרים של ספאם ופישינג - תוכלו לזהות מיד שמדובר בהודעת שרשרת.
אבל הטיפ החשוב ביותר הוא לנהוג בהודעות האלה בעין ביקורתית: "אין ארוחות חינם" - וזה לא תקף רק למקדונלדס. חבילות שימוש ברשתות הסלולריות לא מוצעות במחירי רצפה, והדבר נכון גם לגבי 900 שקלים הנחה ברשת שופרסל. אם זה נראה טוב מכדי להיות אמיתי, זה כנראה פישינג. בנוסף, החברות שבשמן פעלו התוקפים הפיצו במהלך סוף השבוע ברשתות החברתיות ובתקשורת הודעות לציבור הלקוחות, ובהן הבהרות לגבי המתקפות השונות. כך שלפני שלוחצים על הלינק, מומלץ לבחון את הנושא לעומק.
