בעידן שבו כל פעולה יומיומית מתבצעת בלחיצת כפתור, ההונאות הדיגיטליות הפכו למתוחכמות יותר, ובעיקר מותאמות להרגלים שלנו. הן מתחזות לגורמים לגיטימיים, פונות לרגש שלנו, ובמקרים רבים גם מצליחות. בשיחה עם ice, מסביר שרון קספר, מנהל מודעות הסייבר בבנק הפועלים, כיצד פועלות השיטות החדשות, מדוע דווקא המשתמשים הזהירים עלולים ליפול בפח, ואילו צעדים פשוטים עשויים למנוע את הנזק עוד לפני שהוא מתחיל.

קספר מבקש להתחיל דווקא מהבסיס, כדי להדגיש עד כמה ההונאות האלה הן כבר חלק בלתי נפרד מהיומיום שלנו. הוא מתאר תופעה יומיומית שמתרחשת בכל מקום ובכל זמן. "במדינה שבה כמעט לכל אזרח יש סמארטפון ומייל פעיל," פותח קספר, "ההונאות הדיגיטליות הן לא רק איום טכנולוגי אלא חלק מהמציאות היומיומית. הן מופיעות בתדירות מטרידה והופכות למתוחכמות יותר עם הזמן".

לדבריו, "כמעט כל אחד מאיתנו נתקל בהן, לעיתים יותר מפעם ביום, לעיתים בלי להיות מודע לכך כלל." וכשזה קורה לעיתים תכופות כל כך, חשוב להבין גם איך בדיוק זה נראה בפועל. "הן מגיעות במעטה מוכר ומרגיע," מסביר קספר. "הודעת טקסט קצרה שמודיעה על בעיה בחשבון הבנק או חסימה צפויה באפליקציית התשלומים, הודעת וואטסאפ שמבקשת קוד אימות או מייל ממקור שנראה לגיטימי".

לפי קספר, העוקץ מתחיל בלחיצה אחת, לכאורה תמימה, שמובילה למקום הלא נכון:  "הלחיצה על הקישור בהודעה מובילה לאתר שנראה מוכר לחלוטין. העיצוב דומה, הלוגו מדויק, השפה רשמית, והשורות הקטנות משכנעות." בנקודה הזו, הוא מוסיף, מגיע רגע המבחן: "ואז מופיעה הבקשה להזין פרטי זיהוי או פרטי אשראי. ברגע הזה, ללא שהיות מיותרות, המידע נשלח ישירות לידי נוכלים מיומנים שכבר יודעים בדיוק מה לעשות עם הפרטים הרגישים שלנו".

אבל לא מדובר רק במיילים או הודעות טקסט. בבנק הפועלים מזהים את ההונאות גם דרך התחזויות לשירותים מוכרים מהשגרה הדיגיטלית שלנו. "התחזות לאפליקציית ביט, לדואר ישראל ולבנקים היא אחת מתופעות ההונאה הוותיקות והנפוצות ביותר בישראל," אומר קספר. "לאחרונה ניתן לראות הרחבה של דפוסי ההתחזות לשירותים נוספים כמו פנגו, כביש 6 וחברת החשמל, לרוב בניסיון ליצור תחושת דחיפות סביב חוב או תקלה ולפתות את המשתמש להיכנס לאתר מתחזה ולמסור פרטים אישיים או פרטי אשראי".

לדבריו, חלק מהבעיה טמון גם בזמינות הטכנולוגית שמאפשרת את ההונאה: "כיום תהליך יצירת מסרון מזויף והקמת אתר מתחזה הפך לפשוט ונגיש משמעותית, בין השאר בזכות כלים מבוססי בינה מלאכותית, מה שמעלה את הסיכון ומרחיב את היקף התופעה".

אבל הזירה הדיגיטלית היא רק חלק מהתמונה. קספר מתאר כיצד ההונאות חורגות גם אל המרחב הציבורי, ומתחזות למה שנראה תחילה כמו מסמך לגיטימי. "בשנים האחרונות החלו להופיע הונאות מסוג אחר. מישהו מדביק על שמשת הרכב שלכם דו"ח חניה שנראה אמיתי לכל דבר. יש חותמת, מספר דוח, ולצידו קוד QR לתשלום".

לדבריו, גם כאן, כמו בהונאות הדיגיטליות, המנגנון מבוסס על אמינות מדומה: "אתם סורקים, הדפדפן נפתח, והאתר אליו אתם מגיעים נראה תקני לחלוטין. למעשה, מדובר באתר מזויף שהוקם במיוחד כדי לגנוב את הפרטים שתקלידו בו." העיקרון החוזר, הוא מוסיף, נשען על אותו מנגנון מוכר: "גם כאן, כמו במסרונים, הכוח נמצא בתחפושת המדויקת ובאופן שבו היא מתיישבת באופן טבעי עם ההרגלים הדיגיטליים שלנו".

התחפושת המדויקת הזו מחדדת שאלה עמוקה יותר על מה גורם לאנשים ליפול בפח. "יש כאן הונאה מסוג אחר," מבהיר קספר. "זו אינה פריצה למערכת אלא פעולה שמבוססת על אמון שנוצל. התחזות חכמה שמבקשת לנצל רגע של חוסר תשומת לב." לדבריו, הקורבנות לא נופלים בגלל חוסר ידע, אלא להפך: "הם לא טועים משום שהם חסרי הבנה. להפך. לעיתים קרובות הם נופלים דווקא משום שהם פועלים באחריות. הם רוצים להסדיר חוב, לאמת פרטים, לשלם בזמן. בדיוק על כך סומכים אותם נוכלים".

דווקא בגלל שהמניעים כל כך אנושיים, קספר מדגיש עד כמה חשוב לא לפעול אוטומטית, אלא לאמץ כמה כללי זהירות פשוטים. "כדי להגן על עצמכם, חשוב להימנע מלחיצה על קישורים שמגיעים בהודעות טקסט או בדוא"ל גם אם נראה שמדובר בגורם רשמי", ממליץ קספר. "במקום ללחוץ, פתחו את הדפדפן וחפשו את האתר בעצמכם או הפעילו את האפליקציה של השירות המותקנת במכשירכם".

לדבריו, כדאי לשים לב גם לשימוש בקודים ויזואליים שמופיעים במרחב הציבורי: "אל תסרקו קודי QR שמודבקים על רכבים, שלטים או מסמכים מזדמנים ברחוב, במיוחד כאשר לא ברור מי הגורם ששלח אותם." כמו כן, "אם כבר נכנסתם לאתר, שימו לב לכתובת המלאה בשורת הדפדפן. לעיתים מדובר בשינוי קל מאוד בשם, אך כזה שמרמז על זיוף. ואם עולה ספק קל, עדיף לעצור ולברר. כי לחיצה אחת חפוזה יכולה להוביל לאובדן כספי משמעותי".

בנוגע לאפליקציית ביט: "ההמלצה המרכזית היא להימנע ככל האפשר מלחיצה על קישורים בהודעות SMS, גם אם הן נראות לגיטימיות. עדיף תמיד לגשת לשירות הרצוי באופן יזום, דרך האפליקציה הרשמית או בחיפוש עצמאי בגוגל ולא דרך קישור שמגיע בהודעה".

עוד ב-

סכנה חדשה למשתמשי ChatGPT: זו הפעולה שיכולה לחשוף מידע רגיש

לכתבה המלאה

ולמרות כללי הזהירות הברורים, השאלה שנותרה פתוחה היא האם בכלל אפשר להקדים את התוקפים בעולם שמתעדכן כל הזמן. "הונאות דיגיטליות לא ייעלמו," קובע קספר. "הן ילכו וישתכללו, יתאימו את עצמן להרגלים החדשים שלנו וינסו להקדים אותנו בצעד אחד. אבל ככל שנהיה מודעים, סקפטיים ומדויקים, נוכל להקדים אותן חזרה".