בנק ישראל מזהיר: מנסים לגנוב לכם את הכסף ב"פישינג" - כך תתגוננו

"בשבועות האחרונים בוצעו ניסיונות גניבת פרטים אישיים של לקוחות תוך התחזות לחברת PayPal המשמשת בין היתר לבצע תשלומים על רכישות באינטרנט, בארץ ובעולם" - כך אומרים היום בבנק ישראל.

בבנק הוסיפו כי "במחצית השנה האחרונה אנו עדים להתגברות ניסיונות של הונאות מסוג פישינג (דיוג-Phishing) כנגד לקוחות המערכת הבנקאית, במטרה לגנוב כספים מחשבונותיהם". הגורם העוין (התוקף) מנסה בשלב ראשון לגנוב פרטי זיהוי של הלקוח, המשמשים לכניסה לחשבונו באתר האינטרנט של הבנק או באתרים של חברות תשלומים, ובדרך כלל גם פרטים אישיים נוספים כמו פרטי כרטיס אשראי של הלקוח. באמצעות פרטים אלו מנסה התוקף להעביר כספים מחשבונו של הלקוח לחשבון אחר ממנו יכול התוקף למשוך את הכספים, ו/או לבצע עסקאות בבתי עסק".

בניסיונות האחרונים שאירעו, דפוס הפעולה של התוקף כלל שליחת דוא"ל באנגלית או בעברית למספר גדול מאד של אנשים פרטיים, בתקווה שכמה מהם יחשבו שמדובר במייל לגיטימי מחברת PayPal ולכן יספקו את הפרטים שיאפשרו לתוקף לבצע את ההונאה.

בהודעת הדוא"ל "מסבירים" ללקוח שלטובתו, עליו להזין את הפרטים האישיים, היות שקיים חשש שגורם זר עשה שימוש בכרטיס האשראי שלו. הלקוח מתבקש להקיש על צרופה, שמעבירה אותו לדף שמתחזה מבחינה ויזואלית לאתר החברה ובו הוא מתבקש לספק את הפרטים: קוד זיהוי לאתר האינטרנט של הבנק וסיסמא, מספר חשבון, סיסמת הלקוח בחברת PayPal, תעודת זהות, שם פרטי ושם משפחה, כתובת פיסית, תאריך לידה, שם האם לפני נישואין, מספר טלפון, מספר כרטיס אשראי, תוקף, ואת שלוש הספרות האחרונות בגב הכרטיס.

בניסיונות הונאה אלו הצליחו התוקפים לגרום לבנקים נזק כספי מזערי בהיקף של כמה עשרות אלפי שקלים ולא נגרם נזק ללקוחות.

בבנק ישראל הוסיפו מספר המלצות כיצד על הלקוחות לפעול לצמצום הסיכונים וכיצד הם יכולים לזהות ניסיונות פישינג:

אין למסור בשום מקרה אמצעי זיהוי ופרטים אישיים אחרים, גם אם הנימוקים נראים משכנעים (כגון: הצורך לעדכן פרטי הלקוח במערכת לשיפור השירות, שדרוג אמצעי אבטחה לטובת הלקוח, וכד'). הבנק או חברות כמו PayPal לעולם לא יבקשו באמצעות הדוא"ל שהלקוח יזין פרטים אלו. בקשה לעדכון פרטים נעשית רק לאחר תהליך זיהוי לקוח, לדוגמא, באמצעות אתר הבנק או החברה.

יש לוודא שכתובת השולח מוכרת ללקוח (לדוגמא, חברה שהלקוח מנוי בה) ולבדוק שהכתובת מדויקת (לדוגמא, שכתובת PayPal כתובה נכון ולא עם שגיאה אפילו מינורית כדוגמת תוספת או החלפת אות).

יש לבדוק את תוכן ההודעה, האם הוא כללי (לדוגמא, נוסח "לקוח יקר" ללא פרטי הלקוח אמור להעלות חשד) והאם הוא בשפה עברית כאשר מדובר בבנק בישראל או בחברה מקומית, האם הנוסח תיקני והולם וללא שגיאות ניסוח ו/או שגיאות כתיב. דוא"ל בשפה עילגת או בשפה שונה מזו שבה החברה או השירות נוהג להתכתב עם הלקוח, ייחשב כחשוד.

יש לבדוק ככל שניתן את כתובת הקישור, לוודא שהיא מוכרת ללקוח וכתובה נכון. בקישור שהתקבל במייל ניתן לבדוק גם ע"י עמידה עם העכבר על הקישור וצפייה בכתובת היעד.

יש לשים לב גם להודעות סמס או וואטסאפ שמתקבלות במכשיר הטלפון הנייד עם קישור לאתרים וכמובן להודעות דוא"ל, סמס או וואטסאפ חשודות שמתקבלות לכאורה מבנק או מחברת כרטיסי אשראי.

מומלץ להתקין תוכנות הגנה במחשב האישי ובמכשיר הטלפון הנייד וכן להקפיד על עדכניות מערכת ההפעלה.

אם ללקוח יש ספק, הרי שאין ספק ומוטב לא להיענות להודעה או ללחוץ על הקישור לפני בדיקה מול הבנק או החברה הרלוונטיים.

'בחדרי' גם ברשתות החברתיות - הצטרפו!