ליפול ברשת: Phishing שלא על בסיס של התחזות לארגון בעל מוניטין

 

בפוסט ליפול ברשת:  Phishing הגדרתי הונאת דיוג באופן הבא: "הונאת דיוג מבוססת על התחזות לארגון בעל מוניטין, כמו חברה עסקית או ארגון בסקטור הציבורי. לאחר ההתחזות לארגון, המתחזה מנסה "לדוג" פרטים אישיים של האדם הנופל ברשת." 

בדוגמה שהבאתי, הסתייגתי מעט מההגדרה. זוהי הגדרה לא מדויקת העונה לחלק גדול מהמקרים אבל לא לכולם.

אפשר גם להתחזות למישהו שאינו ארגון בעל מוניטין ולבצע הונאה דומה.

הדוגמה הבאה היא אחת מיני רבות שבהן מתחזים לאדם משמעותי למי שפונים אליו ולא לארגון בעל מוניטין.  

הודעת דוא"ל מקרוב משפחה או חבר שנסע לחו"ל

העולם לא תמיד הוגן. מתרחשים דברים קשים ולא נעימים. כשהם מתרחשים במדינה בה אתם גרים ואתם יודעים כיצד להתנהל בה זה עלול להיות פחות קשה מאירוע דומה במדינה זרה שבה לא מכירים את השפה, את החוק, את ההתנהלות הפורמלית והלא פורמלית. 

יש כאלה ש"תופסים טרמפ" על זה לצורך דיוג.

בהודעת דוא"ל ששלח בן המשפחה או החבר כתוב שהוא נפל קורבן לשוד ונותר ללא כסף ומסמכים. הוא מתאר את היאוש שהוא חש בו ואת העצבות ואולי מעבר לזה.

הוא מבקש שתעבירו מידית לחשבון מסוים במדינה בה הוא נמצא סכום כסף לא גדול עבורו כדי שיוכל להסתדר בימים הקרובים.

התוצאה היא שהורים, אחים, קרובי משפחה אחרים וחברים מעבירים כסף.

הסכומים הקטנים מצטברים לסכום כסף משמעותי.

מה באמת קרה?

יקירכם לא באמת נשדד או לפחות לא נשדד באופן כה חמור. 

כספו והמסמכים שלו אצלו. מה שנגנב ממנו זה הטלפון הסלולרי. 

הגנב שלח את הודעת הדוא"ל המוכנה מראש לכל האנשים בספר כתובות הדוא"ל של יקירכם.

חשבון הבנק הוא שלו או של מישהו הקשור איתו.

 

מה עליכם לעשות?

ברור שהדיוג מתבסס על רגש: איזו אם ואיזה אב יתנו לבנם או ביתם להישאר בחוסר כל במדינה זרה ולא ישלחו לו או לה מיד כסף?

שימו את הרגש בצד לכמה דקות ובדקו:

1. חיפוש במנוע החיפוש של Google יגלה לכם במה מדובר. 

2. שאלו חברים וקרובים האם גם הם קיבלו את אותה ההודעה. סביר להניח שתקבלו תשובה חיובית.

3. אולי כדאי לערב רשויות כמו המשטרה ומשרד החוץ.

הצעד הבא הוא לנסות לצור קשר עם קרוב המשפחה שנותר ללא טלפון. לא תמיד זה קל או פשוט. אחרי שיווצר קשר ביוזמתכם או ביוזמתו תוכלו להיות שקטים יותר. 

 

 

ליפול ברשת: Phishing

 

בפוסט זה אתאר, בליווי דוגמאות את הסיכון של הונאת דיוג, באנגלית: Phishing. 

הונאת דיוג מבוססת על התחזות לארגון בעל מוניטין, כמו חברה עסקית או ארגון בסקטור הציבורי. לאחר ההתחזות לארגון, המתחזה מנסה "לדוג" פרטים אישיים של האדם הנופל ברשת. 

בין הפרטים שמנסים להשיג עשויים להיות פרטים כמו מספרי כרטיסי אשראי וסיסמאות לשימוש בהן, מספר חשבון בנק וקוד משתמש וסיסמה לגישה לחשבון ופרטים מזהים כמו מספר תעודת זהות. 

אחרי שהושגו הפרטים הרמאים עלולים למשוך כספים מהחשבון של הנופל ברשת או לבצע עסקאות באמצעות כרטיס האשראי שלו.

 

המנגנון

 

1. הרמאים רוכשים כתובת אינטרנט (Internet Domain) הדומה לכתובת אינטרנט של ארגון מוכר.  

עלות רכישת Domain היא נמוכה.

למשל: ה-Domain של בנק הפועלים נקרא: .bankhapoalim.co.il

הרמאים יכולים לקנות בשם: bankhamoalim.co.il

שם מייצג של מעשיהם, אבל דומה לשם ה-Domain של בנק הפועלים. 

2. הם מעתיקים את העיצוב של דף הכניסה לאתר האינטרנט של בנק הפועלים. 

3. שולחים הודעה ללקוחות בשם בנק הפועלים ומבקשים מהם להתחבר לכתובת האינטרנט של הבנק. הקישור כמובן הוא לדף ב-Domain של הרמאים.

4. על מנת להיכנס לאתר עולה דף שבו נדרשים להקליד סיסמה ושם משתמש. הדף זהה או מאוד דומה לדף המקביל באתר בנק הפועלים.

עכשיו הרמאים מחזיקים במידע הנדרש על מנת להתחבר לאתר בנק הפועלים.

 

5. הרמאים יכולים להתחבר לאתר האמיתי של בנק הפועלים עם הסיסמה ושם המשתמש שגנבו ולמשוך כספים. 

כמובן שעשויות להיות וריאציות שונות של תהליך התחזות.

כיצד להתגונן?

הדרך הטובה ביותר להתגוננות היא ידיעה ומודעות לסיכון:

1. ידיעה

עליכם לדעת שחברות רציניות לעולם לא יבקשו מכם לשלוח להם באופן מקוון פרטי חשבון בנק או פרטי כרטיס אשראי.

2. מודעות

מודעות לאפשרות השכיחה של התחזות תגרום לכם לבחון היטב כל בקשה חשודה בשם חברה בעלת מוניטין גם אם אין בקשה למשלוח פרטי כרטיס אשראי או פרטי חשבון בנק.

כך למשל, גם בקשה לקבלת פרטי חשבון ב-Bit או ב-Paybox חשודה באותה מידה כמו בקשה לקבלת פרטי כרטיס אשראי.

אם בכל זאת "נפלתם ברשת" מיד כשמגלים את זה חייבים לדווח לגורמים רלוונטיים כמו בנקים וחברות כרטיסי אשראי.

 

דוגמאות

 

דוגמה 1: חברת החשמל בישראל

הקישור לכתבה באתר MAKO, מתאר ניסיון לדיוג של לקוחות חברת החשמל. 

מתחזים לחברת החשמל שלחו הודעת דוא"ל ללקוחות החברה, כאילו בשם החברה. 

בהודעה נכתב שהם חויבו בטעות פעמיים באותו החשבון ומגיע להם זיכוי. 

לצורך קבלת הזיכוי ביקשו את פרטי כרטיסי האשראי של הלקוחות.

מה קורה כשנותנים את פרטי כרטיס האשראי?

יהיו חיובים בכרטיס האשראי. לא יהיו זיכויים.

דוגמה 2: בקשה להתחברות לאתר של בנק

מספר גדול של אנשים מקבלים הודעת דוא"ל כביכול מבנק. כתובת המייל השולח דומה אבל לא זהה לכתובת באתר הבנק או יש קישור לאתר עם שם דומה לשם של אתר הבנק. נאמר להם שהייתה תקלה או שהבנק רוצה לרענן סיסמאות או משהו דומה. 

ההודעה נשלחת למספר גדול של נמעני דואר אלקטרוני. לא בהכרח לקוחות של אותו בנק. 

בדרך כלל הם בוחרים לשם של בנק גדול עם הרבה לקוחות. 

ההנחה היא שיהיו בין מקבלי ההודעה גם לקוחות של אותו בנק. 

"הדייגים" מניחים כי אחוז מסוים מבין לקוחות הבנק יפול ברשת ויקליד את פרטי הזיהוי שלו.

הערת שוליים

בספרם של ג'ורג' אקרלוף ורוברט שילר, "תורת ההונאה -מניפולציות והולכת שולל בתחום הכלכלי" חש הגדרה רחבה יותר של דיוג. ההגדרה הזו חורגת מהעולם הדיגיטלי, האינטרנטי והטלפון ומתייחסת גם למנגנוני דיוג אחרים בתחום הכלכלי.

למידע נוסף קראו: פישינג לא מה שחשבתם

איך לא ליפול ברשת: 10 כללים לא קונבנציונאליים של פרופ' NOAH Barsky

 

העולם הדיגיטלי משנה את הגישה המסורתית לניהול סיכונים שהייתה מקובלת בעשורים האחרונים. 

במאמר שכותרתו: Ten Rewired Risk Rules for the Digital Era מציג פרופ' Noah P. Barsky מהפקולטה למנהל עסקים באוניברסיטת וילנובה את הכללים הייחודיים לעולם הדיגיטלי.

 

מה השתנה?

1. סיכונים בעולם הדיגיטלי יותר דינאמיים.

גם בעבר הם היו דינאמיים אבל לא באותה מהירות כמו בעולם הדיגיטלי.

2.  נדרשת יותר אדפטציה לשינויים

המונח Agility מתאר את זה היטב.

הכללים הלא קונבנציונליים

הרעיון הכללי של הכללים הוא שבעידן הדיגטלי גם בהיצמדות לכללים המסורתיים עלולים להיות סיכונים.

כך למשל, בתקנים לניהול סיכונים מדברים על חזון (Vision) של ארגון הוא הבסיס שממנו בונים אסטרטגיות ותהליכים, כולל תהליכי ניהול סיכונים.

הכלל הראשון הוא:

Rule #1: Establish an Anti-Vision

הטענה היא שהסיכון של התעסקות יתר בחזון הוא בהמעטה או בהימנעות מעשייה בשטח.

 הקוראים מוזמנים לקרוא את המאמר.

 

 

ליפול ברשת: זהירות מצלמים

 

אחת הבעיות של משטרת דרום קוריאה היא מצלמות אינטרנט המותקנות על ידי מציצנים בשירותים ציבוריים. המציצן מתקין את המצלמה בשירותי נשים. המצלמה מצלמת את איבריהן האינטימיים של נשים המשתמשות בהם. היא משדרת באמצעות האינטרנט למציצן את התמונות. 

יחידת נשים מיוחדת במשטרה עוברת עם מכשירי גילוי בשירותים ומאתרת ומחרימה מצלמות רשת כאלה.  

במקומות אחרים, ואולי גם בדרום קוריאה, נעשות תרמיות אחרות תוך שימוש במצלמות רשת. 

 

מכשירי ATM (כספומטים)

 

קל מאוד להצמיד מצלמה קטנה מעל למכשיר כספומט. המצלמה מצלמת את הסיסמה, שמקליד הלקוח המושך כסף, ובחלק מהמקרים גם את מספר הכרטיס. 

המידע מועבר באמצעות האינטרנט לעבריין. היכולת שלו למשוך כספים באמצעות כרטיס האשראי של הלקוח המרומה, תלויה במידת התחכום שלו. 

עבריין לא מתוחכם יכול למשוך כסף באמצעות עסקה ללא מסמך בכרטיס אשראי.

עבריינים מתוחכמים במיוחד יכולים לייצר כרטיס אשראי מזויף עם פרטי כרטיס האשראי המקורי.

בכל מקרה זה עלול לעלות לקורבן בכסף שיימשך מהחשבון שלו.

כיצד להתגונן?

לא במקרה התקינו חלק מהבנקים בחלק מהמכשירים כיסוי אטום מעל ללוח המקשים.

אם יש כיסוי כזה אל תרימו אותו. הקלידו כשהוא מעל האצבעות שלכם, על אף שזה פחות נוח. 

במידה שלא הותקן כיסוי כזה, הסתירו את ההקלדה באמצעות חפץ כלשהו שתשימו מעל לאצבעות המקלידות על לוח המקשים.

סחיטה באמצעות השתלטות על מצלמת רשת ביתית

לצערנו, יש מצבים שעברייני מחשב משתלטים מרחוק על מחשבים של אחרים. יש מקרים בהם יש דרישות לתשלום כופרה. 

לפעמים, די בהשתלטות על מצלמת הרשת הביתית על מנת לסחוט. למשל: כאשר מישהי עובדת בעירום מול המחשב הביתי שלה בחדר עם תריסים סגורים או במקרים אחרים בו מצולמים אירועים רגישים בבית.

כיצד להתגונן?

 1. להיות מודעים לאפשרות של השתלטות מרחוק על מצלמת הרשת במחשב הביתי.

המשמעות היא הימנעות מאירועים רגישים בטווח הצילום של מצלמת המחשב הביתית. 

2. אבטחת מידע סבירה או יותר מסבירה למחשב הביתי, המקטינה את הסיכון להשתלטות מרחוק ומדווחת על סיכון לאירוע של השתלטות מרחוק על המחשב.