גלובס - עיתון העסקים של ישראלאתר נגיש

שופרסל דיל / צילום: תמר מצפי

בסוף השבוע האחרון נחשפו צרכנים רבים למבול של הודעות "פישינג" ב-SMS, מיילים ורשתות חברתיות. מטרת ההודעות הללו הייתה ככל הנראה לגנוב מידע אישי ורגיש על גולשים דרך התחזות לחברות מוכרות בהודעות מפוברקות.

ההודעה שפתחה את המבול הייתה מטעמה של שופרסל לכאורה, ובה היא הזמינה את הצרכנים ליהנות מחלוקת תווי קנייה לרגל חגיגות ה-60 של הרשת. על גבה של מקדונלד'ס ישראל רכבה הודעה אחרת, שהציעה לגולשים להשיב על סקר קצר בתמורה למוצרים חינם. הודעות ששוגרו מטעמן של חברות הסלולר ניסו לדוג את פרטי כרטיס האשראי של הצרכנים באמצעות התראות שווא לסיום חבילות השירות החודשים. להודעות אלה צורף גם לינק שדרכו הוזמנו הצרכנים לחדש את החבילה ולהשאיר כמובן את פרטי כרטיס האשראי שלהם.

את הודעות הפישינג מאפיינים מוטיבים של הפחדה - הקפאת חשבון - או פיתוח ציפיות - מתנות - והן משלבות הרבה פעמים את לוגו החברות כשהן מנוסחות במטרה להיראות כמה שיותר אמינות. בהודעות אלה יש לינק לדף אינטרנט מזויף הנראה כמו דף של אתר לגיטימי שאליו מתבקשים הגולשים להזין את פרטיהם. בין אם דרך מתנות ובין אם בדרך של הפחדה או לטובת עדכון פרטים, הדרך לפרטים האישיים של הלקוח עוברת בהודעות הנשענות במובן מסוים על אמון הצרכנים בחברות שעמן הם מצויים בהתקשרות קבועה - חברת הסלולר, בנק - או מזדמנת - רשת המזון.

הודעות פישינג יכולות להיות תמימות למראה, כלומר כאלו שרק מבקשות לעדכן את פרטי הצרכנים, רצוי יחד עם עדכון של פרטי כרטיס האשראי, והן מגיעות גם לתיבות דואר אלקטרוני. חברת פייפאל היא אחת היעדים המרכזים של העומדים מאחורי הודעות הפישינג, לאור העובדה שהצרכנים רגישים לחיוניותו של תקינות החשבון שלהם - והחברה אף מודעת לכך.

הודעות פישינג אחרות רוכבות על חיבת הצרכן הישראלי למתנות והצלחתן עוברות דרך טריגרים כשוברי קנייה או ארוחות חינם. כל מה שנדרש מהצרכנים הוא רק להשיב על סקר קטן ולמלא את פריטיהם שלאחר מכן יועברו הלאה. 

יש גם פישינג בדרך הישנה: טלפנים שמוציאים מהצרכנים בשיחת טלפון את פרטי האשראי שלהם. בין היתר למשל מוכרת השיטה לפיה מצלצלים נציגים לכאורה של חברת חשמל במטרה לגבות חוב ומפתים לעשות זאת באמצעות מחיקת הרבית על החוב.

הדרך לזהות כי מדובר בהונאת פישינג ולא בהודעה אמתית עוברת בכתובת המייל של השולח או בכתובת האתר אליו הופנו הגולשים. אלו אמנם יכללו את שם החברה אבל היא תופיע בוואריאציה מוזרה: למשל Nuli.net/partner - ככתובת לינק לחידוש חבילה שמסתיימת, עבור מנויי פרטנר. 

בכל הנוגע למניעת הונאות דרך מוקדים טלפונים, ההמלצה היא להיות חשדניים יותר. אם מופיע מספר טלפון על הצג שווה לבדוק מה מקורו - דרך אפליקציות לזיהוי שיחה למשל - ובכל מקרה לפנות לחברה אם אתם חושדים בקיומו של חוב ועל מנת לדווח על אותה שיחה. ואם אתם עדיין מאמינים שיש ארוחות חינם, רגע לפני שאתם מתפתים להשאיר פרטים שווה לגלול ברשת ולמצוא שם עוד מידע על אמינות ההודעה. דרך כך אפשר גם להגיע להודעות האזהרה שמפיצות החברות עצמן, כפי שהיה בימים האחרונים מטעמן של שופרסל, מקדונלד'ס, סלקום ופרטנר. מי שהזין את פרטי האשראי בהודעות ההתחזות והבין את הטעות בדיעבד, חייב ליצור קשר עם חברת האשראי לשם ביטול הכרטיס ודיווח על מסירת הפרטים לגורם עוין.

מומחים: "מתקפה מקצועית ומסוכנת"

לדברי מומחי האבטחה אוהד זיידנברג ואייל סלע, חוקרי אבטחה בחברת קלירסקיי (ClearSky), מדובר בשני גלי מתקפות שונים שבוצעו במקביל, ככל הנראה על ידי שני גורמים שונים. המתקפה בשם ספקיות הסלולר, בוצעה ב-SMS ואילו מתקפה השנייה בשם שופרסל ומקדונלדס הופצה גם באמצעות מיילים והודעות ווטסאפ . גם אופי ההונאות היה שונה: הונאת ה-SMS נועדה לגניבת כרטיסי אשראי ואילו ההונאה השנייה הייתה העברה לפרסומות או להורדת אפליקציות.

לדברי המומחים, המתקפות היו חריגות יחסית בהיקפן, משום שהיו מכוונות לכלל אזרחי ישראל ולא למספר מצומצם של משתמשים. עוד ציינו השניים כי כאשר תקיפות ההתחזות (spoffing) נעשות באמצעות SMS, הסיכון להטעות את מקבל ההודעה גבוה יותר וזאת משום שב-SMS קל יותר לזייף את מקור ההודעה.

קלות זאת נובעת מהאופן המיושן שבו בנויה הטכנולוגיה של ה-SMS, שמאפשרת לתוקפים לשלוח הודעות תחת כל שם שיבחרו. התוצאה, כפי שראינו במתקפות האחרונות היא שה-SMS מהתוקף מצטרף להודעות קודמות של ספק הסלולר, ובכך יוצר לעיני הלקוח מצג שווא של אמינות.

המומחים מדגישים שמדובר בחולשה מובנית של הטכנולוגיה ושאין כיום דרך להתגבר עליה באמצעות המערכות הקיימות. לדברי המומחים, מתקפה זו הייתה מסוכנת במיוחד משום שהיא בוצה באופן מקצועי ביותר.