הונאות פישינג (בעברית: דיוג, Phishing או Fishing) היא אולי אחת מסוגי ההונאות הכי מוצלחות ומתוחכמות שיש. מדובר בשיטה מתוחכמת, עם שדרוגים ואפשרויות רבות לחיזוק האמינות, ההונאה עשויה להטעות גם משתמשים שאינם תמימים וברי דעה צלולה ומפוכחת. בהונאה זו, הגורם התוקף מנסה להשיג פרטים אישיים אודותיכם, או פרטי כניסה לשירותים מקוונים (בדרך כלל שירותים שאפשר לשלם באמצעותם על מוצרים או שירותים, כלומר הוא מנסה להכנס בשמכם לאיביי או פייפאל לדוגמא). הוא ינסה להשיג ממכם ברוב המקרים שם משתמש וסיסמא, או פרטי כרטיס אשראי.
הונאת פישינג מתבצעת באמצעות התחזות לגורם הרשמי שמולו קיימים פרטי הכניסה או פרטי התשלום שלכם, או כל גורם אחר לגיטימי. השיטה זכתה לשם הזו בעקבות אופן הפעולה שלה – התוקף מנסה "לדוג" ממכם פרטים רגישים על ידי התחזות לגורם לגיטימי רשמי.
הודעה שכזו עשויה להראות אמינה מאוד, היא עשויה להכיל את הלוגו וחתימת הגורם הלגיטימי, ועשויה להגיע מכתובת מייל או מספר טלפון שדומים מאוד למייל או מספר הטלפון של הגורם האמיתי. בנוסף יתכן ויעשה שימוש בשמכם הפרטי או המלא, ויצוינו פרטים אמיתיים, שמות, כתובות, אנשים ומספרי טלפון נכונים כדי להגביר את האמינות.
כדי לקצר תהליכים ולהגביר את הייעול, התוקפים בדרך כלל שולחים כמויות גדולות של ההודעות האלו בדואר האלקטרוני, ומתוכם מצליחים לדוג את הפרטים הרגישים של קורבנות רבים שנפלו ברשת.
איך זה נראה?
פישינג יכול להתבצע טלפונית, פנים אל פנים, בהודעה כתובה או בדואר אלקטרוני.
הכי נפוץ: פישינג באינטרנט – באמצעות אתר דמה
אתם עשויים לקבל מייל, לכאורה מגורם רשמי כמו פייסבוק, פייפאל, איביי, כביש 6, בנק כלשהו, או כל גורם אחר שיש לכם משתמש בו. המייל יספר לכם על כך שהסיסמא שלכם עומדת לפוג תוקף ועליכם לחדש אותה, שיש לכם חוב מולו, יגיד לכם שיש לכם הודעה חשובה בתיבת ההודעות באתר המדובר, או כל דבר אחר. כאשר תנסו להגיב באמצעות חידוש הסיסמא, קריאת ההודעה, הסדרת החוב או לא משנה מה זה יהיה, קישור במייל יוביל אתכם לדף שנראה בדיוק (אם ההונאה מוצלחת) כמו דף הכניסה לאתר המבוקש, שמבקש את שם המשתמש והסיסמא שלכם עבור האתר. במקרים מסויימים אחרי הכניסה המזוייפת לשירות המזוייף, תתבקשו גם להזין פרטי אשראי, במידה וההודעה מהגורם המתחזה דיברה על חוב.
בפועל, אתם נמצאים באתר אחר שעוצב ונראה בדיוק כמו דף הכניסה של האתר הרשמי, וברגע שתקלידו את פרטי הכניסה שלכם באתר הדמה, הפרטים יגיעו לידי התוקף והוא יוכל להכנס בשמכם לאותו אתר. אם הקלדתם את פרטי האשראי, כמובן שגם אותם הוא מקבל לידיו. בנוסף, הונאות פישינג מהסוג הזה בדרך כלל יכניסו אתכם באמת לדף הרשמי של הגורם הרשמי מיד אחרי שתקלידו את פרטי הכניסה שלכם, בנוסף לשליחתם לגורם התוקף, כך שיתכן ואפילו לא תרגישו או תבינו מה קרה בדיוק.
פישינג טלפוני
בשיטת דיוג זו, תקבלו שיחת טלפון, לכאורה מגורם רשמי. זה יכול להיות "מס הכנסה" שטוען כי אתם חייבים לו כספים ויבקש פרטי אשראי להסדרת החוב, בית הספר של הילד שלכם, או סוכנות נסיעות שהזמנתם ממנה כרטיסי טיסה שמבקשת לוודא פרטי תשלום. כל טלפון כזה שמגיע, היו זהירים וודאו כל מה שצריך, בקשו מהנציג שהתקשר אליכם לתת לכם פרטים מזהים עליכם ועל ההזמנה, ובדקו שמספר הטלפון שממנו חייגו אליכם אכן תואם את הגורם המחייג.
פישינג בבית מלון – שדרוג של הפישינג הטלפוני – עוקץ מתוחכם ואמין
בשיטת פישינג מתוחכמת זו, התוקף עשוי לעמוד מאחוריכם בתור לדלפק הקבלה בבית מלון כאשר אתם בנופש ולשמוע מה מספר החדר שהוקצה לכם, או לעקוב אחריכם לחדר שלכם ולראות לאיזה חדר אתם נכנסים. מיד לאחר שהוא הבין מה מספר החדר שלכם, ומיד אחרי שסיימתם את תהליך הצ'ק אין, הוא יבצע חיוג אליכם אל החדר מטלפון פנימי בבית המלון, או מטלפון חיצוני – אבל דרך דלפק הקבלה – ויבקש שיקשרו אותו עם החדר שלכם.
הטלפון בחדר עשוי להראות לכם שהשיחה מגיעה מתוך בית המלון – ממקור פנימי, ואינה חיצונית, מה שמחזק מאוד את האמינות. הרמאי יספר לכם שהייתה בעיה עם כרטיס האשראי שמסרתם לפני דקות בודדות בקבלה, והוא לא עבר, ויבקש לאמת את פרטי האשראי. הוא עשוי אפילו לציין את סוג הכרטיס, או כל פרט אחר בו הוא הבחין, כדי להגביר את האמינות. מדובר בהונאה מאוד מתוחכמת, היא נראת מאוד אמינה, נשמעת טוב, כל הפרטים מתחברים היטב וגם אנשים שאינם תמימים וחשדנים עשויים ליפול בה.
פישינג פנים אל פנים
בפישינג שמתבצע פנים אל פנים עשוי להגיע אליכם הביתה, לפגוש אתכם במקום נייטרלי (בית קפה לדוגמא) או במשרד מזוייף איש כלשהו המתחזה לאיש מטעם גורם רשמי, כמו הבנק או חברת כרטיסי האשראי. הוא עשוי להציע הטבה, עסקאות משתלמות במיוחד, ולפתות אתכם בכל דרך אפשרית, כדי להוציא ממכם פרטים מזהים או פרטי כרטיס אשראי.
הכי מסוכן – פרטי גישה מרחוק
בהמון מקרים, דפדפן הגלישה שלנו שומר פרטי כניסה ונכנס באופן אוטומטי לשירותים מסויימים. חשבו על כך – כשאתם נכנסים לפייסבוק, אתם לא מקלידים כל פעם שם משתמש וסיסמא, אתם נכנסים אוטומטית, וזה קורה באמצעות הדפדפן בו אתם גולשים, ששומר את פרטי הכניסה ומתחבר אוטומטית עבורכם. אם אתם משתמשים בשירות גישה מרחוק (אפשרות שליטה במחשב שלכם מרחוק באמצעות Screen Mirroring וכדומה), זה עשוי להיות מסוכן מאוד. במידה והרמאי ישיג את פרטי הכניסה לגישה מרחוק, הוא יוכל להכנס למגוון שירותים בשמכם – ישירות דרך המחשב או המכשיר שלכם. הוא יכול לשלוט על המקלדת והעכבר של המחשב, ולהנות מהכניסה האוטומטית לפייסבוק, פייפאל, וכדומה.
הנזק שעשוי להיגרם לכם
במקרה הטוב, יתכן ותנעלו מחוץ לחשבון הדואר האלקטרוני או חשבון של שירות אחר כלשהו. במקרה הרע, אם תחת אותו חשבון באותו אתר או מייל יש לכם מידע רגיש, לתוקף יהיה מידע אליו. במקרה הרע יותר, לתוקף תהיה גישה ישירה לרכוש באמצעות האשראי שלכם מוצרים או שירותים, או לבצע העברות של כספים בשמכם ועל חשבונכם. במקרים הכי נוראיים, ישתמש התוקף בפרטים שהוא אוסף אודותיכם מכל מיני שירותים, ויצליח להתחזות אליכם גם במציאות, ולפתוח חשבון בנק על שמכם לדוגמא.
שיטות התמודדות
נשאלת השאלה כיצד ניתן להתמודד מול הונאת פישינג, או לזהות אותה כאשר רמאי מנסה אותה על חשבונכם.
ודאו פרטים מזהים בגוף ההודעה או כאלו שנאמרים לכם
אם מדובר בהודעת דואר אלקטרוני, בדקו שהכתובת מגיעה מכתובת מוכרת עם הדומיין הרשמי, הזהרו מכתובות דואר אלקטרוני שנראות מוזר, כתובות דואר אלקטרוני ארוכות, לא מזוהות, או כתובות שנראות דומה מאוד לכתובת האמיתית של השולח. שימו לב לכתובות של קישורים בהודעה – האם הגעתם באמת אחרי הלחיצה על הקישור לאתר הנכון? האם הכתובת של האתר מדוייקת או רק דומה? התעלמו מפרטים שאין לכם אפשרות לאמת בהודעה – שם השולח, מספר הטלפון שמופיע בהודעה, לוגו של חברה – אלו דברים שכל אחד יכול לכתוב בהודעה. אל תתרשמו מכל אחד שיודע את השם המלא שלכם, וגם לא מכאלו שיודעים לדקלם עבורכם את תעודת הזהות שלכם – זה עדיין לא אומר שהם אמינים ושהם מגיעים מטעם הגורם שהם טוענים ששלח אותם.
אם זה נשמע טוב מידי כדי להיות אמיתי…
אם מספרים לכם שיש לכם דוד רחוק שלא הכרתם בארצות הברית שמת ורוצה להוריש לכם גוש זהב, אם יש איזו חתיכה בלונדינית שמתחילה איתכם שיחה משום מקום (כי היא "מצאה את הפרופיל שלכם בפייסבוק") ותוך יומיים מתאהבת בכם – אל תחשדו בזה, אלא פשוט תשללו את זה מיד על הסף. אף חתיכה לא מתאהבת בכם תוך 48 שעות בהתכתבויות, ואין מטיל זהב עם השם שלכם עליו שמחכה שתאספו אותו. אם יש סיפור כיסוי שנשמע קצת הזוי, ותוך זמן קצר מבקשים ממכם כסף או פרטים מזהים – חסמו מיד את השולח והתעלמו. בהמון מקרים בהונאת פישינג, אין סיפורי כיסוי מצוצים מהאצבע, אלא פשוט מבקשים ממכם להכנס לחשבון שלכם כדי לבצע פעולה מסויימת או לקרוא הודעה. היו זהירים.
סימן ה-@ בכתובת
הזהרו במיוחד מקישורים שמפנים לכתובת עם הסימן "@" (שטרודל), מאחר וזוהי דרך טובה להסוות את היעד שאליו נשלחתם במציאות. לדוגמא, קישור לכתובת http://[email protected] נראה כאילו הוא יעביר אתכם לאתר של בנק לאומי, אך בפועל תקושרו לאתר "שקוף". ודאו תמיד לפני הקשת פרטים מזהים או פרטי אשראי ברשת, שאתם אכן באתר שאתם חושבים שאתם נמצאים בו, במיוחד אם קושרתם אליו דרך קישור שהפנה אתכם אליו.
לגורם הרשמי כבר יש את הפרטים שלכם!
תמיד תזכרו שאף אחד בפייסבוק לא יבקש ממכם את סיסמאת הכניסה שלכם, מאחר ולעובדי התמיכה והשירות של פייסבוק כבר יש אפשרות להכנס לחשבון שלכם גם בלי פרטי הזיהוי שלכם. אם מדובר בגורם שבדרך כלל לא מבקש תשלום כמו Gmail או כל שירות שבבסיסו ובמהותו חינמי, סביר מאוד להניח שמי שמציג את עצמו כעובד בארגון ומבקש את פרטי התשלום שלכם הוא פשוט מתחזה.
למעשה, גם אם מדובר בשירות שעבורו אתם משלמים, עדיין לא סביר או ריאלי שנציג מטעם השירות יבקש ממכם למסור לו פרטי אשראי, מאחר והחיובים נעשים באמצעות עמודי סליקה מאובטחים ברוב המקרים. המקסימום זה שאולי יבקשו ממכם תעודת זהות או 4 ספרות אחרונות של הכרטיס לזיהוי, וגם במקרים כאלו תחשדו.
הערות דפדפן לגבי פישינג
דפדפן הגלישה שלכם ובמיוחד גוגל כרום יודע איך פישינג נראה ומצליח לזהות בהרבה מקרים כשהוא מכוון לעברכם. אם מדובר בהודעת דואר אלקטרוני או עמוד שגוגל מזהה או מכיר כמתחזה – תעלה הודעת אזהרה בולטת על המסך. אל תתעלמו ממנה, מדובר במלבן צהוב או אדום עצבני גדול ובולט על המסך, הוא לא הגיע למסך שלכם סתם.
אימות דו שלבי
השתמשו באימות דו שלבי עבור כל שירות שמאפשר זאת. אימות דו שלבי מוסיף שלב אימות לפני הכניסה לשירות, אחרי הקלדת פרטי הכניסה שלכם. כך לדוגמא אם תרצו להכנס לדואר האלקטרוני שלכם לדוגמא, אחרי שתקלידו את פרטי הכניסה תקבלו הודעת SMS לסלולרי שלכם עם קוד נוסף חד פעמי עבור הכניסה הספציפית הנוכחית, קוד שמי שאין לו גישה לסלולרי שלכם ולהודעות הטקסט שלכם – אין בידו ולכן לא יכול להכנס. אימות דו שלבי מוסיף הגנה מדהימה לכל שירות שבו אתם משתמשים בו, והוא יעיל לא רק נגד פישינג אלא גם נגד הונאות רבות נוספות אחרות.
לא בטוחים? התייעצו!
במידה וקיבלתם הודעה חשודה שעוררה את חשדכם, אל תפחדו לפנות למכרים, חברים ובני משפחה ולהתייעץ איתם לגבי זה. סביר להניח שביחד תוכלו לקבל החלטה נבונה יותר בנוגע לאמינות ההודעה שהגיעה, או בנוגע לאמינות שיחת הטלפון שנכנסה.
