הונאת דיוג
נוכלים מתחזים לגופים אמינים דרך אימייל, SMS או אתרים כדי לגנוב מידע אישי (סיסמאות, פרטי אשראי).
איך זה עובד
"דיוג" הוא סוג הונאה דיגיטלית שבו תוקפים מתחזים לגוף מהימן כדי לפתות את הקורבן למסור פרטים רגישים. ההונאה מתבצעת דרך דוא״ל מזויף (למשל הודעה שנראית כאילו נשלחה מהבנק או מרשות ממשלתית), הודעות SMS/ווטסאפ – המכונות "סמישינג", למשל: "חשבון הבנק ייחסם, לחץ לאימות", ואף שיחות טלפון – בהן המתקשר מתחזה לנציג תמיכה או בנק. ההודעה או השיחה מבוססת על יצירת דחיפות ולחץ: טענה שמישהו השתמש בכרטיס האשראי שלך, שצריך לעדכן סיסמה מיד, או שאם לא תפעל – החשבון ייסגר. תחת הלחץ, הקורבן עלול ללחוץ על קישור מזויף ולמסור שם משתמש, סיסמה, מספר כרטיס אשראי או קוד אימות (OTP). לרוב אתר ההתחזות נראה כמעט זהה לאתר אמיתי, עם הבדל זעיר בכתובת ה-URL (למשל bankleumi-secure.com במקום bankleumi.co.il). בישראל נפוצים מאוד מסרונים מתחזים לבנקים, לחברות שליחויות או לרשות המסים – למשל הודעת "דואר ישראל: החבילה שלך ממתינה ותוחזר לשולח, לחץ לתשלום אגרה". יש גם מתקפות דיוג מתוחכמות שגורמות לקורבן להתקין "אפליקציית אבטחה" מזויפת – בפועל נוזקה שמעניקה לתוקף גישה מלאה למכשיר. אחרי שהקורבן מסר את הפרטים, הנוכלים מנצלים אותם כדי לרוקן חשבונות בנק, לבצע רכישות או לגנוב זהות. תופעת ההונאות האלה הפכה לאיום מרכזי בעולם וגם בארץ, והיא רק מתגברת.
סימני אזהרה
- בקשה דחופה ולא צפויה: הודעה או שיחה בהולה בסגנון "אם לא תפעל מיד – החשבון ייחסם" או "יש בעיה חמורה, עדכן פרטים עכשיו". גופים לגיטימיים כמעט אף פעם לא מאיימים בסנקציה מיידית באופן כזה.
- פרטי שולח מחשידים: כתובת אימייל שאינה תואמת בדיוק לכתובת הרשמית (עם שינוי קטן או דומיין מוזר), או SMS ממספר לא מוכר. פנייה כללית כמו "לקוח יקר" במקום ציון שמך, ושגיאות כתיב או ניסוח עילג, מעידים על הונאה.
- קישורים וקבצים מצורפים: קישור בהודעה שאם בודקים אותו מגלים שכתובת ה-URL קצת שונה מהמקור – למשל, תוספת אות/מילה. גם קבצים מצורפים לא צפויים (כמו "חשבון לתשלום" כשלא ביקשת) – חשודים.
- בקשה למידע סודי: כל פנייה שמבקשת לספק סיסמה, מספר מלא של כרטיס אשראי, קוד אימות (OTP) או תעודת זהות – במיוחד דרך אימייל/SMS – היא כמעט בוודאות הונאה. בנקים לא יבקשו פרטי התחברות מלאים בהודעת טקסט.
- שיחת טלפון מבקשת קוד/סיסמה: בשיחת טלפון, אם מישהו שמציג עצמו כתמיכה טכנית או בנקאי מבקש שתמסור קוד שקיבלת ב-SMS או סיסמה – סימן אזהרה חמור. גם אם מספר הטלפון נראה מקומי, נוכלים יודעים לזייף Caller ID.
איך להתגונן
- עצור וחשוב לפני לחיצה או מסירה: קיבלת הודעה חשודה? אל תלחץ מיד על הקישור. היכנס ידנית לאתר הבנק או התקשר בעצמך למוקד הרשמי כדי לברר.
- אל תשתף קודים וסיסמאות: קוד אימות חד-פעמי, סיסמה, 3 ספרות בגב כרטיס האשראי – כל אלה הם סודות שאסור לחלוק. חברה לגיטימית לא תבקש ממך את הקוד שנשלח אליך ב-SMS.
- בדוק כתובת ואת זהות השולח: הסתכל טוב בכתובת האתר לפני שאתה מזין בו פרטים – ודא שהכתובת מדויקת לאתר הרשמי. באימייל, הרחב את פרטי השולח לראות את הכתובת המלאה.
- הגן על המכשירים והחשבונות: עדכן באופן קבוע את מערכת ההפעלה, הדפדפן ואנטי-וירוס. הפעל אימות דו-שלבי בחשבונות רגישים (דוא״ל, בנקאות).
- סייג ושאל שאלות: מול פנייה חריגה, במיוחד אם היא מלחיצה, שמור על ספקנות בריאה. שאל את עצמך: האם הבנק שלי באמת ידרוש דבר כזה בהודעת SMS?
- העלה מודעות בסביבה: ודא שגם הקרובים אליך מודעים לסכנות דיוג. עזור להורים מבוגרים לזהות שיחות והודעות חשודות.
דוגמאות חזותיות
מה לעשות אם נפלתם קורבן
- הפסק אינטראקציה מיד: אם קלטת בשעת מעשה שמדובר בהונאה – עצור. סגור את החלון החשוד, אל תמסור מידע נוסף ונתק את השיחה.
- אבטח חשבונות וסיסמאות: מסרת סיסמה או קוד? החלף עכשיו את הסיסמה באותו שירות. הפעל אימות דו-שלבי בכל חשבון אפשרי.
- יידע גורמים רלוונטיים: אם חשפת פרטי כרטיס אשראי, חשבון בנק או קוד אימות – התקשר באופן דחוף לחברת האשראי או לבנק ודווח שהפרטים כנראה נגנבו.
- סרוק את המכשיר שלך: במידה והורדת קובץ מצורף או אפליקציה במסגרת התקיפה, בצע סריקה מקיפה באמצעות תוכנת אנטי-וירוס/אנטי-נוזקה מעודכנת.
- דווח על האירוע: דווח על הונאת דיוג לגורמים המתאימים. בישראל, אפשר לפנות למערך הסייבר הלאומי (מוקד 119) לקבלת סיוע והדרכה. אם נגרם נזק כספי, הגש תלונה רשמית במשטרה.
- הפק לקחים והמשך בזהירות: הגבר ערנות להודעות חשודות, אשר תמיד פעמיים לפני שאתה ממלא פרטים דרך קישור שהגיע אליך, ושתף את המשפחה במה שקרה.