לדלג לתוכן

איך בודקים אם אתר בטוח לפני שמזינים פרטים

עומדים להזין פרטי כרטיס אשראי באתר קניות, או סיסמה באתר שירות כלשהו, ומשהו בתחושת הבטן אומר לעצור לשנייה ולבדוק. זו בדיוק האינסטינקט הנכון. הנה רשימת בדיקות פשוטות וקצרות שנותנות תמונה אמינה על מידת הבטיחות של אתר, לפני שמכניסים משהו רגיש.

המנעול (HTTPS) הוא רק ההתחלה, לא הסוף

הרבה אנשים למדו לבדוק שיש מנעול קטן ליד כתובת האתר, שמסמן חיבור מוצפן (HTTPS). זו בדיקה חשובה, אבל היא בודקת רק דבר אחד - שהתקשורת בין הדפדפן שלכם לאתר מוצפנת, כך שמישהו שמאזין לרשת לא יכול לקרוא את מה שאתם שולחים. היא לא אומרת כלום על האם האתר עצמו לגיטימי.

קבלת אישור HTTPS זול, ולפעמים חינמי לגמרי, וגם אתרי הונאה יודעים להשתמש בו כבר שנים. אתר מזויף עם מנעול תקין הוא תופעה נפוצה מאוד, אז מנעול לבדו לא מספיק כדי לסמוך על אתר.

בודקים את הכתובת עצמה בעיון

אחרי שהמנעול מאושר, קוראים את שם הדומיין בעצמו במדויק. תוקפים אוהבים לרשום כתובות דומות מאוד לאתרים מוכרים - החלפת אות, הוספת מילה, סיומת שונה. bank-leumi-online.com נראה מוכר במבט חטוף, אבל הוא לא הדומיין הרשמי של שום בנק. קוראים את כל הכתובת, לא רק את החלק שנראה מוכר.

מחפשים את שם החברה בגוגל, בנפרד מהאתר

לפני שמזינים פרטים באתר לא מוכר, פותחים כרטיסייה נפרדת וכתבים שם החברה, בתוספת מילה כמו "תלונות" או "ביקורות". אם עולה גל של תלונות על אי קבלת מוצר, חיובים כפולים, או שירות לקוחות שלא עונה - יש לכם תשובה תוך פחות מדקה.

בודקים אם יש פרטי יצירת קשר אמיתיים

אתר מסחר לגיטימי כמעט תמיד כולל כתובת פיזית, מספר טלפון עובד, ופרטי חברה רשמיים (בישראל, לעיתים גם מספר עוסק או ח.פ). עמוד "צור קשר" שמכיל רק טופס בלי שום פרט מזהה נוסף הוא סימן מחשיד, במיוחד באתר שדורש תשלום מראש.

בודקים גיל דומיין במקרים חשודים

לאתרים חדשים ולא מוכרים אפשר לבדוק בכלי WHOIS חינמי (מחפשים "whois lookup" בגוגל) מתי הדומיין נרשם. אתר שנרשם לפני שבועיים ומציע מוצרים במחיר חלום הוא שילוב שמחשיד במיוחד. אתר ותיק לא מבטיח כלום בפני עצמו, אבל אתר חדש מאוד כן מצדיק זהירות נוספת.

שמים לב לאמצעי התשלום המוצעים

אתר מסחר לגיטימי כמעט תמיד מציע תשלום בכרטיס אשראי, כי חברות האשראי דורשות סטנדרטים מסוימים מהעסק ומספקות לצרכן אפשרות לערער על עסקה. אתר שדורש רק העברה בנקאית ישירה או תשלום בקריפטו, בלי אפשרות כרטיס אשראי בכלל, הוא דגל אדום משמעותי.

שמים לב ללחץ ולדחיפות מלאכותית

שעון ספירה לאחור שמתאפס כשמרעננים את הדף, הודעה ש"נשארו רק 2 יחידות במלאי", התראה קופצת ש"מישהו אחר קונה את זה ממש עכשיו" - כל אלה טריקים פסיכולוגיים שנועדו למנוע מכם לעצור ולבדוק. אתר בטוח לא צריך להפעיל עליכם לחץ כזה כדי שתקנו ממנו.

מתייחסים אחרת לאתר שכבר מכירים לעומת אתר חדש

אם מדובר באתר שאתם כבר לקוחות ותיקים שלו, ואתם פשוט מבצעים רכישה רגילה, רוב הבדיקות האלה לא נדרשות בכל פעם. הזהירות המוגברת רלוונטית בעיקר לאתרים חדשים, לא מוכרים, או כאלה שהגעתם אליהם דרך פרסומת או קישור בהודעה, ולא דרך חיפוש יזום או ביקור חוזר.

מה עושים אם כבר הזנתם פרטים ומשהו מרגיש לא בסדר

מתקשרים מיד לחברת האשראי לדיווח על חשד להונאה, ואם הוזנה סיסמה שמשמשת גם במקומות אחרים, משנים אותה בכל מקום שהיא בשימוש.

המסקנה

בדיקה אמינה לוקחת פחות מדקה - הצצה בכתובת, חיפוש מהיר בגוגל, ובדיקת אמצעי התשלום. זה לא הרבה זמן ביחס לנזק שהוא חוסך, ואחרי כמה פעמים זה הופך להרגל טבעי לגמרי.

אם הנושא הזה מסקרן אתכם

אם אתם סקרנים איך בדיוק בונים אתר מסחר מזויף משכנע, ואיך מזהים חולשות כאלה ברמה מקצועית, זה חלק מרכזי בעולם פריצת האתרים וההנדסה החברתית. יש לנו קורס פריצת אתרים חינמי שנוגע גם בזה לעומק.

ואם נתקלתם באתר שנראה לכם חשוד ובא לכם חוות דעת שנייה - הקהילה שלנו כאן בשבילכם.

הצטרפו לקהילה בדיסקורד