תחום גניבות הכספים וההונאות הבנקאיות מגיע בימינו לשיאים חדשים ■ אם חשבתם שלכם זה לא יכול לקרות, אתם עלולים להיות מופתעים – מעשי הנוכלות בדור הדיגיטל מתוחכמים ויצירתיים בהרבה מבעבר, וכל אחד יכול ליפול בפח. המדריך שלפניכם יספק לכם המלצות ואמצעי זהירות שיעזרו לכם לשמור על הכסף שלכם
בשנה האחרונה דווח על מספר ניסיונות להונאת לקוחות בנקים, ונראה שהמהפכה הטכנולוגית כבשה גם את תחום גניבת הכספים. גופים פיננסיים רבים ברחבי העולם, מהווים יעד לניסיונות הונאה של גורמי פשע. אם בעבר העבירות הנפוצות היו גניבת הארנק או זיוף צ'קים, כיום העבריינים מפעילים שיטות מתוחכמות במטרה לאסוף נתוני לקוחות לצורך גישה לחשבונותיהם.
המהפכה הטכנולוגית שעוברת מערכת הבנקאות בעולם ובישראל, שמאפשרת לבצע פעולות רבות בערוצים הדיגיטליים, גובה מחיר בדמות עליית בסיכונים לדליפת מידע והונאת לקוחות.
בכתבה זו תמצאו שורה של כללים והמלצות, שיסייעו לכם לשמור ולהגן על כספכם ופרטי הזיהוי שלכם.
פישינג: גניבת פרטים והתחזות
בשנים האחרונות חלה בישראל עלייה דרמטית בניסיונות לגניבת פרטי לקוחות. כיום מרבית אירועי ההונאה מתבססים על פנייה ללקוחות באמצעות טלפונים או הודעות והוצאה במרמה של הסיסמאות שלהם לצורך פריצה לחשבונותיהם.
בבנק ישראל מדווחים על עליית מדרגה באירועי הסייבר בעולם ובישראל בשנים האחרונות. הדבר בא לביטוי בכמה ניסיונות הונאה של לקוחות הבנקים באמצעים טכנולוגיים. על רקע זה, מזהירים בבנק ישראל את לקוחות הבנקים ומחדדים את ההמלצות בדבר התמודדות עם ניסיונות הונאה מתוחכמים, כדי להגביר את הערנות ותשומת הלב של הלקוחות ולהפחית את סיכויי ההצלחה של מעשי המרמה.
בנק ישראל קוראים ללקוחות להגביר את ערנותם בעיקר בעת קבלה של הודעת דואר אלקטרוני (דוא"ל) או מסרון בהם הם מתבקשים להזין אמצעי זיהוי, פרטי חשבון או מספר כרטיס אשראי.
מהבנק נמסר מידע על התגברות ניסיונות הונאה מסוג פישינג (דיוג-Phishing) נגד לקוחות המערכת הבנקאית, במטרה לגנוב כספים מחשבונותיהם. בשלב ראשון מנסה הגורם העוין לגנוב פרטי זיהוי של הלקוח, המשמשים לכניסה לחשבונו באתר האינטרנט של הבנק או באתרים של חברות תשלומים, ובדרך כלל גם פרטים אישיים נוספים כמו פרטי כרטיס אשראי של הלקוח. פרטים אלו מאפשרים לתוקף להעביר כספים מחשבונו של הלקוח לחשבון אחר, ממנו יכול התוקף למשוך את הכספים, ו/או לבצע עסקאות בבתי עסק.
הסיבה לריבוי אירועים אלה, ככל הנראה, היא שפעולת פישינג אינה מסובכת במיוחד. בדרך כלל מדובר בסכומי כסף קטנים יחסית, ולרוב הבנק מחזיר ללקוח את הכסף. לכן הנושא לא נמצא בראש סדר העדיפויות של המשטרה, שצריכה להתמודד עם פשעים חמורים יותר, והנוכלים לא נתפסים.
בכל הקשור להונאות מסוג פישינג, חלק מהאחריות היא בידי הלקוח. הרי בלעדי שיתוף הפעולה שלו (שנעשה כמובן באמצעות הונאתו), הפריצה או הגניבה לא יוכלו להתרחש. על כן הגברת המודעות והערנות של הלקוחות תוכל למנוע ברוב הגדול של המקרים את האירועים הללו.
השיטות הנפוצות לגניבת פרטי לקוחות:
הודעות ומיילים מזויפים
כיצד זה מתבצע?
אתם בוודאי מכירים את ההודעות המפתות שמנוסחות באופן דומה לזה: "שלום, יש לי הצעה מיוחדת עבורך, תוכל לקבל עד מיליון דולר, לחץ על הקישור לפרטים נוספים". אלה הן הודעות עוקץ מובהקות למדי. אך בימינו נעשה לרוב שימוש בשיטות מתוחכמות יותר, כמו שליחת הודעות התחזות לבנק עם הצעות שיווקיות מפתות, או הודעות שלפיהן שיש לבצע שינוי בסיסמה. הודעות אלו יכילו לינק, שלחיצה עליו תפתח אתר שנראה כמעט זהה למסך שבו מזינים שם משתמש וסיסמה באתר הבנק.
הלקוח הסבור שהגיע לאתר הבנק מזין את פרטיו, וכך הנוכל שהעלה את האתר המזויף מקבל גישה אל הפרטים שהוזנו ויכול לפרוץ לחשבון האמיתי של הלקוח.
איך לא תיפלו בפח?
קודם כל, צריך לחשוד בכל הודעת טקסט או דואר אלקטרוני שמגיעים מהבנק ולא למהר לענות. אם ההודעה כוללת פנייה כללית ללקוח ללא ציון שם או בקשה לעדכן פרטים אישיים, זה כבר סימן חשוד מאוד. אם ההודעה מכילה קישור, יש לבדוק מהו הקישור שנפתח, ואם בסופה של כתובת האתר יש מנעול, זה מעיד על כך שהאתר מאובטח, כמו אתר הבנק למשל. סימנים מחשידים נוספים הם שם הבנק בכתובת האתר שמופיע בשגיאה או עם אותיות או ספרות נוספות.
תרמית טלפונית
שליחת הודעות מזויפות והקמת אתרים מתחזים דורשת מיומנויות טכנולוגיות מסוימות, וגם אחוזי ההצלחה שלהם נמוכים. לעומת זאת שיטה אחרת שהולכת ומתפתחת היא "הנדסה חברתית", שבה נדרש שיתוף פעולה של הלקוח.
כיצד זה מתבצע?
הנוכל מתקשר ללקוח, מתחזה לנציג הבנק עם הצעה שיווקית או התראה על תקלה בחשבון, ובמהלך השיחה "מוציא" מהלקוח את הסיסמה לחשבון שלו. כיום מספיק שהנוכל יודע את מספר תעודת זהות של הלקוח ומספר הטלפון שלו, וכבר יש לו קצה חוט למבצע עוקץ שבסיומו יוכל למשוך כספים מחשבון הבנק שלו.
אפשרות אחת היא לבצע העברות כספים מחשבון הבנק של הלקוח, אלא שאז נותרות עקבות וניתן להגיע יותר בקלות אל הפושעים. אפשרות פשוטה יותר, שכמעט ולא מותירה עקבות, היא הוצאת כסף במזומן מהכספומט. השיפורים הטכנולוגיים מאפשרים היום הוצאת כספים מהכספומט ללא שימוש פיזי בכרטיס האשראי אלא בעזרת קוד בלבד.
בשלב ראשון משדלים את הלקוח לתת את שם המשתמש שלו, בתירוץ שהם זקוקים לאמצעים אלה כדי לזהות את הלקוח (אגב, זהו תמרור אזהרה ראשון – הבנק לא יבקש פרט כזה בטלפון). בעזרת שם המשתמש ומספר הטלפון או תעודת הזהות של הלקוח ניתן לשחזר את הסיסמה שלו.
תהליך זה כרוך בשליחת הודעת SMS ללקוח. הנוכל חייב לדעת מהו הקוד שנשלח ולכן מספר לקורבן שנשלח לו קוד על מנת לזהותו, ומבקש ממנו שיקריא את הקוד. הלקוח שאכן קיבל SMS מוסר את הקוד, מבלי להבין שבזה הרגע הוא איפשר לנוכל להיכנס אל חשבון הבנק שלו. אלא שהשם והסיסמה אינם מספיקים על מנת למשוך את הכסף מהכספומט.
כדי להוסיף אמצעי ביטחון, הבנק מאפשר את משיכת הכסף רק לאחר שנשלחה סיסמה ייעודית לשם כך אל המכשיר הנייד. כדי לעבור את המכשול הזה, הנוכלים נכנסים אל החשבון של הלקוח באמצעות האפליקציה של הבנק, ואז בוחרים בפעולה: "משיכת מזומן ללא כרטיס". בשלב זה נשלחת אל הטלפון הנייד של הלקוח סיסמה שרק איתה ניתן למשוך את המזומן. הנוכלים ממשיכים להוליך את הלקוח שולל ואומרים לו: "שלחתי לך סיסמה לנייד על מנת לוודא שזה אתה, אנא אמור לי מהי". הלקוח אכן קיבל את הסיסמה, ובהנחה שמסר אותה בטלפון, בזאת הסתיימה ההונאה – הנוכלים יכולים באותו הרגע למשוך את הכסף מהכספומט.
איך לא תיפלו בפח?
זכרו, הבנק לעולם לא יבקש את שם המשתמש או את הסיסמה לכניסה לחשבון הבנק. בקשה של אחד מהנתונים האלה היא סימן אזהרה לכך שמדובר בהונאה. גם אם התקבלה סיסמה בנייד לצורך אימות מול הנציג, יש לקרוא את ההודעה כולה. אם בהודעה נכתב למשל: "הסיסמה לצורך משיכת כסף היא…" סימן ששיחת הטלפון היא הונאה.
מלכודות ברשתות החברתיות
גם הרשתות החברתיות שהפכו בשנים האחרונות לפופולאריות במיוחד, הן כר פורה להונאות של העידן החדש.
לקוחות רבים מפרסמים בעמוד הפייסבוק של חברות מסחריות חוויית שירות גרועה או תלונה, במחשבה שפומביות התלונה והחשש משיימינג יגרמו לחברות לטפל במהירות בתלונתם. אלא שיש מי שמנצל זאת לרעה, ובשנה האחרונה נרשמו גם מקרי הונאה בשיטה זו.
כיצד זה מתבצע?
לעיתים המתלונן משאיר את מספר הטלפון שלו, ואז הנוכל מתקשר אליו ומתחזה אל נציג הבנק שחוזר אליו בעקבות התלונה. מבחינת הלקוח זה נשמע הגיוני, ולא מעורר חשד שמדובר במתחזה. הנוכל מבקש את שם המשתמש ואת הסיסמה של הלקוח על מנת לאמת שזה אכן הוא, ומשם הדרך לקבלת הקוד להוצאת המזומנים היא קצרה.
איך לא תיפלו בפח?
יש להיזהר בתלונות הפומביות, קל וחומר כשמדובר בבנקים – עדיף לכתוב לבנק הודעה פרטית בפייסבוק ולא על הקיר. אם בכל זאת הפומביות חשובה לכם, אז הקפידו להיות ערניים כשחוזרים אליכם, וזכרו שאם הבנק רוצה לוודא זיהוי מולכם הוא עושה זאת באמצעות שאלות זיהוי, ולא מבקש לקבל מכם בשיחת טלפון את שם המשתמש או את הסיסמה לחשבון.
הונאת הפישינג הנפוצה בפייסבוק מתבצעת על ידי דפים עסקיים שמדמים את עצמם לדפים רשמיים של פייסבוק. דפים אלה מחפשים דפים עסקיים ואז משתפים את אחד הפוסטים שלהם, ובתיאור השיתוף מוסיפים התראה שהדף ייסגר אם לא תבוצע פעולת אישור מיידית.
סימנים מזהים להונאת פישינג בפייסבוק:
- דרך הפנייה לעמוד:
פייסבוק לעולם לא יפנו לדפים/למשתמשים דרך שיתוף או הודעה פרטית. כאשר פייסבוק רוצים ליצור קשר הם עושים זאת דרך מערכת התמיכה שלהם (Support Inbox). אם בהגדרות האישיות שלכם בחרתם לקבל מיילים על עדכונים, תקבלו בנוסף גם מייל.
- שם הדף התוקף:
הדפים מנסים להידמות לדפים רשמיים ולכן הם בוחרים שמות שדומים ל"facebook security" "facebook notification" או "facebook support".
עם זאת, על מנת להתחמק ממערכות האבטחה של פייסבוק, האיות יכלול שגיאת כתיב, ניקוד מיותר או אותיות קריליות הדומות לאותיות אנגליות.
- יצירת לחץ ודחיפות
הודעת הפישינג תכלול לרוב אזהרה על השבתת החשבון בעקבות הפרת מדיניות, אלא אם יבוצע תהליך אימות. כדי להעלות את סיכויי התקיפה ולהוריד את הסיכוי שהמותקף ייחפש פתרונות בגוגל או בקבוצות מקצועיות, הודעת הפישינג תכלול לרוב ניסיון ליצור לחץ על ידי הגבלת הזמן תגובה.
מה לעשות אם קיבלתם הודעת פישינג?
פשוט כלום – להתעלם ולהמשיך בחיים כרגיל.
אם אתם רוצים להשקיע ולעשות משהו לטובת הכלל אתם יכולים להיכנס לדף המתחזה ולדווח.
מה לעשות אם הכנסתם פרטים בהונאת פישינג (בפייסבוק)?
נפלתם בהונאה? לא נעים, אך יכול לקרות. אבל עכשיו צריך לפעול מהר.
הדבר הראשון שעליכם לעשות זה לראות איזה מכשירים מחוברים לחשבון שלכם. פייסבוק מאפשרים לעשות זאת בעמוד האבטחה שלהם.
מיד לאחר מכן כדאי:
– לשנות את הסיסמה שלכם (באותו עמוד)
– להעלות את רמת האבטחה שלכם ולהוסיף אימות דו-שלבי
– לעבור על בעלי התפקידים בחשבון המודעות שלכם (או של לקוחות שלכם) ולוודא שלא נוספו מנהלים שאינם מזוהים ושרמת הגישה שלכם לחשבון לא השתנתה. (לינק לפירוט)
– לעבור על כל הדפים שאתם מוגדרים כמנהלים בהם (לינק לפירוט) ולוודא שלא נוספו בעלי תפקידים נוספים ושרמת הגישה שלכם לעמוד לא השתנתה.
– לשנות בדחיפות את הסיסמאות שלכם לסיסמאות ייחודיות ושונות גם בשירותים אחרים ברחבי הרשת (אימייל, אתרי סחר שפרטי האשראי שלכם שמורים בהם, פייפאל, איביי וכדו').
– אם שינו לכם את הסיסמה ואין לכם גישה לחשבון, אתם יכולים להתחיל תהליך השתלטות מחדש דרך התמיכה הייעודית של פייסבוק לחשבונות פרוצים: https://www.facebook.com/hacked
– ראיתם חיובים לא מזוהים? פנו לתמיכה!
טיפ למתלבטים: חושבים שההודעה אמיתית? היכנסו לחשבון שלכם בצורה הרגילה, דרך קישור מוכר של גוגל או פייסבוק ולא דרך הלינק שבהודעה החשודה!
הונאות פישינג: הרגלי זהירות כלליים
- אין למסור את שם המשתמש או את הסיסמה האישית לאף גורם בטלפון.
- לאמת את המידע שנמסר מהנציג. למשל אם הוא אמר שהמנוי נחסם יש לנסות להיכנס לאתר ולראות אם הוא אכן חסום.
- לפני מסירת קוד אימות לנציג הטלפוני, יש לבדוק את נוסח ההודעה שהתקבלה ולראות אם היא תואמת לשיחה עם הנציג.
- כאשר מגיע SMS או מייל מהבנק לא למהר להגיב, אלא להתייחס אליו בחשדנות
- אם קיים חשד כלשהו בשיחה עם נציג הבנק, יש לסיים את השיחה ולעדכן באופן מיידי את הבנק
- לא לשמור קובץ המכיל את שם משתמש ואת הסיסמה לאתר הבנק במחשב או בנייד
- מומלץ להתקין תוכנות הגנה במחשב האישי ובמכשיר הטלפון הנייד ולהקפיד על עדכניות מערכת ההפעלה.