עשרות אלפי הודעות פישינג: המגזר הפיננסי תחת מתקפה

התחזות לגופים פיננסיים בהונאות פישינג הפכה לאיום מתגבר על המגזר הפיננסי ועל אמון הציבור במערכות הבנקאיות. מאחורי הודעות תמימות לכאורה מסתתרת תעשייה מתוחכמת ומתפשטת של הונאות סייבר, המנצלת חולשות אנושיות כדי לגנוב מידע אישי ונתוני אשראי.

● בדיקה טכנולוגית | האם המכשיר הדק ביותר של סמסונג מתאים לכם?
● המתחזים החדשים: הדיפ פייק משכללת את ההונאות ברשת

למרות מאמצי הגנה והסברה מצד הגופים הפיננסיים, מספר המתקפות הולך ועולה, והיכולת של הצרכנים להבחין בין אמת לזיוף נשחקת. הנתונים מעידים על עשרות אלפי קישורים זדוניים, התחזות שיטתית לשחקניות מובילות בסקטור ואתגרי רגולציה שמקשים על מענה אפקטיבי. מה היקף התופעה ואיך מתגוננים מפניה?

עשרות אלפי הודעות

אומנם מדובר בתופעה בת שנים רבות, אך על־פי נתוני צ'ק פוינט, החל ממרץ 2025 זוהתה עלייה של יותר מ־340% בשימוש בהודעות SMS זדוניות המכוונות לישראל. על־פי נתוני מערך הסייבר הלאומי, מתחילת השנה טיפל המערך בכ־43 אלף קישורים מזיקים שטופלו והפכו ללא יעילים. כל קישור שכזה נשלח בתפוצות רחבות של עד עשרות אלפי אנשים.

לפי נתוני המערך, חלק משמעותי מאוד מההתחזויות הן לגופים פיננסיים, כאשר בראש נמצאת חברת כרטיסי האשראי כאל, ואחריה בנק לאומי, ביט, ישראכרט, בנק הפועלים ו־PayPal.

"אנחנו פועלים 24/7 לניטור ומניעת הונאות פישינג באמצעות מגוון אמצעים לניטור פעולות חריגות שלא תואמות ללקוח, ובמקביל מבצעים פעולות הסברה", אומרת לגלובס אפרת אגמי, ראש מחלקת ניהול סיכוני הונאה בכאל. "עם זאת, חשוב להדגיש שיכולת ויסות והגבלת משלוח הודעות פישינג נמצאת בידי חברות הסלולר, ואנו מצפים ודורשים שפעילות מניעת הונאה תבוצע גם באמצעותן. אנו פועלים בנושא מול משרד התקשורת ובנק ישראל".

על־פי נתוני חברת אבטחת המידע Cyvore, המספרים של מתקפות הפישינג בארץ ובעולם בעלייה מדי חודש. בממוצע, מדי יום נשלחות 3,000-5000 הודעות פישינג בישראל, כאשר כל ישראלי מקבל בין 1-5 הודעות כאלה בשבוע - ולעתים הונאות הפישינג אף נערכות באמצעות שיחות קוליות.

לדברי אורי סגל, מנכ"ל Cyvore, כ־27% מסך המתקפות בישראל הן בסקטור הפיננסי. "שם יושב הכסף, והצרכנים חוששים ורגישים במיוחד", הוא אומר. "אנחנו מזהים עלייה של 20%-25% מדי שנה בהונאות כאלה, כשהתופעה מתגברת מחודש לחודש".

ומהן השיטות של התוקפים? לדברי סגל, "אלה השיטות הכי פשוטות שיש, ואנשים נופלים. 66% מהמתקפות האלה עוברות את מערכות ההגנה היום ולא נחסמות. הסיבה לכך? החוליה החלשה היא האדם, זה באופי שלנו. והבעיה הגדולה היא שזה פוגע באמון - אנשים כבר לא יודעים מה אמת ומה לא".

גם נתוני הפיקוח על הבנקים בבנק ישראל מראים שבשנים האחרונות חלה עלייה ניכרת בהיקפי ההונאות נגד לקוחות המערכת הפיננסית. לרוב, קבוצות המטרה הן קשישים, עולים מברית־המועצות ובכלל אנשים עם התמצאות דיגיטלי נמוכה. לפי הפיקוח על הבנקים, פוצו לקוחות בסך של כ־3.4 מיליון שקל בשנתיים האחרונות.

יחד עם זאת, תרגיל שבוצע בצה"ל לפני מספר חודשים מראה שגם חיילים צעירים, שלרוב יותר מודעים בתחום, נופלים בפח. במסגרת התרגיל שבוצע ביחד עם מערך הסייבר, כ־200 אלף חיילים קיבלו הודעות פישינג שנועדו להתחזות לצה"ל. כ־12% לחצו על הקישור. זהו שיפור בהשוואה לתרגיל הקודם, אז כ־20% מהחיילים לא זיהו את ההונאה.

"הפסיכולוגיה גאונית"

השיטה של התוקפים פשוטה: שולחים הודעה שבה הם מתחזים לחברה מוכרת ו"מזהירים" אתכם. ישנה תבנית קבועה שמתקיימת כמעט בכל הודעה - טקסט שמניע לפעולה, כמו איום בסנקציה (החשבון ייחסם) או הבטחת פרס; וקישור לאתר מתחזה, שמנסה להידמות לאתר לגיטימי.

"זיהינו פעילות חשודה בכרטיס שלך, לכן השעינו את השימוש בו זמנית", נכתב בהודעה שמתחזה לכאל. באחרת שמתחזה לישראכרט נכתב: "זיהינו פעולה חשודה בכרטיס שלך. אתמול למען בטיחותך, הפסקנו להשתמש בכרטיס, אם לא תאמת את עצמך בקרוב, הכרטיס שלך יופסק" (הטעויות בעברית במקור).

הגופים הפיננסיים בישראל מודעים כאמור לתופעה ופועלים להזהיר את הצרכנים, בין השאר באמצעות הודעות SMS. שם נכתב בצורה ברורה: "לאחרונה זוהתה עלייה בניסיונות הונאה או גניבת מידע אישי. לרוב מדובר בפניות מצד גורמים מתחזים, באמצעות פניות טלפוניות והודעות טקסט", כך נכתב למשל בהודעה של הראל.

"פישינג מנסה להשפיע על הגורם האנושי, לעשות הנדסת אנוש", מסביר ענר בן יוסף, מנהל מחלקת חקירת הונאות בישראכרט. "הפסיכולוגיה של זה היא גאונית. נגיד שולחים למישהו הודעה שנסע בכביש 6 לאחרונה. מי זוכר את זה? ואם זה חוב קטן של כמה שקלים, קל לשלם את זה. כמובן שבפועל יילקח יותר כסף".

מלבד המתקפה הקלאסית, ישנה שיטה שבמסגרתה מתבצעת השתלטות על הטלפון של הצרכן. "בשנה האחרונה אנחנו רואים מתקפה בלתי פוסקת שהמטרה שלה לנייד את הטלפון של הקורבן לחברת סלולר אחרת וככה להשתלט עליו. הצרכן מספק את קוד האימות שהוא מקבל במהלך עסקת פישינג, מבלי לקרוא שמדובר בהודעת ניוד. מהרגע שהתוקף מחזיק בקו, ואחרי הצלבה עם מידע אחר שסיפק הצרכן, הוא יכול לרוקן את הכסף בבנק או להשתלט על שירותים אחרים", מסביר בן יוסף.

"הפישינג מגיע באין סוף צורות. זה יהיה גם דרך הודעות SMS, גם במייל, גם בטיקטוק ובאינסטגרם ועוד", אומר לגלובס בועז דולב, מייסד ומנכ"ל חברת אבטחת המידע קלירסקיי. בחברה מזהים שבכל יום נבנים עשרות אתרים שאליהם הלקוחות מופנים כדי להשיג מהם את פרטיהם האישיים. משמע, כשרוצים לעשות "קמפיין" על חברה אחת, בונים עשרות ניתובים עם כתובות שונות, בתקווה שמשהו יתפוס.

איך נמנעים ומתגוננים

לדברי דולב, אחת הרעות החולות שמתדלקות את התופעה הזאת היא השימוש בהודעות SMS. "היום הודעות רגילות משמשות את הבנקים וחברות הביטוח כדי לאמת זהות, אבל אפשר לזייף SMS, אז אנחנו נותנים אמון בכלי פריץ שאפשר להתחזות לו", הוא מסביר. "רשויות הסייבר ורשויות המדינה חייבות להפוך את הדבר הזה כיעד עיקרי לטפל בו".

בן יוסף מישראכרט מסכים שהמדינה צריכה להיות יותר פעילה, ובעיקר שעליה לייצר סטנדרט אחיד ברגולציה. "למשל, להגדיר שקודי האימות שנשלחים ללקוחות חייבים להיות בתוקף רק ל־10 דקות. כיום בחלק מהשירותים הם בתוקף למשך 24 שעות, וזה פתח שתוקפים עלולים לנצל", הוא מסביר.

בענף מאמינים שלא רק הרגולציה משחקת תפקיד, ושהמדינה לא עושה מספיק כדי לבלום את התופעה. גורמים בשוק מלינים על כך שאין גורם רשמי שמייצר סטנדרט אחיד לכל הגופים בשוק במטרה להגן על הצרכן. רשות הגנת הפרטיות נוגעת במאגרי מידע ולא באירועי סייבר, ומערך הסייבר הלאומי אומנם מנטר את המצב ומנסה לטפל בקישורים בעייתיים, אך הוא עוסק בעיקר בתשתיות קריטיות ובגופים ציבוריים. גם הפיקוח על הבנקים מצביע על הבעיה הגדולה - אין גורם שאחראי על אסטרטגיה לאומית להתמודדות עם הונאות.

הפיקוח עצמו סיפק מספר הוראות לגופים המפוקחים. בין השאר, כל תאגיד בנקאי צריך לקבוע אסטרטגיה ומדיניות להתמודדות עם הונאות, לנטר פעילויות חריגות בחשבונות של לקוחות (ואף להשהות פעולה עד לקבל אישור הלקוח), לעקוב אחרי התפתחות שיטות ההונאה כדי למנוע אירועים עתידיים, להתריע ללקוחות על פעילות חריגה ולפעול להגברת המודעות שלהם לתופעה.

גם לציבור הלקוחות הפיקוח על הבנקים מציע מספר המלצות, ובראשן להבין את החשיבות של המידע האישי - כמו קוד אימות שאין להעביר לאף אחד. עוד מבהירים בפיקוח כי בנקים או חברות כרטיס אשראי לא יפנו אליכם באופן יזום כדי לקבל פרטים חסויים. אם טעיתם ומסרתם פרטים, דווחו במהרה לחברת האשראי או לבנק, שכן עיכוב בהודעה עלול לגרור השתתפות עצמית בנזק.

במערך הסייבר הלאומי מסבירים כי הדרך הקלה ביותר להימנע מהונאות שכאלה היא לא להיכנס לקישורים בהודעות. קיבלתם הודעה שיש לכם חוב גדול בבנק או שחסמו לכם את כרטיס האשראי? היכנסו ישירות לאתר או לאפליקציה של החברה שכביכול שלחה את ההודעה, ובדקו את אמיתות המידע באזור האישי שלכם.

שנית, היזהרו ממסירת פרטים אישיים בקישורים או לאנשים שפונים אליכם בוואטסאפ - גם אם מדובר בקרובים (שכן ייתכן שהם עצמם חוו פריצה לחשבון). במערך מדגישים ביתר שאת לא למסור פרטי כרטיסי אשראי, תעודות זהות וחשבון בנק, וגם לא קודי אימות שנשלחו אליכם. עוד מומלץ לגלות ערנות, לשים לב לשגיאות כתיב או דקדוק בהודעות וכן לבדוק אם כתובת הקישור חשודה ולא תואמת את האתר האמיתי. ניתן לדווח על מקרים חשודים למוקד 119 של מערך הסייבר.

בקרב ארגונים, המלצת מומחי הסייבר היא להכשיר את העובדים, תוך ביצוע סימולציות על אירועי פישינג שיאפשרו לזהות את נקודות התורפה במקום העבודה. עוד מומלץ להגדיר הרשאות לכל עובד ולא לספק לכלל העובדים גישה לכל המערכת. וכמובן - להשתמש במערכות אבטחה וזיהוי הפעולות של העובדים.