אייל אסרף

כך תזהו בקלות ניסיונות הונאה שעדיין לא שמעתם עליהם

אייל אסרף
התקשרו אליכם מחברה מסוימת בשביל לאמת פרטים אישיים? ביקשו מכם את פרטי כרטיס האשראי או מידע על חשבון הבנק? ייתכן ומישהו מנסה לקחת מכם מידע לצורכי הונאה. הנה מספר דרכים לזהות פעילות כזו ולהתגונן מפניה

אבטחת המידע נועדה לשמור עלינו ועל מידע רגיש שלנו,  אבל ההתקדמות הטכנולוגית מביאה עימה גם מגוון של  דרכים יצירתיות לפגוע בנו מצד האנשים שרוצים לבצע הונאות. השיטות הנפוצות ביותר הן ה- "פישינג" וה- "וישינג". החדשות הטובות הן, שיש מה לעשות נגדן.

לפני הכל צריך להכיר את המושג: "הנדסה חברתית" 

הנדסה חברתית (Social Engineering) היא מושג הלקוח מתחום אבטחת המידע והיא כוללת בתוכה טכניקות רבות לניצול "תמימותם" של אנשים, טוב ליבם ותכונות פסיכולוגיות אנושיות, לטובת ביצוע הונאות וקבלת מידע רגיש מהקורבן. התוקף, באמצעות התחזות ושכנוע, גורם לקורבן לשתף פעולה מרצונו ולמסור לו את מבוקשו. לרוב התוקף יישמע מכובד או בעל קסם אישי, כריזמה וסמכותיות, ויציג מצב המעורר אמפתיה על מנת שלקורבן יהיה "קל" יותר למסור את המידע המבוקש.

ישנן טכניקות רבות לביצוע התקפות מסוג הנדסה חברתית, והן יכולות להיות בערוצים שונים: במייל, בטלפון, פנים מול פנים, במסרוני טקסט בנייד ועוד.

 

 

 הונאת וישינג1

מכאן הכל מתחיל: "פישינג" ו-"וישינג"

פישינג, או 'דיוג' בעברית, היא טכניקה של הנדסה חברתית, בה תוקף זדוני מנסה לדלות (לדוג) מכם מידע רגיש, לרוב באמצעות תכתובות דואר אלקטרוני מזויפות ואתרי אינטרנט המתחזים לאתרים מקוריים.

וישינג היא מתקפה הדומה לפישינג, אך היא מתבצעת באמצעות שיחה טלפונית או פניה ישירה אחרת. התוקף מתחזה לגורם לגיטימי, שיוצר התקשרות טלפונית על מנת לתת או לקבל שירות, אך בעצם הוא מנסה לדלות מכם מידע רגיש. במקרים רבים, התוקף מתחזה לנותן שירות המתקשר ללקוח ומבקש ממנו לאמת פרטים אישיים כגון שם מלא, מספר תעודת זהות וכתובת, וכן לאמת את פרטי כרטיס האשראי (מספר, תוקף ו-3 ספרות בגב הכרטיס). עם זאת, ייתכן אף מצב בו התוקף יתחזה ללקוח וינסה להערים על נותן השירות.

 

הונאת וישינג2

להלן דוגמה לוישינג:

"שלום, משה? מדברים ממחלקת שירות הלקוחות של הבנק שלך. אני מצטערת לבשר לך כי התגלתה אפשרות להונאה בחשבונך, והחשבון שלך חויב  בסכום כסף שלא היה אמור להיות מחויב.

.אבל אין לך מה לדאוג.  אנחנו עושים את כל המאמצים על מנת  לעלות על עקבותיו של מי שביצע את ההונאה.  כמובן שהכסף שלך יוחזר  לחשבונך במלואו.  לשם כך רק ארצה לוודא איתך מספר פרטים לפני כן…"

נשמע לכם כמו מצב לגיטימי שיכול לקרות? האם הייתם משתפים פעולה בצב זה?

אז מה עושים במקרים אלו?

  • היו חשדניים, במיוחד כאשר גורם כלשהו פונה אליכם בפעם הראשונה.
  • היו מודעים לתחושת דחיפות שנוצרת אצלכם, הניפו דגל אדום כשזה קורה ואל תיכנסו ללחץ, שכן זה בדיוק מה שהתוקף מנסה להשיג.
  • הימנעו משיתוף מידע רגיש בדרכים לא שגרתיות (מתי הבנק התקשר ושאל אתכם על פרטי כרטיס האשראי שלכם, הוא הרי אמור לדעת אותם לא?).
  • קיבלתם שיחה מגורם שמציג עצמו כבנק לאומי? וודאו שאכן הוא מהבנק, אם יש לכם ספק, אל תמסרו פרטים אישיים שאמורים להיות ידועים לו, נתקו את השיחה ופנו בעצמכם לאחד ממספרי הטלפון הרשמיים של הבנק (5522* מכל טלפון או 03-9545522).

 

 

הכותב, אייל אסרף, הינו הממונה על אבטחת מידע בבנק לאומי

שדות חובה מסומנים בכוכבית

תגובתך הועברה לצוות לאומי בלוג ותפורסם לאחר אישורה.

האם אתה מסכים?