זהירות: כך חודרים לחשבון הבנק שלכם

בצעד חריג מפרסם הבוקר בנק ישראל הוראות להתגוננות מפריצה של האקרים לחשבון הבנק שלכם • חיקוי של ענקית התשלום האינטרנטית 'פייפאל' איימה לאחרונה על עשרות אלפי ישראלים • המדריך המלא

סייבר
סייבר

המהפכה הטכנולוגית משנה את החיים בתחומים רבים וגם את האופן בו לקוחות צורכים את שירותי הבנקאות, ומאפשרת לצרוך חלק ניכר מהשירותים באמצעות ערוצי הבנקאות הדיגיטלית בנוחות, בכל שעה, ללא הגעה לסניף, באמצעות המחשב והטלפון הנייד ובעלויות נמוכות יותר ללקוח. התפתחות זו מביאה עמה גם סיכונים. המערכת הבנקאית משקיעה משאבים רבים בהפחתת סיכונים אלו אולם חשוב שגם הציבור יהיה ערני וינהל את הסיכונים.

מנתוני בנק ישראל עולה כי בשבועות האחרונים התרחשו מספר אירועי ניסיון הונאה של לקוחות הבנקים, באמצעים טכנולוגיים. ההיקף הכספי של ההונאות הוא מזערי, וללקוחות לא נגרם נזק כספי.

זו גם הסיבה לכך שהבוקר הוציא הבנק הודעה מיוחדת ובה הוא מפרט את האיומים שבנסיונות הדיוג (פישינג), לצד המלצות בדבר התמודדות עם ניסיונות הונאה מסוג זה, כדי להגביר את הערנות ותשומת הלב של הלקוחות ולהפחית את סיכויי ההצלחה של ניסיונות ההונאה. זאת, בנוסף על פעולות הפחתת הסיכונים שהבנקים מבצעים באופן שוטף.

על פי הבנק, הכלל הראשון הוא שעל הלקוחות להגביר את ערנותם בעיקר בעת קבלה של הודעת דואר אלקטרוני (דוא"ל) או מסרון בהם הם מתבקשים להזין אמצעי זיהוי, פרטי חשבון או מספר כרטיס אשראי.

"במחצית השנה האחרונה אנו עדים להתגברות ניסיונות של הונאות מסוג פישינג (דיוג-Phishing) כנגד לקוחות המערכת הבנקאית, במטרה לגנוב כספים מחשבונותיהם. הגורם העוין (התוקף) מנסה בשלב ראשון לגנוב פרטי זיהוי של הלקוח, המשמשים לכניסה לחשבונו באתר האינטרנט של הבנק או באתרים של חברות תשלומים, ובדרך כלל גם פרטים אישיים נוספים כמו פרטי כרטיס אשראי של הלקוח. באמצעות פרטים אלו מנסה התוקף להעביר כספים מחשבונו של הלקוח לחשבון אחר ממנו יכול התוקף למשוך את הכספים, ו/או לבצע עסקאות בבתי עסק", נכתב בהודעת הבנק.

בבנק אף הוסיפו ופירטו כי "בשבועות האחרונים בוצעו ניסיונות גניבת פרטים אישיים של לקוחות תוך התחזות לחברת PayPal המשמשת בין היתר לבצע תשלומים על רכישות באינטרנט, בארץ ובעולם".

על פי הודעת בנק ישראל, דפוס הפעולה של התוקף כולל שליחת דוא"ל באנגלית או בעברית למספר גדול מאד של אנשים פרטיים, בתקווה שכמה מהם יחשבו שמדובר במייל לגיטימי מחברת PayPal ולכן יספקו את הפרטים שיאפשרו לתוקף לבצע את ההונאה. בהודעת הדוא"ל 'מסבירים' ללקוח שלטובתו, עליו להזין את הפרטים האישיים, היות וקיים חשש שגורם זר עשה שימוש בכרטיס האשראי שלו. הלקוח מתבקש להקיש על צרופה, שמעבירה אותו לדף שמתחזה מבחינה ויזואלית לאתר החברה ובו הוא מתבקש לספק את הפרטים: קוד זיהוי לאתר האינטרנט של הבנק וסיסמא, מספר חשבון, סיסמת הלקוח בחברת PayPal, תעודת זהות, שם פרטי ושם משפחה, כתובת פיסית, תאריך לידה, שם האם לפני נישואין, מספר טלפון, מספר כרטיס אשראי, תוקף, ואת שלוש הספרות האחרונות בגב הכרטיס.

"בניסיונות הונאה אלו הצליחו התוקפים לגרום לבנקים נזק כספי מזערי בהיקף של כמה עשרות אלפי שקלים ולא נגרם נזק ללקוחות. כך, באירוע הנוכחי הבנקים בחנו כל פניה באופן פרטני וקיבלו החלטה האם לזכות את הלקוח בהתאם לנסיבות", צויין בהודעת הבנק. עוד נכתב בהודעה כי "לצד פעילויות ההגנה והאבטחה הננקטים על-ידי הבנקים באופן שוטף, הפיקוח על הבנקים מוצא לנכון ליידע את לקוחות הבנקים בדבר ניסיונות ההונאה האחרונים ולחדד את ההמלצות בדבר התמודדות עם ניסיונות הונאה מסוג זה, כדי להגביר את ערנותם ותשומת הלב ולהפחית את סיכויי ההצלחה של ההונאה".

מספר המלצות כיצד על הלקוחות לפעול לצמצום הסיכונים וכיצד הם יכולים לזהות ניסיונות פישינג:
• אין למסור בשום מקרה אמצעי זיהוי ופרטים אישיים אחרים, גם אם הנימוקים נראים משכנעים (כגון: הצורך לעדכן פרטי הלקוח במערכת לשיפור השירות, שדרוג אמצעי אבטחה לטובת הלקוח, וכד'). הבנק או חברות כמו PayPal לעולם לא יבקשו באמצעות הדוא"ל שהלקוח יזין פרטים אלו. בקשה לעדכון פרטים נעשית רק לאחר תהליך זיהוי לקוח, לדוגמא, באמצעות אתר הבנק או החברה.
• יש לוודא שכתובת השולח מוכרת ללקוח (לדוגמא, חברה שהלקוח מנוי בה) ולבדוק שהכתובת מדויקת (לדוגמא, שכתובת PayPal כתובה נכון ולא עם שגיאה אפילו מינורית כדוגמת תוספת או החלפת אות).
• יש לבדוק את תוכן ההודעה, האם הוא כללי (לדוגמא, נוסח "לקוח יקר" ללא פרטי הלקוח אמור להעלות חשד) והאם הוא בשפה עברית כאשר מדובר בבנק בישראל או בחברה מקומית, האם הנוסח תיקני והולם וללא שגיאות ניסוח ו/או שגיאות כתיב. דוא"ל בשפה עילגת או בשפה שונה מזו שבה החברה או השירות נוהג להתכתב עם הלקוח, ייחשב כחשוד.
• יש לבדוק ככל שניתן את כתובת הקישור, לוודא שהיא מוכרת ללקוח וכתובה נכון. בקישור שהתקבל במייל ניתן לבדוק גם ע"י עמידה עם העכבר על הקישור וצפייה בכתובת היעד.
• יש לשים לב גם להודעות SMS או WhatsApp שמתקבלות במכשיר הטלפון הנייד עם קישור לאתרים וכמובן להודעות דוא"ל, SMS או WhatsApp חשודות שמתקבלות לכאורה מבנק או מחברת כרטיסי אשראי.
• מומלץ להתקין תוכנות הגנה במחשב האישי ובמכשיר הטלפון הנייד וכן להקפיד על עדכניות מערכת ההפעלה.

בבנק ישראל מדגישים כי "התפתחות הבנקאות הדיגיטלית, כמו התפתחויות דיגיטליות בשלל תחומי החיים, טומנת בחובה ערך רב לציבור ולכן הפיקוח על הבנקים מעודד את לקוחות הבנקים להגביר את השימוש בערוצים הישירים. כידוע, המהפכה הדיגיטלית מייצרת גם סיכונים לפרטיות ולאבטחת המידע. לכן בצד ההשקעה המתמשכת של התאגידים הבנקאיים בניהול הסיכונים הכרוכים בשימוש בבנקאות הדיגיטלית, על ציבור הלקוחות להגביר את הערנות כלפי הודעות דוא"ל, מסרים או מסרונים ולהשהות את תגובתו עד שבדק את מהימנותם. אם ללקוח יש ספק, הרי שאין ספק ומוטב לא להיענות להודעה או ללחוץ על הקישור לפני בדיקה מול הבנק או החברה הרלוונטיים".

השארת תגובה