עם יותר משני מיליארד משתמשים, וואטסאפ היא גם מאגר עצום של מטרות פונטציאליות לפושעי סייבר. וכמובן, אותם הרמאים לא נחים על זרי הדפנה, אלא
ההפך – הם לומדים מיומנויות חדשות ומתוחכמות בתחום ההנדסה החברתית בהן הם משתמשים כדי להפיל אותנו במלכודות שלהם.
האפליקציה נמצאת בשימוש של כל כך הרבה אנשים מגילאים ורקעים שונים ולכן חשוב אפילו יותר להיות מודעים לסכנות הטמונות בשימוש באפליקציה. נוסף על כך, כל מי שיודע את מספר הטלפון שלכם יכול לשלוח לכם הודעת וואטסאפ, מה שמקל על עברייני הסייבר להגיע למטרות פוטנציאליות.
בדצמבר 2022 נחשף שבסיס נתונים שכולל מעל ל-500 מיליון חשבונות וואטסאפ הוצע למכירה ברשת האפלה (dark web). תמורת כמה אלפי דולרים, פושעי סייבר יכולים לקבל גישה לכמות בלתי נדלית של משתמשי וואטסאפ אמיתיים ופעילים. ואם זה לא מספיק, השתלטות על חשבון וואטסאפ בודד עשויה ליצור אפקט כדור שלג שקשה להעריך את תוצאותיו הסופיות.
אז, האם אנחנו נמצאים בסיכון?
אם נאמר בכנות, כל משתמשי וואטסאפ עלולים לחוות ניסיון להונאה. ברוב המקרים פושעי הסייבר לא מחפשים משתמשים ספציפיים אלא משתמשים בטכניקת ניסוי וטעיה. בדרך כלל הם ישתמשו באסטרטגיות שלהם מול מספר גדול של אנשים, בתקווה שלפחות חלק מהם ייפלו בפח. ולצערנו, במקרים רבים מדי הם גם מצליחים.
אלו הם חלק מניסיונות ההונאה הנפוצים ביותר:
1. סמישינג (דיוג באמצעות SMS) וקודי אימות
הטלפון שלכם מצלצל ואתם רואים שקיבלתם הודעה ובה מופיע קוד אימות שכלל לא ביקשתם, והגיע לכאורה ממיקרוסופט, גוגל או אפילו וואטסאפ. אתם מתעלמים ממנו, אך לאחר רגע קצר התראה נוספת, בנוגע להודעה חדשה בוואטסאפ מאחד מאנשי הקשר שלכם, תופסת את תשומת ליבכם. זה נראה מוזר, אבל זה נשמע כמו מקרה חירום – הוא ממש חייב את הקוד שקיבלת לפני כן. כנראה הוא נשלח אליכם בטעות.
תרחיש דומה יכול לקרות כשמישהו שאתם לא מכירים טוען ש״שלח לכם בטעות כמה ספרות ממספר הטלפון שלו״. מטרתו של פושע הסייבר היא לקבל גישה לחשבון מקוון שלכם שדורש אימות באמצעות קוד שמגיע בהודעת SMS. אם תמסרו את הקוד הזה, הוא יוכל לגנוב את המידע שלכם או אפילו להתחזות לכם.
2. סקרים, חבילות והגרלות – כולן שקר אחד גדול
במקום בקשה להעברת כספים, ייתכן שתקבלו בקשה למסירת פרטים אישיים שלכם. אמנם נראה שזה פחות מדאיג בהשוואה להפסד כספי מיידי, אך בטווח הארוך ההשלכות של מסירת המידע הזה עשויות להיות הרבה יותר חמורות.
ישנם שירותים לגיטימיים רבים שמציעים תמיכה ללקוחותיהם דרך וואטסאפ. לכן, סביר להניח שלא תחשדו אם תקבלו הודעה מהבנק שלכם עם התראה על ״תרמית שפוגעת בלקוחות״ ובקשה לביצוע פעולה באופן מיידי – מילוי טופס כדי לאמת שהמידע האישי שלכם הוא אכן נכון. בחלק מהמקרים, אתם עשויים להתבקש להעביר גם מידע שיאפשר גישה לחשבון הבנק!
דרך קלה נוספת לגניבת מידע היא באמצעות שליחת הודעה מזויפת מאחת מחברות המשלוחים, בה אתם מתבקשים למלא טופס כדי לאמת את פרטי המשלוח שלכם (ואולי אף לשלם עמלה כלשהי שהתפספסה). גם אם אתם לא מצפים להגעתה של חבילה, ייתכן שתמלאו את הטופס ליתר ביטחון – למשל, למקרה שמישהו החליט לשלוח לכם חבילה באופן לא צפוי.
במועדים מיוחדים, כמו חגים או ״חגי קניות״ כדוגמת Black Friday, שבהם חברות רבות יוצאות במבצעים מיוחדים, פושעי סייבר יוצרים קמפיינים מזויפים שמחקים את הקמפיינים האמיתיים. תשומת לב קלה לפרטים כמו שגיאות דקדוק ותחביר או קישורים מוזרים עשויה לעזור לכם להבין שמדובר באתר מזויף. עם זאת, הדחף האדיר להשיג את המבצע המיוחד עשוי לגבור על כל הדגלים האדומים שיופיעו בדרך.
ההונאות הללו הן בדרך כלל די אגרסיביות. באמצעות התחזות לפרסומת אמיתית, הן מצליחות לעורר את הסקרנות שלכם. לאחר שלחצתם על הקישור ומסרתם את הפרטים האישיים שלכם, זה סוף הסיפור. בחלק מהמקרים, הקישורים האלה עשויים להביא גם להפצת נוזקות מסוגים שונים. רבים מאיתנו לא מאמינים שהם ייפלו בפח אי פעם, וימסרו מידע כזה דרך אפליקציה להעברת מסרים. אך בפועל, זה קורה לאלפי אנשים מדי שנה בעקבות התחכום ההולך וגדל של פושעי הסייבר, שאפילו יוצרים אמפתיה מזויפת באמצעות יצירת קשר ״חברי״ בין הקורבן ופושע הסייבר.
3. תרמיות צדקה – ״כל אגורה תעזור״
מסירת כסף לצדקה או תמיכה כספית במטרה ראויה לשמה הם מעשה אצילי של ממש. אך בזמני משבר, סביר להניח שפושעי סייבר ינצלו את הכוונות הטובות של אנשים תמימים. הרמאים לא מתביישים לנקוט באף טקטיקה, והם ישתמשו בסוגים שונים של תמונות ומסרים כדי לגרום לכם לתרום כסף ״למטרה טובה״. תרמיות מהסוג הזה משתמשות בדרך כלל באתרי אינטרנט מזויפים שמופצים דרך וואטסאפ ואפליקציות נוספות להעברת מסרים או רשתות חברתיות, ועשויות לקבל מומנטום נוסף כשהן מופצות ע״י אנשים שרוצים להפיץ את הבשורה ולעזור לנזקקים.
פושעי הסייבר משתמשים בטקטיקות רגשיות, כמו קריאה לעזרה עבור קורבנות של אסונות טבע או מחלות קשות, כדי לגרום לאנשים למסור כסף. בחלק מהמקרים, הם עשויים להשתמש בשמה של עמותה לגיטימית כדי לזכות באמונם של הקורבנות, אך הכסף לעולם לא יגיע לאנשים שאליהם הוא מיועד.
כדי להימנע מנפילה בתרמית צדקה, חשוב לעשות מחקר מעמיק על הארגון לפני שמוסרים לו תרומה כלשהי ולהיזהר מבקשות לא צפויות לתרומה, במיוחד כאלה שמגיעות ממספרים לא מוכרים. עדיף ליצור קשר עם העמותה ישירות ולוודא שהבקשה היא אכן לגיטימית.
4. הונאות רומנטיות – ״אני אוהב אותך!״
יש לכם התאמה (Match) באחת מאפליקציות הדייטינג ולאחר התכתבות קצרה החלפתם מספרי טלפון ועברתם לוואטסאפ. עברו מספר ימים, ואתם כבר מתחילים להבין שכנראה שלא תיפגשו בזמן הקרוב. אתם נמצאים בערים שונות, אולי אפילו במדינות שונות. אולי האדם השני עובד במקום מרוחק, או אף משרת בצבא הרחק מהבית. איכשהו, כל השאלות והחששות נעלמים ככל שהשיחה הופכת ליותר אישית ואינטימית. הבעיה היא, שיש סיכוי לא קטן שכל זה היה חלק מתרמית רומנטית.
בתרחישים כמו זה שתואר מעלה, פושע הסייבר ינצל את התקוות שלכם ויגרום לכם לבטוח בו עד שיבקש ממכם עזרה, כשלבקשה הזאת מצורף סיפור מפוברק שמסביר עד כמה הם זקוקים לכסף הזה כדי לעזור לקרוב משפחה שלהם או להיחלץ מצרה.
כמובן, אחרי ההעברה תוכלו לשכוח מהכסף – ככל הנראה, לתמיד.
רשתות חברתיות ופלטפורמות להעברת מסרים עדיין משמשות כקרקע פורייה לתרמיות דייטינג. מכל סוגי התרמיות, תרמיות רומנטיות עשויות ליצור נזק גדול יותר באופן משמעותי: הן מפעילות מניפולציות על רגשות האמון, האהבה והחיבור הרגשי של הקורבן ועל הרצון הטבעי ליצירת מערכת יחסים רומנטית ולעזרה לזולת ״בכל מחיר״.
כיצד נוכל להגן על עצמנו?
כלל הזהב הוא: הניחו שבכל מקרה ומקרה, קיים סיכוי כלשהו שהאדם הזר שמתכתב איתכם בוואטסאפ הוא פושע סייבר. במידת האפשר, הימנעו ממענה לאנשים זרים ששולחים לכם הודעות באופן לא צפוי.
עם זאת, ישנם מספר כללים קטנים נוספים שכדאי לזכור:
1. הימנעו ממסירת מידע אישי לאנשים שאתם לא מכירים.
2. אל תעבירו כסף לפני שווידאתם שהבקשה אכן אותנטית.
3. לעולם אל תשתפו קודי אימות עם אף אחד. אם מישהו שלח את הקוד שלו בטעות למספר שלכם, הוא יכול לבקש קוד חדש
בעצמו.
4. אל תקליקו על קישורים אקראיים. אם חבר שולח משהו, תשאלו אותו מה זה והאם זה מיועד לכם. אם הסקרנות גוברת עליכם
ואתם נכנסים לקישור בכל זאת, חפשו טעויות דקדוק או קישורים מוזרים (למשל, קישור שמוביל לכתובת URL שאינה מתאימה
לשמה של החברה)
5. בנקים לא יוצרים איתכם קשר בוואטסאפ כדי לשאול שאלות. ואם אתם בכל זאת חושבים שהבנק עשוי ליצור איתכם קשר
באופן הזה, אמרו להם שאתם לא מוסרים שום מידע אישי או פרטי גישה בוואטסאפ, אלא רק דרך האתר הרשמי שלהם.
6. השתמשו תמיד בחנות האפליקציות הרשמית – Google Play Store או Apple App Store כדי לעדכן את וואטסאפ ואת כל
יתר האפליקציות שאתם משתמשים בהן.