קנייה בטוחה: הכל על פישינג ברשת ואיך להימנע ממנו
גורמים זדוניים ברשת מנסים "לדוג" פרטים אישיים, סיסמאות ופרטי אשראי באמצעות התחזות בסמס, במיילים וברשתות החברתיות ● כך ניתן להתגונן
האינטרנט הוא חלק בלתי נפרד מחיינו ואנחנו משתמשים בו לכל דבר, החל מרכישת מוצרי צריכה ועד לניהול חשבונות בנק. האם אפשר לדמיין קניות, סידורים, תשלומים ובידור ללא אינטרנט? לצד הנוחות, המהירות והזמינות שמספקת לנו חווית הקניה באינטרנט, קיימים בה גם סיכונים שחשוב להכיר.
מה זה פישינג?
פישינג (שנקרא בעברית "דיוג", ובאנגלית Phishing, טעות הכתיב משולבת במילה במתכוון) הוא ניסיון לגרום לקורבן למסור מידע רגיש באמצעות התחזות לגורם לגיטימי. פעילות הפישינג מתאפיינת ביצירת קשר עם הלקוח באמצעות סמס, מייל או ווטסאפ שעושה ניסיון להתחזות למסר מחברת תקשורת, מוסד פיננסי או בית עסק מוכר, כאשר תוכן ההודעה מייצר אצל הנמען תחושת דחיפות לביצוע פעולה: הודעה על חסימת חשבון, על פעילות חריגה בכרטיס האשראי, על משלוח שצריך לשלם עבורו או לשחרר מהמכס וכו'.
לחיצה על הקישור המצורף להודעה תוביל לאתר שמתחזה לאתר של הגוף שעליו מדובר ובו נתבקש להזין פרטים אישיים ולעיתים קרובות גם פרטי כרטיס אשראי ואף שם משתמש וסיסמא המשמשים אותנו מול גופים פיננסים.
דרך נוספת שצוברת פופולריות, היא פרסום ברשתות חברתיות המציע מוצרים נחשקים במחירים זולים משמעותית ממחירי השוק, כאשר לחיצה על הקישור תוביל לאתר שמתחזה לאתר מכר אינטרנטי לגיטימי, אך לאחר שנזין פרטים בדף התשלום המתחזה יתבצע חיוב בבית עסק אחר, לעתים קרובות בסכום גבוה בהרבה.
חלק מהאתרים ההונאתיים אף מופיעים בתוצאות החיפוש הראשונות של מנועי החיפוש השונים כאשר מחפשים מילות מפתח כמו "בושם", "צעצועים" וכו'.
איך להימנע מנפילה במזימת פישינג ברשת?
ישנם מספר דברים שתוכלו לעשות כדי להימנע מנפילה קורבן לפישינג:
לבחון את הניסוח של ההודעה
חברות לגיטימיות לא שולחות הודעה שמאיימת ומלחיצה את הלקוח ולא מנסחות את ההודעות באופן שדורש מהלקוח להגיב עכשיו ומייד להודעה. בכל מקרה של ספק, מומלץ להימנע מלחיצה על הקישור ולהיכנס באופן יזום לאתר של החברה השולחת, ולבדוק האם ממתינה הודעה ללקוח.
לבדוק בדקדוק את כתובת אתר האינטרנט. לעיתים קרובות האתר המתחזה, אליו מוביל הקישור נראה לגיטימי, אך תשומת לב יכולה לגלות שגיאות כתיב, ניסוח לא רהוט וכתובת האתר עצמו אינה זהה לכתובת של האתר הלגיטימי, למשל אתר ישראלי המסתיים בסיום COM.
קוד חד-פעמי לביצוע עסקאות מאובטחות. חברות האשראי מפעילות מנגנוני אבטחה מתקדמים על מנת לזהות עסקאות חשודות. לעתים ישלח אליכם קוד חד פעמי בעל תוקף של מספר דקות, אשר נועד לאמת מולכם כי עסקה שמנסים לבצע בכרטיס האשראי שלכם היא אכן עסקה שאתם רוצים לבצע.
הקוד מיועד להשלמת ביצוע של עסקה באתרי אינטרנט או באפליקציות בלבד – אין למסור אותו בטלפון לאף אחד.
הקוד נשלח במסרון המסביר את מטרת הקוד ואת שם בית העסק וסכום העסקה – שימו לב לפרטים אלו ופעלו בהתאם. אסור למסור את הקוד לאף גורם והוא מיועד לכך שתזינו אותו בעצמכם בדף התשלום של בית העסק ובכך אתם מאשרים את ביצוע העסקה ואת סכום העסקה.
לבית עסק אסור לדרוש את הקוד בטלפון והקוד לא נדרש כדי לבצע פעולת זיכוי או ביטול עסקה.
לרכוש רק מאתרים מוכרים ומאובטחים. כאשר פרסומות מציעות לכם מותג ידוע במחיר נמוך משמעותית ממחיר השוק, זכרו – אם זה טוב מדי מכדי להיות אמיתי, סיכוי גדול שזה אכן לא אמיתי.
ככלל, מומלץ לרכוש מאתרים מוכרים ואם האתר אינו מוכר – לבצע חיפוש של שם האתר ולראות האם החיפוש מניב אזהרות על הונאה. בנוסף, תוכלו לבדוק את המוניטין של האתר באמצעות חיפוש שמו בגוגל וקריאת הביקורות עליו.
חזרו לבסיס. יש דרכים שונות להתגונן באופן יזום וספציפי מפישינג, חלקן הן שיטות אבטחה בסיסיות: ודאו כי על המחשב ועל גבי הטלפון מותקנות תוכנות אנטי-וירוס מעודכנות – תוכנת אנטי וירוס, אפילו חינמית, תדע לפחות בחלק מהמקרים להתריע בפניכם על אתר חשוד אם תלחצו על קישור בהודעת פישינג.
כדאי גם להשתמש בסיסמאות חזקות ומגוונות – כאשר אתם משתמשים בסיסמאות השתדלו לא להשתמש בסיסמה אחת למספר אתרים ולבחור סיסמה שתהיה קשה לניחוש. תאריכי לידה, שמות של ילדים וסתם צירופי מספרים כמו 1234 קלים לפיצוח. במקום שם ילדכם ותאריך הלידה שלו, נסו להשתמש למשל בשם המאכל השנוא עליכם ובמספר המייצג את המשקל או את הגובה שאתם שואפים להגיע אליהם.
מה לעשות אם נפלנו קורבן להונאה?
אם נפלתם קורבן להונאת פישינג, חשוב לנקוט בצעדים הבאים:
לא להילחץ. לנשום. לעצור לרגע ולחשוב: אם רק פתחתם את המסרון או את המייל, ואפילו אם רק לחצתם על הקישור ונכנסתם לאתר המתחזה אבל לא הזנתם פרטים רגישים – כל הכבוד. לא קרה כלום. ככלל, אם בכל זאת הזנתם את פרטי כרטיס האשראי עליכם לבטלו. אם אתם לא בטוחים – לא חייבים לקבל החלטה מיד. ניתן להקפיא זמנית את הכרטיס ואחר כך במידת הצורך לבטלו. שימו לב למסרונים מחברת האשראי המודיעים לכם על עסקאות בכרטיס או על פעולות כמו עדכון הטלפון והמייל שלכם ואם קיבלתם כאלה – דווחו מייד לחברת האשראי.
עקבו אחר הפעילות בכרטיס האשראי ובחשבון הבנק – כיום קל ונוח מתמיד לבצע מעקב באמצעות האפליקציות ואתרי האינטרנט של הבנק ושל חברת האשראי. אמצו שגרה של בדיקה אחת למספר ימים ואם זיהיתם פעילות שאתם לא מכירים – דווחו עליה.
דווחו על ההונאה לחברת האשראי – במידה ונפלנו קורבן לגניבת פרטי האשראי שלכם באמצעות פעולת פישינג, הכתובת הראשונה לסיוע היא החברה שהנפיקה ומפעילה את הכרטיס. יוצרים קשר עם נציגי ישראכרט באתר, בטלפון או באפליקציה, ויחד מבינים מה הם הצעדים הבאים – ביטול הכרטיס, הקפאת הכרטיס, מעקב אחר פעילות חשודה וכן הלאה.
דווחו למעסיק במידה וההונאה התרחשה על גבי הרשת או המייל של מקום העבודה – אם מיילים של פישינג מגיעים לתיבת המייל של מקום העבודה, חשוב לדווח על כך בהקדם למחלקת IT. ככלל, מוטב להימנע משימוש במייל של מקום העבודה לטובת רכישות פרטיות ובכך לצמצם את הסיכוי שכתובת המייל תיחשף.
דווחו לרשויות במידת הצורך - פישינג הוא חלק מקשת של מתקפות סייבר שמקיימות ברשת. מערך הסייבר הלאומי מאפשר לאזרחים לדווח לרשויות על הונאות ומתקפות ברשת. כדאי מאוד לדווח – חיוג 119 יוביל למרכז מערך הסייבר לדיווח מיידי, המופעל 24 שעות ביממה. מומלץ גם להגיש תלונה למשטרה – ניתן כיום להגיש תלונה מקוונת מבלי להגיע פיזית לתחנת המשטרה.
לסיכום, עם הונאות פישינג מתמודדים בשני שלבים – לפני המעשה בהימנעות, ואחרי המעשה בדיווח וטיפול. מודעות לתופעה, זהירות והקפדה על מסירת פרטים רק לאחר מחשבה ובחינה בהתאם להמלצות שפורטו כאן, יסייעו לכם למנוע את מרבית ניסיונות הפישינג. אך אם בכל זאת נפלתם קורבן לפישינג – פעלו מיידית לדיווח לגורמים הרלוונטיים, בטלו את כרטיס האשראי ובמידת הצורך צרו קשר עם חברת האשראי.
