גל חדש ומתוחכם של מתקפות "פישינג" (דיוג) שוטף ביממה האחרונה את המכשירים הסלולריים בישראל. לפני יומיים נשלח גל של הודעות SMS ממקור ככל הנראה צפון קוריאני (קבוצת לזרוס) שהתחזה להודעות של פיקוד העורף.
כעת גל נוסף נשלח (לא ברור אם מאותו המקור) והפעם, היעד אינו רק פרטי כרטיס האשראי שלכם, אלא ניסיון ישיר להשתלטות על ארנקים דיגיטליים דוגמת Apple Pay וגישה ישירה לחשבונות בנק. המתווה מוכר אך האכיפה מאתגרת: הודעת SMS המתחזה להודעה רשמית של דואר ישראל, המדווחת על "חבילה הממתינה במרכז המיון" ודורשת עדכון פרטים מהיר.
מניתוח של ההודעות שנשלחו למשתמשים רבים, עולים מספר סימנים מובהקים המעידים על כך שמדובר באתר מתחזה ובניסיון עוקץ:
- קידומת בינלאומית חשודה: ההודעות נשלחות ממספרים בעלי קידומת זרה, במקרים רבים מהפיליפינים (+63). דואר ישראל, כגוף לאומי, עושה שימוש במערכות הפצה מקומיות או בשם שולח מזוהה (Alpha-numeric) ולא במספרים פרטיים מחו"ל. עם זאת יש לציין שמערכות כאלה קלות מאוד לזיוף - כך שקשה להסתמך עליהן.
- מניפולציה של כתובות (URL): התוקפים משתמשים בשמות דומיין דומים מאוד למקור, אך בעלי סיומות שונות. בעוד האתר הרשמי מסתיים ב-co.il, האתרים המתחזים משתמשים בסיומות גנריות או בשינויי אותיות קלים שנועדו להטעות את העין הבלתי מאומנת.
- דרישת קוד אימות (OTP): זהו "יעד הזהב" של התוקף. דואר ישראל לעולם לא יבקש מהלקוח להזין קוד אימות חד-פעמי שנשלח מהבנק או מחברת האשראי. קוד כזה נועד לאשר הצמדת כרטיס לארנק דיגיטלי או ביצוע העברה בנקאית, וברגע שהוא נמסר לתוקף, השליטה בחשבון אובדת.
התופעה, המכונה בעולם המקצועי Smishing (שילוב של SMS ו-Phishing), אינה ייחודית לישראל. בארה"ב, ה-FBI וה-IC3 (המרכז לתלונות על פשעי אינטרנט) דיווחו בשנה החולפת על עלייה של מאות אחוזים בהונאות המנצלות את שמותיהן של חברות שילוח כמו UPS ו-FedEx.
באירופה, רשויות הסייבר בגרמניה ובבריטניה התמודדו עם גל תקיפות דומה שהשתמש בנוזקת "FluBot", אשר הופצה דרך הודעות על חבילות והשתלטה על רשימת אנשי הקשר של הקורבן כדי להמשיך ולהפיץ את עצמה.
בסין, התוקפים נוהגים להשתמש באפליקציות מסרים מידיים כמו WeChat כדי להעביר קישורים לאתרים המדמים את שירותי הדואר הממשלתיים, תוך ניצול תקופות של חגי קניות כמו "יום הרווקים" הסיני, שמאופיין בתנועה גדולה ברשת.
הטכנולוגיה שמאחורי ההונאה
הטכנולוגיה שמאחורי ההונאה עברה כברת דרך. אם בעבר הפישינג התמקד בהודעות דואר אלקטרוני מנוסחות רע המבטיחות ירושות מנסיכים ניגרים, הרי שהיום מדובר בהנדסה חברתית (Social Engineering) מדויקת.
המעבר לשימוש ב-Apple Pay ו-Google Pay שינה את אופי התקיפה. במקום לגנוב את מספר כרטיס האשראי (שניתן לחסימה בקלות), התוקפים מנסים להוסיף את כרטיס הקורבן למכשיר הסמארטפון שלהם. ברגע שהכרטיס "מוצמד" לארנק הדיגיטלי של התוקף, הוא יכול לבצע רכישות פיזיות ודיגיטליות ללא צורך באימות נוסף, מה שמקשה מאוד על זיהוי והוכחת ההונאה בזמן אמת.
איך תתגוננו?
- בדקו את מספר המעקב: דואר ישראל תמיד יציין מספר חבילה תקני (שילוב של אותיות ומספרים). העתיקו את המספר והזינו אותו ידנית באתר הרשמי.
- אל תקליקו - תקלידו: קיבלתם הודעה? אל תיכנסו דרך הקישור. פתחו דפדפן והקלידו בעצמכם את הכתובת Israelpost.co.il.
- קוד אימות הוא קוד סודי: קוד שנשלח אליכם מהבנק נועד עבורכם בלבד. שום גוף רשמי, בטח לא חברת שליחויות, לא יבקש מכם להקליד קוד אימות בנקאי באתר חיצוני.
דואר ישראל מסר בתגובה למקרים דומים בעבר כי החברה פועלת ללא הרף להורדת אתרים מתחזים, אך מדגישה כי אחריות המשתמשים וערנותם הן קו ההגנה האחרון והחשוב ביותר.
