האקרים זדוניים נוקטים בשיטות רבות על מנת לגנוב נתונים ומידע, להשיג כספים בדרכי מרמה או לגרום נזק, כאשר אחת השיטות הפופולריות היא להתחזות ולהתחפש לגורמים רשמיים. לצערנו קיימות שיטות רבות של התחזות, ונראה שעבור פושעי הסייבר - כל יום פורים. לכבוד החג החלטנו לסקור עבורכם חלק מהשיטות הרבות להתחזות בזירת הסייבר.
"אם פעם התופעה הנפוצה ביותר בקרב עברייני הסייבר היו ההאקרים, היום כבר מדברים על Scammers – רמאים שהפכו לתופעה נפוצה יותר", אומר ל-ynet עודד טורג'מן, מנהל תחום סייבר SOC בבזק בינלאומי. "מדובר באנשים שקונים מההאקרים יישומים המאפשרים להם לבצע התחזות מבלי שהם נדרשים לדעת לכתוב קוד. קל מאוד היום ליזום מתקפת פישינג, דיפ פייק או הונאה אחרת, בעיקר כאשר ה-AI הולך ומשתכלל".
"בהתאם, חג פורים ועליית הקניות המקוונות מנוצל על ידי עברייני סייבר כדי להפיץ הונאות מתוחכמות. לפי נתוני רשות הסייבר, בחודש מרץ 2023 נרשמה עלייה של 40% בדיווחים על הונאות קניות מקוונות והונאות התחזות", מוסיף טורג'מן.
הונאות רומנטיות (Romance Scams)
עברייני סייבר מתחזים לאנשים אמיתיים באפליקציות היכרויות וברשתות החברתיות, מפתחים קשר רגשי עם הקורבן, ואז מבקשים ממנו כסף. דוגמה: העיתונאי שרון גל חשף כי נפל קורבן להתחזות של אישה בה התאהב דרך פייסבוק ובטלפון. כאשר סיפרה לו שעברה תאונת דרכים בחו"ל, הוא עזב את כל עיסוקיו והתגייס לעזרתה. בהמשך התגלה שאותה מתחזה הונתה עוד רבים אחרים.
כיצד להתגונן? לבדוק את זהות האנשים גם בעולם האמיתי – לבקש שיחת טלפון או שיחת וידאו, להיות חשדניים כלפי אנשים שמבקשים כסף באינטרנט. לבדוק את תמונות הפרופיל בכלים כמו Google Reverse Image Search, וכמובן להיזהר מקשרים שמתפתחים מהר מדי.
הונאת תמיכה טכנית (Fake Tech Support)
הונאה נפוצה שבה תוקפים מתקשרים או שולחים הודעה תוך התחזות לנציגי תמיכה טכנית (מחברת הסלולר או הטלוויזיה), ומנסים לשכנע את הקורבן להוריד תוכנה זדונית או לשלם על "תיקון" בעיה שלא קיימת. דוגמה: משתמשים קיבלו הודעה שהמחשב שלהם נגוע בווירוס, והתבקשו להתקשר למספר תמיכה. בשיחה הם שוכנעו למסור פרטי כרטיס אשראי עבור "ניקוי" המחשב.
כיצד להתגונן? לא להתקשר למספרי תמיכה שמופיעים בהודעות ובחלונות קופצים. לא לתת גישה מרחוק למחשב לאנשים לא מוכרים. לוודא תמיכה רק דרך אתרים רשמיים של הספק שלכם וכמובן לא למסור פרטים אישיים ופרטי כרטיס אשראי לגורמים שאינם מזוהים בוודאות, כלומר על ידי מספר טלפון רשמי של ספק השירות שלכם. אגב, ניתן בקלות לזייף שמות שולח בהודעות SMS כך שחשוב לשים לב לזה גם.
התחזות בהונאות קניות (Fake Online Stores & Scams)
"עברייני סייבר מקימים אתרי מסחר מזויפים שמציעים מוצרים במחירים נמוכים במיוחד כדי למשוך קונים" מסביר טורג'מן. "ברגע שהתשלום מתבצע – המוצרים לא נשלחים או שהמידע הפיננסי נגנב. דוגמא להונאה כזו התגלתה רק לאחרונה בהקשר של חג הפורים. אתר PurimCostumeDeals.co.il שהופיע בפברואר 2024 כספק מורשה של תחפושות יבוא, משך עשרות לקוחות שהזמינו תחפושות בהנחות של 70%, אך לאחר התשלום האתר נסגר והכסף לא הוחזר".
כיצד להתגונן? בדקו ביקורות על האתר לפני הרכישה. חפשו כתובת פיזית (לא רק ת.ד), מספר טלפון אמיתי, רישיון עסק וקישור פעיל לרשתות החברתיות. בדקו אם האתר מאובטח באמצעות https - שמופיע בתחילת כתובת האינטרנט של האתר. הימנעו מתשלום בהעברה בנקאית. השתמשו באפשרויות מאובטחות כמו ביט או כרטיסי אשראי עם אימות דו שלבי ולבסוף - חשדו תמיד בהנחות של עשרות אחוזים.
התחזות ברשתות חברתיות (Social Media Impersonation)
תוקפים "חוטפים" חשבונות של משפיעני רשת ומתחזים לבעלי החשבון. במקרים אחרים עבריינים יוצרים פרופילים מזויפים של אנשים מפורסמים, משפיענים, או גורמים רשמיים ומשתמשים בהם כדי להכפיש אנשים או ארגונים, לרמות אנשים ולגנוב מידע אישי או כסף. דוגמה: העיתונאי אורי משגב, הנוהג לבקר את הממשלה הנוכחית, פעיל רק בפייסבוק. מתחזים הקימו מספר פעמים חשבונות ברשת X המתחזים לו על מנת לפגוע בו ובאמינותו.
כיצד להתגונן? חשוב לבדוק היטב את הפרופיל (למשל, כמות עוקבים נמוכה, תמונות גנריות), לא למסור לאף אחד מידע אישי או פיננסי, ולדווח ברשתות החברתיות על חשבונות מזויפים.
פישינג- (Phishing) – גניבת מידע באמצעות הונאה
"פישינג היא אחת השיטות הנפוצות ביותר להונאה ברשת, שבה תוקפים מנסים לדלות מידע רגיש כמו סיסמאות, פרטי בנק וכרטיסי אשראי, על ידי התחזות לשירותים מוכרים", מסביר יריב יפרח, יועץ סייבר בכיר בחברת "אברא". "התוקפים שולחים הודעות דוא"ל או הודעות טקסט שנראות אמינות מאוד ומובילות את המשתמש ללחוץ על קישורים זדוניים או להכניס פרטים אישיים לאתרים מזויפים".
"כ-4,500 תשתיות פישינג טופלו בשנת 2024 במערך הסייבר הלאומי, עליה של 80% בהשוואה לשנה הקודמת. על פי המערך, הגופים אליהם מתחזים הכי הרבה הם ביט, דואר ישראל, כאל, DHL ובנק לאומי. דוגמה אחת מני רבות: בחודש דצמבר האחרון הופצה בקבוצות וואטסאפ ובפייסבוק הצעה לקבל תווי קניה בסך 6,000 שקל ברשת שופרסל אם המשיבים יענו על שאלון קצר, אליו צורף לינק שנועד לגנוב מידע אישי של המשיבים", טוען יפרח.
תקיפות פישינג מתחלקות למספר סוגים:
מתקפת פישינג ממוקדת (Spear Phishing)
בניגוד לפישינג רגיל, שבו נשלחות הודעות לכלל המשתמשים באופן אקראי, במתקפת Spear Phishing המתקפה ממוקדת, והתוקף חוקר את הקורבן, אוסף עליו מידע ואז שולח הודעה מותאמת אישית שנראית אמינה מאוד. מתקפות אלו נפוצות במיוחד נגד בכירים בארגונים, ממשלות וחברות.
הונאת ספיר פישינג נפוצה היא "הונאת בוס" – אחד העובדים מקבל מייל מכתובת שזהה לכתובת אחד המנהלים ובו בקשה להעביר כסף לחשבון אחר, או לחילופין לשלוח לו את רשימת הלקוחות העדכנית. לדוגמה: ב-2014, האקרים צפון קוריאנים השתמשו בשיטה זו כדי לפרוץ לחברת Sony Pictures, הם שלחו דוא"ל מזויף שנראה כאילו הגיע ממחלקת ה-IT של החברה, וכך השיגו גישה למערכות החברה, גרמו לנזקים משמעותיים והדליפו מידע מסווג.
הונאות באמצעות הודעות טקסט (Smishing)
"סמישינג" (SMS Phishing) הוא סוג של פישינג שבו נעשה שימוש בהודעות SMS במקום במייל. הקורבן מקבל הודעת טקסט שמתחזה לשירות בנקאי, חברת שליחויות או אפילו חבר קרוב, ומכילה קישור זדוני שנועד לגנוב מידע או להתקין תוכנות זדוניות על המכשיר. דוגמה: במהלך מגפת הקורונה, תוקפים שלחו הודעות SMS מזויפות שהתחזו למשרד הבריאות והכילו קישור לאתר שהתחזה לדף בדיקת קורונה ממשלתי, תוך ניסיון לגנוב פרטים אישיים.
התחזות קולית (Vishing)
התחזות קולית היא מתקפה שבה התוקפים מתקשרים ישירות לקורבן ומתחזים לנציגי שירות, בנק או רשויות ממשלתיות כדי לשכנע אותו למסור פרטים אישיים או להעביר כספים. דוגמה: הונאה נפוצה היא שיחות מזויפות שמתחזות לנציגי מוסד ממשלתי או בנק שבהן מודיעים לקורבן כי יש בעיה בחשבונו והוא מתבקש לספק את מספר תעודת הזהות או פרטי כרטיס אשראי. הונאה זו נפוצה בארץ בעיקר בקרב יוצאי ברה"מ המבוגרים, כאשר התוקפים מנצלים את חוסר הידע הקיים אצל רבים מהם על מנת לגנוב מהם כספים.
כיצד להתגונן מפישינג?
לדבריו של יפרח, מומלץ לקרוא היטב אם ההודעה מכילה נוסח לקוי וטעויות כתיב (תופעה שפוחתת בשל האפשרות לשימוש בכלי AI מתקדמים כמו ChatGPT), לא לפתוח קבצים או קישורים ממיילים בלתי מוכרים ולבדוק את כתובת השולח או כתובת הדומיין ממנו נשלחה ההודעה.
במקביל, חשוב לזכור לא ללחוץ על קישורים חשודים או להזין פרטים אישיים במיילים או הודעות לא מוכרים; לחשוד תמיד כאשר ההודעה מכילה הבטחה מוגזמת או פרס גדול; לוודא היטב את זהות השולח לפני מענה למיילים רגישים; לבדוק ישירות מול החברה או השולח אם באמת הם אלו ששלחו את ההודעה ולהשתמש באימות דו-שלבי (2FA) לחשבונות רגישים.
בנוסף, יש לחסום מספרים חשודים השולחים SMS וכן כתובת מייל ששולחות פישינג; להכשיר עובדים לזהות מתקפות פישינג ממוקדות; לא למסור מידע אישי בשיחות טלפון, לזהות את זהות המתקשר על ידי התקשרות חוזרת למספר הרשמי של החברה וכן לשים לב לטון הדיבור – אם הלחץ מוגזם – זה עלול להיות ניסיון הונאה.
זיוף תמונות, קול וסרטונים באמצעות AI (Deepfake)
דיפ פייק היא טכנולוגיה מתקדמת שמשתמשת בבינה מלאכותית (AI) כדי ליצור סרטונים ותמונות מזויפים שנראים מציאותיים לחלוטין. התוכן המופק באמצעות ה-Deep Fake מאפשר לעשות שימוש בדמותו של אדם או אנשים, תוך זיוף קול או זיוף פנים בקבצי קול, תמונות וסרטוני וידאו, ולהציגו בפעולות שלא התבצעו במציאות.
"לצד ההזדמנויות המרשימות שיש לשימוש בטכנולוגיה זו למשל לראות וידאו חדש של הביטלס שרים עם להקת תיסלם, ישנן לא מעט סכנות שהולכות ומתגברות לצורך זריעת דיסאינפורמציה כמו במאבקים פוליטיים, לפגיעה באנשים באמצעות פרסום תמונות פייק ויצירת הזדמנויות להונאות לצורך גניבת כספים", מסביר מיכאל קונדרשין, ארכיטקט פתרונות סייבר בחברת "טרנד מיקרו". "בכל המקרים התוצאות כל כך משכנעות, שרבים מסכימים שקשה לזהות תמונות, קול או וידאו שנוצרו באמצעות Deep Fake".
לדברי קונדרשין, "כחלק משיטת הונאה זו, נעשה שימוש בזיוף קול באמצעות AI לצורך ביצוע הונאת בוס או הונאת מנהל. עובד מקבל טלפון ומן הצד השני שומע את הקול המוכר של מנכ"ל החברה המבקש ממנו להעביר דחוף כסף רב לחברה אחרת, או להעביר בדחיפות את רשימת הלקוחות המעודכנת. לדוגמה, ב-2020, מנכ"ל חברה בבריטניה קיבל שיחת טלפון ממנהל החברה-האם, לכאורה, שהורה לו להעביר 243,000 דולר לחשבון מסוים. הקול היה למעשה דיפ פייק שנוצר על ידי האקרים כדי להטעות את המנכ"ל".
קיימות דוגמאות רבות נוספות של זיוף נאומים של פוליטיקאים או שילוב כוכבות ידועות בסרטונים חושפניים מזויפים. דוגמא ידועה מן הזמן האחרון הייתה יוזמה של הישראלים גיא בר ואורי בז'רנו שיצרו סרטונים עם דמויות מפורסמות של יהודים עם חולצות שעליהן הופיעה אצבע משולשת והכיתוב "קניה" כנגד קניה ווסט. סקרלט ג'והנסן, אשר היתה אחת מן המפורסמים בהם השתמשו היוצרים, יצאה במחאה כנגד השימוש בדמותה באמצעות דיפ פייק.
"חפשו אחר סימנים מסגירים. סימנים אלו לרוב יציגו סתירה בין התוכן בסרטון לבין המוצג בפועל"
קונדרשין מנדב מספר טיפים לזיהוי זיוף דיפ פייק וכן להתגוננות: "חפשו אחר סימנים מסגירים. סימנים אלו לרוב יציגו סתירה בין התוכן בסרטון לבין המוצג בפועל - הבעות פנים ריקות מהבעה או מלאכותיות, מבט לכיוון לא תואם ועוד".
אופציה נוספת היא זיהוי 'גליצ'ים'. למשל, קשה מאוד לזייף תנועות עיניים שעוקבות אחר אובייקט, תנועות מצמוץ שיכולות לא להופיע בכלל או אפילו להיראות מזויפות. כיצד להתגונן? להיות חשדניים כאשר מקבלים הודעות קוליות יוצאות דופן. לבדוק מידע דרך ערוצים נוספים, לא להפיץ סרטונים ותמונות הנראים מזוייפים, להשתמש בטכנולוגיה לזיהוי Deep Fake ואם המנהל התקשר לבקש העברת כסף, להתקשר אליו חזרה על מנת לוודא את הבקשה".
לקינוח, האקרים ועברייני סייבר מנצלים לא פעם אירועים פוליטיים, אסונות, מלחמות ומגיפות כדי לתקוף את הציבור. אלו תקופות שבהם הקשב שלנו מופחת וקל יותר לנצל אותנו. למשל, ניצול הסולידריות הישראלית בזמן מתקפת ה-7 באוקטובר שנוצלה על ידי גורמים זדוניים או סתם פושעים חסרי לב.
אלה מנצלים את טוב ליבם של אזרחים כדי להפעיל קמפיינים מזויפים לאיסוף כספים. מדובר בהונאות שמטרתן לנצל את הרצון הטוב של הציבור כדי לגנוב כסף במקום להעבירו לנפגעים. ניר יהושע, מנהל מחקר ב-CYFOX, מספק כמה דוגמאות לסוגי קמפיינים שנראו בשנה האחרונה:
- אתרי תרומות מזויפים - האקרים יוצרים דפי נחיתה שנראים כמו עמותות לגיטימיות, עם תמונות קורעות לב. הקורבנות מתבקשים לתרום באמצעות כרטיס אשראי או העברה בנקאית, אך הכסף מגיע לנוכלים.
- קמפיינים מזויפים בפלטפורמות מימון המונים (GoFundMe, JGive, Headstart) - פתיחת קמפיינים פיקטיביים בטענה שמדובר במשפחות נפגעים, כאשר בפועל אין קשר בין יוצר הקמפיין לקורבנות.
- התחזות למשפחות החטופים ברשתות חברתיות - נוכלים פותחים פרופילים מזויפים של בני משפחה אמיתיים ומבקשים כסף ישירות דרך PayPal ביטקוין או העברות דיגיטליות אחרות.
- הודעות SMS ו-וואטסאפ עם בקשות לתרומה - מסרונים עם קישורים שנשלחים למאות אנשים בטענה שמדובר בקמפיין רשמי של עמותה ידועה. בפועל, הלינק מוביל לאתר מזויף שגונב את פרטי התשלום.
- פישינג באמצעות מיילים והודעות -הודעות אימייל מזויפות המתחזות לקרנות סיוע רשמיות, עם בקשות להעברת תרומות. קמפיינים כאלה עשויים לכלול לוגואים אמיתיים של ארגונים לגיטימיים.
כיצד להימנע מהונאות אלו?
לתרום רק דרך עמותות מוכרות ורשמיות. להתקשר לעמותה בעצמכם ולא להתפתות למסור את המספר אשראי שלכם לאיש השיחה שהתקשר. אם הוא באמת מהעמותה, הוא ישמח לכוון אתכם לאתר שלה ויבין אם תרצו להתקשר חזרה אליו.
בדקו את פרטי חשבון הבנק – ארגונים רשמיים מחזיקים חשבונות מוכרים בבנקים ישראליים. חשוב להיזהר מקמפיינים עם ניסוחים רגשיים קיצוניים ולחץ לתרום מהר. אם קיבלתם פנייה פרטית לתרומה, נסו לאמת עם המשפחה או הארגון הרלוונטי. דווחו לרשויות ולפלטפורמות מימון המונים על קמפיינים חשודים. הונאות מסוג זה מנצלות את הסולידריות וטוב הלב שלנו, ולכן חשוב להישאר ערניים ולוודא שהתרומות מגיעות ליעדן האמיתי.
