מה לעשות במקרה של פישינג ואיך להגן על עצמך
חשבת שזה מייל מהבנק? חמוד. מה לעשות כשנופלים בפישינג (וזה קורה לכולם)
רגע, זה באמת מייל מהבנק או עוד נוכל משועמם בפיג'מה?
ככה זה מתחיל – הודעה תמימה שנראית כאילו נכתבה על ידי מחלקת אבטחת המידע של הבנק שלך, רק שבמקום שם הבנק כתוב "וואלה מוני" ובקישור מופיעה כתובת ברוסית עם ארבעה Xים בסוף. ואתה בכל זאת לוחץ, מה כבר יכול להיות? אולי יש בעיה בתשלום של החשבונית לחברת החשמל ואתה לא רוצה לשבת שוב בשירות לקוחות עם סימני חיים אחרונים.
ובכן, ברוך הבא לעולם הנפלא של פישינג – אותו תעלול אינטרנטי שבו גורמים לך לחשוב שהם מישהו שהם לא, כדי שתיתן להם מה שהם מאוד רוצים – מידע אישי, סיסמאות, ואפילו פרטים של כרטיס אשראי, כי למה לא בעצם?
אז מה זה בכלל פישינג ולמה אנחנו עדיין נופלים בזה?
פישינג (Phishing), או בשמו המלא: וו חכה עם בוטוקס למייל שלך, הוא ניסיון הונאה שבו גורם זדוני (או כמו שסבתא שלך הייתה אומרת – פושע קטן עם לפטופ) מנסה לגרום לך לספק מידע רגיש על ידי התחזות לגורם מהימן.
ולמה זה מצליח כל כך?
- כי אנחנו אנשים לחוצים. נתקלת בהודעה ש"חשבונך ייחסם תוך 24 שעות"? ישר הלכת לגוגל להקליד כמו דני – "איך לבטל השעיה של חשבון ביט."
- כי הקמפיינים נראים לגיטימיים. הגרפיקה מושקעת, הלוגו נראה אותנטי, ואפילו העברית כבר לא נשמעת כמו תרגום של שיר ביונסה מסינית לעברית על ידי בינה מלאכותית מחומצנת.
- כי נמאס לך מהעולם הזה, ואתה אומר יאללה, שיהיה – אולי באמת שלחו לי כסף.
נפלת בפישינג – לא שופט אותך. אבל עכשיו תתעורר!
אז לחצת. מילאת. שלחת. ועכשיו אתה מרגיש כמו מישהו שפתח קובץ וורד משנת 2004 וזה הקפיץ לו מלווים רוסים הביתה. אין בעיה – כל עוד אתה מתעורר עכשיו.
5 צעדים קריטיים – כן, מייד עכשיו!
- שנה את כל הסיסמאות. כן, גם זו של האינסטגרם שאתה לא משתמש בו מאז הבר מצווה של האחיין.
- הפעל אימות דו-שלבי בכל שירות אפשרי – זה מה שמרוויחים על כל לילה לבן שאתה לא ישן בגללם.
- סרוק את המכשיר שלך עם תוכנת אנטי-וירוס עדכנית. לא, לא זו שהתקנת ב־2015 ונעלמה יחד עם הווינדוס.
- פנה לבנק, לחברת האשראי, לשירות הרלוונטי ודווח להם לפני שהנבל מסיים לקנות עגלת טלוויזיות באמזון רוסיה.
- דווח על האירוע גם לרשות הסייבר הלאומית – הם אולי לא תמיד עונים, אבל לפחות תרגיש שעשית משהו.
אבל איך יודעים שזה פישינג לפני שמאוחר מדי? הנה כמה סימנים מסריחים
- כתובת המייל נראית כאילו מישהו הקיא על המקלדת? נגיד: suppport@1-bank-info-now.ru? סימן ראשון לחשוד.
- לחץ עכשיו או..!! כל ניסוח שנשמע כאילו תלוי בחיים שלך – זה טריגר קלאסי ללחץ ולתגובות לא שקולות.
- מייל בעברית של גוגל טרנסלייט? "לחץ לאיפוס הססמה ואנחנו להבטיח מדיניות פרטיות מלאה מהמובטחים." משהו פה קרה בדרך לפועֵל.
- קישור מוזר כשרחפת עליו? תן מבט בכתובת האמיתית. אם זה לא מתחיל ב-https ואתה לא מצליח לבטא את ה-URL בלי להחנק – תכבה את זה.
שאלות שצריך לשאול את עצמך לפני שאתה לוחץ
קצר וקולע: אל תענה לעצמך תשובות. אם אתה עונה "אולי", "לא בטוח", "נראה לי" – אז אל תלחץ.
- האם אני באמת מצפה להודעה כזו?
- האם זו הדרך שבה השירות הזה לרוב פונה אליי?
- האם הם פנו אליי בשם פרטי?
- למה הם מבקשים ממני מידע אישי במייל?
- האם אני מרגיש לחץ או איום? (רמז: זה תמיד חשוד!)
- האם אני שיכור? עייף? רעב? (אלו מצבים קלאסיים ללחיצת יתר)
רגע, אולי כבר נפרצו לי החיים ואתה לא יודע?
קודם כל – תנשום. עכשיו כנס ללוח הבקרה של הדוא"ל שלך ובדוק אם נוספו חוקים אוטומטיים. עברו הודעות החוצה מעצמן? מישהו שינה את אימות הדו-שלבי? סימן שמישהו רוקד אצלך בתיבת הדואר כמו באפריקה בום בום.
כדאי גם לגשת לשירות Have I Been Pwned ולהזין את כתובת המייל שלך. האתר הזה בודק אם הפרטים שלך דלפו היכנשהו בעולם הפריצות. אם כן – זה הזמן לעדכן כל סיסמה שקשורה אליך.
שאלות נפוצות: כן, גם אתם שאלתם את זה בגוגל
שאלה 1: לחצתי על הקישור אבל לא הזנתי פרטים. קרה משהו?
סביר שלא. אבל למען השקט הנפשי – בצע סריקה למחשב ושקול להחליף סיסמאות בסיסיות.
שאלה 2: מילאתי פרטים של כרטיס האשראי. אני צריך לבטל אותו?
חד משמעית כן. ועוד אתמול.
שאלה 3: קיבלתי מייל עם איום – זה גם פישינג?
לפעמים כן. במיוחד אם מדובר באיומים כמו "שלחנו לך וידאו שלך במצלמת הרשת" (כשאין לך מצלמת רשת…).
שאלה 4: איך אני יכול ללמד את ההורים שלי לא ליפול בזה?
הכי טוב עם הדרכה קצרה, וסדרת דוגמאות של פישינג בעברית. ואולי גם להסיר להם את האינטרנט בכלל, סתם ככה ליתר ביטחון 😏
שאלה 5: המייל נראה אמיתי! איך הם עושים את זה?
הנוכלים יודעים לזייף שמות שולח (spoofing), לשכפל אתרים ולעשות קסמים. בקיצור – זה שלמייל יש לוגו של PayPal לא אומר שהוא באמת נשלח מהם.
מתי נלמד? אולי אף פעם 🥲
רוב האנשים חושבים שפישינג זה בעיה של אחרים – עד שיום אחד מופיע חיוב מוזר באשראי, או שמישהו כותב פוסט בדף הפייסבוק שלך: "אני עצבני עליכם ❤️". והנה אתה מגלה שחייך נבזזו על ידי מישהו באוקראינה בשם Dimitri עם גישה לארנק ביטקוין שלך.
אבל הסוד הוא פשוט: תהיה ספקן כמו ילד בן 3 ששואל כל דקה 'למה?' – למה שלחו לי את זה? למה צריך פרטים? למה יש כאן שגיאות כתיב של זולו?
ולמי שנשאר עד כאן – וואו, תשמע, שאפו. כנראה שאתה לא סתם עומד ליפול בהונאת פישינג, וכמה טוב שכך. רק תזכור: לוקח שנייה אחת ללחוץ, ולפעמים חודשים רבים לנקות את הבלגן (ואת האגו).
שיהיה גלישה בטוחה, ואם קיבלת מייל מנסיך ניגרי – פשוט תתעלם. הוא לא ירגע עד שתשלח לו כסף, ואת זה אנחנו לא צריכים עכשיו.