היזהרו מהונאות: 3 השיטות הכי נפוצות של מתקפות פישינג

קיבלתם הודעת SMS מבהילה מהבנק או מחברת האשראי עם קישור? הזמנתם חבילה וקיבלתם מייל עם דרישה מוגזמת לתשלום מכס? יכול להיות שאתם נתונים למתקפת פישינג – ניסיון לגנוב את המידע שלכם על ידי התחזות. בשנה האחרונה חלה עלייה בניסיונות להונאות, ועל פי נתונים של מערך הסיייבר הלאומי שפורסמו לרגל שבוע הגנת הסייבר, התקבלו כ-2,500 דיווחים בנושא.

הדרך להתגונן ולא ליפול מתחילה בהיכרות עם השיטות שמשתמשים בהם. רועי אדרי, מנהל תחום חקירת הונאות וסיכוני סליקה ב-max, מזהיר מפני 3 הדרכים העיקריות בהם משתמשים לצורך קבלת פרטים אישיים ופרטי אשראי:

 

1. שליחת מייל או הודעת SMS מתחזה

אחת הדוגמאות הפופולריות היא שליחת מייל מאתר המתחזה לדואר ישראל. המתחזה מוסר לכם כי ממתינה עבורכם חבילה, ולצורך קבלת החבילה עליכם לשלם את דמי המשלוח בקישור המופיע במייל. בקישור יהיו שדות לרישום פרטי כרטיס האשראי ו/או פרטים מזהים נוספים שלכם, שיגיעו ישירות למתחזה.

 

2. שיחת התחזות

נוכלים יוצרים קשר טלפוני באמצעות שיחה שנחזית להיות ממס' טלפון של גוף פיננסי, כגון מתחזים לנציגי בנקים, חברות האשראי, קב"טים, משטרה וכו'. במקרים האלה המתחזים טוענים שעליכם למסור להם את הקוד על מנת שיוכלו לאמת שאכן אתם בעלי הכרטיס או על מנת לחסום את הכרטיס עקב הונאה שהתבצעה בו. מדובר בפרטי הקוד OTP (one time password)  שמשמש להשלמת עסקות בטוחות באינטרנט (3dsecure). חשוב מאוד לדעת שאין למסור בשום מקרה ובשום מצב את פרטי קוד ה-OTP שנשלח לאף גורם שהוא, לא בעל פה ולא בכתב. מדובר בנתון שאם מישהו מבקש אותו בהכרח מדובר בהונאה והתחזות. את נתון ה-OTP שקיבלתם מחברת האשראי יש להזין רק ואך ורק במקום המיועד לכך באתר, ובתנאי שאתם מזהים את פרטי בית העסק וסכום העסקה כפי מופיעים בהודעה שקיבלתם מחברת האשראי.

 

3. אתר פיקטיבי

לפי שיטה זו, המתחזים מקימים אתר פיקטיבי כדי לגרום לכם לחשוב שאתם רוכשים מוצרים באתר לגיטימי ובמטרה לגרום לכם להזין את פרטי האשראי. למשל, פורסמה מודעה פיקטיבית של אתר לצעצועי ילדים, שמוכר צעצועים בסכומים מאוד אטרקטיביים. אותם לקוחות שענו למודעה התבקשו להזין את פרטי האשראי ופרטים אישיים נוספים. לאחר "הרכישה", הלקוחות קיבלו הודעה בוואטסאפ שלפיה על מנת לזהות אותם הם מתבקשים להזין במענה להודעה את הקוד שהם יקבלו מחברת האשראי ב-SMS. בפועל אותם נוכלים ביצעו עסקאות באמצעות פרטי הכרטיסים שהזינו הלקוחות, וכשהם היו צריכים להזין קוד העסקה הבטוחה להשלמת העסקה, יצרו קשר בוואטסאפ וביקשו מהלקוחות התמימים שימסרו להם את הקוד שנשלח אליהם, כביכול לצורך זיהוי מבית העסק.

 

כיצד תגנו על עצמכם?

1. בדקו כל הודעה שאתם מקבלים בסמס או במייל עם קישור או קובץ מצורף, גם אם נשלחה מאדם או מחברה שאתם מכירים. האם ציפיתם להודעה הזאת? התייחסו לזהות השולח ולכתובת הקישור – האם יש שינוי של אותיות או שהעיצוב נראה שונה. שימו לב שארגונים רשמיים שולחים הודעות מכתובות של הארגון, ובדרך כלל לא מכתובת ג'ימייל למשל. גם אם תוכן ההודעה נשלח עם שגיאות כתיב או ניסוח, יכול להיות שמדובר בניסיון התחזות. כמובן אם ההודעה מציגה הצעה שנראית אטרקטיבית מדי, כדאי להתחיל לחשוד. אם מדובר בשיחת טלפון בה ביקשו מכם פרטים אישיים, כדאי לבצע אליו שיחה יזומה על מנת לוודא שלא מדובר בהונאה.

2. בצעו עסקאות רק באתרי אינטרנט מוכרים דרך כניסה יזומה שלכם לאתר, תוך תשומת לב לכתובת האתר. כדאי לבדוק שבאתר יש מידע על בית העסק – כתובת, מס' טלפון, תקנון ומדיניות פרטיות.

4. אל תמסרו מידע פרטי – קוד אישי, סיסמה וכו', כמובן לא במקרה של שיחה חריגה או הודעה חשודה. במקרה של ביצוע עסקה בטוחה, יש להזין את הקוד שנשלח אליכם ע"י חברת האשראי רק במקום המיועד לכך בחלונית שתיפתח לכם במעמד ביצוע העסקה. אין למסור בשום אופן את הקוד המתקבל אצלכם לצורך השלמת עסקה באתר, או כל קוד זיהוי אחר לאף אחד. לא לחברת האשראי ולא לבית העסק, וכמובן לא לשלוח את המידע הזה בוואטסאפ או במייל. 

 

כדאי לדעת שחברת max מציינת בבירור ב-SMS שנשלח ללקוחות, בעבור איזו עסקה נשלח הקוד, שם בית העסק וסכום העסקה. כל מה שנדרש הוא לקרוא את ההודעה במלואה, ואם פרטים אלו אינם מוכרים, אין להמשיך בפעולה וכמובן לא למסור את פרטי הקוד שהתקבל לשום גורם. במקרה ויש ספק ניתן לפנות בשיחה יזומה לחברת האשראי למוקד שזמין 24/7.

פנו ל-max בכל חשד להונאה בכרטיס האשראי שלכם לטלפון: 03-6178800