ביצוע פעולות פיננסיות במרחב הסייבר בצורה בטוחה
הניסיונות למתקפות במרחב הסייבר כגון: התחזות, ביצוע הונאות וגניבת מידע עלו מדרגה בשנים האחרונות תוך שימוש בדרכים יצירתיות לגניבת פרטים אישיים.
קיבלתם הודעת SMS מבהילה מהבנק או מחברת האשראי עם קישור? הזמנתם חבילה וקיבלתם מייל עם דרישה מוגזמת לתשלום מכס? יכול להיות שאתם נתונים למתקפת פישינג – ניסיון לגנוב את המידע שלכם על ידי התחזות. בשנה האחרונה חלה עלייה בניסיונות להונאות, ועל פי נתונים של מערך הסיייבר הלאומי שפורסמו לרגל שבוע הגנת הסייבר, התקבלו כ-2,500 דיווחים בנושא.
הדרך להתגונן ולא ליפול בפח מתחילה בהיכרות עם השיטות שמשתמשים בהם:
- מייל או הודעת SMS מתחזה- אחת הדוגמאות הפופולריות היא שליחת מייל מאתר המתחזה לדואר ישראל. המתחזה מוסר לכם כי ממתינה עבורכם חבילה, ולצורך קבלת החבילה עליכם לשלם את דמי המשלוח בקישור המופיע במייל. בקישור יהיו שדות לרישום פרטי כרטיס האשראי ו/או פרטים מזהים נוספים שלכם, שיגיעו ישירות למתחזה.
- שיחת התחזות- נוכלים יוצרים קשר טלפוני באמצעות שיחה המתחזה למס' טלפון של גוף פיננסי, כגון: נציגי בנקים, חברות האשראי, קב"טים, משטרה וכו'. במקרים אלה המתחזים טוענים שעליכם למסור להם את הקוד על מנת שיוכלו לאמת שאכן אתם בעלי הכרטיס/ החשבון או על מנת לחסום את הכרטיס/חשבון עקב הונאה שהתבצעה בו. חשוב מאוד לדעת שאין למסור בשום מקרה ובשום מצב את פרטי קוד ה-OTP שנשלח לאף גורם שהוא, לא בעל פה ולא בכתב. מדובר בנתון שאם מישהו מבקש אותו בהכרח מדובר בהונאה והתחזות. את נתון ה-OTP שקיבלתם מחברת האשראי יש להזין רק ואך ורק במקום המיועד לכך באתר.
להלן מספר צעדים אשר יהפכו את השימוש בדוא"ל ובאינטרנט לבטוח יותר בכלל, וביצוע פעולות פיננסיות בפרט:
- בדקו כל הודעה שאתם מקבלים בסמס או במייל עם קישור או קובץ מצורף, גם אם נשלחה מאדם או מחברה שאתם מכירים. האם ציפיתם להודעה הזאת? התייחסו לזהות השולח ולכתובת הקישור – האם יש שינוי של אותיות או שהעיצוב נראה שונה. שימו לב שארגונים רשמיים שולחים הודעות מכתובות של הארגון, ובדרך כלל לא מכתובת ג'ימייל למשל. גם אם תוכן ההודעה נשלח עם שגיאות כתיב או ניסוח, יכול להיות שמדובר בניסיון התחזות. כמובן אם ההודעה מציגה הצעה שנראית אטרקטיבית מדי, כדאי להתחיל לחשוד. אם מדובר בשיחת טלפון בה ביקשו מכם פרטים אישיים, כדאי לבצע אליו שיחה יזומה על מנת לוודא שלא מדובר בהונאה.
- בצעו עסקאות רק באתרי אינטרנט מוכרים דרך כניסה יזומה שלכם לאתר, תוך תשומת לב לכתובת האתר. כדאי לבדוק שבאתר יש מידע על בית העסק – כתובת, מס' טלפון, תקנון ומדיניות פרטיות.
- ניתן לזהות את אתר max ואת מנעול האבטחה בכל כניסה לאתר בטרם תקליד/י את נתוניך האישיים. יש להקפיד במיוחד אם הכניסה לאתר בוצעה דרך קישור המופיע בהודעת דוא"ל/SMS שקיבלת
- אל תמסרו מידע פרטי – קוד אישי, סיסמה וכו', כמובן לא במקרה של שיחה חריגה או הודעה חשודה. אין למסור בשום אופן את כל קוד זיהוי אחר לאף אחד. לא לחברת האשראי ולא לבית העסק, וכמובן לא לשלוח את המידע הזה בוואטסאפ או במייל.
- יש להימנע מהורדת קבצים אשר המקור שלהם לא זוהה בוודאות למחשבך
- וודא שמותקנים במחשבך אמצעי האבטחה הבאים: תוכנת אנטי וירוס, חומת אש (Fire Wall), תוכנת למניעת חדירת דוא"ל זבל (Anti-Spam). אמצעים אלו מצמצמים באופן ניכר את האפשרות לקבלת הודעות מזויפות.
- אפליקציה סלולרית- כדי להימנע מאפליקציות מתחזות, יש להוריד אפליקציות בכלל ואת אפליקציית MAX בפרט רק מחנויות ההורדה הרשמיות של GOOGLE וAPPLE. יש לשים לב לשם המפיץ: max finance. על מנת לגלוש בצורה בטוח ונכונה דרך האפליקציה יש להשתמש במכשירי המופעלים על ידי אנדרויד או IOS. יש להגדיר עדכונים אוטומטיים לאפליקציות.
- במידה ומתעורר חשד כלשהו לגבי אי תקינותו של תהליך הרישום ו/או הגלישה ו/או הודעת דוא"ל שקיבלת בשם MAX, אנא הקפד להודיע למוקד התמיכה או למרכז שירות הלקוחות של max
הניסיונות להונאות עלו מדרגה בשנים האחרונות תוך שימוש בדרכים יצירתיות לגניבת פרטים אישיים. אז מה הם הסימנים שמדובר בפישינג
ואיך תזהרו?
קיבלתם הודעת SMS מבהילה מהבנק או מחברת האשראי עם קישור? הזמנתם חבילה וקיבלתם מייל עם דרישה מוגזמת לתשלום מכס? יכול להיות שאתם נתונים למתקפת פישינג – ניסיון לגנוב את המידע שלכם על ידי התחזות. בשנה האחרונה חלה עלייה בניסיונות להונאות, ועל פי נתונים של מערך הסיייבר הלאומי שפורסמו לרגל שבוע הגנת הסייבר, התקבלו כ-2,500 דיווחים בנושא.
1. שליחת מייל או הודעת SMS מתחזה
אחת הדוגמאות הפופולריות היא שליחת מייל מאתר המתחזה לדואר ישראל. המתחזה מוסר לכם כי ממתינה עבורכם חבילה, ולצורך קבלת החבילה עליכם לשלם את דמי המשלוח בקישור המופיע במייל. בקישור יהיו שדות לרישום פרטי כרטיס האשראי ו/או פרטים מזהים נוספים שלכם, שיגיעו ישירות למתחזה.
2. שיחת התחזות
נוכלים יוצרים קשר טלפוני באמצעות שיחה שנחזית להיות ממס' טלפון של גוף פיננסי, כגון מתחזים לנציגי בנקים, חברות האשראי, קב"טים, משטרה וכו'. במקרים האלה המתחזים טוענים שעליכם למסור להם את הקוד על מנת שיוכלו לאמת שאכן אתם בעלי הכרטיס או על מנת לחסום את הכרטיס עקב הונאה שהתבצעה בו. מדובר בפרטי הקוד OTP (one time password) שמשמש להשלמת עסקות בטוחות באינטרנט (3dsecure). חשוב מאוד לדעת שאין למסור בשום מקרה ובשום מצב את פרטי קוד ה-OTP שנשלח לאף גורם שהוא, לא בעל פה ולא בכתב. מדובר בנתון שאם מישהו מבקש אותו בהכרח מדובר בהונאה והתחזות. את נתון ה-OTP שקיבלתם מחברת האשראי יש להזין רק ואך ורק במקום המיועד לכך באתר, ובתנאי שאתם מזהים את פרטי בית העסק וסכום העסקה כפי מופיעים בהודעה שקיבלתם מחברת האשראי.
3. אתר פיקטיבי
לפי שיטה זו, המתחזים מקימים אתר פיקטיבי כדי לגרום לכם לחשוב שאתם רוכשים מוצרים באתר לגיטימי ובמטרה לגרום לכם להזין את פרטי האשראי. למשל, פורסמה מודעה פיקטיבית של אתר לצעצועי ילדים, שמוכר צעצועים בסכומים מאוד אטרקטיביים. אותם לקוחות שענו למודעה התבקשו להזין את פרטי האשראי ופרטים אישיים נוספים. לאחר "הרכישה", הלקוחות קיבלו הודעה בוואטסאפ שלפיה על מנת לזהות אותם הם מתבקשים להזין במענה להודעה את הקוד שהם יקבלו מחברת האשראי ב-SMS. בפועל אותם נוכלים ביצעו עסקאות באמצעות פרטי הכרטיסים שהזינו הלקוחות, וכשהם היו צריכים להזין קוד העסקה הבטוחה להשלמת העסקה, יצרו קשר בוואטסאפ וביקשו מהלקוחות התמימים שימסרו להם את הקוד שנשלח אליהם, כביכול לצורך זיהוי מבית העסק.
כיצד תגנו על עצמכם?
- בדקו כל הודעה שאתם מקבלים בסמס או במייל עם קישור או קובץ מצורף, גם אם נשלחה מאדם או מחברה שאתם מכירים. האם ציפיתם להודעה הזאת? התייחסו לזהות השולח ולכתובת הקישור – האם יש שינוי של אותיות או שהעיצוב נראה שונה. שימו לב שארגונים רשמיים שולחים הודעות מכתובות של הארגון, ובדרך כלל לא מכתובת ג'ימייל למשל. גם אם תוכן ההודעה נשלח עם שגיאות כתיב או ניסוח, יכול להיות שמדובר בניסיון התחזות. כמובן אם ההודעה מציגה הצעה שנראית אטרקטיבית מדי, כדאי להתחיל לחשוד. אם מדובר בשיחת טלפון בה ביקשו מכם פרטים אישיים, כדאי לבצע אליו שיחה יזומה על מנת לוודא שלא מדובר בהונאה.
- בצעו עסקאות רק באתרי אינטרנט מוכרים דרך כניסה יזומה שלכם לאתר, תוך תשומת לב לכתובת האתר. כדאי לבדוק שבאתר יש מידע על בית העסק – כתובת, מס' טלפון, תקנון ומדיניות פרטיות.
- אל תמסרו מידע פרטי – קוד אישי, סיסמה וכו', כמובן לא במקרה של שיחה חריגה או הודעה חשודה. במקרה של ביצוע עסקה בטוחה, יש להזין את הקוד שנשלח אליכם ע"י חברת האשראי רק במקום המיועד לכך בחלונית שתיפתח לכם במעמד ביצוע העסקה. אין למסור בשום אופן את הקוד המתקבל אצלכם לצורך השלמת עסקה באתר, או כל קוד זיהוי אחר לאף אחד. לא לחברת האשראי ולא לבית העסק, וכמובן לא לשלוח את המידע הזה בוואטסאפ או במייל.
כדאי לדעת שחברת max מציינת בבירור ב-SMS שנשלח ללקוחות, בעבור איזו עסקה נשלח הקוד, שם בית העסק וסכום העסקה. כל מה שנדרש הוא לקרוא את ההודעה במלואה, ואם פרטים אלו אינם מוכרים, אין להמשיך בפעולה וכמובן לא למסור את פרטי הקוד שהתקבל לשום גורם. במקרה ויש ספק ניתן לפנות בשיחה יזומה לחברת האשראי למוקד שזמין 24/7.
פנו ל-max בכל חשד להונאה בכרטיס האשראי שלכם לטלפון: 03-6178800
חברת ישראכרט מחויבת לסטנדרטים הגבוהים ביותר של אבטחת המידע. אנו משקיעים מאמצים רבים בשיטות האבטחה וההצפנה המתקדמות ביותר על מנת להבטיח את שמירת פרטיותכם וסודיות נתוניכם הבנקאיים ובכדי לשמור על בטיחות מלאה בשימוש באתר ישראכרט – אתר ההטבות. עם כניסה לחשבונכם האישי ובכל דף הדורש הקלדת פרטים מהלקוח (למשל דף יצירת קשר), על מנת להבטיח כי המידע מגיע בצורה מוצפנת יש לוודא כי בפינה השמאלית התחתונה של המסך/בשורת הכתובת מופיע מנעול שלם בשורת הכתובת.
במידה והמנעול פתוח/שבור משמע שהקשר איננו מאובטח. הקלקה כפולה על המנעול, תציג בפנינו את רישיון האתר (Certificate Information) לאימות זהות האתר ומניעת התחזות אתרים.
המלצות והנחיות לשימוש במערכת:
הקלדת כתובת האתר בצורה ידנית אל שורת הכתובת והימנעות מכניסה לאתר דרך קישורים או דרך הודעות דוא"ל למניעת phishing ווידוא כי בתחילת הכתובת מופיעות האותיות https המציינות תקשורת מוצפנת. ברישום אל המערכת, תתבקשו להזין פרטים אישיים כגון: שם מלא, מספר תעודת-זהות, כתובת מייל, 4 ספרות אחרונות של כרטיס האשראי וכו'. לאחר סיום תהליך הרישום, בכל כניסה למערכת תתבקשו לציין את 4 הספרות האחרונות של מס' כרטיס האשראי שלכם ואת מס' תעודת הזהות שלכם. בתהליך הכניסה יתבצעו אימות ואישור הנתונים שהוקלדו. במידה ומתעורר חשד כלשהו לגבי אי תקינותו של תהליך הרישום ו/או הגלישה, אנא הקפד להודיע למרכז שירות הלקוחות של ישראכרט.
המלצות לגלישה מאובטחת באתר:
כדי ליהנות מיתרונות השירות תוך גלישה בטוחה, אנו ממליצים לך לפעול על פי הכללים הבאים: כניסה למערכת: בעמוד הכניסה, הנך מתבקש להזין את מס' תעודת הזהות, שם המשתמש והסיסמא שלך. בכניסה הראשונה תתבקש להחליף את הסיסמא הראשונית שנמסרה לך עם דף הפירוט החודשי בסיסמא אישית שתיבחר על ידך. בכל כניסה לשירות יצויין בראש העמוד מועד כניסתך האחרון. כך תוכל לוודא כי לא נעשתה כניסה לחשבונך ללא ידיעתך. יציאה מהשירות: עם סיום הגלישה, יש ללחוץ על כפתור היציאה. יציאה מהשירות תמנע מאנשים אחרים גישה לחשבונך. בנוסף, מומלץ להיכנס למערכת לפחות פעם בשבוע, כדי לעקוב באופן שוטף אחר הפעילות בכרטיס. שמירה על סודיות סיסמאות: יש להימנע מבחירת סיסמא קלה לשחזור או להעתקה, או הכוללים פרטים אישיים כגון שם פרטי, תאריך לידה וכדומה. לתשומת לבך: על הסיסמא להיות מורכבת מ- 14-6 תווים, עם אותיות לועזיות וספרות. סיסמא זו תקפה ל-90 יום. אין לעשות שימוש ברצף אותיות או ספרות, דוגמת: 12345678 או abcdefghi. בעת כניסתך לשירות, חשוב לוודא שמסך המחשב אינו גלוי לאנשים אחרים. אין להחזיק את הסיסמא בצמוד לקוד המשתמש. יש להימנע משמירת קוד המשתמש והסיסמא ליד המחשב, בקבצים שבמחשב האישי, או במקום שייקל על אחרים למצוא אותה. אין לאפשר לדפדפן לשמור סיסמאות באופן אוטומטי. אין לגלות את הסיסמא האישית לאיש! נציגי הבנק לא יבקשו ממך באופן יזום, לציין בטלפון או בדוא"ל את קוד המשתמש שלך או את סיסמתך האישית. אם התבקשת לעשות כן על ידי גורם כלשהו, יש לסרב ולדווח על כך מיידית למוקד שירות הלקוחות של ישראכרט.
אמצעי הגנה על המחשב האישי:
יש להקפיד על גרסת דפדפן העדכנית ביותר. תוכנת אנטי-וירוס מעודכנת. תוכנת Firewall המפחיתה את הסיכוי לחדירה בלתי מורשית למחשב. תוכנה לאיתור תוכנות "ריגול" כדי לשמור על פרטיותך. אם מותקנת במחשב תוכנת שיתוף קבצים כדוגמת eMule יש לוודא כי אינך שומר מסמכים המכילים פרטים אישיים (קוד משתמש, מס' ת.ז, סיסמא וכו') על גבי קובץ במחשב. המלצה והדרכה לגבי תוכנות אנטי וירוס, Firewall או Antispyware ניתן לקבל מספקי האינטרנט.
גלישה באפליקציה הסלולרית:
על-מנת לאפשר גלישה נכונה ובטוחה באפליקציית ישראכרט דרך מכשירים סלולריים (מכשירי iOS או אנדרואיד) עלייך לוודא מספר תנאי יסוד בכניסה למערכת: יש להשתמש במכשיר סלולרי המופעל ע"פ הוראות הספק (ולא נפרץ או שבוצעו בו שינויים). יש להשתמש אך ורק באפליקציה אשר הורדה מחנות האפליקציות הרשמית. בעת הורדת האפליקציה יש לשים לב ששם המפיץ הוא אכן Isracard. מומלץ להוסיף קוד גישה לטלפון הסלולרי ולוודא נעילה אוטומטית כעבור מספר דקות מוגדר.
הנחיות עבודה בכספות:
- יש לעשות שימוש בשירות הכספות רק ממחשב שבבעלותך דרך קבע ומוגן בתוכנת אנטי-וירוס והגנות כגון פיירוול.
- חלה עליך אחריות בלעדית לקביעת סיסמה אישית ייחודית רק לצורך אתר הכספות אשר תשמש אך ורק אותך. אין לשמור את הסיסמה בדפדפן האינטרנט או ע"ג מדיה מגנטית או בכל צורה אחרת שתחשוף ועלולה להביא לשימוש לא מורשה בה.
- כאשר משתמש מטעמך אשר מחזיק הרשאת גישה לכספת חדל להיות מועסק על ידך או שהתייתר הצורך בנגישות שלו למידע בכספת, מוטלת עליך האחריות הבלעדית למחיקת ההרשאה באמצעות פנייה בפקס שמספרו 03-6364598.
חברת ישראכרט משתמשת בטכנולוגיה של סביבה מאובטחת מתקדמת:
שרת המערכת אינו מתחבר ישירות אל האינטרנט, אלא מבודד ממנו באמצעות מספר שכבות הגנה הכוללות בין השאר מערכת של נתבים, מסננים ו- Firewall. קיימת השגחה ובקרה מתמדת על כל ההתקשרויות המתחילות או מסתיימות בין שרתי החברה לאינטרנט. התעדכנות שוטפת בהתפתחויות הטכנולוגיות בתחומי התוכנה והחומרה, כדי לספק ללקוחות את ההגנה הטובה ביותר.
פישינג - Phishing:
גניבת זהות היא תרמית דואר אלקטרוני על ידי טכניקה המשמשת fraudsters באינטרנט כדי לפתות צרכנים תמימים למסור מידע רגיש בעל ערך. תרמיות פישינג מובילות צרכנים להאמין כי הם מגיבים על דואר אלקטרוני מהימן המגיע מחברה / מוסד ידועים המבקש לעדכן את הפרטים שלהם.
תרחיש phishing טיפוסי:
- צרכנים רבים מקבלים דואר זבל, המתיימר להיות ממוסד מוכר כגון הבנק, ומשכנעם כי עליהם להתחבר לאתר אינטרנט באמצעות לחיצה על הקישור המצורף ולעדכן את המידע האישי שלהם, בדרך כלל מסיבות של "ביטחון" או "כשלים טכניים", כדי לשמור את החשבון פעיל.
- חלק ממקבלי הדואר האלקטרוני מאמין כי הדואר האלקטרוני ממקור אמין וללא שום חשד מקישים על הקישור. הקישור מוביל את מקבלי הדוא"ל לאתר הנראה כאתר הרשמי, אך מזויף, מכיוון שלאתר האינטרנט יש מראה לגיטימי יחד עם הלוגו האמיתי ותצוגה הדומה לאתר האמיתי. בכניסה לאתר מגיעים למסך מזויף הנראה כחלק מהאתר האמיתי אך מופעל על ידי עבריינים, ומבקשת מסירת פרטי מידע רגישים, כגון:
א. מספר כרטיס אשראי
ב. פרטי חשבון הבנק
ג. סיסמאות או מספרי זיהוי אישיים
ד. חשיפת פרטים נוספים על חשבון הבנק או כרטיס האשראי
- לקוחות אשר לא היו זהירים ומספקים את המידע המבוקש, חושבים שהם מגיבים לבקשה אמיתית של מוסד הפיננסי או ספק אינטרנטי, ששמו מופיע בדוא"ל הנשלח ע"י העבריינים.
- העבריינים משתמשים בפרטי החשבון שנגנבו מן הקורבנות phishing לקניית סחורות ושירותים מקוונים או העברת כספים מחשבון הבנק של הקורבן לחשבון שונים של העבריין. פושעים המקבלים מידע רגיש משתמשים בו תוך פרק זמן מאוד קצר מזמן ביצוע התרמית כדי להתחמק מזיהוי של המקרה ומניעת השימוש במידע שגנבו.
טכניקות Phishing
תרמיות Phishing משתמשות בטכניקות מתוחכמות כדי להסוות את מקור דואר זבל שלהם הודעות דואר אלקטרוני מזויפת של אתרי אינטרנט, כך שיהיה קשה לגלות כל מעשה לא חוקי. לעתים קרובות, שולחי דואר זבל מנצלים תכונות טכנולוגיות של דפדפנים שונים כגון "אימות משתמש" (תחביר תכונה הנתמכת על ידי שימוש בדפדפני אינטרנט מסוימים) כדי לעטוף את אתרי האינטרנט המזויפים בחוכמה כדי למנוע זיהוי מהיר שלהם. פרקטיקה זו גורמת למשתמשי אינטרנט לראות את אתרי האינטרנט המזויפים (כתובת האתר המוצג בשורת הכתובת של הדפדפן) כתואם לזה של אתר אינטרנט אמיתי.
בכמה מקרי phishing, עבריינים מבקשים את הנמענים להוריד ולהתקין תוכנת "אבטחה" כלשהי המצורפת לדואר הזבל. במקרה והנמען מתקין את התוכנה, העבריינים יכולים לפקח על המחשב של הקורבן וכך ללכוד את פרטי כרטיס אשראי או פרטי חשבון בעת תשלום כלשהו המתבצע בעזרת האינטרנט. השימוש של מנגנון זה בתקופה האחרונה גובר, אם כי עדיין נמוך ביחס למנגנונים אחרים. בנוסף, שולחי דואר זבל יכולים ומנסים להשתלט על מחשבים, שרתים וכביש דואר זבל באמצעות אלה כדי להסתיר את הדואר האלקטרוני האמיתי המקור ולשלוח את ההתקפות דרכם.
שימו לב, התקפות פישינג עלולות להגיע גם בצורת Smishing – SMS Phishing – הודעה sms ממספר לא מוכר שמבקשת הזדהות למערכת או מסירת פרטים אישיים בהודעת טקסט חוזרת