מערך הסייבר הלאומי והרשות להגנת הפרטיות: 6 המלצות לקראת מתקפות סייבר סביב ימי הקניות ברשת לארגונים ולציבור
מאת:
מערכת Telecom News, 20.11.22, 15:58
המערך והרשות להגנת הפרטיות פרסמו 6 המלצות לקנייה בטוחה עבור הציבור ו-6 הנחיות הגנה ושמירה על פרטי הלקוחות עבור ארגונים, במיוחד אלה העוסקים ברכישה מקוונת ובשליחויות.
הרשות להגנת הפרטיות ומערך הסייבר הלאומי מתריעים מפני התגברות ניסיונות של האקרים לנצל את ימי השיא של הקניות למתקפות למטרות גניבת כסף ופרטים אישיים ושיבוש הקנייה. המערך והרשות פרסמו היום עבור הציבור שורת המלצות לקנייה בטוחה וכן הנחיות הגנה ושמירה על פרטי הלקוחות עבור ארגונים, במיוחד אלה העוסקים ברכישה מקוונת ובשליחויות
.
בחודש האחרון בלמו מערך הסייבר הלאומי ואיגוד האינטרנט הישראלי ניסיון לרכוש 800 שמות אתרים מתחזים לאתרים מוכרים קיימים. בנוסף, בחודש האחרון התקבלו במוקד 119 של המערך כ-140 דיווחים על אתרים מתחזים, שכוונו אל קהל ישראלי, מתוכם כ-80 אתרים המתחזים לדואר ישראל
.
6 המלצות הרשות להגנת הפרטיות לארגונים וחברות:
1)
יש לשמור על ערנות ולבחון היטב את החיובים, שבוצעו בחודש זה. ריבוי העסקאות מאפשר הטמעת עסקאות מפוקפקות, שבוצעו על סמך מידע אישי, שדלף או שנגנב. מומלץ לעשות שימוש בשירותים דוגמת
Pasword Checkup או
Have I been Pwned או
Dehashed כדי לבדוק חשיפתן של סיסמאות או מידע אישי.
2)
דיווח לרשות להגנת הפרטיות - בעת התרחשות של אירוע אבטחה חמור, יש לדווח מיידית לרשות להגנת הפרטיות, בהתאם לחובה שבתקנה 11(ד) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. כ"כ, ניתן לפנות לרשות בכל חשד לאירוע אבטחה, תלונה בנוגע להתנהלות ארגון או שאלה כללית בנושא חובות אבטחת מידע.
3)
הכרת סביבת המחשוב - על הארגון להכיר את הסביבה הטכנולוגית בה הוא מעבד מידע ולוודא, שהתשתית, החומרה והמערכות מוגדרות, מעודכנות ומוכנות להתמודד עם תעבורת מידע מוגברת.
4)
ביצוע מבדק חדירות למערכות הארגון - לצד הגברת התעבורה המקוונת בתקופת הקניות, נצפית גם עלייה במספר והיקף התקיפות על ארגונים. לכן, מומלץ לבצע מבדק ייעודי המדמה תקיפות שונות על הארגון. בהתאם לתוצאות המבדק, יכול הארגון ללמוד אודות קיומם של פערים, פרצות וחולשות שונות, שלא קיבלו תשומת לב מספקת, ולתת לכך מענה.
5) יש לוודא, ש
אמצעי אבטחת מידע מוגדרים ומנוהלים בצורה יעילה - בין אם מדובר עם ניטור תחנות קצה, שרתים, ממשקים מקוונים, סביבת ענן וכיו"ב.
6)
גיבוי ושחזור - בעת אירוע, בחלק מהמקרים הארגון יאלץ להתמודד עם אובדן או נזק למידע באופן שלא יהיה זמין יותר לשימוש. על כן, על הארגון לוודא, שמערך הגיבוי תקין ויעיל, ושתהליכי השחזור זמינים ומאפשרים חזרה לשגרה בצורה הטובה והמהירה ביותר.
6 המלצות מערך הסייבר הלאומי לרוכשים באתרי הקניות:
1)
בדיקה וזיהוי אתרים מתחזים - לפני רכישה באתר מומלץ לוודא, שמדובר באתר אמין ובכלל זה לבחון סקירות אודות האתר, אם קיים דף ברשתות החברתיות, האם יש כתובת ומספר טלפון לפנייה, וכן לשים לב, שכתובת האתר בדפדפן מתחילה עם
https לצד סמליל של מנעול סגור ושהיא ללא שגיאות כתיב
.
2)
נסיונות דיוג – לשים לב להודעות חשודות, במיוחד על משלוחים, ולבדוק את המידע עם המידע של ההזמנה שבוצעה בפועל. עדיף להגיע לאתר דרך חיפוש בלתי תלוי, ולא לפתוח קישורים או צרופות.
3)
הכנת המכשירים לקנייה - מומלץ לוודא, שמערכת ההפעלה, האפליקציות, והדפדפן, מעודכנים לגרסה האחרונה, ולוודא, שמותקנות תוכנות אנטי וירוס
(Anti-Virus) ותוכנת חומת אש
(FireWall) מוכרות ואמינות
.
4)
הוספת אימות נוסף לסיסמה היכן שניתן -בהרשמה לאתר קניות או באפליקציות מומלץ להגדיר אימות נוסף כגון קוד שנשלח במסרון
.
5)
שמירה על כרטיס אשראי - יש לוודא, שיש לאתר תקן
PCI DSS, תקן של חברות האשראי המופיע לרוב בעת הכנסת פרטי התשלום. מומלץ לעקוב אחר חיובים, להוסיף אימות של קוד בעת רכישה באשראי או להשתמש בפלטפורמות תשלום דיגיטליות או בכרטיס נטען.
6)
עירנות לניסיונות הפחדה ושיבוש אתרים - במקרה של כניסה לאתר שהוחלף בו התוכן לתוכן מאיים או מזויף, יש להימנע מללחוץ על קישורים בו ולסגור את הדפדפן. ייתכן, שהאקרים ינסו להעמיס אתרים, כך שלא יהיו זמינים - מתקפת
DDoS. לרוב יש לנסות לחזור לאתר במועד מאוחר יותר. כ"כ, יש להימנע מהורדת קבצים מאתרים.
להלן
המלצות נוספות לציבור ולארגונים של המערך והרשות לקנייה בטוחה
.