BETA

27.08.2018

11:18

איום הונאות ה-SMS: האם מישהו נרדם בשמירה עלינו?

כל מי שהגיע לאולפנים אתמול, בעקבות סדרת הונאות ה"סמישינג", הקפיד לבקש מהציבור לגלות עירנות. אבל השאלות מאחורי התופעה הרבה יותר מטרידות - למשל, מי מרוויח מזה?

ׁ(בסרטון: כתבה על הונאות הרשת ששודרה בתוכנית הכל כלול)

 

אז אחרי שכמעט כל גופי התקשורת בארץ הטיפו לכם שאסור לפתוח קישורים זרים שנשלחים אליכם, ואחרי שכל הכותרות הזהירו מפני הונאה חסרת תקדים בהיקפה, הרי שהגיע הזמן לעשות קצת סדר בדברים. בעיקר מאחר ונראה שמרוב ההמולה התקשורתית, זו שנוצרה בחלקה על ידי כתבים שרק היום פגשו בתופעה המדהימה שנקראת "פישינג באמצעות SMS", כמה פרטים מעניינים הלכו כאן לאיבוד, ושאלות חשובות לא נשאלו. למשל, האם כל הבלאגן הזה יכול היה להימנע? מה חלקן של חברות הטלפוניה השונות בהונאות האלו, והאם הן מרוויחות מכך כסף? 

 

נתחיל מההתחלה. הונאות פישינג ("דיוג") אינן המצאה חדשה, ולמעשה קיימות עוד מאז שנשלח המכתב הראשון - ולא, אנחנו לא מתכוונים לזה האלקטרוני, אלא לאביו הרוחני עם הבול והמעטפה. בכל חודש אנחנו מדווחים בשלל אמצעי התקשורת על עשרות הונאות שכאלו, ובהן נעשה שימוש במייל אישי או פרופיל מזוייף ברשת חברתית שנועד לרכוש את אמונו של הקורבן ולגרום לו לפתוח קובץ זדוני מצורף – כל זאת במטרה לקבל גישה לנכסים הדיגיטלים אליהם יש לו גישה.  הנכסים הדיגיטליים הללו יכולים להיות קבצים שונים או ססמאות גישה למערכות, פרטי אשראי, נתוני מיקום ותנועה של הקורבן, ואולי אפילו גישה למיקרופון הסמארטפון או למצלמה שלו למטרות מעקב מבלי שאיש יידע זאת.

 

 הונאות הסמישינג של סוף שבוע האחרון
 

הונאות הסמישינג של סוף שבוע האחרון ( צילום מסך / מערך הסייבר)

 

הונאות SMS הן לא המצאה של סוף השבוע האחרון; רק תשאלו את רוב תושבי מדינת ישראל שנתונים תחת מבול תמידי של הודעות טקסט על הלוואות, ביטוחים ומשכנתאות מכל מיני מספרים עלומים, שנראה כי מדינת ישראל חסרת אונים מולם. למעשה מדובר בתופעה כל כך רחבה, משמעותית ונפרדת עד אשר זו זכתה לכינוי משלה: סמישינג (פישינג באמצעות SMS).

 

ההבדל בין סמישינג להונאה במייל

 

אז מה הופך פישינג באמצעות מסרונים לתופעה נפרדת? ובכן, כמה גורמים. הגורם הראשון הוא ההשקעה בהונאה עצמה. אם בהונאות מיילים נדרשת אנגלית גבוהה ויכולת עיצוב גבוהה לא פחות כדי לחקות במדוייק את השירות או האתר אליו התוקף מתחזה (ראו מקרה הונאת הנטפליקס מפניה התרענו אמש), הרי שבהונאת מיילים לא נדרש כמעט כל מאמץ שכזה. ה-SMS שהקורבן יקבל יורכב בדרך כלל ממשפט וחצי שיצליח לעורר את סקרנות הנמען, וקישור מקוצר לאתר המתחזה. במקרה שארע בסוף השבוע האחרון, הרי שההודעה שנשלחה לאלפי הישראלים נוסחה כך: "לקוח יקר, חבילת הסלולר שלך מסתיימת היום. לחידוש החבילה בעלות מבצע של 2.50 שקלים לחודש בצורה מאובטחת אונליין (וכאן צורף הקישור הזדוני)" – כלומר, הודעה פשוטה שמצליחה להניע לפעילות קורבנות שלא שמו לב לפרטים הקטנים – וזה בדיוק הגורם השני שהתוקפים מנצלים – חוסר עירנות.

 

בכל מה שקשור למיילים, הרי שרובנו מכירים היטב את תופעת הספאם והונאות הרשת השונות שרצות. מדי פעם מתרחשות הונאות מושקעות יותר, דוגמת זו שחשפנו כאן לראשונה במערכת המייליים של וואלה וזו של נטפליקס - אך במרבית המקרים הגולש מודע יותר לסוג הזה של התרמית ולכן הוא גם עירני יותר. בנוסף, מאחר ופלטפורמת המייל מורכבת מהרבה יותר מלל, ומרכיבים כמו גרפיקה רלוונטית – הרי שהסיכוי לטעות מצד התוקף עולה הרבה יותר מאשר בהודעת SMS קצרצרה. בנוסף, כשאנחנו מול המייל, רמת העירנות שלנו לפרטים קטנים גדולה יותר, מאשר בהודעת SMS. עד כמה העירנות הזו נמוכה? ובכן, שימו לב שבגל הודעות ה-SMS שנשלח בסוף השבוע האחרון לא צויינה חברת הסלולר של הקורבן – מה שלא הפריע לרבים (כולל לתקשורת עצמה) לא לשים לב לפרט הקטן אך המשמעותי הזה.

 

גורם נוסף שהופך את הונאות ה-SMS הללו ואת הסמישינג לתופעה כל כך נפוצה הוא היעדרן הכמעט מוחלט של הגנות אצל הקורבן – בכל רמה אפשרית. חישבו רגע – כמה מכם משתמשים בהגנה של אנטי וירוס לסלולר? והאם המוצרים הקיימים בשוק בכלל יעילים? ובכן, כל אלו גורמים למתקפות מסוג זה להיות בעלות סיכויי הצלחה גבוהים יותר מאשר הונאות פישינג רגילות באמצעות המייל.

 

ואם החמאס יקבל גישה לסלולרי שלכם?

 

אז מה ניתן בעצם לעשות כנגד התופעה הזו? אם להאמין לחדשות הערב, ולמומחים מסוימים מטעם עצמם שהגיעו לתוכנית אקטואליה שעסקה בנושא – הרי שמדובר במכת גורל משמיים, כזו שאנו חסרי אונים מולה והמענה היחיד הוא הגברת העירנות של הציבור. ובכן, אין שום דבר רע בהגברת העירנות - למעשה מדובר במטרה חשובה לכשעצמה – אך תוצאותיה מוגבלות מראש. כולם מתמקדים באלמנט ההונאה, אך אף אחד לא מתמקד בנתון המדאיג יותר – הגישה המהירה והבלתי אמצעית שיש לגורמים עויינים לציבור.

 

בסוף השבוע האחרון היה זה גורם עברייני עלום שהציף את המדינה בהודעות על מבצעים, אבל מה יקרה אם בפעם הבאה תהיה זו מדינה עויינת או ארגון טרור דוגמת החמאס שיקבל גישה בלתי אמצעית – כזו העוקפת כל מנגנון בקרה או פירסום כלשהו – ישירות אל הציבור? ומה אם אירוע שכזה יקרה, נאמר, בסמוך למערכת הבחירות הבאה של ישראל? האם גם אז האשמה תהיה על הציבור הבלתי מיודע? כנראה שלא. אז מה כן ניתן לעשות להבא? ובכן, כדאי להתחיל להפנות חלק מהשאלות הללו לחברות הסלולר, משרד התקשורת, למשטרה וגם – למערך הסייבר הלאומי.

 

איוב קרא
 

איוב קרא, שר התקשורת. אותו זה לא מעניין? (שבתרבות באר שבע)

 

 

כיצד קורה שהונאה פשוטה שכזו, המופצת לעשרות אלפים תוך שעות מעטות, מצליחה לחמוק ולעבור תחת הרדאר של ספקיות הסלולר השונות? אתם יודעים, אלו שבכל ימות השנה מתגאות בקמפיינים שלהן בהגנות סייבר מתקדמות - אך משום מה כושלות שוב ושוב במניעת מתקפות סייבר פשוטות שכאלו? רגע, לחסום? "איך הן בכלל יכלו לדעת שמדובר בהונאה נרחבת?", אתם ודאי שואלים, אבל גם התשובה הזו די פשוטה. חיפוש פשוט בגוגל של הכתובת שצורפה להודעות ה-SMS שהיכו את המדינה בהונאת הסלולר, מעלה שלל תוצאות שמעידות על כך כי מדובר בתופעה מוכרת שרבים התריעו מפניה במדינות שונות כבר שבועות ארוכים.

 

לא רק חיפוש בגוגל, אגב, יניב תוצאות כאלה – גם מבט חטוף באתר מערך הסייבר מניב אזהרה שהנפיקו שם לציבור הרחב מפני הונאות שכאלו. אז איך קורה שבכל זאת המתקפות הללו יוצאות לפועל? ובכן, פשוט מאוד – למי בדיוק יש אינטרס כלכלי לתפעל מערכת מניעה שתגן על הציבור הרחב מפני הונאות שכאלו? איזו חברה תוציא כסף על מערכת שלא רק שלא תניב לה הכנסות, אלא אף עלולה לפגוע לה באלו – שהרי יתכן ומישהו מרוויח בסופו של דבר מהטראפיק במסרונים? האם שום נורה אדומה לא נדלקה במערכות החברות הללו, שעה שאלפי הודעות זהות נשלחו לציבור עם אותו קישור זדוני (שכאמור מוכר כבר במאגרי חברות אבטחת מידע)?  

 

מערך הסייבר, הכירו את ה"הודעות לתקשורת"

 

ואיפה משרד התקשורת בכלל העניין הזה? מדוע לא נשמע קולו בנושא כל כך רגיש? האם אין ביכולותו לדרוש סינון מינימלי מחברות הסלולר כדי למנוע הישנות מקרים כאלו? עד מתי נסמוך על יכולת הציבור להגן על עצמו ונדרוש הגנה פרו-אקטיבית גם על הגישה למסרונים? האם כל גורם עלום יכול להפיץ הודעות לכלל תושבי המדינה ללא שום בקרה כלשהי? לא ברור. בשלב הזה, כאמור, מדובר על רק על הונאת כרטיסי אשראי. אולי בוועדת החקירה הממלכתית הבאה יתעוררו – כאשר זו תחקור כיצד מדינה עויינת הצליחה לזרוע פאניקה בציבור ולהטות את הבחירות הדמוקרטיות בישראל עם הודעות SMS שיקריות.

 

ומילה אחרונה למערך הסייבר הלאומי: אין ספק שההתנהלות של הגוף הזה צועדת לכיוון הנכון – בייחוד ביחס להתנהלות של רשות הסייבר לפני כן. ניכר שמנסים להשקיע שם מאמצים עם התרעות מפורטות – אבל מה הטעם בלעשות את כל אלו בשקט ובסתר מבלי ליידע את גופי התקשורת הרלוונטים? מדוע מתעקשים שם לעבוד רק עם עמוד פייסבוק זעיר המונה פחות מ-2,500 עוקבים? כאמור, בארגון התריעו על גל ההונאות הללו כבר ב-15 לאוגוסט, אבל הם ההודעה הזו מצאה דרכה לציבור? שלילי. האם ההודעה הזו מצאה עצמה לגופים העסקיים שמונים על השירותים הללו? לא ברור. אם חלק גדול מהקרב כאן הוא מלחמה על התודעה של האזרחים, הרי שטוב יעשו שם אם יתחילו לקחת את הנושא לידיים ולדאוג שהתקשורת עצמה תתודרך בנושא. ועד שכל אלו יקרו, איך אמרו אתמול בכל הערוצים? "אל תלחצו על קישורים ממקורות זרים".