בתחילת חודש יוני החליט יחיאל (השם המלא שמור במערכת) לרכוש מוצר מחברה שמספקת מוצרים לבית חכם. יחיאל כבר רכש מהחברה בעבר, אך זו שינתה את השם, ולכן הוא פנה למספר החדש שהופיע באתר. הודעה מוקלטת הפנתה אותו ליצור קשר עם מספר אחר בוואטסאפ. יחיאל עשה זאת וביצע הזמנה מול נציג נחמד, שביקש ממנו את פרטי כרטיס האשראי, כתובת למשלוח ואת מספר הטלפון שלו לצורך ביצוע ההזמנה. מאותו הרגע חייו הפכו לגיהינום.
כבר באותו יום ליחיאל הייתה תחושה רעה לגבי העסקה שעשה, ולכן הוא צלצל לחברת כרטיס האשראי שלו, ויזה כאל, וביקש לבטל את הכרטיס שעימו התבצעה העסקה. זה לא עזר לו. בדיעבד התברר כי הנוכל, חמוש בפרטים המזהים צלצל תחילה לחברת סלקום, דרכה מנוהל חשבון הטלפון של יחיאל וביקש לעשות הפניית שיחות ישירות למספר אחר. כלומר כל שיחה שאמורה להגיע ליחיאל תגיע בפועל אל הנוכל. מדוע שיעשה זאת? כדי שהוא יוכל להמשיך ולפרוץ לאתרים אחרים על מנת להתחזות ליחיאל, רק שמקום קוד בהודעת טקסט הנוכל מבקש קוד בהודעה קולית. מכאן, השמיים הם הגבול.
כבר למחרת גילה יחיאל שמכשיר הטלפון שלו סומן כאבוד ולכן אין באפשרותו להוציא או לקבל שיחות. יחיאל ההמום צלצל לסלקום, שם הודו בפניו כי נעשה דיווח שהטלפון אבד ונתקבלה בקשה לבצע הפניית שיחות דרך האתר למספר טלפון אחר. יחיאל הסביר לנציג כי הוא לא דיווח על אובדן, וביקש להחזיר את הקו לרשותו, ובזה חשב שהסתיימה הסאגה.
אלא ששבועיים החלו בעיות חדשות וחמורות יותר. במייל שהתקבל מביטוח לאומי הוא התבשר כי מישהו שינה את פרטיו האישיים. וזה לא הכל - עוד באותו יום הוא קיבל כמה מסרונים מבנק יהב, בו מנוהל חשבונו, עם התראות כי מישהו מנסה לבצע עסקאות. יחיאל מיהר לצלצל לבנק ושם הובטח לו כי הנושא בבדיקה והזמינו אותו לסניף כדי לשנות את הסיסמאות.
הודעה נוספת הגיעה באותו יום מסלקום, שם נכתב כי חשבונית שביקש הגיעה למייל. יחיאל נכנס למייל שלו ולא ראה שום חשבונית. או אז הוא הבין כי מישהו שוב הורה לשנות את פרטי הטלפון והמייל ליצירת קשר שלו. לא עזרו תחנוניו של יחיאל במוקד השירות וההסבר כי מישהו מנסה להתחזות לו. בסלקום תיקנו את הפרטים, אך כבר למחרת הם שונו חזרה לפרטי הנוכל.
איך יחיאל גילה על זה? כי הוא שוב לא הצליח לקבל שיחות. כשצלצל לסלקום גילה לתדהמתו כי חרף אזהרותיו ובקשותיו, הנוכל הצליח לבצע הפניית שיחות לטלפון אחר, הפעם כדי לפרוץ לאתר ויזה כאל ולצרף את 2 כרטיסי האשראי הנותרים של יחיאל, אלו שהוא עוד לא ביטל, לחשבון גוגל פיי המקושר לחשבון של הנוכל.
יחיאל מיהר לבטל את 2 הכרטיסים ולהוציא חדשים. נחשו מה קרה איתם? גם להם נשלחה בקשה דרך האתר של ויזה כאל לצרף לחשבון גוגלפיי אלא שבמזל- חברת האשראי כבר זיהתה כי מדובר בבקשה חשודה ולא אישרה את הצטרפותם של הכרטיסים החדשים לחשבון הגוגל פיי של הנוכל. איך הנוכל הצליח מראש להיכנס לאתר של ויזה כאל ולבקש לבצע את השינויים? פשוט מאוד. מתברר שדרך האתר של ויזה כאל אפשר להיכנס ולהזדהות עם פרטי כרטיס אשראי שבוטל כבר.
המשטרה לא סייעה
בפעם הרביעית בה הנוכל ניסה להשתלט על הטלפון של יחיאל לאחרון נימאס. הוא צלצל לסלקום ורק אז גילה שניתן להוסיף קוד אבטחה סודי לחשבון, שרק מי שיודע אותו מורשה לבצע פעולות. האם זה עזר? לא. בצהריים דווח הטלפון שוב כאבוד, מה שלא מאפשר הוצאות שיחה (למרות קוד הזיהוי האישי , עדיין ניתן לסמן את הטלפון כאבוד דרך מענה קולי ספציפי לאיבוד מכשיר, רק עם תעודת זהות וארבע ספרות אחרונות של אמצעי תשלום. הוספת קוד הזיהוי האישי מועילה לאבטחת פעולות דרך מוקד השירות בלבד).
בין ניסיון להפסיק את גל הפריצות וגניבת הזהות למשנהו, זכה יחיאל לקבל מהנוכל הודעות לפאלפון האישי שלו בו הנוכל מקלל אותו נמרצות, מכיון שיחיאל החליט לפנות למשטרה כדי שאלו ינסו לסייע לו. לאחר כשהנוכל גילה על כך הוא ניסה לאיים עליו מספר פעמים בהודעות.
איך הצליח לבסוף יחיאל לעצור את ניסיונות השתלטות על הטלפון שלו? לא דרך תלונה למשטרה שסגרה את התיק, אלא רק דרך מקום העבודה שלו שהתערב לטובתו, ודרש מהחברה לעצור אפשרות לניוד המכשיר (זאת בניגוד לחוק שמורה לחברות לנייד את המכשיר לבקשת בעל החשבון), וכמו כן לבטל את האפשרות לדווח על אובדן או גניבת המכשיר. אילולא החברה בה יחיאל עובד, הוא היה נאלץ להחליף מספר טלפון ולעבור לחברת תקשורת אחרת, בתקווה שהנוכל יוותר ולא ימשיך וינסה לגנוב את פרטיו גם מהחברה החדשה.
לא תופעה חדשה
מתקפת SIM swapping (המכונה גם SIM porting, port out fraud, phone porting ו-SIM hijacking), איננה חדשה, ובישראל התריעו כי חלה עלייה עוד בתקופת הקורנה.
SIM swapping הוא שירות המאפשר ניוד של מספר טלפון המזוהה עם כרטיס SIM מסוים, לכרטיס SIM אחר. שירות זה נועד לאפשר העברה של מספר טלפון למכשיר חלופי במקרה של גניבת או אובדן מכשיר הלקוח, שדרוג מכשיר הטלפון על ידי הלקוח, או מעבר לחברת סלולר אחרת.
בשנים האחרונות החלו להתפרסם דיווחים אודות ניצול של שיטה זו לצורך מתקפות סייבר. במסגרתן, תוקפים מתחזים לקורבן באמצעות מידע מזהה בסיסי שהצליחו לאסוף עליו, ומבקשים מנציג של חברת הסלולר לנייד את מספרו ל-SIM חלופי שבידם.
ההתחזות יכולה להתבצע במגוון ערוצים כמו אתר האינטרנט של חברת הסלולר, מול נציגים טלפוניים, בצ'אט או מול נציגים פרונטליים בסניף. לחלופין, תועדו מקרים במערך הסייבר הלאומי בהם התוקפים שיחדו עובדים של חברות תקשורת עבור ביצוע פעולה זו.
כשפנינו למשרד התקשורת, המשרד הודה כי למרות שהתופעה ידועה- עדיין אין הנחיות מיוחדות או יכולת מענה הולמת להגברת הרגולציה בתחום הסייבר ולמיגור התופעה.
בינתיים, באתר של משטרת ישראל פורסמו מספר עצות שיעזרו לכם למנוע פריצה, ואם נפלתם - איך תוכלו למזער או למנוע נזקים:
- צרו קשר עם חברת הסלולר שלכם ובררו לגבי אמצעי האבטחה הנדרשים לביצוע ניוד כרטיס ה-SIM. דרשו להוסיף אמצעי אבטחה נוספים שימנעו מהחשודים להתחזות ולהשתלט על הטלפון שלכם.
- אם אתם מקבלים מספר רב של שיחות ממספרים לא ידועים (או ממספר חסום), אל תכבו את הטלפון! דעו כי בדרך כלל באירועי הונאה של החלפת SIM, החשודים יבצעו שיחות רבות לקורבנות כצעד מקדים, על מנת למנוע מהם ליצור קשר עם חברת הסלולר או הבנק.
- מומלץ להגדיר סיסמאות חזקות לגישה לחשבונות הבנק, האשראי ולאפליקציות שלכם. בנוסף, הגדירו מנגנוני אימות דו-שלבי לכל שירות בו הדבר אפשרי – חשבון הבנק, כרטיס האשראי, חשבונות מקוונים (דוגמת Google, Apple, PayPal או Samsung) וחשבון הדואר האלקטרוני. תוכלו לקרוא עוד אודות הגדרת מנגנוני אימות דו-שלבי במיזם block של איגוד האינטרנט הישראלי.
פנינו גם לחוקר הסייבר גלעד האן, וביקשנו ממנה להבין כיצד ניתן למנוע תקיפות מסוג זה:
- השימוש בקבלת הודעת sms כמנגנון זיהוי אינו השיטה המאובטחת ביותר ולכן מומלץ לבצע שימוש בשיטת הזדהות בטוחות יותר, בכל מקום שמאפשר זאת.
- מומלץ להפעיל מנגנוני אבטחה כגון אימות דו שלבי או תלת שלבי בכל מקום שניתן אך מאחר ושיטות אלו מבוססות על קבלת הודעת sms מומלץ להעדיף להשתמש באפליקציות אימות כגון Duo Authentication ואחרות.
- מומלץ להשתמש במנגנון זיהוי מבוסס טביעת אצבע השמורה אצלכם במכשיר הטלפון.
- מומלץ להשתמש בסיסמאות שונות לאתרים, לרשתות החברתיות ולשירותים השונים שלכם ברשת. יש להקפיד על שימוש בסיסמאות חזקות וייחודיות המורכבות מאותיות גדולות, אותיות קטנות, מספרים וסימנים מיוחדים באורך של לפחות 10 תווים.
- לעולם אל תלחצו על קישורים ממקור לא ידוע או חשוד גם אם לכאורה נראה כי ההודעה נשלחה מגורם מוכר לכם.
- מומלץ להפעיל על הטלפון והמחשב תוכנות הגנה שיודעות לזהות בזמן אמת קישוריים וצרופות זדוניות.
- מומלץ לבדוק מול חברת הסלולאר שלכם על אמצעי אבטחה נוספים אשר ניתן להפעיל על מנת למנוע ניוד של המספר שלכם ללא קבלת אישור מכם.
- בכל התפתחות חשודה מומלץ לעצור מיד כל פעילות ולפעול במהירות מול הגורמים הרלוונטיים לאירוע כגון חברת הסלולאר , בנק , חברת האשראי , ביטוח, פנסיה , מוסדות פיננסים אחרים ועוד.
תגובות:
מחברת סלקום נמסר בתגובה: "בהמשך לפנייתכם, נערכה חקירה מעמיקה של המקרה. מהתחקיר עלה כי מדובר בטעות אנוש ולכן חודדו היטב הנהלים לכלל נציגי החברה. אנו מצרים על עוגמת הנפש שנגרמה ללקוח".
"יובהר כי היקפי הונאות מסוג של גניבת זהות או התחזות הינם זניחים בסלקום ועל מנת לבלום הונאות אלו הוקשחו התנאים לביצוע פעולות בדיגיטל או החלפות סים. יחד עם זאת ועל מנת להעניק הגנה נוספת ללקוחות, אנו בוחנים פיתוחים נוספים גם למקרים של דיווח על אובדן טלפון והחלפת פרטים".
מחברת ויזה כאל נמסר בתגובה: "כאל פועלת בכלל האמצעים העומדים לרשותה למניעת הונאות ומעמידה אמצעי הגנה מחמירים, ולראיה גם הנוכל המתוחכם מהמקרה הנדון לא הצליח להצטרף לארנק הדיגיטלי ונעצר על ידי החברה בזמן".
"יובהר כי בכאל, כמו בכל החברות הפיננסיות, מספר הטלפון של הלקוח משמש כאמצעי זיהוי מרכזי ומחמיר. אנו פועלים מול חברות הסלולר והן מול הרשויות הרלוונטיות להחמרת אפשרויות מעבר השיחות והסים ללא ביצוע בדיקות מתאימות, למען שמירה על בטחון הלקוחות".
ממשטרת ישראל נמסר בתגובה: "ככלל, כל תלונה המתקבלת במשטרה המעלה חשד לקיומה של עבירה, נבדקת ונחקרת ביחס לראיות הקיימות אולם ככל שאלה אינן מאפשרות את המשך ההליך, הרי שהתיק נסגר".
"ככל שיתקבלו במשטרה ראיות או מידע חדש שיוכל להביא להתפתחות בחקירה, אזי יפתח התיק מחדש".
"רשת האינטרנט טומנת בחובה סכנות ומעשי מרמה מסוגים שונים ולכן יש לגלות משנה זהירות על מנת לא ליפול קורבן למעשי מרמה והונאה ברשת" .
מבנק יהב נמסר בתגובה: "הצטערנו לשמוע על התרמית אליה הלקוח נפל. הבנק סייע וממשיך בכך ככל הנדרש וניתן לאשר כי חשבון הלקוח לא נפרץ. בעת פניית הלקוח למוקד הבנק תואמה לו פגישה בסניף שהתקיימה עוד באותו היום לצורך הגנה על חשבונו. מסיבות ברורות הבנק אינו מעוניין לחשוף את הבדיקות והבקרות המדויקות אותן הוא עורך".
ממשרד התקשורת נימסר בתגובה: "תקיפות מסוג sim swapping ידועות מזה זמן רב ויכולת ההתמודדות עם תקיפות אלו משתפרת עם הזמן.
"משרד התקשורת יחד עם גופים מדינתיים נוספים וגופים במגזר הפיננסי, פועלים נמרצות לבחינת מספר פתרונות טכנולוגיים ואסדרתיים למיגור התופעה והמשך הגנה על האזרחים במימד הסייבר. לפני מספר ימים, ראש הממשלה קיים דיון יחד עם שר התקשורת ד״ר שלמה קרעי ושרים נוספים והנחה את משרדי הממשלה לפעול להגברת הרגולציה בתחום הסייבר וכל הגופים הרלוונטיים רתומים למשימה".
"המלצתנו, עד מציאת הפתרון הראוי, להימנע ממסירת פרטים אישיים לכל דורש ולפעול על-פי ההנחיות להגנה על פרטיות המשתמשים, אשר פורסמו לציבור באתר מערך הסייבר הלאומי".
ממערך הסייבר הלאומי נמסר בתגובה: "הנושא מוכר והותרע על ידי המערך כבר מספר פעמים הן אל מול חברות הסלולר והן אל מול האזרחים, בשילוב המלצות הגנה".
מהביטוח הלאומי טרם נמסרה תגובה והיא תצורף כשיבחרו להגיב.