ניסיונות פישינג בהודעות SMS הם בעיה קשה שכיום אין לה פתרון יעיל. אנחנו מקבלים הודעות שמתחזות לכל מיני גורמים, כמו הבנק או חברת שליחויות, ולפעמים קשה לקבוע אם מדובר בהודעה אמיתית או לא. השיטה הזו נקראת סמישינג והיא מהווה את רוב ההונאות שמכוונות לציבור הרחב. הן לא דורשות תשתית מתוחכמת מדי - שליחת הודעות SMS בכמויות גדולות זה משהו שקל מאוד לבצע ובזול - ואחוזי ההצלחה שלהן מרשימים.
המספרים מבהילים: על פי ה-FBI והאיחוד האירופי, מדובר במיליוני הונאות בשנה שהביאו לנזקים של מיליארדי דולרים ברחבי העולם. בארה"ב לבדה כרבע מיליון אמריקאים התלוננו לרשויות על הונאות ב-SMS שגרמו להם להפסדים של יותר מ-50 מיליון דולר ב-2020 ואלה רק המספרים שדווחו. רבים אפילו לא מתלוננים. הקלות וההצלחה של השיטה עודדו את ההאקרים להגביר את המאמצים שלהם, ומה שמצליח בעולם עובד גם בישראל. אם יש לכם טלפון, אין סיכוי שלא נתקלתם בהודעות שמתחזות לביט, חברת חשמל, דואר ישראל או ביטוח לאומי. כל אלה מבטיחים לכם שירות כלשהו שכדי לגשת אליו עליכם ללחוץ על הקישור המצורף.
הקישור הזה יוביל אתכם ישירות לאתר שככל הנראה נראה מאוד דומה לאתר האמיתי. יבקשו מכם פרטים בהתאם לשירות: למשל, כרטיס אשראי אם זו הודעה של הדואר לתשלום מכס או הודעה מביט, וכתובת ופרטים אישיים אם זו חברת חשמל. מה שעצוב בכל הסיפור הוא שאין ממש גוף בישראל שמטפל בנושא הזה. מערך הסייבר עוסק בחברות וארגונים, רשות הפרטיות מטפלת במאגרי מידע, המשטרה לא ממש מתפקדת בכל הנוגע להונאות סייבר קטנות. משרד התקשורת עסוק בסיבים אופטיים ורגולציה של תוכן למרות, רצון טוב והתאמת הרישיונות תפעול של ספקיות הסלולר בידי השר הקודם יועז הנדל, צעד שהיה אמור לחסל סופית את התופעה. הונאות SMS? חפשו את החברים שלכם.
אז מה עושים? צריך לסמוך על עצמנו ועל כלי חביב שפותח על ידי שני חוקרי סייבר ישראלים. אבל נתחיל עם עצמנו.
2. תוכן: הודעות סמישינג בדרך כלל ינסו לשכנע אתכם ללחוץ על קישור המצורף שכן כניסה לאתר ההונאה זה לרוב החלק הקשה. כלומר הם ישתמשו בניסיונות הפחדה או בשפה שאומרת "דחוף! להיכנס!" כמובן שאין שום דחיפות - לדואר ישראל לא אכפת אם תשלמו את המכס על החבילה מאמזון ולביט לא משנה אם תשלחו את 20 השקלים לחנה מחדרה ב-5 דקות הקרובות.
3. צורה: להודעות סמישינג יש בדרך כלל מבנה דומה: הן מתחילות עם כמה מילים על למה קיבלתם את ההודעה, כמו למשל "איזה כיף! החבילה שלך הגיעה!", אז מגיעה הבעיה: "אבל היא תקועה במכס", והסיום עובר כבר לטון מאיים שלא לומר נזפני: "אם לא תשלם אז יקרה כך וכך". כמובן שבדרך יופיע הקישור לאתר ההונאה. לרוב הקישור ינסה לזייף את הכתובת האמיתית של האתר או לחלופין יעשה שימוש בשירות קיצור כתובות שמסתיר את היעד. בכל מקרה, ההודעות תמיד ינסו לייצר אצלכם תחושה שאם לא תפעלו מהר תיפגעו.
4. הנזק: אם אתם תוהים לדעת למה זה אמור לשנות לי אם הפרטים שלי מסתובבים באינטרנט, אז הנה רשימה קצרה של מה שהאקרים יכולים לעשות איתו: להדביק את המחשב או הסמארטפון בנוזקת ריגול שתגנוב לכם את כל הפרטים האישיים והפיננסיים שלכם. אם זה קורה צפו לקבל הודעות על כל מיני עסקאות קנייה בשלל מקומות ברחבי העולם. כמובן שהם יכולים גם לגנוב סיסמאות לאתר של הבנק או הקופת חולים שלכם ולגנוב או לסחוט אתכם או פשוט לעשות שימוש במכשיר שלכם כ"קוף", כלומר להשתמש בו למתקפות בוטים ברשת. בכל מקרה, לכם לא ייצא מזה שום דבר טוב. במקרה הקל זה ידרוש ביטול של מסמכים או אשראי, במקרה הרע זה ידרוש מכם ביטול עסקאות בבנק או התמודדות עם פגיעה במוניטין שלכם ואפילו סחיטה באיומים.
5. התמודדות: למזלכם, התמודדות עם פישינג קלה למדי. ראשית נתחיל מכך שאף גורם רשמי או מסחרי במדינת ישראל לא ידרוש מכם תשלום ב-SMS מבלי שביקשתם. לא בנק, לא משרד ממשלתי ולא שום חברת תשלומים. גם רשות הדואר, שכן שולחת הודעות על חבילות מדי פעם, מבקשת מכם להיכנס לאתר שלה כדי להשלים את התהליך. כך שמה שצריך לעשות זה להיכנס לאתר ישירות מהדפדפן ולא דרך קישור כלשהו, למעט אם חיפשתם בגוגל. שימו לב שאם נשלחה לכם הודעה כזו בוואטסאפ זה עוד יותר קל, כי חשבונות עסקיים עוברים תהליך אישור מול מטא ואם קיבלתם הודעה ממספר טלפון לא מוכר זו תמיד הונאה. ב-SMS, לעומת זאת, קל מאוד לזייף את שם השולח אז הימנעו מלהסתמך על כך. גם בטלגרם צריך להיזהר - זו זירה מאוד בעייתית.
6. כלי: הכירו את אתר Scan My SMS. בגדול, זהו אתר שמאפשר לכם להעתיק אליו את תוכן ה-SMS שקיבלתם ולקבל אישור או אזהרה על הקישור שהוא מכיל. אם הקישור מוביל לאתר זדוני או לא אמין, הוא יספק לכם אזהרה. הוא אומנם מיועד ל-SMS אך אם תעתיקו תוכן של כל הודעה (אם יש בה את הקישור החשוד), הוא יחזיר לכם תשובה על אמינות האתר. את הכלי פיתחו שני מפתחים ישראלים, שרון בריזינוב שעובד בימים כתיקונם בחברת הסייבר קלארוטי, וחברו עמית ריפשטוס מחברת DAZZ. עם זאת, אין קשר בין האתר לחברות שבהם השניים עובדים. אגב, לשירות יש גם בוט טלגרם שעושה את אותה העבודה. בכל מקרה, שימו לב שמדובר ביוזמה פרטית ומבוססת על מתנדבים - אין כאן גוף מסחרי או רשמי שמגבה אותם ואין אחריות אם האתר מפספס.
לצערנו, מעבר לכך אין לכם הרבה מאוד אפשרויות. ישנן חברות סייבר שכוללות באפליקציות שלהן מנגנון זיהוי הונאות פישינג, אבל זה כבר עולה כסף. אבל כל עוד תימנעו משימוש בקישורים מצורפים להודעות ותעשו את הדרך הארוכה של בדיקת ההודעה בכלי או כניסה לאתר השירות ישירות מגוגל, אתם אמורים להיות בסדר. כמובן שאם יש ספק אז ניתן גם לפנות לשירות 119 - מענה קולי של מערך הסייבר בכל הנושאים האלה. נקווה שאולי במשרד התקשורת ינסו קצת לעבוד לשם שינוי למען האזרח הקטן ויספקו מעטפת הגנה קצת יותר רצינית להונאות SMS.