אם הרגשתם בשנה האחרונה שאתם לא מפסיקים לקבל ניסיונות הונאה במגוון דרכים – במייל, בהודעת סמס ובוואטסאפ, אתם בהחלט לא מדמיינים. בשנת 2024 ישראל חוותה עלייה של 58% במתקפות הסייבר לעומת השנה החולפת, כאשר ממוצע ההתקפות השבועי בישראל היה גבוה ב-23% מהממוצע העולמי.
"אם הממוצע העולמי הוא 1,000 התקפות בשבוע, אז הממוצע בישראל הוא 2,000 התקפות בשבוע", אומר ל-mako עודד ואנונו, ראש מחקר חולשות בצ'ק פוינט. "כל הנושא של קמפיין פישינג בישראל הוא במספרים מטורפים. יש לזה סיבות גם בגלל עניינים גיאו-פוליטיים, האקרים אסלאמיים שמנסים לתקוף ולהשיג מידע, אבל המספרים הולכים וגדלים".
בתוך כך, מותגי אופנה הופכים יותר ויותר ליעד של קמפיינים פישינג בשל בסיס הלקוחות העצום שלהם והחיבור הרגשי שיש להם עם צרכנים. מותגים כמו שיין וזארה מושכים עשרות מיליוני לקוחות ברחבי העולם, וריבוי המבצעים וההנחות שלהם מאפשרים לתוקפים ליצור הודעות פישינג משכנעות שנראות לעין הצרכנית כלגיטימיות.
על פי נתוני צ'ק פוינט, בשנה החולפת למעלה מ-30% ממתקפות הפישינג התמקדו במסחר אלקטרוני, כאשר מותגי אופנה מהווים חלק משמעותי ביותר. שיין, אתר הקניות הסיני, הפך למטרה עיקרית עם גידול של 128% מהמתקפות שמתחזות אליו, כאשר הקמפיינים העיקריים הם הודעות מייל מזויפות על קופסת הפתעה שפיתו משתמשים ללחוץ על קישורים זדוניים מתוך הבטחה של מתנות חינם. לאחר מכן, הם חיקו את תהליך התשלום של שיין אחד לאחד, וגנבו פרטי כרטיס אשראי וסיסמאות.
באשר לזארה, קמפיין מכירת יום השנה של זארה כלל הנחות מזויפות, וקמפיינים של התחזות ברשתות החברתיות אשר הובילו משתמשים לאתרי פישינג ובאופן זה גנבו מידע רגיש.
"משתמשי אונליין מקבלים כל הזמן מיילים והודעות על קופונים, כי הם רשומים באתרים לגיטימיים", מסביר ואנונו. "ההאקרים מנצלים את הפסיכולוגיה הזאת ומבצעים קמפיינים כדי לתקוף משתמשים. הקמפיינים האלו מתחזים לקופונים או לכל מיני מבצעים מיוחדים, ומי שמקבל את זה כביכול מקבל חווית משתמש של החברות הלגיטימיות. הקישורים שולחים לאתרי פישינג, כאשר הצורך העיקרי של ההאקרים לגנוב את כרטיסי האשראי".
ואנונו מסביר את התהליך: "האקרים פורצים לאתרים לגיטימיים של חברות מאוד קטנות ברחבי העולם, אתרים שמוגדרים אתרים טובים, שיש להם היסטוריה עם המון שנים. הם משתלטים עליהם, דוחפים שם דף ועושים בו קמפיין פישינג של זארה, למשל. הם משתמשים באתרים האלה עם דומיין חוקי כדי שהגל הראשון של ההתקפות לא ייחסם. כשמגלים את הפריצה, האתרים האלה יורדים אחרי שבוע-שבועיים, אבל בינתיים הם כבר מספיקים לעקוץ אנשים. זהות ההאקרים תמיד נשארת לא ידועה".
מתי אדע שנפלתי לעוקץ?
"אתה יודע שנפלת כשחברת האשראי אומרת לך שעשית קנייה בעשרת אלפים דולר, ושואלת אם זה אתה. מצד שני, אתה יכול גם לקבל חיובים במשך שנים של 100 דולר בחודש, ואז זה יורד מהרדאר. יכולים גם לא להשתמש בפרטים שלך מיד, אלא למכור אותם בשוק של הדארקנט, הרשת האפלה, כך שזה יכול לבוא אליך גם בעוד שנה"
ומה כדאי לעשות? אם אתם מקבלים קופון מחברת אופנה שאתם לקוחות שלה, תמיד תיכנסו לאפליקציה שלה ותבדקו בעצמכם אם מדובר בקופון או מבצע אמיתי. אל תכניסו את הפרטים שלכם סתם כך בקישורים מפוקפקים. תזכרו שההאקרים מנסים להוציא אתכם מהאפליקציה הרשמית של החנות בעזרת לינקים לעמודי פישינג.
"המטרה שלנו זה חינוך. צריך לשים את הדברים על השולחן, כדי שלאנשים יהיה את הכלים וההבנה של התמונה", מסכם ואנונו. "הנושא של הונאות הוא מאוד גדול ורחב, וכולם נופלים בהן".