בימים האחרונים ישראלים רבים קיבלו את ההודעה הבאה במסרון או במייל, כביכול מטעם אפליקציית bit, ובה נאמר כי עליהם לעדכן את אמצעי התשלום לחשבון שלהם באפליקציה. מי שילחץ על "לעדכן", יגיע לאתר מזויף המתחזה לביט, ובו יבקשו ממנו את פרטי האשראי שלו, כביכול בשביל לעדכן אותם.
ניסיון פישינג זה הוא אחד מיני הונאות רבות, שכולנו נתקלים בהן בחיי היום יום שלנו, וכוללות פושעים שמתחזים לבנקים, דואר ישראל, נטפליקס, פייפאל ועוד, לרוב באמצעות סמס, מייל, ברשתות החברתיות או בוואטסאפ.
"מדובר בעצם בהנדסה חברתית שמטרתה להונות את הלקוחות ולגרום להם למסור פרטים אישיים רגישים או ממש לבצע העברת כספים מהחשבון שלהם", מסביר שרון קספר, מנהל תחום המודעות לסייבר בבנק הפועלים. "המטרה של ההודעות האלה היא להפעיל טריגר פסיכולוגי ולגרום לאנשים ללחוץ על הקישור ולהגיע לאתר המתחזה הזה. יש שני טריגרים מרכזיים - הראשון הוא שאנשים מגיבים להצעת מתנה או הטבה, ובשביל לסגור את העסקה/מכירה, אז גם מוסיפים אלמנט של הגבלה בזמן או בכמות. זה גורם לאנשים בכלל ולישראלים בפרט, ללחוץ מהר על הקישור כדי לא לפספס את המתנה או ההטבה.
"מהצד השני, יש את הטריגר הפסיכולוגי של בעיה. 'החשבון שלך עומד להיחסם. בוצע העברה חריגה בחשבון שלך. אם זה לא אתה, צור איתנו קשר'. כל מיני דברים מפחידים שכל המטרה זה ללחוץ על הקישור בהודעה, שמוביל לאתר אינטרנט מתחזה לאתר החברה, ושם בעצם הלקוח מתבקש להקליד את פרטי הזיהוי שלו לכניסה לחשבון".
באשר לעוקצים שמתחזים לבנקים, קספר מספר על 2 מתווי הונאה נפוצים. ההונאה הראשונה היא מסרונים מתחזים שמפנים לאתר מתחזה, שם הלקוחות מתבקשים להקליד את קוד המשתמש והסיסמה שלהם לחשבון הבנק, שמאפשרים לתוקף להיכנס אליו. אולם כדי להשתלט על החשבון ולבצע בו פעולות כמו העברת כספים למשל, התוקף נדרש לקבל את קוד האימות החד פעמי שנשלח ללקוח בסמס.
מה הם עושים במקרה כזה?
"כאן מתחילה שכבה נוספת של תחכום של התוקפים. הם צריכים להשיג מהלקוח האמיתי את קוד האימות, וזה יכול לקרות באחת מ-2 דרכים. דרך ראשונה, באתר המתחזה מבקשים מהמשתמש בשלב נוסף להקליד את מספר הטלפון הנייד שלו, והוא מקבל שיחת טלפון מתמיכת הבנק או מחלקת הביטחון של הבנק שמבקשים ממנו את קוד האימות ששלחו אליו, כי זיהו פעולה חריגה בחשבון ורוצים לוודא שזה הוא. ברגע שהוא מוסר את הקוד לתוקפים, הם יכולים באמצעותו לשנות את מספר הטלפון להזדהות באתר ולפעול בחשבון.
"הדרך השנייה היא שהאתר המתחזה פועל ישירות מול האתר האמיתי ברקע. כלומר, לאחר שהמשתמש נתן את שם הקוד והסיסמה שלו לאתר המתחזה, הם יוזנו באתר האמיתי (באמצעות תוכנה מיוחדת או באופן ידני), ולאחר מכן יופיע למשתמש מסך שבו יבקשו ממנו להקליד את קוד האימות שהרגע קיבל מהבנק בהודעת סמס. ברגע שהוא יקליד אותו, אוספים את הקוד, ומיד מקלידים באתר האמיתי בשם הלקוח, ואז יש גישה מלאה לתוקפים".
סוג ההונאה השני הנפוץ הוא באמצעות שיחת טלפון מתחזה.
קודם כל, איך משיגים את המספר שלי?
"יש המון אירועי דלף בכל מיני שירותים ישראלים וגלובליים, לדוגמה, לפני שנתיים וחצי-שלוש כל מאגר המידע של אפליקציית אלקטור של הליכוד דלף, וזה הוביל לחשיפה של 6 מיליון אזרחי מדינת ישראל על כתובותיהם העדכניות ומספרי טלפון ניידים. מאגרי מידע מסוג זה מפורסמים בצורה נוחה ונגישה לכל פושע בקבוצות טלגרם".
קספר ממשיך לתאר כיצד עובדת ההונאה: "יכולים להתחזות לצורך העניין לביטחון או התמיכה של הבנק, להודיע שיש איזה בעיה בחשבון, רוצים לוודא שהכול בסדר, לקבל את הפרטים - קוד משתמש וסיסמה שלך", אומר קספר. "אחר כך הם אומרים, 'שלחנו לך כרגע קוד אימות, תגיד לנו מהו'. ראיתי אפילו הודעה שמשלבת בין 2 ההונאות האלו. הודעת סמס שאומרת: 'בוצעה העברה של 6,000 שקל בחשבון שלך, אם את לא מזהה את ההעברה, תתקשרי אלינו למוקד שירות הלקוחות במספר'. המספר הזה הוא לא המספר של הבנק בכלל, אלא מוקד תמיכה מתחזה שהקימו התוקפים. במהלך השיחה מתחקרים אותו, אוספים את כל הפרטים ודרך זה משיגים אחיזה בחשבון".
מה אתם עושים במקרה שאתם מזהים אתרים מתחזים, למשל לבנק שלכם או ל-bit?
"כאשר אנחנו מנטרים אתרים כאלו או מקבלים מידע מהלקוחות שלנו, אנחנו פועלים להוריד אותם מהאינטרנט באמצעות חברות מודיעין סייבר, בשיתופי פעולה עם משטרת ישראל ומערך הסייבר הלאומי".
יש שינוי במצב מאז ההוראה החדשה של משרד התקשורת, שמחייבת את החברות העוסקות בהפצת מסרוני SMS בישראל לבצע זיהוי אמין של השולח?
"עדיין לא, ואני מאמין שלדבר הזה ייקח זמן עד שהוא יחלחל וגם ייאכף, וגם יגיע לכל ספקיות הסלולר שבאמת יבצעו את הווידוא הזה".
בהקשר זה, מציין קספר שהאקרים משתמשים בתוכנת תקיפה שמאפשרת לבחור לאיזה מספר הם שולחים את ההודעה, מה שם החברה שיוצג ומה תוכן ההודעה עצמה. "המשמעות היא שיכולים לשלוח לכם הודעה שמתחזה לבנק מסוים, ואם כבר קיבלתם בעבר הודעה מהבנק (האמיתי) בסמסים, ההודעה המתחזה תשורשר ביחד איתה. בנקודה הזאת יכול לעזור מאוד, אם אותה תקנה חדשה באמת תיאכף, כדי לצמצם את הסיכון בהקשר של המסרונים".
איך אפשר לזהות את ההתחזות?
"קל מאוד להתחזות ולשלוח הודעות בשם חברה מסוימת, ולכן בשורה התחתונה אין דרך אמיתית בידי הלקוחות והאזרחים לזהות האם המסרון או המייל אמיתים או מתחזים", אומר קספר.
"ההנחיה הכי יעילה היא שבכל הודעה שקיבלתם, בין אם זה מתנה או בעיה, אתם לא לוחצים על הקישור, אלא מגיעים לאתר הרשמי של החברה דרך גוגל או נכנסים לאפליקציה שלה, ביוזמתכם. לדוגמה, אני נכנס לאתר של בנק הפועלים, מקליד שם את הפרטים שלי, ואם יש בעיה אני אראה כיתוב אדום, ואם תופיע הטבה, אז תהיה תמונה מאוד משמחת.
"באשר לשיחות טלפוניות מתחזות - כל שיחה שאתם מקבלים שלא אתם יזמתם אותה, היא שיחה חשודה. בשיחה כזאת אל תמסרו פרטים מזהים שלכם, בטח לא סיסמאות ולא קודי אימות שאותם לא מוסרים לאף אחד בשום נסיבות. הבנקים לא מבקשים את קודי האימות או הסיסמה. אתם צריכים לסרב למסור פרטים רגישים, וליזום את השיחה לבנק לפי מספרי הטלפון הרשמיים המופיעים באתר הבנק".
"במערכת הבנקאית יש לנו כלים שמסייעים באיתור אנומליות בפעילות בחשבונות", אומר קספר. "לדוגמה, התחברות מכתובת IP ממדינה בחו"ל שעתיים אחרי התחברות מהארץ, פעילות בשעות או ימים חריגים אל מול פרופיל הפעילות של הלקוחות, העברת סכומים חריגים לנמענים שלא הועבר אליהם כסף בעבר ועוד. תהליך חקירה או הודעה על ההתנהלות החריגה בחשבון תגיע מכיוון הבנק או שלקוחות יזהו שבוצעה פעילות חריגה בחשבון שלהם והם יפנו אל הבנק. אנחנו עובדים עם חברות מודיעין סייבר, מערכות פנימיות של הבנק ובתקשורת שוטפת עם הלקוחות".
מה צריכים לעשות אם יש לכם פעילות חשודה בחשבון?
"להגיש תלונה במשטרה ולדווח לבנק כדי שתוכלו להחליף קוד משתמש וסיסמה".
הונאה נפוצה נוספת נקראת "העוקץ הרוסי", ורצה כבר בערך כשנתיים בישראל. רק לאחרונה פורסם כי היקף הכספים שנגנבו במסגרתה עומד על 70 מיליון שקל.
"ארגון פשיעת סייבר שיושב באוקראינה השיג מאגר מידע של לקוחות בישראל שעלו ממדינות חבר העמים לשעבר, דוברי השפה הרוסית", מספר קספר. "הם פועלים בצורה מאוד מתוחכמת - מתקשרים מחו"ל לטלפונים הניידים של הלקוחות בארץ ומשתמשים באפליקציות מיוחדות כדי להתחזות למספר טלפון אחר, כך שבמקום שיופיע מספר מחו"ל עם קידומת מוזרה, מופיעה תחנת משטרה בפתח תקווה או מספר טלפון של בנק מסוים, בנק ישראל או חברת אשראי.
"הם מדברים איתם ברוסית ומסבירים להם שהם מתקשרים מהביטחון של הבנק או ממשטרת ישראל או משהו כזה, והם גילו הונאה בחשבון בבנק, אבל אסור להם לדבר עם אף אחד, בטח לא עם הבנק, אולי יש שם מישהו שגונב כסף מהחשבון. כדי לחזק את הסיפור שלהם, הם שולחים בוואטסאפ צילומים של תעודות מזויפות, תעודת שוטר או איש ביטחון, ויזה או כל מיני מסמכים בעברית. לפעמים העברית בכתב הפוך, כי הם לא יודעים לזהות את זה.
"הם מפנים את הלקוחות האלה להגיע לבנק, למשוך את כל הכסף מהחשבון שלהם ולהפקיד אותו בחשבונות CHANGE, חלפני כספים, חשבונות בחו"ל, אוקראינה ומקומות אחרים. לפעמים הם צריכים לפגוש נהג מונית ולמסור לו את הכסף המזומן. אנחנו יודעים מבנק ישראל שיש 2,300 לקוחות שנפגעו, ואלו רק מי שדיווחו על כך, יש כאלה שמתביישים בזה. סדר גודל ממוצע של 35 אלף שקל שנגנבו מכל לקוח כזה. אנחנו עושים המון מאמצים להגיע ללקוחות דוברי הרוסית של הבנק, ולעדכן אותם על ההונאות האלה".