לדלג לתוכן

איך מזהים הודעת פישינג לפני שהיא תופסת אתכם

כולנו קיבלנו את זה. מייל "דחוף" מהבנק, הודעת SMS ש"החבילה שלכם תקועה", או וואטסאפ מ"רשות המסים" שדורש שתשלמו קנס עכשיו. ברוב המקרים אנחנו מזהים את זה מיד ומוחקים. אבל פעם אחת, ביום עמוס, כשאתם ממהרים - זה בדיוק הרגע שבו פישינג עובד.

אני כותב את זה כי ראיתי אנשים חכמים מאוד, כאלה שהייתי מצפה מהם לזהות את זה בקלות, נופלים בדיוק כי ההודעה הגיעה ברגע הלא נכון. פישינג לא תוקף את הידע שלכם, הוא תוקף את הרגע שבו אתם לא חושבים.

מה זה בכלל פישינג

פישינג זו הודעה - מייל, SMS, וואטסאפ, אפילו שיחת טלפון - שמתחזה לגורם שאתם סומכים עליו, כדי לגרום לכם לעשות משהו שפוגע בכם. בדרך כלל המטרה היא אחת מהשתיים: לגרום לכם ללחוץ על קישור ולהזין שם ופרטים (סיסמה, מספר כרטיס אשראי), או לגרום לכם להעביר כסף ישירות.

השם מגיע מ"דיג" - התוקף זורק פיתיון לכמה שיותר אנשים, ומחכה שמישהו יינשך.

הסימנים שכדאי לבדוק בכל הודעה חשודה

דחיפות מלאכותית. "החשבון שלך ייחסם תוך 24 שעות", "התשלום שלך נכשל, פעל עכשיו". תוקפים אוהבים ליצור לחץ זמן כי לחץ גורם לאנשים לדלג על חשיבה. ברגע שהודעה דוחפת אתכם להזדרז - זו נורה אדומה, לא סיבה למהר יותר.

כתובת השולח לא מסתדרת. לא מסתכלים רק על השם שמוצג, אלא על הכתובת המלאה. "בנק לאומי" יכול להופיע כשם תצוגה כשהכתובת האמיתית מאחוריו היא משהו כמו support@lnk-secure123.com. בסמארטפון לוחצים רגע ארוך על שם השולח כדי לראות את הכתובת המלאה.

קישורים שלא מובילים לאן שכתוב. לפני שלוחצים, במחשב אפשר להעביר עכבר מעל הקישור בלי ללחוץ ולראות למטה בדפדפן לאן הוא באמת מוביל. בסמארטפון - לחיצה ארוכה מציגה את הכתובת. אם כתוב "bank-leumi.co.il" אבל הקישור מוביל למשהו אחר לגמרי, זה פישינג.

בקשה למידע שהגורם האמיתי לא היה מבקש. בנקים לא מבקשים ממכם בהודעת טקסט להזין סיסמה מלאה או קוד אימות. רשויות ממשלתיות לא גובות קנסות דרך קישור בוואטסאפ. אם הבקשה מוזרה ביחס למה שאתם יודעים על הארגון - תעצרו.

שגיאות ניסוח ותרגום מוזר. לא תמיד, כי היום יש כלים שכותבים טקסט חלק מאוד, אבל עדיין - משפטים מתורגמים בצורה מוזרה או ניסוח לא טבעי בעברית הם סימן נפוץ.

לוגו שנראה כמעט נכון. תוקפים מעתיקים לוגואים אמיתיים, אבל לפעמים האיכות נמוכה, הצבעים קצת שונים, או הפורמט לא בדיוק כמו שאתם רגילים לראות מהחברה.

מה עושים כשמשהו נראה חשוד

הכלל הכי חשוב: אף פעם לא לוחצים על הקישור מתוך ההודעה כדי "לבדוק". במקום זה, פותחים דפדפן חדש ונכנסים לאתר של הבנק או החברה ישירות, כמו שהייתם עושים בדרך כלל. אם באמת יש בעיה בחשבון, היא תופיע שם.

אם ההודעה טוענת שהיא מגורם רשמי, אפשר להתקשר למספר השירות הרשמי (זה שאתם כבר מכירים, לא זה שמופיע בהודעה) ולשאול אם הם באמת שלחו את זה.

ואם כבר לחצתם על קישור והזנתם פרטים בטעות - אל תתביישו ואל תתעלמו מזה. משנים סיסמה מיד, בודקים תנועות בחשבון הבנק, ומדווחים לגורם הרלוונטי.

למה זה עובד גם על אנשים זהירים

פישינג מודרני לא נראה כמו מיילים המגוחכים מלפני עשר שנים עם שגיאות כתיב בולטות. יש היום קמפיינים ממוקדים, עם מידע אמיתי עליכם (שם, מקום עבודה, אפילו פרטים מרכישה אחרונה שדלפה בפריצה אחרת), שגורמים להודעה להיראות אמינה בצורה מטרידה. ככל שהמידע האישי עליכם שזמין באינטרנט גדול יותר, כך קל יותר לבנות הודעת פישינג משכנעת במיוחד.

זו בדיוק הסיבה שכדאי להתייחס לכל בקשה דחופה עם מעט חשדנות בריאה, גם אם היא נראית מדויקת.

אם הנושא הזה מסקרן אתכם

אם אחרי שקראתם את זה אתם מוצאים את עצמכם סקרנים לגבי איך תוקפים בונים את ההתקפות האלה מהצד השני - איך בוחרים מטרות, איך בונים אתר מזויף משכנע, איך עוקפים סינון - זה בדיוק התחום שנקרא הנדסה חברתית, והוא חלק מרכזי מעולם הפריצה האתית. יש לנו קורס פריצת אתרים חינמי שמלמד את זה ברצינות, מהיסודות ועד רמה מקצועית.

ובכל מקרה, אם יש לכם שאלות על הודעה חשודה שקיבלתם, או סתם בא לכם ללמוד עוד על אבטחת מידע - יש לנו קהילה פעילה שתשמח לעזור.

הצטרפו לקהילה בדיסקורד