נועה (שם בדוי), בעלת עסק פרטי, קיבלה השבוע באחת בלילה הודעה בוואטסאפ העסקי שלה. ההודעה נכתבה בשם "דניאל מואנט", ונכתב בה כי הפרה זכויות יוצרים באינסטגרם שלה ועליה לאמת את חשבונה על ידי לחיצה על קישור.
"בעלי בדק את מספר הטלפון שממנו נשלחה ההודעה, ומצא שזה הגיע מתורכיה. זה נראה לי לא אמין. ניסיתי להבין מי השולח לפי השם של הבחור הישראלי, ולבדוק מה זו הפרת זכויות יוצרים באינסטגרם. זה הבהיל אותי קצת, שעוד יומיים חשבון האינסטגרם העסקי שלי יימחק", היא מספרת ל-mako.
למזלה של נועה, היא לא לחצה על הקישור, שכן מדובר בדרך מתוחכמת לפרוץ לכם לחשבון האינסטגרם. מיי ברוקס קמפלר, מומחית לאבטחת המידע ומנהלת קבוצת הפייסבוק "בטוחים אונליין", מסבירה איך השיטה עובדת.
מטרת ההודעה היא לגרום למשתמש ללחוץ על הקישור. בעת לחיצה נפתח החלון הבא:
הזנה של מייל (פיקטיבי כמובן) מובילה לעמוד הבא, שבו יש להזין סיסמה
היות ואין כזה יוזר ואין כזו סיסמה, מתקבלת הודעת שגיאה.
"בשלב האחרון" יבקשו מכם להזין את המייל שלכם ואת הסיסמה. ברגע שיקבלו את הפרטים, התוקפים יכניסו לאינסטגרם את שם המשתמש והסיסמה שקיבלו מכם, ולאחר שיצליחו להיכנס - ישנו את הסיסמה, כך שתינעלו מחוץ לחשבון.
ברוקס-קמפלר מציינת כי מרגע שחשבון נחטף על ידי תוקף - הסיכויים להחזירו נמוכים מאוד. ברגע שהוזן שם המשתמש, הסיסמה והאימות, התוקף משנה את פרטי הקשר בחשבון לפרטים שלו, והקורבן נחסם לחלוטין מלגשת לחשבון. במקרים רבים התוקף ישלח הודעה נוספת בוואטסאפ בה הוא ידרוש כופר כדי להחזיר את החשבון לבעליו. במידה והקורבן לא ישלם, התוקף ינסה למכור את החשבון או העוקבים. כדי להחזיר את החשבון עוברים תהליך של אימות זיהוי מול אינסטגרם. התהליך לא תמיד צולח, וגם כשכן הוא יכול לקחת ימים ואף שבועות רבים.
ברוקס קמפלר מסבירה כיצד נזהה הודעה מתחזה מסוג זה:
- אינסטגרם לעולם לא יפנו אליכם באמצעות וואטסאפ.
- אם הפרתם את תנאי השימוש - אתם תיחסמו, לא יהיו התרעות.
- שימו לב לקישור שנשלח - הוא לא לאינסטגרם, זהו דומיין אחר.
- שימוש בהפחדה (החשבון נחסם) והלחצה (יש 48 שעות) היא טקטיקה ידוע שמטרתה לגרום לקורבן לפעול בלי לחשוב.
- שגיאות נוסח/כתיב. במקרה של ההודעה הזו, הנוסח מערבב זכר ונקבה, פניה פמיליארית מול הודעה רשמית וניסוחים שאינם מתאימים לחברה (בחינניות).
- הודעות מהאפליקציה יש לבדוק באפליקציה. אם אתם כבר באפליקציה, בוודאי שאין צורך להכניס שוב את שם המשתמש והסיסמה.
**
הודעת הפישינג הזאת התקבלה בשבוע הבטיחות ברשת של מערך הסייבר הלאומי. אתמול הם ערכו תרגיל סמישינג (פישינג באמצעות סמס), ושלחו ל-80 אלף איש הודעה לפיה "אותרה פעילות חריגה בכרטיס האשראי שלך. במידה ואתה ביצעת אותה, התעלם מהודעה זו. במידה ולא נא עדכן בקישור המצורף".
מי שלחץ הגיע להודעה – "אופס! פרטי האשראי שלך לא כאן... השתתפת בתרגיל דיוג של מערך הסייבר הלאומי בשיתוף מערך ביטחון מידע בצה"ל". ההודעה הגיעה עם אזהרה חשובה – "אין ללחוץ על קישורים הנראים חשודים, בקבלתך קישורים אלה נא לפנות לגורמי ביטחון מידע".
האם התרגיל עבד? אולי תתפלאו, אבל 40 אחוז מכלל מקבלי ההודעה לחצו עליה.