עיקרי הכתבה:
- מכשירי טלפון חכם מכילים מידע רגיש על המשתמשים שלהם, בין אם אלו סיסמאות, פרטי כרטיס אשראי וחשבון בנק, תמונות והודעות פרטיות.
- האקרים מחפשים דרכים לסחוט או לגנוב כספים ממשתמשים תמימים באמצעות הודעות פישינג – הודעות הנשלחות בתפוצה רחבה, שבאמצעות התחזות לגורמים רשמיים מוציאות מהמשתמשים מידע רגיש.
- לינקים הנשלחים באמצעות הודעות פישינג, פרסומות ומודעות מסוגלים גם להדביק במכשיר האישי – מחשב או טלפון – וירוסים זדוניים שיאפשרו לפרוץ אליו.
________________________________________________
למה פורצים טלפונים?
במאה ה-21 מידע שווה לכסף. כפי שאמר בעבר טים קוק, מנכ״ל אפל: ״אם אתה לא משלם על המוצר, כנראה שאתה המוצר״. כמו שמספר הטלפון האישי שלנו הופך להיות סחורה בידי מפרסמים למיניהם שמעוניינים לשלוח לנו הודעות, גם המידע האישי ביותר שלנו הופך להיות נכס שיש מי שישלמו עליו הרבה. זה עובד במקרה של גוגל ופייסבוק שמציעות את השירות שלהן בחינם למשתמשיהן אך מרוויחות סכומי עתק כאשר הן מוכרות פרסומות המבוססות על המידע שצברו על אותם משתמשים.
באותה מידה ניתן להתייחס לאינפורמציה שנאספת בטלפון של כל אחד מאיתנו. חישבו על הטלפון הנייד שלכם – לא משנה איזו יצרנית בחרתם, בכל טלפון חכם כיום יש כמות דאטה (מידע) עצומה, החל מתמונות, היסטוריית הגלישה, הודעות פרטיות ועד סיסמאות ופרטי כרטיסי אשראי. כל אלה הם נכסים בפני עצמם, ובין אם הפורץ המיומן מעוניין לגנוב או לסחוט מכם כסף או מידע - פריצה לטלפון שלכם היא הדרך הבטוחה להשיג את שניהם.
האקרים מנסים לדוג ברשתם את המידע האישי או הפיננסי שלכם באמצעות הודעות בתפוצה רחבה שמכילות קישור שיוביל למילוי פרטים רגישים או לינק
אילו שיטות קיימות לפריצת טלפונים ניידים?
מתקפת דיוג (פישינג, phising) היא המתקפה היעילה ביותר על מנת להשיג מידע רגיש מרחוק. פישינג יכול להגיע כפנייה באימייל, באסמס או בשיחת טלפון ולייצר עליכם לחץ למסור פרטים, בדרך כלל תוך כדי התחזות לגורם לגיטימי. על פי מערך הסייבר הלאומי, בשנת 2021 חלה עלייה בנסיונות ובמוקד 119 של המערך התקבלו כ-2,500 דיווחים בנושא.
לרוב, הודעת פישינג תתקבל בתפוצה רחבה על ידי גורם זדוני שמסווה עצמו לגורם אמין, ומכאן שמו של המונח, מהמילה Fishing/ דיג באנגלית, מאחר שההאקר פועל בדומה לאופן שבו מטיל הדייג את רשתו או את הפתיון. האקרים מנסים לדוג ברשתם את המידע האישי או הפיננסי שלכם באמצעות הודעות בתפוצה רחבה שמכילות קישור שיוביל למילוי פרטים רגישים או לינק שיאפשר לשולח ההודעה השתלטות על הטלפון באמצעות תוכנה זדונית. סוגי הפישינג הקיימים:
דיוג ממוקד (Spear Phishing)– פנייה ממוקדת לאדם ספציפי או לקבוצה מסוימת. תקיפה זו נעשית לאחר איסוף מידע על הגורם המותקף, בנוגע לתפקידו בארגון או בחברה שבה הוא עובד, או על תחומי העניין שלו על מנת להפוך את הפנייה למשכנעת במיוחד. למשל, הודעה ממנהל שמאשר לבצע עסקת תשלום לחברה שיש עימה קשר עסקי, או הודעה מחברה שאנו משתמשים בשירותיה, כמו מינוי סטרימינג או חברת תשלומים, המבקשת לחדש את המנוי או את סיסמת המשתמש.
סמישינג (Smishing) – התוקף שולח הודעה באמצעות SMS או כל אפליקציה אחרת להעברת מסרים כמו ווטסאפ, iMessage, טלגרם וכו׳. ההודעה תכיל לרוב קישור זדוני שהלחיצה עליו תאפשר גישה למכשיר או שתוביל לדף נחיתה עם דרישה להזין פרטים אישיים ורגישים. בארץ, אחת הודעות הפישינג הנפוצות היא הודעה מגורם זדוני המתחזה להיות שירות דואר לגיטימי ודורש תשלום עבור שחרור ממכס.
הודעות באימייל – בהודעה בדואר אלקטרוני, המטרה היא להניע ללחיצה על קישור או הורדת קובץ, שיובילו לפתיחת תוכנה שתאפשר להאקר גישה למכשיר הטלפון, או לקישור עם דף נחיתה מתחזה.
שיחת טלפון (Voice Phishing) – בשיטה זו ההאקר מתחזה לגורם לגיטימי ובאמצעות שיחת טלפון מבקש לבצע פעולות כמו מסירת פרטים אישיים, פרטי התחברות או פרטים פיננסיים. לדוגמה: טלפון מחברת האשראי שמודיעה על עיסקה חריגה, שעל מנת לבטלה יש להעביר למוקדן פרטי כרטיס אשראי.
מודעות קופצות ופרסומות – ברשתות או בגלישה באינטרנט בכלל קופצות הרבה פרסומות ומודעות מפתות, כמו פרסום להגרלות עם פרס או לשירותים בחינם. לחיצה על מודעות אלו עלולה להוביל לאתר מתחזה המבקש פרטים אישיים, להורדה של קובץ זדוני למכשיר, כמו וירוס או תוכנה שמאפשרת להאקר שליטה על המכשיר.
רשתות חברתיות – האקרים מתחזים למשתמשים לגיטימיים, אנשים אמיתיים, ברשתות החברתיות, ודולים מידע במרמה. בפרופילים מזויפים ומתחזים תהיה בדרך כלל רשימת חברים קטנה, מעט תמונות וציר זמן ללא פעילות רבה.
האקר יכול לעשות שימוש במידע על גבי המכשיר שלכם כדי להתחזות אליכם וליצור פרופילים מזויפים ברשתות שיהוו כלי להונאת גולשים תמימים
את מי מעניין מה יש לי בטלפון? לי זה לא יקרה
נפילה למלכודת פישינג יכולה לקרות לכל אחד, והמשמעות של כך היא לא רק גניבת המידע שקיים על גבי המכשיר אלא גם העברת סכומי כסף רבים במרמה, השגת מידע על החברה שבה אתם עובדים, נזק למכשיר הטלפון על ידי תוכנה זדונית, גניבת תמונות רגישות והפצתן, וסחיטת כסף באיומים באמצעות הודעות רגישות. בנוסף, ההאקר יכול לעשות שימוש במידע על גבי המכשיר שלכם כדי להתחזות אליכם וליצור פרופילים מזויפים ברשתות שיהוו כלי להונאת גולשים תמימים שיחשבו כי האדם שמולם הוא אדם לגיטימי.
איך למגן את המידע שנמצא בנייד? טיפים לזיהוי הודעות פישינג
כתובת השולח – הודעות מגופים וארגונים רשמיות יגיעו לרוב מאותה כתובת דואר אלקטרוני. תכסיסים מוכרים הם לייצר שגיאות מכוונות ומבלבלות בשם השולח, כמו למשל היפוך של Israel Post, וכתיבת Postisrael, או סיקול אותיות קטן בתוך המילה: Microsoft שהופך ל-rnicrosoft ונראה דומה, בעיקר לעין לא מיומנת. ברוב המקרים, הכתובת תהיה אפילו שונה לחלוטין ותעזור להוות אינדיקציה כי ההודעה היא אכן הודעת פישינג.
בצעו בדיקה באתר המקורי - אם מגיעה אליכם הודעה שדורשת אימות פרטים או שינוי סיסמה, קודם כל גשו לאתר המקורי של הגוף, הארגון או השירות, בצעו התחברות למשתמש שלכם ואז בדקו האם נמנעת מכם גישה או האם מתקבלת הודעה דומה באתר כמו בדואר האלקטרוני. אם התחברתם והכל בסדר, ככל הנראה שקיבלתם הודעת פישינג.
תחושת דחיפות – אם ההודעה שנשלחה אליכם קוראת לכם לבצע פעולות בדחיפות, קיים חשד סביר שזו הודעת הונאה. זוהי טכניקה נפוצה שנועדה לגרום לכם לפעול תחת לחץ.
כתובת האתר – כמו בכתובות דואר אלקטרוני, גם בכתובת אתר עלול להופיע שיבוש מילים וסיקול אותיות.
בנוסף, קישורים מקוצרים משמשים גם כוונות זדוניות אך גם שירותים וחברות לגיטימיות, לכן במידה שאתם חושדים בהודעת פישינג, ניתן להעתיק את הקישור ולהכניס אותו לתוך אתרים ייעודיים שיעזרו לזהות אתרים זדוניים. אם אתם גולשים מהמחשב, ניתן לרחף מעל הקישור ולראות בתחתית הדפדפן את הקישור האמיתי.
כמו כן, שימו לב שכתובת האתר מתחילה ב-https, ה-S מצביע על כך שהאתר שאתם גולשים בו הוא מאובטח (Secure). עם זאת, קיימות מתקפות פישינג שעושות שימוש בכתובות מאובטחות.
ניסוחים לקויים – הודעות פישינג רבות מציגות ניסוחים לקויים: ״החבילה שלך ממתינה למשלוח, עלינו לאשר את התשלום״ וכן מידע מינימלי לגבי הבקשה.
הצעה מפתה – הגרלות והנחות למיניהן שנשמעות בלתי סבירות הן בדרך כלל מזויפות וידרשו מכם מסירת פרטים רגישים ו/או פיננסיים.
פרטים אישיים – אל תמהרו לספק פרטים אישיים שלא מיוזמתכם – רק אם אתם נרשמים לשירות אינטרנטי או אפליקציה מוכרת או רוכשים מוצר באינטרנט.
אם אינכם בטוחים אם פרצו לכם למכשיר, היעזרו ודווחו למרכז הארצי לניהול אירועי סייבר
איך להימנע מפריצות לטלפון?
אימות דו שלבי – הגדרת אימות דו שלבי בכל חשבון שמאפשר זאת ימנע מהאקרים לפרוץ לחשבון שלכם, אם ברשותו אחד משני דברים: פרטים אישיים או שליטה על הטלפון.
הורידו אפליקציות מחנויות רשמיות – מומלץ להוריד כל אפליקציה רק דרך Appstore, google play.
סינון ספאם – חסמו וסננו כספאם הודעות שזיהיתם כהודעות פישינג. כך, הן מראש לא יגיעו אל הנייד או לדואר האלקטרוני שלכם.
סיסמאות חזקות ומגוונות – האקר שישיג את סיסמתכם לאתר אחד לא יוכל לפרוץ לשאר המשתמשים באתרים ובשירותים השונים שלכם אם תגדירו סיסמה שונה לכל משתמש.
התקינו אפליקציית אנטי וירוס מאומתת ואמינה – אל תוותרו על כלי ההגנה הזה. יש לו חשיבות רבה.
מה לעשות אם פרצו לכם טלפון או נפלתם בהודעת פישינג?
במקרה שבו הבנתם רק בדיעבד שנפלתם למלכודת של הודעת פישינג, מומלץ:
להחליף סיסמאות – החליפו את כל הסיסמאות, במיוחד אלו שחוזרות על זו שמסרתם למלכודת הפישינג.
לעדכן את הבנק ולחסום כרטיס אשראי – אם מסרתם פרטי אשראי או שיש בכם חשד כי הם זמינים להאקר באמצעות המכשיר, עדכנו את הבנק על המתרחש וחיסמו את כרטיסי האשראי.
להריץ את אפליקציית האנטי וירוס – ייתכן שהיא מספיק חזקה על מנת לחסום את הגורם הזדוני.
למחוק אפליקציות חשודות ולא מזוהות – לעתים אפליקציות שהורדתם, או שהורדו על ידי הפורץ, עלולות לגרום לנזק מירבי ולמשוך מידע מהמכשיר.
לפרמט את המכשיר - תאלצו לפרמט את המכשיר על מנת למחוק את כל הקבצים שעל גביו, כולל את הוירוס או התוכנה הזדונית:
באנדרואיד: הגדרות – ניהול כללי – איפוס – איפוס לנתוני היצרן.
באייפון: הגדרות – כללי – איפוס – מחק את כל התוכן וההגדרות.
לדווח למרכז הארצי לניהול אירועי סייבר - אם אינכם בטוחים אם פרצו לכם למכשיר, היעזרו ודווחו למרכז הארצי לניהול אירועי סייבר של מערך הסייבר הלאומי בחיוג ישיר 119.
שאלות ותשובות על פריצות טלפון
איך יודעים אם פרצו לי לטלפון?
הסימנים הנפוצים ביותר שמצביעים על מכשיר טלפון פרוץ הם זינוק בהיקפי השימוש בחבילת האינטרנט, התרוקנות מהירה של הסוללה, כיבוי והדלקה של ה-GPS, ה-Bluetooth או האינטרנט באופן עצמאי, פרסומות אקראיות, שיחות והודעות לא מוכרות, וכן אפליקציות לא מוכרות על גבי המכשיר.
איך יודעים אם ההודעה אמיתית?
הודעה מגורם אמין ולגיטימי תגיע מאותה כתובת דואר אלקטרוני או מספר טלפון שמוכרים לכם מהעבר. שימו לב לניסוח לקוי, כתובת משובשת, יצירת תחושת דחיפות, מילוי פרטים רגישים שלא לצורך, הצעות מפתות ולא סבירות, והודעה עם מידע חסר ושגוי.
למה שירצו לפרוץ למחשב או לנייד שלי?
בכל טלפון חכם או מחשב אישי כיום יש כמות דאטה (מידע) עצומה, החל מתמונות, היסטוריית הגלישה, הודעות פרטיות ועד סיסמאות ופרטי כרטיסי אשראי. כל אלה הם נכסים בפני עצמם, בין אם הפורץ המיומן מעוניין לגנוב או לסחוט מכם כסף או מידע. פריצה לטלפון או למחשב שלכם היא הדרך הבטוחה להשיג את המידע הזה.