למה פושעי סייבר רוצים את מספר הטלפון שלכם

למאמר הבא
ESET

פושעי סייבר ממשיכים לצבור רווחי עתק מסוגים שונים של הונאות. בשנים האחרונות, רבות מההונאות האלה נוהלו על ידי קבוצות פשע שמפעילות מתחמים מיוחדים להפעלת הונאות בדרום-מזרח אסיה, שבה אנשים שנפלו קורבן לסחר אדם מבצעים הונאות מתקדמות בכפייה, כמו ״פיטום חזירים״ (Pig Butchering - הונאה בה מטפחים קשר עם אדם באופן מתמשך כדי להוציא ממנו כסף רב ולהיעלם).

במרבית המקרים, הטקטיקות השונות כוללות יצירת תרחישים שדורשים פעולה מיידית או הסתמכות על תחבולות אחרות, כמו יצירת מצג שווא של השתלטות על חשבון בנק או חשבון PayPal, הדבקת מכשירים בנוזקות, בעיות במסירת משלוחים, וכמובן גם הונאות אחרות שמנצלות את כוחה של בינה מלאכותית. בניגוד לאלה עומדת טקטיקה ארוכת טווח אחת, שכוללת יצירת מערכות יחסים מקוונות מזויפות.
הבסיס לרבים מסוגי ההונאות הוא פישינג או מתקפות הנדסה חברתית אחרות. ההצלחה שלהן מתבססת על העלות הנמוכה והרווח הגבוה שלהן ועל האפשרות להגדלת היקף הפעילות שלהן. במקרים מסוימים, מתקפת פישינג מוצלחת אחת יכולה ליצור רווח שיכסה את כל עלות הפעילות של ההונאה.

דברו איתי במספרים

כעת נבחן את האופן בו מספרי טלפון נכנסים לתמונה; מדוע הם, יחד עם שמות משתמש וסיסמאות, מועילים כל כך לפושעי סייבר; וכיצד ניתן לנצל אותם למטרות זדוניות.

פישינג באמצעות SMS ופריצה

בתור התחלה, גורמים זדוניים יכולים לתקוף אתכם באמצעות נוזקות המוסוות כקישורים או קבצים מצורפים תמימים שלמעשה יתקינו רוגלות או נוזקות אחרות על המכשיר שלכם, או ידליפו ממנו נתונים. לחילופין, הם יכולים לשלוח לכם הודעות שנועדו לגרום לכם למסור את שמות המשתמש והסיסמאות שלכם או מידע אישי אחר לאתרי פישינג.

הודעות פישינג ב-SMS שמנסות להשיג את שם המשתמש והסיסמה לחשבון ה-PayPal

העברת שיחות, וזיוף מספרי שיחה מזוהה

למרות עלייתה של התקשורת הדיגיטלית, שיחות טלפון והודעות SMS עדיין ממשיכות לשמש כשיטה אמינה להעברת מידע מסווג.
• בהונאות העברת שיחות, פושעי סייבר יוצרים קשר איתכם או עם ספק שירותי התקשורת שלכם, וגורמים לכך ששיחות טלפון
   יועברו מהמספר שלכם למספר אחר שנמצא בשליטתם. הספק ודאי יבקש לאמת את הבקשה, אך ייתכן שהרמאי כבר הצליח
   לשים את ידיו על מידע אישי נוסף שלכם (באמצעות הדלפות נתונים או ממקורות ציבוריים), מה שהופך את ההונאה הזאת
   לקלה לביצוע.
• פושעי סייבר יכולים לזייף את המספר המוצג בשיחה המזוהה באמצעות התחזות למספר שלכם תוך כדי שימוש בשירותי VoIP
   (שיחות על בסיס אינטרנט – Voice Over IP). כתוצאה מכך, אותם פושעים יוכלו להסוות את זהותם בזמן שהם מבצעים
   הונאות כספיות ופשעים אחרים ולהתחזות אליכם או לאדם אחר שאתם בוטחים בו.

מה הופך את כל ההונאות האלה לאיום גדול כל כך? בימינו, רבים מהשירותים המקוונים מסתמכים על מספר טלפון לאימות או לשחזור גישה לחשבון. פריצה למספר הטלפון שלכם יכולה להוות צעד ענק לקראת עקיפת מנגנוני ההגנה האבטחתיים שהגדרתם, כמו אימות רב-שלבי. בנוסף, רמאים עשויים להתחזות אליכם ולרמות את אנשי הקשר שלכם, או את המעסיק שלכם.

מתקפות להשגת מידע עסקי

בימינו, רבים מהעובדים משתמשים בטלפונים האישיים או בטלפונים של החברה בה הם עובדים כדי לבדוק הודעות הקשורות לעבודה. המצב הזה יוצר וקטור תקיפה איכותי למדי, שכן מחשבים הפסיקו להיות נקודת הגישה הבלעדית ממנה ניתן לפרוץ לחברות. פושעי סייבר יכולים להתחזות למנהלים בארגון או למחלקות הכספים כדי לבקש העברות כספים למטרות ״עסקיות״.
ואכן, מטרת העל של מרבית פושעי הסייבר היא קבלת גישה למערכות ולכספים של חברות שונות. גם הגורם האנושי משחק תפקיד מכריע בהונאות מהסוג הזה. לרוב אנחנו לא טורחים לאמת את הלגיטימיות של בקשות כאלה לפני שאנחנו מבצעים אותן, מה שגורם למרבית מתקפות הפישינג להצליח ולגרום בסופו של דבר לנזק כספי משמעותי לעסקים.

הונאות מנכ״לים

דמיינו לעצמכם שאתם עובדים כרואה חשבון בחברת כספים גדולה. אתם באמצע קובץ אקסל ולפתע מקבלים שיחת טלפון, שנראית כאילו היא מגיעה מהמנהל שלכם, ובה אתם מתבקשים להעביר כסף לעסקה שהצלחתה תלויה רק בכך שתפעלו מהר. הונאות כאלה הן לא דמיוניות, אלא מציאות של ממש. מכיוון שנראה כאילו השיחה מגיעה ממספר הטלפון של המנהל שלכם, סביר שלא תשאלו את עצמכם אם הבקשה לגיטימית או לא – ואתם בהחלט לא לבד.
כיום, הונאות כאלה מקבלות חיזוק מכלי בינה מלאכותית, וגורמים זדוניים משתמשים בזיוף קולי כדי להתחזות לאנשים אחרים בצורה מוצלחת יותר (למקרה שזיוף המספר המופיע בשיחה המזוהה לא היה מספיק).
אם כך, מה עלינו לעשות בזמנים מסוכנים כאלה?

חיזוק רשת הבטיחות

למרבה המזל, ישנן מספר דרכים שיסייעו לאנשים פרטיים ולעסקים להגן על עצמם מפני הונאות טלפוניות:
אימות: אל תענו לשיחה או הודעה ממספר לא מזוהה, ובכל מקרה בו גורם ״אמין״ מבקש ממכם למסור נתונים אישיים, התקשרו
   אליו באופן יזום ובדקו אם הבקשה שקיבלתם אכן הגיעה מהם.
היזהרו לפני שאתם משתפים מידע: כדי למנוע איסוף של מידע נוסף עליכם, שימו לב לסוג והיקף המידע האישי שאתם
   מפרסמים ברשת. טבעה של התחזות היא הצגה של אדם אחד כאדם אחר שהוא מכיר, ולכן מומלץ לנסות ולצמצם את החשיפה
   הציבורית שלכם.
שכחו מאימות באמצעות SMS: כדי למנוע הונאות, הגנו על החשבונות שלכם באמצעות אימות דו-שלבי שמבוסס על
   אפליקציות אימות במקום אימות באמצעות SMS. ניתן ליירט הודעות SMS בקלות רבה, מה שמאפשר לפושעים פשוטים לפרוץ
   לחשבונות שלכם בקלות.
השתמשו בפתרון אבטחה למכשירים ניידים:תוכנת אבטחה למכשירים ניידים יכולה לזהות מתקפת פישינג, בין אם היא
   מתבצעת באמצעות שיחה ובין אם היא מתבצעת באמצעות הודעות. עסקים יכולים להיעזר בפתרון להגנה מאיומים למכשירים
   ניידים ובפתרון לאימות מאובטח כדי להתמודד עם איומים כאלה.

מספר טלפון יכול לשמש כדלת כניסה לפושעי סייבר ולהוביל לפריצה עסקית אדירה ולנזקים שנאמדים במיליונים. לכן כדאי להקפיד שיהיה פרטי ככל האפשר – בדיוק כמו כל פרט מזהה אישי ייחודי אחר. מכיוון שמתקפות פישינג ממשיכות להוות איום ממשי, אנחנו ממליצים לשמור על ערנות ולזכור: וידוא ואימות הם דרך המלך לשמירה על בטיחות במרחב הדיגיטלי!