עם יותר משני מיליארד משתמשים, וואטסאפ היא מאגר עצום של מטרות פונטציאליות לפושעי סייבר. האפליקציה נמצאת בשימוש של כל כך הרבה אנשים מגילאים ורקעים שונים כך שחשוב אפילו יותר להיות מודעים לסכנות הטמונות בשימוש בה. נוסף על כך, כל מי שיודע את מספר הטלפון שלכם יכול לשלוח לכם הודעת וואטסאפ, מה שמקל על עברייני הסייבר להשיג מטרות פוטנציאליות.
בדצמבר 2022 נחשף שבסיס נתונים שכולל מעל ל-500 מיליון חשבונות וואטסאפ הוצע למכירה ברשת האפלה (dark web) תמורת כמה אלפי דולרים, כך שפושעי סייבר יכולים לקבל גישה לכמות בלתי נדלית של משתמשי וואטסאפ אמיתיים ופעילים. אם זה לא מספיק, השתלטות על חשבון וואטסאפ בודד עשויה ליצור אפקט כדור שלג שקשה להעריך את תוצאותיו הסופיות.
עוד כתבות שיעניינו אתכם:
כל משתמשי וואטסאפ עלולים לחוות ניסיון להונאה. למעשה, אנחנו עשויים להיתקל בניסיונות כאלה בקלות. ברוב המקרים פושעי הסייבר לא מחפשים משתמשים ספציפיים אלא משתמשים בטכניקת ניסוי וטעייה. בדרך כלל הם ישתמשו באסטרטגיות שלהם מול מספר גדול של אנשים, בתקווה שלפחות חלק מהם ייפלו בפח. בדיוק כמו עם פרסום, על כל אלף ניסיונות, מספיק שאחד יצליח כדי שהפשע ישתלם. אם הודעות הונאה נשלחות באלפים ואף במיליונים, מספיק ש-10 או 20 יצליחו וכבר ההאקרים יזכו בשלל. בסיוע חברת ESET קיבצנו עבורכם את הסכנות העיקריות שבהן אפשר להיתקל בזמן שימוש באפליקציה.
סמישינג (דיוג באמצעות SMS) וקודי אימות
נניח שקיבלתם הודעה ובה מופיע קוד אימות שכלל לא ביקשתם ממיקרוסופט, גוגל או אפילו וואטסאפ. אתם מתעלמים ממנו, אך לאחר רגע קצר תופסת את תשומת לבכם התראה נוספת על הודעה חדשה בוואטסאפ מאחד מאנשי הקשר שלכם. זה נראה מוזר, אבל זה נשמע כמו מקרה חירום – הוא ממש חייב את הקוד שקיבלת לפני כן. כנראה שהוא נשלח אליכם בטעות.
תרחיש דומה יכול לקרות כשמישהו שאתם לא מכירים טוען ש״שלח לכם בטעות כמה ספרות ממספר הטלפון שלו״. מטרתו של פושע הסייבר היא לקבל גישה לחשבון מקוון שלכם שדורש אימות באמצעות קוד שמגיע בהודעת SMS. אם תמסרו את הקוד הזה, הוא יוכל לגנוב את המידע שלכם או אפילו להתחזות לכם.
סקרים, חבילות והגרלות – כולן שקר אחד גדול
זו תופעה שלא רלוונטית רק לוואטסאפ אלא גם (ובעיקר) להודעות SMS. מדובר בהודעות עם הבטחות לזכייה בפרס גדול (או קטן, בשביל לא לעורר חשד) או בקשה להשתתף בסקר כלשהו תמורת אתנן כלשהו. לפעמים אפילו תקבלו אותן מאנשי קשר שלכם שאתם מכירים. ב-99.9% מהמקרים מדובר בהודעות מזויפות, שכן אף אחד לא מריץ קמפיין הגרלות דרך וואטסאפ - בעיקר לא גוף רציני.
נכון שישנם שירותים לגיטימיים רבים המציעים תמיכה ללקוחותיהם דרך וואטסאפ. לכן, סביר להניח שלא תחשדו אם תקבלו הודעה מהבנק שלכם עם התראה על ״תרמית שפוגעת בלקוחות״ ובקשה לביצוע פעולה באופן מיידי – מילוי טופס כדי לאמת שהמידע האישי שלכם הוא אכן נכון. בחלק מהמקרים, אתם עשויים להתבקש להעביר גם מידע שיאפשר גישה לחשבון הבנק. היזהרו, כל מהלך כזה מטרתו בסופו של דבר הוא להשיג מכם מידע.
הודעות אישור משלוח - "החבילה שלכם בדרך"
דרך קלה נוספת לגניבת מידע היא באמצעות שליחת הודעה מזויפת מאחת מחברות המשלוחים, שבה אתם מתבקשים למלא טופס כדי לאמת את פרטי המשלוח שלכם (ואולי אף לשלם עמלה כלשהי שהתפספסה). גם אם אתם לא מצפים להגעתה של חבילה, ייתכן שתמלאו את הטופס ליתר ביטחון – למשל, למקרה שמישהו החליט לשלוח לכם חבילה באופן לא צפוי.
גם במועדים מיוחדים, כמו חגים או ״חגי קניות״ כדוגמת Black Friday, שבהם חברות רבות יוצאות במבצעים מיוחדים, פושעי סייבר יוצרים קמפיינים מזויפים שמחקים את הקמפיינים האמיתיים. תשומת לב קלה לפרטים כמו שגיאות דקדוק ותחביר או קישורים מוזרים עשויה לעזור לכם להבין שמדובר באתר מזויף. עם זאת, הדחף האדיר להשיג את המבצע המיוחד עשוי לגבור על כל הדגלים האדומים שיופיעו בדרך.
ההונאות הללו הן בדרך כלל די אגרסיביות. באמצעות התחזות לפרסומת אמיתית, הן מצליחות לעורר את הסקרנות שלכם. לאחר שלחצתם על הקישור ומסרתם את הפרטים האישיים שלכם, זה סוף הסיפור. בחלק מהמקרים, הקישורים האלה עשויים להביא גם להפצת נוזקות מסוגים שונים. רבים מאיתנו לא מאמינים שהם ייפלו בפח אי פעם, וימסרו מידע כזה דרך אפליקציה להעברת מסרים. אך בפועל, זה קורה לאלפי אנשים מדי שנה בעקבות התחכום ההולך וגדל של פושעי הסייבר, שאפילו יוצרים אמפתיה מזויפת באמצעות יצירת קשר ״חברי״ בין הקורבן ופושע הסייבר.
תרמיות צדקה – ״כל אגורה תעזור״
מסירת כסף לצדקה או תמיכה כספית במטרה ראויה לשמה הם מעשה אצילי של ממש. אך בזמני משבר, סביר להניח שפושעי סייבר ינצלו את הכוונות הטובות של אנשים תמימים. הרמאים לא מתביישים לנקוט באף טקטיקה, והם ישתמשו בסוגים שונים של תמונות ומסרים כדי לגרום לכם לתרום כסף ״למטרה טובה״. תרמיות מהסוג הזה משתמשות בדרך כלל באתרי אינטרנט מזויפים, ועשויות לקבל מומנטום נוסף כשהן מופצות על ידי אנשים שרוצים לסייע בהפצת ה"בשורה" ולעזור לנזקקים.
פושעי הסייבר משתמשים בטקטיקות רגשיות, כמו קריאה לעזרה עבור קורבנות של אסונות טבע או מחלות קשות, כדי לגרום לאנשים לתת כסף. בחלק מהמקרים, הם עשויים להשתמש בשמה של עמותה לגיטימית כדי לזכות באמונם של הקורבנות, אך הכסף לעולם לא יגיע לאנשים שאליהם הוא מיועד.
כדי להימנע מתרמית צדקה, חשוב לעשות מחקר מעמיק על הארגון לפני שמוסרים לו תרומה כלשהי ולהיזהר מבקשות לא צפויות לתרומה, במיוחד כאלה שמגיעות ממספרים לא מוכרים. עדיף ליצור קשר עם העמותה ישירות ולוודא שהבקשה היא אכן לגיטימית.
הונאות רומנטיות – ״אני אוהב אותך!״
יש! מצאתם לכם התאמה (Match) באחת מאפליקציות הדייטינג ולאחר התכתבות קצרה החלפתם מספרי טלפון ועברתם לוואטסאפ. עברו מספר ימים, ואתם כבר מתחילים להבין שכנראה שלא תיפגשו בזמן הקרוב. אתם נמצאים בערים שונות, אולי אפילו במדינות שונות. אולי האדם השני עובד במקום מרוחק, או אף משרת בצבא הרחק מהבית. איכשהו, כל השאלות והחששות נעלמים ככל שהשיחה הופכת ליותר אישית ואינטימית. הבעיה היא, שיש סיכוי לא קטן שכל זה היה חלק מתרמית רומנטית.
בתרחישים כמו זה שתואר מעלה, פושע הסייבר ינצל את התקוות שלכם ויגרום לכם לבטוח בו עד שיבקש ממכם עזרה, כשלבקשה הזאת מצורף סיפור מפוברק שמסביר עד כמה הם זקוקים לכסף הזה כדי לעזור לקרוב משפחה שלהם או להיחלץ מצרה. כמובן, אחרי ההעברה תוכלו לשכוח מהכסף – ככל הנראה, לתמיד.
רשתות חברתיות ופלטפורמות להעברת מסרים עדיין משמשות כקרקע פורייה לתרמיות דייטינג. מכל סוגי התרמיות, תרמיות רומנטיות עשויות ליצור נזק גדול יותר באופן משמעותי: הן מפעילות מניפולציות על רגשות האמון, האהבה והחיבור הרגשי של הקורבן ועל הרצון הטבעי ליצירת מערכת יחסים רומנטית ולעזרה לזולת "בכל מחיר".
אז מה ניתן לעשות?
כלל הזהב הוא: הניחו שבכל מקרה ומקרה, קיים סיכוי כלשהו שהאדם הזר שמתכתב איתכם בוואטסאפ הוא פושע סייבר. במידת האפשר, הימנעו ממענה לאנשים זרים ששולחים לכם הודעות באופן לא צפוי. בחברת אבטחת המידע ESET הסבירו ל-ynet כי ישנם מספר כללי אצבע נוספים שכדאי לזכור:
1. אל תעבירו כסף לפני שווידאתם שהבקשה אכן אותנטית. כלומר ניסיתם ליצור קשר באופן עצמאי עם הגוף שאמר לכם שצריך להעביר לו. בכלל, גורמים רשמיים לא משתמשים בוואטסאפ לתקשורת עם לקוחות למעט דרך ערוצים רשמיים - אלו מסומנים על ידי וואטסאפ לעומת משתמשים רגילים שמזוהים רק עם שם ותמונה.
2. לעולם אל תשתפו קוד אימות עם אף אחד. אם מישהו שלח את הקוד שלו בטעות למספר שלכם, הוא יכול לבקש קוד חדש בעצמו. אין שום סיבה שבעולם שמישהו ישלח לחשבון שלכם קוד אימות, האפליקציה מקודדת למספר הטלפון שלכם - אם תמסרו קוד אימות שיועד למספר האישי שלכם כל מי שמחזיק בו יכול להעביר את הגישה אליו למספר טלפון חדש.
3. אל תקליקו על קישורים אקראיים. אם חבר שולח משהו, תשאלו אותו מה זה והאם זה מיועד לכם. אם הסקרנות גוברת עליכם ואתם נכנסים לקישור בכל זאת, חפשו טעויות דקדוק או קישורים מוזרים (למשל, קישור שמוביל לכתובת אתר אינטרנט שאינה מתאימה לשמה של החברה). בכל מקרה, שימו לב שרוב התקשורת עם חברות שליחויות מתבצעת לרוב דרך SMS, כך שלקבל הודעה כזו בוואטסאפ מחשיד כשלעצמו.
4. אותו דבר עם בנקים. הם לא יוצרים איתכם קשר בוואטסאפ כדי לשאול שאלות. אם אתם בכל זאת חושבים שהבנק עשוי ליצור איתכם קשר באופן הזה, אמרו להם שאתם לא מוסרים שום מידע אישי או פרטי גישה בוואטסאפ, אלא רק דרך האתר הרשמי שלהם. לבנקים יש חשבונות צ'אט רשמיים וכל תקשורת שאינה דרכם לא נחשבת למאובטחת גם בעיני הבנק.
5. העצה החשובה ביותר היא להשתמש תמיד באפליקציה שהורדתם מחנות האפליקציות הרשמית – Google Play Store או Apple App Store כדי לעדכן את וואטסאפ ואת כל יתר האפליקציות שאתם משתמשים בהן. נכון, יש גם חנויות של חברות כמו שיאומי, אמזון או סמסונג. חנויות אלה נחשבות אמינות, אבל יכול מאוד להיות שתקבלו גרסאות קצת יותר ישנות של האפליקציה שלא כוללות את עדכוני האבטחה האחרונים. לכן נסו תמיד להשתמש בגרסה הכי חדישה.