פישינג (דיוג- Phishing)

08/08/2019

פישינג (דיוג-Phishing) הינו ניסיון להשיג פרטים אישיים מהגורם הנתקף באמצעות שליחת קישור (בדואר אלקטרוני או ב-SMS) המפנה לאתר מתחזה בו נדרש הלקוח למלא את פרטיו האישיים.

  • בהרבה מהמקרים ניסיונות ההונאה מסוג פישינג מופנים נגד לקוחות המערכת הבנקאית, במטרה לגנוב כספים מחשבונותיהם.
  • התוקף מנסה בשלב ראשון לגנוב פרטי זיהוי של הלקוח, המשמשים לכניסה לחשבונו באתר האינטרנט של הבנק או באתרים של חברות תשלומים, ובדרך כלל גם פרטים אישיים נוספים כמו פרטי כרטיס אשראי של הלקוח.
  • הלקוח מתבקש ללחוץ על לינק או צרופה: 

  • הלינק מעביר אותו לדף שמתחזה מבחינה ויזואלית לאתר החברה ובו הוא מתבקש לספק את הפרטים: קוד זיהוי לאתר האינטרנט של הבנק וסיסמה, מספר חשבון, סיסמת הלקוח בחברה, תעודת זהות, שם פרטי ושם משפחה, כתובת פיסית, תאריך לידה, שם האם לפני נישואין, מספר טלפון, מספר כרטיס אשראי, תוקף ואת שלוש הספרות האחרונות בגב הכרטיס.
  • באמצעות פרטים אלו מנסה התוקף להעביר כספים מחשבונו של הלקוח לחשבון אחר ממנו יכול התוקף למשוך את הכספים, ו/או לבצע עסקאות בבתי עסק.
  • דפוס הפעולה של התוקף כולל שליחת דוא"ל באנגלית או בעברית למספר גדול מאד של אנשים פרטיים, בתקווה שכמה מהם יחשבו שמדובר במייל לגיטימי מחברת לגיטימית ולכן יספקו את הפרטים שיאפשרו לתוקף לבצע את ההונאה.
  • לדוגמה, בהודעת הדוא"ל "מסבירים" ללקוח שלטובתו, עליו להזין את הפרטים האישיים, היות וקיים חשש שגורם זר עשה שימוש בכרטיס האשראי שלו.

 

כללי התנהגות שיעזרו להתגונן מפני ניסיונות פישינג:


  1. על הלקוחות להגביר את ערנותם בעיקר בעת קבלה של הודעת דואר אלקטרוני (דוא"ל) או מסרון בהם הם מתבקשים להזין אמצעי זיהוי, פרטי חשבון או מספר כרטיס אשראי.
  2. אין למסור בשום מקרה אמצעי זיהוי ופרטים אישיים אחרים, גם אם הנימוקים נראים משכנעים (כגון: הצורך לעדכן פרטי הלקוח במערכת לשיפור השירות, שדרוג אמצעי אבטחה לטובת הלקוח, וכד'). הבנק או חברות אחרות לעולם לא יבקשו קבלת פרטים אלו באמצעות הדוא"ל. בקשה לעדכון פרטים נעשית רק לאחר תהליך זיהוי לקוח, לדוגמה, באמצעות אתר הבנק או החברה.
  3. יש לוודא שכתובת השולח מוכרת ללקוח (לדוגמה, חברה שהלקוח מנוי בה) ולבדוק שהכתובת מדויקת (לדוגמה, שכתובת השולח כתובה נכון ולא עם שגיאה אפילו מינורית כדוגמת תוספת או החלפת אות, PeyPal במקום PayPal).

  4. יש לבדוק את תוכן ההודעה, האם הוא כללי (לדוגמא, נוסח "לקוח יקר" ללא פרטי הלקוח אמור להעלות חשד) והאם הוא בשפה עברית כאשר מדובר בבנק בישראל או בחברה מקומית, האם הנוסח תיקני והולם וללא שגיאות ניסוח ו/או שגיאות כתיב.

דוא"ל בשפה עילגת או בשפה שונה מזו שבה החברה או השירות נוהג להתכתב עם הלקוח, ייחשב כחשוד.​ 

5. ​​​​יש לבדוק ככל שניתן את כתובת הקישור, לוודא שהיא מוכרת ללקוח וכתובה נכון. בקישור שהתקבל במייל ניתן לבדוק גם ע"י עמידה עם העכבר על הקישור וצפייה בכתובת היעד.
6. יש לשים לב גם להודעות SMS או WhatsApp שמתקבלות במכשיר הטלפון הנייד עם קישור לאתרים וכמובן להודעות דוא"ל, SMS או WhatsApp חשודות שמתקבלות לכאורה מבנק או מחברת כרטיסי אשראי (סמישינג  Smishing).
7. מומלץ להתקין תוכנות הגנה במחשב האישי ובמכשיר הטלפון הנייד וכן להקפיד על עדכניות מערכת ההפעלה.
8. אם ללקוח יש ספק, הרי שאין ספק ומוטב לא להיענות להודעה או ללחוץ על הקישור לפני בדיקה מול הבנק או החברה הרלוונטיים.
​​​​​​​​​