הודעת SMS שנראית “מקורית” היא היום אחת המלכודות הכי מתוחכמות – ובעיקר הכי יומיומיות – שיש.
- binyxisrael
- לפני 5 ימים
- זמן קריאה 3 דקות
אנחנו רואים למעלה את שם השולח:
“הבנק”, “דואר ישראל”, “קופת חולים”, “BIT”, “רשות המיסים” – והמוח מיד נרגע:
אם זה מופיע באותו שרשור קיים, עם אותו שם – זה בטח אמיתי… נכון?
כאן בדיוק נכנסת ההונאה.
רן בר־זיק מסביר בפשטות שאחת מאשליות הביטחון הגדולות היא האמון בשם השולח. שם השולח ב-SMS קל מאוד לזיוף, ולא צריך להיות “האקר על” בשביל זה. מספיק לעבוד עם שירות דיוור שמאפשר לבחור כל שם שולח – והטלפון שלכם כבר יציג את ההודעה תחת אותו שם מוכר, באותו שרשור, כאילו הייתה הודעה רשמית.
מאחורי הקלעים יש מנגנון שנקרא Sender ID: במקום מספר טלפון רגיל, גוף גדול שולח הודעות עם שם – למשל “Clalit” או “BankXYZ”. המכשיר שלכם לא באמת בודק מי עומד מאחורי השם הזה. הוא פשוט מציג את מה שקיבל, ומאחד את כל ההודעות עם אותו שם לאותו שרשור.
הבעיה היא שהמערכת שמעבירה את ה-SMS לא בודקת אם מי שכתב “BankXYZ” הוא באמת הבנק, או נוכל אלמוני ששילם על שירות דיוור.
מה המשמעות בפועל?
· הודעה שנראית אחד לאחד כמו הודעה קודמת מהבנק שלכם – יכולה להיות מזויפת לגמרי.
· ההודעה תופיע באותו שרשור בדיוק, כך שהמוח מקבל תחושת המשכיות ואמינות.
· קישור שנראה “כמעט” כמו האתר הרשמי – מוביל לאתר מתחזה שנועד לגנוב סיסמאות, קודים ופרטי כרטיס אשראי.
תרחיש פשוט:
נוכל משיג רשימה של מספרי טלפון (לפעמים מדליפת מידע).
הוא נרשם לשירות הודעות, בוחר בתור שם השולח “DoarIsrael” או “BIT”, ושולח אלפי הודעות:
“יש בעיה בחשבון”, “חבילה ממתינה לך”, “נפתח נגדך תיק בהוצאה לפועל – לחץ כאן לעדכון”.
הקישור מוביל לאתר שמחקה את האתר האמיתי: לוגו, צבעים, עיצוב – הכל נראה מוכר. לעין לא מקצועית כמעט בלתי אפשרי להבדיל. ברגע שמקלידים שם משתמש, סיסמה, קוד חד־פעמי או פרטי כרטיס אשראי – המידע כולו זורם ישירות לנוכל.
חשוב להבין: גם אנשים שמבינים במחשבים יכולים ליפול בזה.
אנחנו רגילים לסמוך על “המסגרת”:
אותו שרשור, אותו שם, לוגו רשמי, ניסוח תקין. התוקפים עובדים על מספרים גדולים – שולחים לאלפים, ומספיק שאחוז קטן ילחץ.
מה עושים בפועל? כללים שמתאימים גם לחסרי ניסיון:
כלל ברזל: לא לוחצים על קישורים שמגיעים ב-SMS.
גם אם השם נראה מוכר, גם אם ההודעה מופיעה בשרשור ותיק, גם אם הלשון תקינה ומרגיעה.
תמיד נכנסים ידנית:
אם מדובר בבנק – פותחים את האפליקציה הרגילה או מקלידים את שם הבנק בגוגל ונכנסים מכאן.
אם מדובר בדואר – נכנסים ישירות לאתר או לאפליקציה הרשמיים, לא מהקישור בסמס.
לא מתקשרים למספר שמופיע בסמס:
אם מופיע מספר טלפון בהודעה, מתעלמים ממנו. מחפשים בעצמנו את מספר שירות הלקוחות באתר הרשמי או בגוגל.
כל הודעה מלחיצה – סימן לעצור, לא לרוץ:
“אם לא תאשר מיד החשבון ייחסם”, “תיק פלילי ייפתח נגדך”, “עיקול מיידי” – לחץ הוא כלי עבודה של נוכלים. כשהלחץ עולה, אנחנו פועלים בלי לחשוב. כאן צריך בדיוק את ההפך: להאט.
אם כבר לחצתם ומילאתם פרטים – לפעול מיד, בלי בושה:
להתקשר לבנק או לחברת האשראי, לבקש חסימה או ביטול.
להחליף סיסמאות לחשבונות רלוונטיים.
לעקוב אחרי תנועות חריגות בחשבון.
איך מסבירים את זה להורים, לסבא וסבתא, או לחברים שלא “מבינים במחשבים”?
אפשר להשתמש במשפט פשוט אחד:
“השם שמופיע למעלה בסמס – זה רק ציור על המסך. זה לא הוכחה לכלום”.
להבהיר להם בשפה יומיומית:
הטלפון שלך לא באמת יודע מי שלח את ההודעה. הוא רק כותב את השם שאמרו לו לכתוב.
גם אם הודעה חדשה מופיעה באותו שרשור יחד עם הודעות ישנות מהבנק/מהקופה – זה עדיין יכול להיות נוכל שהתחפש.
השורה התחתונה:
· SMS הוא ערוץ נוח, אבל הוא לא ערוץ אמין.
· שם יפה, לוגו מוכר וניסוח רשמי – לא מספיקים כדי לתת אמון.
· האצבע על הקישור חייבת להישאר חשדנית – במיוחד כשמדובר בכסף, בסיסמאות ובקודים.
מקורות להרחבה (רן בר־זיק):
זיוף שם השולח בסמס – הסבר מפורט ודוגמאות:
ניסיון פישינג חדש ואפקטיבי במיוחד – דוגמאות מהשטח:
דוגמה לפריצה לאתר עירייה שהוסב לאתר מתחזה ל-BIT:
תגובות