בעולם שבו הכל נמצא באינטרנט, אנו נוטים לחשוב שאם נתקין מערכת אבטחה כזאת או אחרת אנו נהיה מוגנים מפני גניבה אך לא כך הדבר. עולם הפשע הפיזי עבר בזמן האחרון לשימוש באינטרנט היות וגילה את האפשרויות העצומות של ביצוע עבירות מבלי להסתכן פיזית בפעולה בשטח. אחת מהדרכים הבולטות לשימוש של עבריינים באינטרנט לשם ביצוע עבירות הוא באמצעות פישינג/דיוג (באנגלית Fishing או Phishing).
אז מה זה בעצם פישינג
פישינג הינה שיטה שמטרתה השגת מידע רגיש כגון סיסמאות, פרטי כרטיס אשראי, קוד סודי, מספרי חשבונות בנק וכדומה באמצעות הודעת דואר אלקטורני או מסנג'ר המכיל קישור לאתר מתחזה. באמצעות שיטה זו הקורבן מוסר מידע חסוי היות והוא מאמין שהוא בקשר עם אתר אותנטי ואמין אותו הוא מכיר. למעשה הקורבן מעביר את המידע לאתר מתחזה אשר מנוהל על ידי עבריינים אשר עושים שימוש במידע על מנת לגנוב כספים, לבצע פעולות בשמו של הקורבן ו/או עבירות. רק בשביל לסבר את האוזן עד כמה פישינג הוא נפוץ, בחצי הראשון של שנת 2014 דווחו באתר www.antiphishing.org יותר מ-260,000 אתרי פישינג בעולם.
כיצד מתבצעת השיטה
השיטה הינה פשוטה מאוד. העבריין רושם כתובת אינטרנט הדומה לאתר אמיתי כך שמי שמקבל הודעה מהאתר המזויף אינו חושד כי מדובר למעשה במתחזה. רק תשומת לב מדוקדקת לפרטי הכתובת תביא למסקנה כי מדובר בכתובת מזויפת ולא בהודעה אמתית מהאתר. לאחר מכן ישלח העבריין הודעת דואר אלקטרוני, הודעה במסנג'ר של הפייסבוק או בכל דרך אחרת לקורבן. בהודעה הוא מציין כי עליו ללחוץ על לינק ולהיכנס לחשבונו בדחיפות וזאת ממגוון סיבות (נעשה ניסיון לפרוץ לחשבון, יש הצעה אטרקטיבית עבורו וכדומה). מי שילחץ על הלינק יגיע לאתר הנחזה להיות בדיוק אותו אתר עם אותו לוגו ואותן אפשרויות אך זהו למעשה צל של אותו אתר ואינו האמיתי. הקורבן יזין את שם המשתמש והסיסמה לאתר אולם כאשר ינסה להתחבר הוא יקבל הודעת שגיאה או "ייזרק" החוצה מהמערכת. בשלב זה למעשה יש בידי העבריין את שם המשתמש המקורי של הקורבן והסיסמה כך שהוא יכול לגשת לאתר המקורי, להתחבר אליו ולבצע את העבירות. ניסיון של הקורבן להתחבר בשנית לאתר המקורי יגלה לו כי בחשבונו בוצעו עבירות שונות בין אם באופן מידי ובין אם לאחר מספר שעות/ימים/שבועות. בין העבירות הנפוצות באמצעות פישינג ניתן לראות גניבת כספים מחשבונות בנק, ביצוע רכישות בכרטיסי אשראי, הפצה של דברי שטנה באמצעות הפייסבוק וכדומה
כיצד נגן על עצמינו
- אם קיבלת דואר אלקטרוני אליו מצורף לינק פתח דפדפן עצמאי והתחבר באופן ישיר לאתר ולא באמצעות הלינק.
- דואר אלקטרוני או הודעת מסנג'ר כזאת או אחרת המלווה בבקשה להשבה מידית ודחופה אשר מכילה פרטים של הקורבן, סביר שהיא פישינג
- הימנע מלמסור פרטים על חשבונותיך האישיים באמצעות דואר אלקטרוני לכל גורם ובטח לגורמים אשר מבקשים גישה לחשבונות בהם יש כסף ו/או הינם רגישים.
- האמרה המפורסמת הקובעת שאם דבר הוא טוב מידי הוא בטח מזויף, תקפה גם כאן. הצעה אטרקטיבית מאוד (!!!) לרכישת מוצר שתקפה למספר דקות, סביר שהיא מזויפת ויש לחשוד בה ככזאת.
- בנקים אינם יוצרים קשר עם לקוחות באמצעות דואר אלקטרוני (!!!)
- יש לשים לב לכתובת האינטרנט שממנה מגיעה הפנייה. קל מאוד לזייף אתר אינטרנט על ידי השמטה או הוספה של אות כזאת או אחרת. במבט ראשון כתובת האתר תראה אמיתית אך במבט שני ניתן יהי להבין שאין כך הדבר ולמעשה מדובר באתר המתחזה להיות האתר המקורי.