יצחק מלאך

כיצד להגן על החשבון שלכם ברשת?

יצחק מלאך
אין חולק על כך שחשבון הבנק של אדם הוא אחד הנכסים החשובים והחסויים בחייו

אין חולק על כך שחשבון הבנק של אדם הוא אחד הנכסים החשובים והחסויים בחייו, ותפקידנו הוא לוודא שהנכס הזה יישאר מוגן מפני אורחים לא קרואים.
בטור הנוכחי, אני מבקש להכניס אתכם מעט לעולם אבטחת המידע, ואם להיות ספציפי יותר, למלחמה בגורמים המנסים כל העת לשים את ידם על כספכם, באמצעים מתוחכמים ובאמצעות מחשבים, בכל רחבי העולם.


שמי יצחק מלאך, ובתוקף תפקידי, כחבר הנהלת לאומי וראש מערך תפעול ומינהלה בלאומי, אני מופקד על אחת ממערכות המחשוב המסובכות והמורכבות בישראל.
כדאי שתדעו: מערכת מחשוב של בנק מחויבת להיות ברמת האבטחה הגבוהה ביותר. המערכת הזו חייבת לאפשר תעבורה של מאות מיליוני תנועות ופעולות של לקוחות, ברמת אמינות ואבטחה ללא פשרה.

אין ספק שהתפתחות הטכנולוגיה טובה לבנק ומצוינת ללקוח. זו הסיבה שאנו פועלים ללא לאות על מנת להציב את הבנק בחזית הטכנולוגיה ולהביא אל הלקוח את החידושים האחרונים, כך שיוכל לנהל את חשבונו ללא חשש, מכל מקום, בכל שעה ובכל ערוץ.
לצערי, הטכנולוגיות החדשות הללו הן גם נחלתם של גורמים עבריינים, המבקשים לעקוץ ומנסים לבצע פעולות של הונאות מקוונת, או מה שקרוי בעגה המקצועית: פישינג או דיוג בעברית. (Phishing).

ניסיונות פישינג הם נחלתם של כל הבנקים בארץ ובעולם. לאומי, כמו גופים פיננסיים אחרים, מהווה יעד לניסיונות הונאה מצד גורמים עבריינים. גורמים אלה מעמידים את מערכות אבטחת המידע של הבנקים בכלל ולאומי בפרט במבחן יומיומי מעשי, שמצריך מהן להתמודד מול שיטות מתוחכמות המיועדות לאסוף נתוני לקוחות לצורך גישה לחשבונותיהם.
לשמחתי, עד כה לא אירע בישראל אירוע פישינג שהיה בעל השלכות רחבות על לקוחות הבנקים או על יציבות הבנקים.

אנו מבחינתנו, לא לוקחים סיכונים, מקצים למאבק בגורמים הללו משאבי זמן וכסף מרובים ומעדכנים כל העת את אמצעי ההתראה וההתגוננות מפניהם.

איך עובד הדיוג?

בימים האחרונים דיווחנו על ניסיון לבצע פעולת פישינג על לקוחות לאומי. מובן שלא אוכל להרחיב בפומבי על האמצעים הרבים שהפעלנו באותו מקרה ושאנו מפעילים באופן שוטף, אולם אנסה לתאר בפניכם מעט מהעולם הזה.

אחת השיטות הנפוצות כדי להשיג פרטי חשבונות של לקוחות הינה שליחת הודעת דואר אלקטרוני אל הלקוח. הודעת הדואר התמימה, המתחזית למייל מהבנק, מכילה קישור לאתר מזויף ומכיל בקשה לבצע פעולה כלשהי באתר. כך אירע באותו אירוע.

בהודעות, שהעתק מהן הגיע באופן כמעט מיידי אל מוקד אבטחת המידע של הבנק, התבקש הלקוח להיכנס לאתר, שהתחזה לאתר לאומי, כדי לבצע פעולה כלשהי.
כאן המקום לציין כי איננו נוהגים לשלוח הודעות מייל המבקשות להיכנס לדף ההזדהות של לאומי באמצעות קישור (link) מצורף.

בזמן הקרוב אנו מתעתדים להשיק שירות של מייל מאובטח לתקשורת נוחה ומאובטחת עם הלקוח באמצעות הדואר האלקטרוני, ועל כך נרחיב בבלוג בהמשך.

מהו אתר מתחזה?

זהו אתר הכולל רק דף אחד, המהווה העתק מדויק של דף הבית של האתר שהלקוח מכיר היטב. כאשר הלקוח – שחושב שהמייל שקיבל אכן נשלח מהבנק – מקליק על הקישור המצורף, הוא מגיע אל האתר המתחזה.

הלקוח מקליד את שם המשתמש והסיסמא שהוא רגיל להכניס בעת כניסתו לאתר הבנק, אולם כאן נכונה לו הפתעה. בכניסותיו הרגילות לאתר הבנק, אחרי שהכניס שם משתמש וסיסמה, נכנס הלקוח לאתר והוא יכול להתעדכן בכל פרט שירצה, או לבצע פעולות בנקאיות רגילות. באתר המתחזה, מרגע שהלקוח הכניס את שם המשתמש והסיסמה האתר פשוט… נעלם.

בעצם, ברגע שהוכנסו שם המשתמש והסיסמה, הגורמים העבריינים קיבלו את מה שרצו, והם חופשיים עכשיו להיכנס לאתר האמיתי, לחדור לחשבונו של הלקוח ולהעביר כסף לחשבונם.

אז מה עושים?

במקרה האמור, הפעלנו נוהל מסודר ל”יירוט” ניסיון הפישינג, תוך שאנו משלבים מאמץ להורדה מהירה של האתר המתחזה מהאוויר, עם בדיקה וחסימה של הלקוחות שנחשפו לניסיון ההונאה.

בסיוע חברה בינלאומית שאנו מפעילים בדיוק לצרכים אלה, הורד האתר מהאוויר תוך זמן קצר מרגע גילויו. בד בבד, עד להורדתו, בוצע מעקב צמוד אחרי האתר ונעשו פעולות כדי להטרידו ולהסיח את תשומת לב מפעיליו.

עם זיהוי המיילים הראשונים, נכנסו מערכות ההתרעה של הבנק לפעולה וזוהו עשרות לקוחות שקיבלו את המייל ונכנסו לקישור המצורף. לקוחות אלה נחסמו זמנית להעברת כספים לצד ג’ באמצעות האינטרנט, זאת לצורך הגנתם מפני הגורמים שמאחורי האתר המתחזה.

מהירות התגובה שננקטה על ידנו סייעה לנו לצמצם ולגדר את מספר הלקוחות שנחשפו למייל. כתוצאה מכך, מעט מאוד לקוחות נכנסו לקישור ואף לקוח לא ניזוק כתוצאה מניסיון ההונאה.

לאחר יירוט ניסיון הפישינג, יצרנו קשר ישיר עם כל אחת ואחד מבעלי החשבון הללו, עדכנו אותם לגבי החשיפה והזמנו אותם לסניף לצורך קבלת שם משתמש וסיסמה חדשים. רבים מהם לא ידעו כלל כי היו יעד לפעולת הונאה אינטרנטית.

ומה על הלקוח לעשות?

  1. קודם כל, היו ערניים. אל תיחפזו לפתוח מיילים מכתובות שאינכם מכירים. במידה והשולח מוכר, אך בדרך כלל לא שולח אליכם מיילים, אל תיחפזו להיכנס לקישורים מצורפים ולהכניס סיסמה ושם משתמש.
  2. עוד עצה: אל תאחסנו סיסמאות במחשבכם. קל מאוד למצוא אותן.
  3. עם כל חוסר הנוחות, הקפידו גם שסיסמאותיכם תהיינה קשות לפיצוח. כולם כבר מכירים את תאריכי יום ההולדת שלכם, תאריכי יום הנישואין ומספר הטלפון הסלולארי שלכם. אל תהפכו מספרים אלה לסיסמת הכניסה שלכם לאתרים בכלל ולאתרי הבנקים בפרט.
  4. מעבר לכך, אני ממליץ לכם לאמץ את המלצות האבטחה המופיעות באתר הבנק: הקפידו להשתמש בתוכנות הגנה, Firewalls ולעדכן אותן באורח שוטף; הקפידו לעדכן את חבילות אבטחת המידע של מערכת ההפעלה שלכם; הימנעו מהתקנת תוכנות לא מוכרות ועוד.
    אם תרצו להתעדכן גם בהסברים נוספים על תופעת הפישינג וכיצד ניתן להתגונן מפניה, ניתן למצוא אותם באתר לאומי, בלינק המצורף.

תגובות הקוראים (4)

  1. סירו

    מאד מרוצה לשמוע בנושא הפעילות האקטיבית של לאומי בנושא. גם גישה פרו-אקטיבית בגילוי וגם גישה פרו-אקטיבית בפעולה לחיסול האיום.
    לא יודע מה נכנס לסל של הטרדה ופגיעה בפושעים המדוברים, אבל כל עוד אתם משקיעים בכך מרץ, אני מעריך את ההשקעה והתעוזה. בנקים בחו”ל נפגעים מזה מאד, ואני חושב שהם מקדישים פחות מאמץ לנושא.

    הגב
  2. אלי

    אם אתה משתמש בכתובת אלקטרונית אחת – אתה בבעיה.
    עקב האפשרות לפתוח חשבון דוא”ל חינם בכמה אתרים
    יש לי כתובת “עיקרית” לתכתובת עם בני משפחה וחברים.
    כתובת אחרת – לצרכי כניסה לפורומים שונים.
    זה מקטין את הסיכון.

    הגב
  3. Anonymous

    אתם כותבים שהבנק לא שולח מיילים, אז למה מיד בתחתית עמוד זה אתם מבקשים להכניס כתובת מייל תצורך קבלת עדכונים על תכנים חדשים בבלוג ,,,כלומר אתם כן תשלחו תכנים חדשיןם ותשלחו במיילים ללקוחות ?..

    הגב
    • מערכת הבלוג

      שלום לך,

      העדכון במייל בבלוג הזה מיועד לעדכונים תכניים בלבד. גולשים המעוניינים להתעדכן כל אימת שעולה תוכן חדש יוכלו להזין את כתובת המייל שלהם ולקבל התראה במייל על טור חדש בבלוג. לעדכונים האלה אין שום קשר לחשבון הבנק שלך ולא דורשים הזדהות או פרטים חסויים כלשהם.

      המיילים, אליהם התייחס מר מלאך, הם ניסיונות הונאה הדורשים מהלקוח את פרטי הגישה שלו בלאומי דיגיטל. מדובר בשני דברים שונים לחלוטין.

      הגב

שדות חובה מסומנים בכוכבית

תגובתך הועברה לצוות לאומי בלוג ותפורסם לאחר אישורה.

האם אתה מסכים?