סקר: פישינג לגניבת זהות – ההונאה שהכי מפחידה גופים פיננסיים

תקופת הקניות של סוף השנה האזרחית (וגם העברית) "מעוררת" את ההאקרים, הערים ממילא, ומביאה אותם לבצע יותר מתקפות פישינג, הונאות פיננסיות בכלל ושאר רעות חולות. ארגונים פיננסיים, ואחרים, נערכים לכך, אבל הרבה פעמים, ההאקרים חכמים יותר מהם וחודרים למערכות ולחשבונות שלהם או של הלקוחות. איזה איום הכי מפחיד אותם?

את הנושא הזה ביקשה לברר ביוקץ' – חברה שמטפלת במניעת הונאות ברשת באמצעות ביומטריקה התנהגותית. התשובה שהיא גילתה, בסקר שערכה באירופה ובצפון אמריקה, היא שסוג המתקפות שנתפס אצל ארגונים אלה כאיום ההונאה הגדול ביותר הוא פישינג. 80% השיבו שמתקפות הדיוג הן אלה שעומדות בצמרת רשימת האיומים על גופים פיננסיים, בעוד ש-72% ציינו השתלטות על חשבון פיננסי של לקוח על ידי עבריין; 66% – השתלטות באמצעות נוזקה שמתחזה לתוכנה של המוסד הפיננסי; 62% – הונאת "זהות סינתטית", כלומר: עבריינים ש-"מתחפשים" לאדם אמיתי ומשתמשים בנתונים גנובים של אנשים אמיתיים, דוגמת כרטיס אשראי וחשבון בנק; ו-58% הציבו בראש הרשימה הונאה טלפונית דרך הנדסה חברתית. במקרה זה מנוצלות תכונות פסיכולוגיות ורגישות של הקורבן, שעשויות להביא אותו לציית לבקשותיו של מתחזה או גנב.

איך ההאקרים פועלים?

לדברי אילת אליעזר, סגנית נשיא בכירה בביוקץ', "סביב חגי תשרי ולקראת חג המולד אנחנו שומעים על גידול בהופעת הודעות הטקסט שגורמות לנו להקליק על לינק שבאמצעותו עבריינים מקבלים מידע המאפשר להם גישה לחשבונות המשתמשים".

"למשל", אמרה, "ההאקרים עושים זאת באמצעות הודעות שמדווחות על הגרלת תלושי קנייה ומתגלות כמתקפת פישינג, או מתבקשת הורדת תוכנה לטלפון, שמתבררת כנוזקה שאוספת מידע אישי. מוכרות מאוד גם הודעות שמתריעות על ניתוק חשבון החשמל, או על חבילה שאמורה להגיע ונדרש תשלום עבורה בלינק מצורף – אולם בפועל, המטרה היא גניבת פרטים אישים וזהות".

אליעזר הוסיפה כי "ההונאות הנפוצות לקראת חג המולד וראש השנה האזרחית הן מתקפות הפישינג, שבהן המתחזים 'דגים' פרטים רגישים, דוגמת כרטיסי אשראי, תעודות זהות, שמות משתמש וסיסמאות – באמצעות הודעת טקסט, מה שנקרא סמישינג, או מייל. בנוסף, יש הונאות טלפוניות – מה שנקרא וישינג, שבהן הגנב מציג את עצמו בתור נציג בנק או חברת כרטיסי אשראי וטוען שבוצע חיוב מחשבון האשראי של הקורבן שלא הוא ביצע ו-'רק רוצים לבטלו'. בשיטות של הנדסה חברתית הוא מנצל חולשות של הקורבן, שגורמות לו לציית לבקשות הגנב ולמסור פרטי כרטיס אשראי או קוד סודי".

אז מה עושים?

בביוקץ' ממליצים על כמה צעדים למניעת הונאות גניבת זהות ופרטי חשבון: אל תלחצו על קישורים שנראים חשודים או מגיעים ממקור לא מוכר, ואל תורידו קבצים ממקורות שאתם לא סומכים עליהם; לעולם אל תמסרו את הקוד הסודי שקיבלתם ב-SMS; אם בכל זאת מסרתם פרטים אישיים, שנו בהקדם את כל הסיסמאות שלכם ודאגו לאימות דו שלבי בכל מקום שזה מתאפשר; אם גיליתם שנפלתם קורבן להונאה ושילמתם לנוכלים דרך חשבון הבנק או כרטיס האשראי, צרו קשר בהקדם עם הבנק או חברת כרטיסי האשראי שלכם; ואם משהו נשמע טוב מדי – הוא כנראה באמת טוב מדי. אף אחד לא זוכה בהגרלה שהוא לא מילא בעצמו. תבדקו תמיד את המקור להודעות שנשלחות אליכם וחפשו דגלים אדומים.

"העבריינים לא מתעייפים וממשיכים לחדש את שיטות ההונאה ברשת", סיכמה אליעזר.