זהירות: מספרי הטלפון שעלולים להיות הונאה

כולנו מכירים את הרגע הזה: אנחנו מקבלים הודעה או שיחה ממספר לא מוכר עם קידומת מעט משונה, ומיד עולה ההתלבטות המוכרת – האם מדובר בספאם מעיק או פישינג מאיים, או שזאת דווקא שיחה לגיטימית שאנחנו עלולים לפספס? מתברר שבין קידומות הטלפון שמופיעות על צג הטלפון שלנו אפשר למצוא רמזים שיכולים לסייע לנו לשמור על המרחב הדיגיטלי שלנו בטוח יותר, וככל שהמתקפות שמאיימות עליו הולכות ומתרבות, חשוב שנדע לזהות את הדגלים האדומים.

לצד הקידומות המקוריות של חברות הסלולר הגדולות (050 של פלאפון, 052 של סלקום, 053 של HOT Mobile ו-054 של פרטנר), הופיעו בשנים האחרונות מפעילות וירטואליות שמשתמשות בתשתית של החברות הגדולות עם קידומות משלהן: 051 – wecom; ו-055 שמשמשת את המפעילות פרי טלקום, מרכזיה, אקספון, 2Tel, Annatel, רמי לוי תקשורת, Cellact, 019 מובייל, פלאפון (לשעבר יופון שנסגרה) וסלקום (לשעבר הום סלולר שנסגרה). לצד אלו, קידומת 056 משמשת מפעילים פלסטינאים שונים, 058 שייכת לגולן טלקום, ו-059 שייכת לג'וואל שפעילה גם היא ברשות הפלסטינית.

בגזרת הקווים הנייחים, בנוסף לקידומות הגאוגרפיות של קווי בזק (02, 03, 04, 08 ו-09) ולקידומות שמשמשות בתי עסק (כמו 1800, 1801, 1700 ו-1599) נוספו כמה מפעילות ארציות אחרות. ביניהן אפשר למצוא את
072 ו-074 של פרטנר, 073 של סלקום, מרכזיה ו-2Tel, את 076 של בזק בינלאומי ובזק, את 077 של הוט (אלטיס), ו-079 של פרי טלקום, Hallo 015, Collact, Annatel ו-טלזר 019.

מתן גידניאן, מייסד אפליקציית Fisherman החינמית לחסימה אוטומטית של ספאם, פישינג ופרסומות ב-SMS, מזהה בעזרתה את מוקדי הספאם הבולטים.

לדבריו, ההודעות הזדוניות מגיעות בעיקר מקידומות ששייכות למפעילות הווירטואליות הקטנות, אבל בחלק מהמקרים גם מקידומות של החברות הגדולות. הקידומת שממנה זיהתה מערכת הכי הרבה הודעות ספאם ופישינג היא 052-99, שמשמשת כפלטפורמה לשליחת הודעות שיווקיות, אבל משמשת בפועל גם תוקפים. קידומות נוספות שמהן מגיע ריכוז חריג של הודעות ספאם ופישינג הן 050-80, 055-93, 055-77, 053-62 ו-050-50.

גידניאן מסביר שגם השיחות הזדוניות מגיעות לרוב מהמפעילות הווירטואליות הקטנות יותר, כי האימות שהן מבצעות בתהליך רכישת מספר הטלפון הוא מאוד חלש. בעוד שהחברות הגדולות מפעילות מערכות מפותחות כדי לוודא שלא עושים שימוש במספרים שלהן לשיחות ספאם והונאה, החברות הקטנות משקיעות בנושא מאמצים פחותים.

עם זאת, חשוב לשים לב שאומנם מהקידומות הללו מגיעות שיחות והודעות ספאם רבות, אבל גם כאלה שהן לגיטימיות. קידומת 055-96, לדוגמה, משמשת לעתים להפצת ספאם, אבל נמצאת גם בשימוש קבוע של חברת KSP לעדכון לקוחות על הזמנות. לכן, לא מומלץ לחסום או לסנן את אותן קידומות באופן מוחלט, אבל בהחלט כדאי לשמור על ערנות.

לעומת זאת, גידניאן מעיד שמקידומת 054 מגיעות הכי מעט שיחות והודעת ספאם ופישינג.

אומנם החל מ-2007 החוק מאפשר להחליף ספקית סלולר בלי להחליף את מספר הטלפון, אבל לדברי גידניאן תהליך הניוד לרוב מעכב, מסבך ומייקר את התהליך עבור התוקפים, ולכן הסבירות שינקטו כך קטנה.

המספר הוא לא היחיד שקובע

מאחר שהקידומות לא יכולות להעיד באופן מוחלט על מה שעומד מאחוריהן, גידניאן מדגיש שחשוב לשים לב לא רק למספר, אלא בעיקר לדפוסים שמופיעים בהודעות.

לדבריו, הודעות ספאם ופישינג רבות משתמשות בהנדסה חברתית (Social engineering) במטרה להשפיע פסיכולוגית על הקורבנות ולדחוף אותם לבצע פעולות שונות, למשל ללחוץ על לינקים בהודעה. לעתים קרובות, התוקפים יעשו שימוש בניסוחים שמעוררים תחושת דחיפות: "העבירו לך כסף ב-bit! מחכים לך
.3600 ש"ח", או "ברצוננו להזכירך כי קיימים חובות פתוחים בגין נסיעה בכביש 6".

במקרים אחרים, התוקפים מנסים להתחזות לשולחים לגיטימיים, ולעתים קרובות אף מנצלים לשם כך את האפשרות לשלוח הודעה משם שולח טקסטואלי, ללא מספר. אומנם השמות הרשמיים של גופים גדולים כמו בנקים, דואר ישראל ואחרים הם מוגנים ולא ניתן לשלוח הודעות שמתחזות אליהם, אבל התוקפים עלולים להשתמש בשמות דומים במיוחד לכאלה של שולחים מוכרים ורשמיים. למשל: הודעה שנשלחת משם השולח leumi (עם L קטנה), בניסיון להתחזות לשם השולח הרשמי של בנק לאומי – Leumi, שנכתב עם L גדולה.

בנוסף, התוקפים עושים שימוש בווריאציות שונות על אותם שמות שולח כדי לעקוף את אמצעי החסימה והסינון של המשתמשים. לדוגמה: Rabet777, Rabet777Play, 777 Rab, Rabbet_777, Rabet-Play – כל שינוי קטן כזה יוצר שולח חדש, מה שמקשה מאוד על חסימה אפקטיבית לאורך זמן.

לדברי גידניאן, חשוב מאוד לשים לב גם לקישורים שמכילות ההודעות. קישורים מדומיינים כמו lik5.vip או mpx.at עלולים להיות בסבירות גבוהה כאלה שמשמשים לפישינג, וכך גם הדומיין cl8.net, שלצד מטרות לגיטימיות משמש לעתים גם תוקפים. גם במקרה הזה מדובר בדגל אדום, אבל לא בהוכחה חד משמעית.

בשורה התחתונה, הוא מסביר, אי אפשר להתגונן בפני ספאם או פישינג רק על סמך שם או מספר השולח, שכן התוקפים משנים את אלה כל הזמן, ולעתים משתמשים אפילו בחלקים מהודעות לגיטימיות כדי לעקוף מערכות הגנה ואת תשומת הלב שלנו. לכן, הוא ממליץ להשתמש במערכות ייעודיות לחסימת ספאם ופישינג, שמביאות בחשבון את כלל הסימנים המחשידים – שם השולח, התוכן, ההקשר והדפוסים – ומצליבות ביניהם כדי לזהות התנהגות חשודה.

לצד זאת, הוא מצביע על כמה דגלים אדומים שעלולים להעיד על ספאם או פישינג, וצריכים לעורר את תשומת ליבנו:

1. הודעה או שיחה שאמורות להגיע מגופים רשמיים כמו הבנק או רשויות המדינה אבל מגיעה ממספר נייד.
2. הודעה מגורם מוכר שקיבלנו ממנו הודעות בעבר, שמגיעה פתאום בנפרד משרשור ההודעות הקודמות.
3. הודעה שמגיעה מקידומת של אחת מחברות הסלולר הווירטואליות.
4. הודעה משולח עם שם טקסטואלי – במקרה כזה, חשוב לשים לב אם מדובר בשם דומה או בשם הרשמי.
5. אם יש ספק לגבי מקור ההודעה, אין ללחוץ על לינקים שמופיעים בה. במקום זה, מומלץ להיכנס לאתר הרשמי של השולח (למשל: דואר ישראל, בנק לאומי או כביש 6), להתחבר לאזור האישי ולבדוק אם ההודעה מופיעה שם.