ליפול ברשת: Phishing

 

בפוסט זה אתאר, בליווי דוגמאות את הסיכון של הונאת דיוג, באנגלית: Phishing. 

הונאת דיוג מבוססת על התחזות לארגון בעל מוניטין, כמו חברה עסקית או ארגון בסקטור הציבורי. לאחר ההתחזות לארגון, המתחזה מנסה "לדוג" פרטים אישיים של האדם הנופל ברשת. 

בין הפרטים שמנסים להשיג עשויים להיות פרטים כמו מספרי כרטיסי אשראי וסיסמאות לשימוש בהן, מספר חשבון בנק וקוד משתמש וסיסמה לגישה לחשבון ופרטים מזהים כמו מספר תעודת זהות. 

אחרי שהושגו הפרטים הרמאים עלולים למשוך כספים מהחשבון של הנופל ברשת או לבצע עסקאות באמצעות כרטיס האשראי שלו.

 

המנגנון

 

1. הרמאים רוכשים כתובת אינטרנט (Internet Domain) הדומה לכתובת אינטרנט של ארגון מוכר.  

עלות רכישת Domain היא נמוכה.

למשל: ה-Domain של בנק הפועלים נקרא: .bankhapoalim.co.il

הרמאים יכולים לקנות בשם: bankhamoalim.co.il

שם מייצג של מעשיהם, אבל דומה לשם ה-Domain של בנק הפועלים. 

2. הם מעתיקים את העיצוב של דף הכניסה לאתר האינטרנט של בנק הפועלים. 

3. שולחים הודעה ללקוחות בשם בנק הפועלים ומבקשים מהם להתחבר לכתובת האינטרנט של הבנק. הקישור כמובן הוא לדף ב-Domain של הרמאים.

4. על מנת להיכנס לאתר עולה דף שבו נדרשים להקליד סיסמה ושם משתמש. הדף זהה או מאוד דומה לדף המקביל באתר בנק הפועלים.

עכשיו הרמאים מחזיקים במידע הנדרש על מנת להתחבר לאתר בנק הפועלים.

 

5. הרמאים יכולים להתחבר לאתר האמיתי של בנק הפועלים עם הסיסמה ושם המשתמש שגנבו ולמשוך כספים. 

כמובן שעשויות להיות וריאציות שונות של תהליך התחזות.

כיצד להתגונן?

הדרך הטובה ביותר להתגוננות היא ידיעה ומודעות לסיכון:

1. ידיעה

עליכם לדעת שחברות רציניות לעולם לא יבקשו מכם לשלוח להם באופן מקוון פרטי חשבון בנק או פרטי כרטיס אשראי.

2. מודעות

מודעות לאפשרות השכיחה של התחזות תגרום לכם לבחון היטב כל בקשה חשודה בשם חברה בעלת מוניטין גם אם אין בקשה למשלוח פרטי כרטיס אשראי או פרטי חשבון בנק.

כך למשל, גם בקשה לקבלת פרטי חשבון ב-Bit או ב-Paybox חשודה באותה מידה כמו בקשה לקבלת פרטי כרטיס אשראי.

אם בכל זאת "נפלתם ברשת" מיד כשמגלים את זה חייבים לדווח לגורמים רלוונטיים כמו בנקים וחברות כרטיסי אשראי.

 

דוגמאות

 

דוגמה 1: חברת החשמל בישראל

הקישור לכתבה באתר MAKO, מתאר ניסיון לדיוג של לקוחות חברת החשמל. 

מתחזים לחברת החשמל שלחו הודעת דוא"ל ללקוחות החברה, כאילו בשם החברה. 

בהודעה נכתב שהם חויבו בטעות פעמיים באותו החשבון ומגיע להם זיכוי. 

לצורך קבלת הזיכוי ביקשו את פרטי כרטיסי האשראי של הלקוחות.

מה קורה כשנותנים את פרטי כרטיס האשראי?

יהיו חיובים בכרטיס האשראי. לא יהיו זיכויים.

דוגמה 2: בקשה להתחברות לאתר של בנק

מספר גדול של אנשים מקבלים הודעת דוא"ל כביכול מבנק. כתובת המייל השולח דומה אבל לא זהה לכתובת באתר הבנק או יש קישור לאתר עם שם דומה לשם של אתר הבנק. נאמר להם שהייתה תקלה או שהבנק רוצה לרענן סיסמאות או משהו דומה. 

ההודעה נשלחת למספר גדול של נמעני דואר אלקטרוני. לא בהכרח לקוחות של אותו בנק. 

בדרך כלל הם בוחרים לשם של בנק גדול עם הרבה לקוחות. 

ההנחה היא שיהיו בין מקבלי ההודעה גם לקוחות של אותו בנק. 

"הדייגים" מניחים כי אחוז מסוים מבין לקוחות הבנק יפול ברשת ויקליד את פרטי הזיהוי שלו.

הערת שוליים

בספרם של ג'ורג' אקרלוף ורוברט שילר, "תורת ההונאה -מניפולציות והולכת שולל בתחום הכלכלי" חש הגדרה רחבה יותר של דיוג. ההגדרה הזו חורגת מהעולם הדיגיטלי, האינטרנטי והטלפון ומתייחסת גם למנגנוני דיוג אחרים בתחום הכלכלי.

למידע נוסף קראו: פישינג לא מה שחשבתם