חושבים שהאשראי שלכם בטוח? שימו לב

למאמר הבא
ESET

העולם התחתון של פשיעת הסייבר הוא מכונה משומנת שמגלגלת מיליארדי דולרים מדי שנה. פושעי סייבר משתמשים ברשת האפלה, שנסתרת מעיניהם של רשויות אכיפת החוק והציבור הכללי, כדי לקנות ולמכור כמויות עצומות של נתונים גנובים, יחד עם כלי פריצה שמשמשים להשגת הנתונים האלה. לפי ההערכות, ישנם 24 מיליארד שמות משתמש וסיסמאות שהושגו באופן לא חוקי ונמצאים באתרים כאלה. אחד מסוגי הנתונים המבוקשים ביותר הוא פרטי כרטיסי אשראי חדשים, שנרכשים ע״י רמאי סייבר כדי לבצע באמצעותם תרמיות זהות.

במדינות שהטמיעו את השימוש בצ׳יפ ובקוד אישי, קשה מאוד להפוך את הנתונים האלה לכרטיס של ממש. לכן, ברוב המקרים הנתונים האלה משמשים לרכישות ״מכר מרחוק״ ברשת. הרמאים יכולים להשתמש בנתונים האלה כדי לקנות פרטי יוקרה ברשת, שאותם יוכלו למכור לאחר מכן, או כדי לקנות תווי שי בכמות גדולה – דרך נפוצה נוספת להלבנת כספים שהושגו באופן לא חוקי.

אחרי שהבנו את מניעיהם של פושעי הסייבר, בואו ונעבור לחמש הדרכים שבהן האקרים משתמשים בדרך כלל כדי להשיג את פרטי כרטיס האשראי שלכם – וכיצד ניתן לעצור אותם:

1. פישינג

דיוג (Phishing) פישינג היא אחת מהטכניקות הנפוצות ביותר לגניבת נתונים. ככלל, זוהי תרמית שבה ההאקר מתחזה ליישות לגיטימית (כמו בנק, אתר מסחר או חברה טכנולוגית) כדי לגרום לכם למסור את פרטיכם האישיים או להוריד נוזקות ללא ידיעתכם. במרבית המקרים הם מעודדים את המשתמשים ללחוץ על קישור או להוריד קובץ מצורף. לעיתים הלחיצה הזו מובילה את המשתמש לדף פישינג – בו ינסו לגרום לכם להזין פרטים אישיים וכספיים. לפי ההערכות, ברבעון הראשון של 2022, מתקפות הפישינג הגיעו לשיא של כל הזמנים.

התרמיות האלה התפתחו בשנים האחרונות. כיום אתם עלולים לקבל גם הודעת SMS זדונית מהאקר שמתחזה לחברת שליחויות, רשות ממשלתית או כל ארגון אחר. בחלק מהמקרים, הרמאים אף עשויים להתקשר אליכם ולהתחזות ליישות אמינה, במטרה להשיג את פרטי כרטיס האשראי שלכם. שיעור מתקפות הפישינג באמצעות SMS הכפיל את עצמו במהלך השנה, וגם שיעור מתקפות הדיוג הקוליות (Vishing) עלה משמעותית.

2. נוזקות

העולם התחתון של פשיעת הסייבר הוא שוק עצום, לא רק לנתונים אלא גם לנוזקות. סוגים שונים של קודים זדוניים, שנועדו לגנוב מידע, תוכננו במהלך השנים. חלק מהם מתעדים את ההקשות שלכם על המקלדת – בזמן שאתם מזינים את פרטי כרטיס האשראי באתר סחר מקוון או באתר הבנק, למשל. כיצד החבר׳ה הרעים מצליחים להכניס את הכלים האלה למחשב או לטלפון שלכם?

הודעות דיוג הן אחת השיטות הנפוצות להפצת נוזקות. מודעות מקוונות הן דרך נפוצה נוספת. במקרים אחרים, הפושעים עשויים להדביק אתרים פופולריים לגיטימיים ולהמתין שגולשים יבקרו בהם. נוזקת ״התקנה לא מודעת״ מהסוג הזה מתקינה את עצמה ברגע שנכנסתם לדף הרשת המודבק. בנוסף, פושעי סייבר נוטים להסתיר נוזקות לגניבת מידע בתוך אפליקציות זדוניות שמתחזות לאפליקציות לגיטימיות.

3. קצירה דיגיטלית

לעיתים האקרים יתקינו נוזקות בדפי התשלום של אתרי סחר מקוון. המשתמש לא יכול לראות את הנוזקות האלה, אך אלו יקצרו את פרטי הכרטיס שלכם מהאתר ברגע שתכניסו אותם. המשתמשים לא יכולים לעשות הרבה כדי להתגונן מפני סוג המתקפה הזה, אלא רק להקפיד ולרכוש מאתרים ומותגים גדולים, שככל הנראה יהיו מאובטחים יותר.

4. דליפות מידע

לעיתים, פרטי כרטיסי האשראי נגנבים ישירות מהחברות שאיתן אתם עושים עסקים. זה עשוי להיות ספק שירותי בריאות, חנות מקוונת או סוכנות טיולים. מנקודת המבט של ההאקר, זוהי דרך יעילה יותר לגנוב פרטי אשראי, מכיוון שבמתקפה אחת בודדה הם מקבלים גישה לכמות עצומה של נתונים.

במתקפות פישינג, לעומת זאת, עליהם לגנוב את הפרטים מכל קורבן בנפרד – אף על פי שבמרבית המקרים, המתקפות האלה מתבצעות באופן אוטומטי.

5. רשתות אלחוטיות ציבוריות

בזמן השיטוטים שלכם בעולם, אתם עשויים להתפתות ולהתחבר לרשת אלחוטית ציבורית חינמית כדי לגלוש – בנמלי תעופה, במלונות, בבתי קפה ובמרחבים משותפים נוספים. גם אם אתם נדרשים לשלם כדי להתחבר לרשת הזאת, ייתכן שזה לא יהיה בטוח – אם ההאקרים עשו את זה גם. הם יכולים להשתמש בגישה שלהם לרשת כזאת כדי לצותת למידע שלכם בזמן שאתם מזינים אותו לאתרים.

כיצד תוכלו להגן על פרטי כרטיס האשראי שלכם:

למרבה המזל, ישנן דרכים רבות שיעזרו לצמצם את הסיכוי לגניבת פרטי הכרטיס והגעתם לידיים לא-רצויות. הצעדים האלה הם התחלה מצוינת:

• היו ערניים: לעולם אל תגיבו להודעות מייל שנשלחו אליכם מבלי שביקשתם, ולעולם אל תפתחו קישורים או קבצים מצורפים
  בהודעות כאלה. ייתכן שהם מובילים להורדת נוזקה או לעמוד פישינג דיוג שמתחזה לדף לגיטימי, ובו יעודדו אתכם להזין את
  הפרטים שלכם.
• אל תמסרו פרטים דרך הטלפון, גם אם האדם בצד השני נשמע משכנע מאוד. תשאלו מאיזו חברה הם מתקשרים, ולאחר מכן
  התקשרו בחזרה לאותה החברה כדי לוודא שהשיחה אכן לגיטימית – אך אל תחזרו למספר שהמתקשר עצמו מסר לכם.
• אל תשתמשו ברשתות אלחוטיות ציבוריות כדי לגלוש באינטרנט. אם אתם מוכרחים להשתמש ברשת כזאת, אל תעשו שום דבר
  שדורש ממכם להזין פרטי כרטיס אשראי (למשל, רכישה מקוונת).
• אל תשמרו את פרטי כרטיס האשראי באתרי סחר מקוון או באתרים אחרים, גם אם זה חוסך זמן בביקורים הבאים שלכם באתר.
  כך יקטנו הסיכויים שכרטיס האשראי שלכם יהיה חלק מדליפת מידע, או ייגנב כחלק מפריצה לחשבון האישי שלכם.
• הורידו כלי אמין להגנה מפני נוזקות לכל המחשבים והמכשירים הניידים, הכולל הגנה מפני מתקפות פישינג, כמו ESET למשל.
• השתמשו באימות דו-שלבי בכל החשבונות הרגישים. כך קטן הסיכוי שהאקרים יוכלו להיכנס אליהם באמצעות סיסמאות שנגנבו.
• הורידו אפליקציות רק מחנויות אפליקציות לגיטימיות (App Store של Apple וֹ-Play Store של Google).
• קונים ברשת? עשו זאת רק באתרים שפועלים בפרוטוקול HTTPS (באתרים כאלה אמור להופיע סימן מנעול בשורת הכתובת,
  ליד כתובת האתר). באתרים כאלה, הסיכוי לציתות למידע קטן הרבה יותר.

לסיכום, מומלץ גם לבדוק מדי פעם את חשבונות הבנק וכרטיסי האשראי שלכם. אם אתם מזהים העברות חריגות, דווחו לצוותי האבטחה של הבנק או ספק שירותי האשראי באופן מיידי. חלק מהאפליקציות מאפשרות לכם ״להקפיא״ כרטיסים ספציפיים, עד שתצליחו להבין בוודאות אם אכן התרחשה פריצה או לא. לחבר׳ה הרעים יש דרכים רבות שבהן הם יכולים להשתמש כדי לגנוב את פרטי כרטיס האשראי שלכם, אבל יש גם הרבה דברים שאנחנו נוכל לעשות כדי לדאוג שהם לא יגיעו אלינו.