קיבלתם מייל מ-Airbnb? האקרים מנצלים את תקנות הגנת הפרטיות האירופיות
מאת:
מערכת Telecom News, 22.5.18, 14:40
הדוא"ל המזויף נראה די דומה לזה הנשלח ע"י Airbnb וטוען, שבשל כניסת תקנות ה-GDPR, המשתמשים צריכים לקבל מדיניות פרטיות חדשה. סביר להניח, שבתקופה הקרובה נראה עוד הונאות מסוג זה.
בשבועות האחרונים לקוחות
Airbnb קיבלו מייל על כך, שהחברה מעדכנת את מדיניות הפרטיות שלה בעקבות תקנות ההגנה על פרטיות הגולשים באירופה (
GDPR). מי שניצל את זה היו עבריינים, שראו בכך הזדמנות לגנוב פרטי כרטיס אשראי ומידע אישי מהלקוחות באמצעות אתרים מתחזים.
מאחר שתקנות הגנת הנתונים הכלליות של האיחוד האירופי (
GDPR) תיכנסנה לתוקף ב -25.5.18 מאות חברות וארגונים ממהרים לעדכן את מדיניות הפרטיות שלהם.
התקנות החדשות צפויות להרחיב את זכויות המשתמשים לפרטיות ולהפעיל לחץ נוסף על חברות המטפלות במידע אישי על ידי כך, שהן תהיינה אחראיות יותר להגנה על נתוני המשתמשים. כתוצאה מכך, חברות רבות החלו ליידע את המשתמשים שלהם לגבי שינויים אלה, וכן קראו להם לאשר את מדיניות הפרטיות החדשה שלהם.
לרוע המזל, עברייני הרשת מודעים לעובדה, שתקנות ההגנה על נתונים עומדות להיכנס לתוקפן ממש בימים הקרובים. על פי הדיווחים האחרונים, הם החלו לנצל את התקנות החדשות להונאה ולהערים על לקוחות
Airbnb לתת את השם, הכתובת, פרטי כרטיס האשראי ומידע אישי אחר בעזרת הודעות דוא"ל המתחזות לשירות האמתי ומנסים לדלות פרטים באמצעות אתרים זדוניים.
אחת הדוגמאות הללו התגלתה ע"י מומחי אבטחה: הודעות דוא"ל מתחזות המשתמשות בשם
Airbnb כדי לסחוט את מידע יקר על משתמשים. פושעים משתמשים בהנדסה חברתית כדי לגרום לדוא"ל המזויף להיראות אמין.
הדוא"ל המזויף נראה די דומה לזה הנשלח ע"י
Airbnb וטוען, שבשל כניסת תקנות ה-
GDPR, המשתמשים צריכים לקבל מדיניות פרטיות חדשה. אחרת, הזמנותיהם ומסריהם לא יתקבלו. בנוסף, הקורבנות מתבקשים ללחוץ על קישור "לחץ כאן כדי לקבל את הקישור החדש למדיניות הפרטיות" בסוף ההודעה.
הקורבנות מתבקשים להזין פרטי חשבון ופרטי כרטיס אשראי. גם אם מסך הכניסה עשוי להיראות לגיטימי, זה לגמרי מזויף ותוכנן בחוכמה. למרבה הצער, משתמשים רבים צפויים ללחוץ על הקישור מיד כי העיצוב של הדוא"ל נראה אמתי.
עם זאת, בבדיקה מעמיקה יותר, ניתן להבחין ,שהמייל נשלח מכתובת, שהיא אינה הכתובת הרשמית של
Airbnb: הנוכלים משתמשים בכתובת @
mail.airbnb.work במקום @
airbnb.com.
בנוסף, הדוא"ל המקורי כולל הרבה יותר פרטים על השינויים הצפויים בעקבות
GDPR ואינו דורש מלקוחות להזין פרטים או להיכנס לקישור כדי לאשר את המדיניות החדשה.
Airbnb עודדה את כל המשתמשים לדווח על הונאה ולהעביר את הדוא"ל לכתובת
report.phishing@airbnb.com. בנוסף, החברה סיפקה כמה טיפים על האופן ,שבו ניתן לזהות את הודעת ההתחזות.
סביר להניח, שבתקופה הקרובה נראה עוד הונאות מסוג זה.
אמיר כרמי, מנהל הטכנולוגיות בחברת האבטחה
ESET בישראל "עבריינים מודעים לעובדה, שלקוחות רבים מצפים לסוג כזה של הודעות דוא"ל. לכן, זה הופך להיות הרבה יותר קל לפתות משתמשים להאמין לתוכן המייל, לגרום להם להקליק על הקישור בלי לבדוק אותו ולאפשר לגנוב את הנתונים האישיים שלהם.
ככל שכניסת תקנות הגנת הנתונים האירופאיות מתקרבת, אנו מאמינים, שעברייני הרשת ימשיכו להתחזות לארגונים ומותגים פופולריים כדי להטעות משתמשים ולגנוב את הנתונים או פרטי האשראי שלהם. בנוסף, תיתכנה הונאות נוספות שתשתמשנה במיילים מתחזים על כניסת התקנות כדי להפיץ תוכנות זדוניות, כולל נוזקות כופר או כורי מטבעות קריפטוגרפיים, כדי לסחוט כסף או נתונים של הקורבנות".
הדוא"ל המקורי ששולחת חברת
Airbnb
הדוא"ל המתחזה לחברת
Airbnb