הונאות רשת מוכרות לנו היטב כיום. אנחנו יותר מודעים למיילים שמבטיחים לנו ירושה של מיליונים אם רק נענה לכותב ההודעה, אנחנו יודעים לזהות (לרוב) כיצד נראה מייל עם קובץ זדוני. אבל יש עדיין תחום שבו קשה מאוד להתמודד עם העבריינים. בשיחה קולית או בוואטסאפ. השיטה הזו בה פושעים בוחרים לפעול מסתמכת על שיטות שמכונות הנדסה חברתית ובעלות תפעול נמוכה יחסית. למשל באמצעות שימוש בפישינג קולי (או Vishing) והונאות באמצעות הודעות SMS (או Smishing), אלה הונאות שהפכו לתעשייה בה מוקדי הונאות טלפוניים מגלגלים מיליארדי דולרים מכל העולם.
בתור התחלה, מבצעים מהסוג הזה לא דורשים מיומנויות מיוחדות או טכניות. בנוסף, גם אדם בודד יכול לפגוע במקביל במספר קורבנות תמימים באמצעות שיטות הונאות שונות. בין השיטות האלה ניתן למנות שיטות כמו ״פיטום חזירים״ (הונאה בה מטפחים קשר עם אדם באופן מתמשך כדי להוציא ממנו כסף רב ולהיעלם), הונאות מטבעות דיגיטליים, הונאות רומנטיות והונאות תמיכה טכנית, כשבכל אחת מהן יש סיפור משכנע ופיתיון. ישנן גם הונאות המתבססות על הבטחות להתעשרות מהירה כמו למשל דרך השקעות בביטקוין או שיטת האופציות הבינאריות שבישראל הוצאה מחוץ לחוק.
הלו? הדבר הזה עובד?
דמיינו מצב בו אתם מקבלים שיחות טלפון מהבנק שלכם, בה מודיעים לכם שהחשבון שלכם נפרץ, ועליכם לשתף איתם פרטים רגישים כדי לשמור על הכסף שלכם. תחושת הבהילות שעולה מקולו של ״עובד״ הבנק אכן עשויה להספיק כדי לגרום לכם לשתף את המידע הרגיש שלכם. הבעיה היחידה היא, שהאדם הזה לא באמת עובד בבנק – ואולי אפילו לא קיים בכלל. זה יכול להיות קול מפוברק שנשמע אמיתי לחלוטין.
סוג כזה של הונאות הוא רחוק מלהיות נדיר, וקיימים סיפורים דומים רבים במשך שנים ארוכות. בשנת 2019, פושעי סייבר הצליחו להוציא כמעט 250 אלף דולר ממנכ״ל באמצעות זיוף קול משכנע של בעלי החברה. באותו האופן, פושעי סייבר הצליחו להוציא 25 מיליון דולר מחברה מסוימת באמצעות זיוף של שיחת וידאו מול אחד מעובדי הכספים של החברה.
באמצעות יכולות זיוף קול ותרגום בזמן אמת מבוססות בינה מלאכותית (AI), פישינג קולי ופישינג באמצעות הודעות הפכו לקלים יותר מאי פעם. בינה מלאכותית מנמיכה את חסמי הכניסה של גורמים זדוניים חדשים, ומשמשת ככלי לאיסוף נתונים, אוטומציה של משימות סיזיפיות והתאמת המתקפות לאנשים וגופים מכל רחבי העולם. בנוסף, מתקפות פישינג שמתבססות על מלל וקולות שנוצרים על ידי בינה מלאכותית יהפכו לנפוצים יותר בזמן הקרוב.
איך קוראים לך, מה המספר שלך?
בדוח של Consumer Reports מ-2022, נמצא שאנשים חוששים לפרטיות שלהם יותר מאי פעם. כ-75% מהמשיבים לסקר אמרו שהם מודאגים במידה כלשהי מכך שהנתונים שלהם נאספים ברשת, וביניהם מספרי טלפון – שחשובים גם לזיהוי וגם לפרסום. אבל בימים האלה, כשדפי זהב הפכו מזמן לנחלת העבר, כיצד עובד הקשר הזה בין מספרי טלפון ובין פרסום?
חשבו על הדוגמה הזו: חובב כדורגל התחיל בהזמנת כרטיסים למשחק מסוים דרך אפליקציה המיועדת לרכישת כרטיס ים למשחקים, אך לא השלים את הרכישה. עם זאת, זמן קצר לאחר שסגר את האפליקציה, הוא קיבל שיחת טלפון בה הציעו לו הנחה על אותם הכרטיסים. כמובן, הוא כעס נורא על כך שקיבל את השיחה, מכיוון שאינו זוכר שמסר את מספר הטלפון שלו לאפליקציה אי פעם. אם כך, כיצד הם הצליחו להשיג את המספר שלו?
התשובה היא – באמצעות מעקב. חלק מהעוקבים יכולים לאסוף מידע ספציפי מאתר אינטרנט, וכך לאחר שכתבתם את מספר הטלפון שלכם בטופס מסוים העוקב יוכל לזהות ולאחסן אותו כדי ליצור את מה שנקרא ״תוכן וחוויה מותאמים אישית״. זהו מודל עסקי בפני עצמו שמוכר בשם ״סחר בנתונים״, והחדשות הרעות הן שלא צריך לפרוץ שום דבר כדי שהנתונים האלה יהיו זמינים לציבור.
סוחרי נתונים שואבים את המידע האישי שלכם ממקורות זמינים לציבור (רישומים ורישיונות ממשלתיים), מקורות מסחריים (שותפים עסקיים כמו ספקי כרטיסי אשראי או חנויות) וממעקב אחר הפעולות שלכם ברשת (פעילויות ברשתות חברתיות, לחיצה על פרסומות וכו׳), לפני שימכרו את המידע הזה לאחרים. אך, ייתכן שאתם עדיין שואלים את עצמכם: כיצד פושעי סייבר מצליחים להשיג מספרי טלפון של אנשים זרים?
מחפשים קורבנות פוטנציאליים
כמובן, ככל שתשתפו את המידע האישי שלכם עם יותר חברות, אתרים ואפליקציות, כך ״הפרופיל השיווקי״ שלכם יהפוך למפורט יותר. זה גם מגביר את הסיכון לדליפות מידע, מכיוון שסוחרי הנתונים עצמם יכולים לחוות תקריות אבטחה שונות. בנוסף, סוחר נתונים עשוי למכור את המידע שלכם לאחרים, ואף לגורמים זדוניים. אך סוחרי נתונים, או פריצות סייבר שפוגעות בהם, אינם המקור היחידי ממנו פושעי סייבר משיגים מספרי טלפון. אלו חלק מהדרכים שבאמצעותן פושעי סייבר מצליחים לשים את ידיהם על מספר הטלפון שלכם:
מקורות פומביים: אתרי רשתות חברתיות או פלטפורמות לחיפוש עבודה עשויות להציג את מספר הטלפון שלכם כאמצעי ליצירת קשר. אם הגדרות הפרטיות שלכם אינן מכוונות באופן מתאים, או שאינכם מודעים להשלכות של חשיפת מספר הטלפון שלכם בפרופיל ברשתות חברתיות, מספר הטלפון שלכם עשוי להיות זמין לכל דורש, ואף לתוכנות ייעודיות לסריקת אתרי אינטרנט (Scrapers).
חשבונות שנגנבו: שירותים מקוונים שונים עשויים לבקש את מספר הטלפון שלכם – כדי לאמת את זהותכם, כדי להשלים הזמנה או כאמצעי לאימות. כשהחשבונות שלכם נפרצים בגלל סיסמה חלשה במתקפת ״פריצה בכוח״ (Brute force), או לאחר פריצה לספק שירותים מקוונים כלשהו, מספר הטלפון שלכם עשוי להיות מודלף כחלק מאותה הפריצה.
חייגנים אוטומטיים: חייגנים אוטומטיים מתקשרים למספרים אקראיים, ואתם עשויים ליפול בתרמית מיד לאחר שעניתם לשיחה כזאת. במקרים מסוימים, החייגנים האוטומטיים האלה מתקשרים רק כדי לוודא שהמספר נמצא בשימוש, כך שיהיה ניתן להוסיף אותו לרשימת מטרות.
דואר פיזי: בדקו את המכתבים האחרונים שהגיעו אליכם – במרביתם הכתובת הפיזית שלכם תופיע באופן גלוי, אך במקרים מסוימים ייתכן שגם כתובת הדוא״ל או מספר הטלפון שלכם מודפס עליהם. מה אם מישהו לקח לעצמו את אחד המכתבים שלכם, או חיטט בפח המחזור הקרוב לביתכם? זכרו שבדרך כלל הדלפות נתונים כוללות נתונים די דומים, ולכן איסוף נתונים באופן הזה עשוי להיות מסוכן מאוד ולשמש כבסיס לפעולות זדוניות נוספות.
כיצד תוכלו להגן על מספר הטלפון שלכם
אם כך, כיצד תוכלו להגן על עצמכם ועל מספר הטלפון שלכם? הנה כמה טיפים שקיבלנו מחברת אבטחת המידע ESET: היזהרו ממתקפות פישינג. אל תענו לשיחות או להודעות לא צפויות ממספרים שאינכם מכירים, אל תלחצו על קישורים אקראיים שמופיעים בהודעות דוא״ל או SMS שמגיעות אליכם, וזכרו לשמור על קור רוח ולחשוב לפני שאתם מגיבים למה שנראה כמו מצב דחוף – בדיוק כך הם מנסים להפיל אתכם.
אם אתם מקבלים שיחה מהבנק או גורם כלשהו, הסבירו שאתם רוצים להתקשר בעצמכם למספר הרשמי של החברה ולבצע את הפעולה ביוזמתכם. הקפידו גם לבצע זאת, רמאים מהסוג הזה לא יבהלו מכם אלא דווקא ינסו לזרום ולנסות להראות לכם שהם לא מפחדים. לכן חשוב לבצע את השיחה בדיוק כפי שהסברתם שתעשו. שימו לב שחברות רציניות לא יבקשו מכם אף פעם פרטי תשלום או הזדהות בטלפון בשיחה יזומה אליכם.
הגנו על החשבונות שלכם באמצעות אימות דו-שלבי, ועדיף שהאימות יתבצע באמצעות מפתחות אבטחה, אפליקציות או אמצעים ביומטריים ייעודיים ולא באמצעות הודעות SMS. גורמים זדוניים יכולים ליירט הודעות SMS בקלות רבה, אך יתקשו לעשות זאת עם אמצעי האימות האחרים. הפעילו אימות דו-שלבי גם בחשבונות של ספקי שירותי התקשורת שלכם.
הממשלה גם מסייעת קצת, ישנו שירות באתר השירות הממשלתי האישי שלכם שנקרא "אל תתקשר אלי". הוא מאפשר לכם לרשום את המספר טלפון שלכם ברשימת המספרים אליהם אסור להתקשר לשיחות שיווק או פרסום. לכן אם מישהו מתקשר אליכם מסיבות אלו למרות הרישום במאגר - התחילו לחשוד. ניתן למצוא את המאגר ולהירשם אליו דרך אתר הרשות לסחר הוגן. בכל מקרה, מדובר רק בכלי אחד מני רבים, כך שאל תסתמכו רק עליו.
חשוב גם לחשוב פעמיים לפני שאתם מזינים את מספר הטלפון שלכם באתר אינטרנט. הוא יכול לשמש כאפשרות נהדרת לשחזור פרטים באפליקציות שונות, אך שימוש בשיטות אחרות כמו חשבון דוא״ל נוסף או אפליקציית אימות יכולות לשמש לאותה המטרה באופן בטוח יותר. ודאו שקוקיז (עוגיות) צד שלישי חסומות בדפדפן שלכם. כמו כן, ליצרני טלפון רבים יש מנגנון בדיקת מספרים בחייגן המובנה - שווה לבדוק אם הוא מופעל ואם לא, להשתמש בו. ישנן גם אפליקציות חיצוניות שמספקות שירות דומה, כך שאם הפתרון הפנימי של יצרן הטלפון שלכם לא מספק - בידקו אם אפליקציה חיצונית תעשה את העבודה טוב יותר.