מה היא אחת מהדרכים הקלות ביותר לקחת כסף מאדם במרמה – ובאופן אנונימי, כמובן?
האם פעולה כזו תדרוש גניבה של נתוני כרטיס האשראי של הקורבן, למשל באמצעות סריקת נתונים חשופים ברשת או פריצה לבסיס נתונים שכולל מידע אישי רגיש? שיטות כאלה הן אמנם אפקטיביות, אך הן דורשות מאמץ רב וידע טכני מעמיק.
מה בנוגע לגניבת פרטי תשלום באמצעות אתרי אינטרנט מזויפים? זה גם עשוי לענות על הצורך, אך יצירת זיופים של אתרי אינטרנט לגיטימיים (ושל כתובות דוא״ל ש-״יפיצו את הבשורה״) גם אינה מתאימה לכל אחד. בנוסף, קיים סיכוי גבוה שאנשים בעלי מודעות גבוהה לאבטחת סייבר יזהו אתרים כאלה, או שהם ייורטו ע״י רשויות אכיפת חוק שונות.
במקום זאת, פושעים בוחרים לפעול בדרך אחרת שניתן להגדיל את היקפה לפי צורך, מסתמכת על טקטיקות הנדסה חברתית ובעלת עלות תפעול נמוכה יחסית. באמצעות שימוש בפישינג קולי (או Vishing) והונאות באמצעות הודעותת SMS (או Smishing), הפעולות האלה הפכו לתעשייה של מוקדי הונואות טלפוניים שמגלגלים מיליארדי דולרים.
בתור התחלה, מבצעים מהסוג הזה לא דורשים מיומנויות מיוחדות או טכניות. בנוסף, גם אדם בודד יכול לפגוע במקביל במספר קורבנות תמימים באמצעות שיטות הונאות שונות. בין השיטות האלה ניתן למנות שיטות כמו ״פיטום חזירים״ (הונאה בה מטפחים קשר עם אדם באופן מתמשך כדי להוציא ממנו כסף רב ולהיעלם), הונאות מטבעות דיגיטליים, הונאות רומנטיות והונאות תמיכה טכנית, כשבכל אחת מהן יש סיפור משכנע ופיתיון.
הלו? הדבר הזה עובד?
דמיינו מצב בו אתם מקבלים שיחות טלפון מהבנק שלכם, בה מודיעים לכם שהחשבון שלכם נפרץ, ועליכם לשתף איתם פרטים רגישים כדי לשמור על הכסף שלכם. תחושת הבהילות שעולה מקולו של ״עובד״ הבנק אכן עשויה להספיק כדי לגרום לכם לשתף את המידע הרגיש שלכם. הבעיה היחידה היא, שהאדם הזה לא באמת עובד בבנק – ואולי אפילו לא קיים בכלל. זה יכול להיות קול מפוברק שנשמע אמיתי לחלוטין.
סוג כזה של הונאות הוא רחוק מלהיות נדיר, וקיימים סיפורים דומים רבים במשך שנים ארוכות. בשנת 2019, פושעי סייבר הצליחו להוציא כמעט 250 אלף דולר ממנכ״ל באמצעות זיוף קול משכנע של מנהל חברת האב. באותו האופן, פושעי סייבר הצליחו להוציא 25 מיליון דולר מחברה מסוימת באמצעות זיוף של שיחת וידאו מול אחד מעובדי הכספים של החברה.
בינה מלאכותית – המנוע מאחורי הכול
באמצעות יכולות זיוף קול ותרגום בזמן אמת מבוססות בינה מלאכותית (AI), פישינג קולי ופישינג באמצעות הודעות הפכו לקלים יותר מאי פעם. ואכן, ג׳ייק מור, יועץ אבטחת הסייבר הגלובלי של ESET, הראה באיזו קלות כל אחד יכול ליצור גרסת דיפ פייק של אדם אחר – גם אנשים שאתם מכירים היטב. בינה מלאכותית מנמיכה את חסמי הכניסה של גורמים זדוניים חדשים, ומשמשת ככלי לאיסוף נתונים, אוטומציה של משימות סיזיפיות והתאמת המתקפות לאנשים וגופים מכל רחבי העולם. בנוסף, מתקפות פישינג שמתבססות על מלל וקולות שנוצרים ע״י בינה מלאכותית יהפכו לנפוצים יותר בזמן הקרוב.
איך קוראים לך, מה המספר שלך?
כפי שניתן לראות בדוח של Consumer Reports משנת 2022, אנשים חוששים לפרטיות שלהם יותר מאי פעם. כ-75% מהמשיבים לסקר אמרו שהם מודאגים במידה כלשהי מהפרטיות של הנתונים שלהם שנאספים ברשת, וביניהם מספרי טלפון – שחשובים גם לזיהוי וגם לפרסום.
אבל בימים האלה, כשדפי זהב הפכו מזמן לנחלת העבר, כיצד עובד הקשר הזה בין מספרי טלפון ובין פרסום?
חשבו על הדוגמה הזו: חובב כדורגל התחיל בהזמנת כרטיסים למשחק מסוים דרך אפליקציה המיועדת לרכישת כרטיסים למשחקים, אך לא השלים את הרכישה. עם זאת, זמן קצר לאחר שסגר את האפליקציה, הוא קיבל שיחת טלפון בה הציעו לו הנחה על אותם הכרטיסים. כמובן, הוא כעס נורא על כך שקיבל את השיחה, מכיוון שאינו זוכר שמסר את מספר הטלפון שלו לאפליקציה אי פעם. אם כך, כיצד הם הצליחו להשיג את המספר שלו?
התשובה היא – באמצעות מעקב. חלק מהעוקבים יכולים לאסוף מידע ספציפי מאתר אינטרנט, וכך לאחר שכתבתם את מספר הטלפון שלכם בטופס מסוים העוקב יוכל לזהות ולאחסן אותו כדי ליצור את מה שנקרא ״תוכן וחוויה מותאמים אישית״. זהו מודל עסקי בפני עצמו שמוכר בשם ״סחר בנתונים״, והחדשות הרעות הן שלא צריך לפרוץ שום דבר כדי שהנתונים האלה יהיו זמינים לציבור.
מעקב, סוחרי נתונים והדלפות
סוחרי נתונים שואבים את המידע האישי שלכם ממקורות זמינים לציבור (רישומים ורישיונות ממשלתיים), מקורות מסחריים (שותפים עסקיים כמו ספקי כרטיסי אשראי או חנויות) וממעקב אחר הפעולות שלכם ברשת (פעילויות ברשתות חברתיות, לחיצה על פרסומות וכו׳), לפני שימכרו את המידע הזה לאחרים.
אך, ייתכן שאתם עדיין שואלים את עצמכם: כיצד פושעי סייבר מצליחים להשיג מספרי טלפון של אנשים זרים?
מחפשים קורבנות פוטנציאליים
כמובן, ככל שתשתפו את המידע האישי שלכם עם יותר חברות, אתרים ואפליקציות, כך ״הפרופיל השיווקי״ שלכם יהפוך למפורט יותר. זה גם מגביר את הסיכון לדליפות מידע, מכיוון שסוחרי הנתונים עצמם יכולים לחוות תקריות אבטחה שונות. בנוסף, סוחר נתונים עשוי למכור את המידע שלכם לאחרים, ואף לגורמים זדוניים.
אך סוחרי נתונים, או פריצות סייבר שפוגעות בהם, אינם המקור היחידי ממנו פושעי סייבר משיגים מספרי טלפון. אלו חלק מהדרכים שבאמצעותן פושעי סייבר מצליחים לשים את ידיהם על מספר הטלפון שלכם:
• מקורות פומביים: אתרי רשתות חברתיות או פלטפורמות לחיפוש עבודה עשויות להציג את מספר הטלפון שלכם כאמצעי
ליצירת קשר. אם הגדרות הפרטיות שלכם אינן מכוונות באופן מתאים, או שאינכם מודעים להשלכות של חשיפת מספר הטלפון
שלכם בפרופיל ברשתות חברתיות, מספר הטלפון שלכם עשוי להיות זמין לכל דורש, ואף לתוכנות ייעודיות לסריקת אתרי
אינטרנט (Scrapers).
• חשבונות שנגנבו: שירותים מקוונים שונים עשויים לבקש את מספר הטלפון שלכם – כדי לאמת את זהותכם, כדי להשלים
הזמנה או כאמצעי לאימות. כשהחשבונות שלכם נפרצים בגלל סיסמה חלשה במתקפת ״פריצה בכוח״ (Brute force), או
לאחר פריצה לספק שירותים מקוונים כלשהו, מספר הטלפון שלכם עשוי להיות מודלף כחלק מאותה הפריצה.
• חייגנים אוטומטיים: חייגנים אוטומטיים מתקשרים למספרים אקראיים, ואתם עשויים ליפול בתרמית מיד לאחר שעניתם
לשיחה כזאת. במקרים מסוימים, החייגנים האוטומטיים האלה מתקשרים רק כדי לוודא שהמספר נמצא בשימוש, כך שיהיה ניתן
להוסיף אותו לרשימת מטרות.
• דואר פיזי: בדקו את המכתבים האחרונים שהגיעו אליכם – במרביתם הכתובת הפיזית שלכם תופיע באופן גלוי, אך במקרים
מסוימים ייתכן שגם כתובת הדוא״ל או מספר הטלפון שלכם מודפס עליהם. מה אם מישהו לקח לעצמו את אחד המכתבים
שלכם, או חיטט בפח המחזור הקרוב לביתכם? זכרו שבדרך כלל הדלפות נתונים כוללות נתונים די דומים, ולכן איסוף נתונים
באופן הזה עשוי להיות מסוכן מאוד ולשמש כבסיס לפעולות זדוניות נוספות.
חברת AT&T חשפה לאחרונה כי מיליוני תיעודים של שיחות טלפון והודעות SMS של לקוחותיה בתקופה שבין אמצע לסוף שנת 2022 נחשפו כחלק מדליפת נתונים אדירה. מספרי הטלפון, אורכי השיחות וכמות השיחות של הרוב המוחלט של לקוחות החברה נחשפו. אמנם נראה כי תוכן השיחות וההודעות לא הודלף במקרה הזה, אך עדיין ניתן לבצע צימוד בין שמות לקוחות ומספרי טלפון באופן פשוט כפי שדווח ע״י רשת CNN.
על פי הדיווחים, נראה כי האשמה בדליפת הנתונים היא פלטפורמת ענן חיצונית שאליה גורם זדוני הצליח לגשת. כתוצאה מכך, זוהו מספר מקרים של הדלפות נתונים אדירות שמקושרות לפלטפורמה הזו במהלך השנים האחרונות.
כיצד תוכלו להגן על מספר הטלפון שלכם
אם כך, כיצד תוכלו להגן על עצמכם ועל מספר הטלפון שלכם? הנה כמה טיפים:
• היזהרו ממתקפות פישינג. אל תענו לשיחות או להודעות לא צפויות ממספרים שאינכם מכירים, אל תלחצו על קישורים
אקראיים שמופיעים בהודעות דוא״ל או SMS שמגיעות אליכם, וזכרו לשמור על קור רוח ולחשוב לפני שאתם מגיבים למה
שנראה כמו מצב דחוף – בדיוק כך הם מנסים להפיל אתכם.
• הגנו על החשבונות שלכם באמצעות אימות דו-שלבי, ועדיף שהאימות יתבצע באמצעות מפתחות אבטחה, אפליקציות או
אמצעים ביומטריים ייעודיים ולא באמצעות הודעות SMS. גורמים זדוניים יכולים ליירט הודעות SMS בקלות רבה, אך יתקשו
לעשות זאת עם אמצעי האימות האחרים. הפעילו אימות דו-שלבי גם בחשבונות של ספקי שירותי התקשורת שלכם.
• חשבו פעמיים לפני שאתם מזינים את מספר הטלפון שלכם באתר אינטרנט. הוא יכול לשמש כאפשרות נהדרת לשחזור פרטים
באפליקציות שונות, אך שימוש בשיטות אחרות כמו חשבון דוא״ל נוסף או אפליקציית אימות יכולות לשמש לאותה המטרה באופן
בטוח יותר.
• השתמשו בפתרון אבטחה למכשירים ניידים שכולל סינון שיחות, וכן ודאו שעוגיות חיצוניות חסומות בדפדפן שלכם. למדו על
כלים וטכנולוגיות אחרים לשיפור הפרטיות והשתמשו בהם.
בעולם שמסתמך על שמירת רישומים מקוונים באופן הולך וגובר, הסיכוי שמספר הטלפון שלכם אינו שמור אצל גורם חיצוני כלשהו די נמוך. וכפי שאפשר להבין מדליפת הנתונים מ-AT&T, קשה לסמוך גם על האבטחה של ספק שירותי התקשורת שלכם. עם זאת, זה לא אומר שעליכם לחיות במצב של חרדה תמידית.
מצד שני, אותה הדליפה מוכיחה פעם נוספת את החשיבות של התחייבות להיגיינת סייבר טובה ושל מודעות לנתונים שלכם ברשת. גם שמירה על ערנות היא חשובה מאוד, במיוחד לאור ההשלכות של השימוש ההולך וגובר בטכנולוגיות הבינה המלאכותית החדשות בעולם התחתון.