פישינג עלייך, ישראל
אלפי ישראלים קיבלו הודעת SMS לכאורה מחברת פייפאל, שבה דווח על בעיה בחשבונם והם התבקשו לעדכן פרטיהם ● מתקפה שכזו מכונה סמישינג, Smishing, תת-משפחה במתקפות הפישינג, וכמובן שמדובר בסכנה למי שייענה להאקרים וימסור להם פרטים
הודעת הפישינג שהגיעה לאלפים בישראל. אפליקציית Truecaller כבר ידעה לציין כי מדובר ב"הונאה". צילום מסך
אלפי מקרי פישינג אירעו אתמול (ש') כנגד ישראלים, ויש גם מקרים שהחלו מדווחים כבר מיום ה'. ישראלים רבים קיבלו מסרונים בהם דווח על בעיה, לכאורה, בחשבון הפייפאל (PayPal) שלהם. מטרת קמפיין הפישינג היא לגנוב את פרטי חשבונות הפייפאל תחת האמתלה של עדכון פרטי הלקוחות. זהו לא קמפיין הפישינג הראשון שבוצע נגד ישראל, אבל הוא בולט בהיקפו.
מ-ESET ישראל נמסר כי מדובר בהודעות פישינג אשר נשלחות לתפוצה רחבה במיוחד של משתמשים בפייפאל, אבל גם למי שמעולם לא השתמשו בשירות זה. "לצערנו, ניתן לראות כי ברשת מתקיים בשעות האחרונות שיח רחב על ההודעות הללו, כאשר חלק מהגולשים כבר מגלים מודעות ויודעים שמדובר בפעילות זדונית, אך חלק גם משתפים פעולה ונופלים", אמרו בחברת האבטחה.
לדברי החוקרים, "ניסוח ההודעה והשגיאות בעברית מרימים את הדגל האדום החשוד הראשון. שירות מוכר וידוע לא ישלח הודעות עם שגיאות כה רבות ועברית קלוקלת ברמה שכזו".
לימור גרוסמן, מומחית סייבר ואבטחת מידע בסלסטיה – המתמחה בהעלאת מודעות עובדים למתקפות סייבר – ציינה כי "סוג המתקפה הזו מכונה סמישינג, Smishing, תת-משפחה במתקפות הפישינג. התוקף עושה שימוש בהודעות טקסט SMS כדי להתחזות, להטעות את מקבל ההודעה ולגרום לו להוריד נוזקה למכשיר הסלולרי באמצעות לינק, או לגלות מידע פרטי, על פי רוב בעל היבטים פיננסיים".
על פי גרוסמן, "זו מתקפה מוכרת ובעלת ותק ארוך, אך באחרונה – ובפרט בתקופת התפרצות הקורונה – ראינו גם התרחבות של השימוש בטכניקת תקיפה זו ברחבי העולם".
"כך", ציינה, "בשבוע שעבר מתקפת סמישינג התנהלה כנגד לקוחות הבנק HSBC, בניסיון לגנוב מהם בעורמה סיסמאות ופרטי החשבונות. הבנק המרכזי באירלנד קרא באפריל השנה לציבור להיזהר במענה להודעות טקסט המתקבלות, לכאורה, מהבנקים בהם מתנהל חשבונם. זאת, לאור הזינוק במתקפות מהסוג הזה בחודשים האחרונים".
"בישראל", סיכמה, "אנו מכירים את התקיפה הזו גם בהקשר של הודעות המתחזות לבנק לאומי, שופרסל ומקדונלדס. מתקפה מסוג זה ראינו בשנה שעברה, והיא כללה פנייה באמצעות מסרון ללקוחות של חברות הסלולר, שהתריעה על סיום חבילת הסלולר והזמינה לחדש אותה במחיר אטרקטיבי. אז המטרה הייתה לגנוב את פרטי כרטיס האשראי של הלקוחות. הדרך להימנע מסוגי מתקפה אלו היא על ידי הימנעות מלחיצה על קישורים המתקבלים בהודעות טקסט, ולעולם לא להשיב להודעות טקסט אשר מבקשות פרטים אישיים או כספיים. חשוב להבדיל בין משתמש ארגוני, שיכול לעבור תרגולים והדרכות מסודרות על ידי גורמי אבטחת המידע בארגון, ועל ידי כך להעלות את המודעות של העובדים לסוגי מתקפות אלה, וסוגי מתקפות נוספים. לעומת זאת, המשתמש הביתי צריך ללמוד את הכללים, להפנים אותם וליישם אותם כחלק מהתנהלות דיגיטלית תקינה".
"אנו תמיד ממליצים", ציינו חוקרי ESET, "כי כאשר מקבלים הודעה מספק-שירות אשר אתם משתמשים בו, היכנסו באופן עצמאי לאתר, ולא דרך ההודעה שקיבלתם ממנו, גם אם זה במסרון, מייל או ווטאספ. כמובן הימנעו מללחוץ על קישורים אשר מגיעים אליכם ממקור שאינו בטוח. במידה שאתם חושדים כי בחשבונכם בוצעו פעולות זדוניות – החליפו סיסמה בלא דיחוי".
תגובות
(0)