5 דרכים באמצעותן גונבים לכם את פרטי האשראי
מאת: מערכת Telecom News, 4.7.22, 12:36

פירוט 5 הדרכים הנפוצות ביותר בהן האקרים משתמשים כדי להשיג את פרטי האשראי של אנשים אחרים, ו-8 דרכים באמצעותן ניתן להתגונן.
 
העולם התחתון של פשיעת הסייבר הוא מכונה משומנת שמגלגלת מיליארדי דולרים מדי שנה. פושעי סייבר משתמשים ברשת האפלה, שנסתרת מעיניהם של רשויות אכיפת החוק והציבור הכללי, כדי לקנות ולמכור כמויות עצומות של נתונים גנובים, יחד עם כלי פריצה שמשמשים להשגת הנתונים האלה. לפי ההערכות, ישנם 24 מיליארד שמות משתמש וסיסמאות, שהושגו באופן לא חוקי ונמצאים באתרים כאלה. אחד מסוגי הנתונים המבוקשים ביותר הוא פרטי כרטיסי אשראי חדשים, שנרכשים ע״י רמאי סייבר כדי לבצע באמצעותם תרמיות זהות.

במדינות, שהטמיעו את השימוש בצ׳יפ ובקוד אישי, קשה מאוד להפוך את הנתונים האלה לכרטיס של ממש. לכן, ברוב המקרים הנתונים האלה משמשים לרכישות ״מכר מרחוק״ ברשת. הרמאים יכולים להשתמש בנתונים האלה כדי לקנות פרטי יוקרה ברשת, שאותם יוכלו למכור לאחר מכן, או כדי לקנות תווי שי בכמות גדולה - דרך נפוצה נוספת להלבנת כספים, שהושגו באופן לא חוקי.

על פי חברת אבטחת המידע ESET ישראל, אלו הדרכים, שבהן האקרים משתמשים בד"כ כדי להשיג את פרטי כרטיס האשראי - וכיצד ניתן לעצור אותם:

1. פישינג
דיוג Phishing  פישינג היא אחת מהטכניקות הנפוצות ביותר לגניבת נתונים. ככלל, זוהי תרמית, שבה ההאקר מתחזה לישות לגיטימית (כמו בנק, אתר מסחר או חברה טכנולוגית) כדי לגרום למסור פרטים אישיים או להוריד נוזקות. במרבית המקרים הם מעודדים את המשתמשים ללחוץ על קישור או להוריד קובץ מצורף. לעיתים הלחיצה הזו מובילה את המשתמש לדף פישינג - בו ינסו לגרום להזין פרטים אישיים וכספיים. לפי ההערכות, ברבעון הראשון של 2022, מתקפות הפישינג הגיעו לשיא של כל הזמנים.

התרמיות האלו התפתחו בשנים האחרונות. כיום עלולים לקבל גם הודעת SMS זדונית מהאקר, שמתחזה לחברת שליחויות, רשות ממשלתית או כל ארגון אחר. בחלק מהמקרים, הרמאים אף עלולים להתקשר ולהתחזות לישות אמינה, כדי להשיג את פרטי כרטיס האשראי. שיעור מתקפות הדיוג באמצעות SMS (Smishing) הכפיל את עצמו במהלך השנה, וגם שיעור מתקפות הדיוג הקוליות (Vishing) עלה משמעותית.

2. נוזקות
העולם התחתון של פשיעת הסייבר הוא שוק עצום, לא רק לנתונים אלא גם לנוזקות. סוגים שונים של קודים זדוניים, שנועדו לגנוב מידע, תוכננו במהלך השנים. חלק מהם מתעדים את ההקשות על המקלדת - בזמן שמזינים את פרטי כרטיס האשראי באתר סחר מקוון או באתר הבנק, למשל. כיצד החבר׳ה הרעים מצליחים להכניס את הכלים האלה למחשב או לטלפון?

הודעות דיוג הן אחת השיטות הנפוצות להפצת נוזקות. מודעות מקוונות הן דרך נפוצה נוספת. במקרים אחרים, הפושעים עלולים להדביק אתרים פופולריים לגיטימיים ולהמתין שגולשים יבקרו בהם. נוזקת ״התקנה לא מודעת״ מהסוג הזה מתקינה את עצמה ברגע שנכנסים לדף הרשת המודבק. בנוסף, פושעי סייבר נוטים להסתיר נוזקות לגניבת מידע בתוך אפליקציות זדוניות המתחזות לאפליקציות לגיטימיות.

3. קצירה דיגיטלית
לעיתים האקרים יתקינו נוזקות בדפי התשלום של אתרי סחר מקוון. המשתמש לא יכול לראות את הנוזקות האלו, אך אלו יקצרו את פרטי הכרטיס מהאתר ברגע שמכניסים אותם. המשתמשים לא יכולים לעשות הרבה כדי להתגונן מפני סוג המתקפה הזה, אלא רק להקפיד ולרכוש מאתרים ומותגים גדולים, שככל הנראה, יהיו מאובטחים יותר.

4. דליפות מידע
לעיתים, פרטי כרטיסי האשראי נגנבים ישירות מהחברות שאיתן עושים עסקים. זה עלול להיות ספק שירותי בריאות, חנות מקוונת או סוכנות טיולים. מנקודת המבט של ההאקר, זוהי דרך יעילה יותר לגנוב פרטי אשראי, מכיוון שבמתקפה אחת הם מקבלים גישה לכמות עצומה של נתונים.

במתקפות פישינג, לעומת זאת, עליהם לגנוב את הפרטים מכל קורבן בנפרד - אף על פי שבמרבית המקרים, המתקפות האלו מתבצעות באופן אוטומטי.

5. רשתות אלחוטיות ציבוריות
בזמן השיטוטים בעולם, התיירים עלולים להתפתות ולהתחבר לרשת אלחוטית ציבורית חינמית כדי לגלוש - בנמלי תעופה, במלונות, בבתי קפה ובמרחבים משותפים נוספים. גם אם נדרשים לשלם כדי להתחבר לרשת הזאת, ייתכן שזה לא יהיה בטוח - אם ההאקרים עשו את זה גם. הם יכולים להשתמש בגישה שלהם לרשת כזאת כדי לצותת למידע בזמן שהתיירים מזינים אותו לאתרים.
 
כיצד תוכלו להגן על פרטי כרטיס האשראי שלכם:
למרבה המזל, ישנן דרכים רבות, שתעזורנה לצמצם את הסיכוי לגניבת פרטי הכרטיס והגעתם לידיים לא-רצויות. הצעדים האלה הם התחלה מצוינת:

1. היו ערניים: לעולם אל תגיבו להודעות מייל שנשלחו אליכם מבלי שביקשתם, ולעולם אל תפתחו קישורים או קבצים מצורפים בהודעות כאלה. ייתכן שהם מובילים להורדת נוזקה או לעמוד פישינג דיוג המתחזה לדף לגיטימי, ובו יעודדו אתכם להזין את הפרטים שלכם.
 
2. אל תמסרו פרטים דרך הטלפון, גם אם האדם בצד השני נשמע משכנע מאוד. תשאלו מאיזו חברה הם מתקשרים, ולאחר מכן התקשרו בחזרה לאותה החברה כדי לוודא, שהשיחה אכן לגיטימית - אך אל תחזרו למספר, שהמתקשר עצמו מסר לכם.
 
3. אל תשתמשו ברשתות אלחוטיות ציבוריות כדי לגלוש באינטרנט. אם אתם מוכרחים להשתמש ברשת כזאת, אל תעשו שום דבר הדורש להזין פרטי כרטיס אשראי (למשל, רכישה מקוונת).
 
4. אל תשמרו את פרטי כרטיס האשראי באתרי סחר מקוון או באתרים אחרים, גם אם זה חוסך זמן בביקורים הבאים שלכם באתר. כך יקטנו הסיכויים, שכרטיס האשראי שלכם יהיה חלק מדליפת מידע, או ייגנב כחלק מפריצה לחשבון האישי שלכם.
 
5. הורידו כלי אמין להגנה מפני נוזקות לכל המחשבים והמכשירים הניידים, הכולל הגנה מפני מתקפות פישינג.
 
6. השתמשו באימות דו-שלבי בכל החשבונות הרגישים. כך, קטן הסיכוי, שהאקרים יוכלו להיכנס אליהם באמצעות סיסמאות שנגנבו.
 
7. הורידו אפליקציות רק מחנויות אפליקציות לגיטימיות (App Store של Apple וֹ-Play Store של Google).
 
8. קונים ברשת? עשו זאת רק באתרים הפועלים בפרוטוקול HTTPS (באתרים כאלה אמור להופיע סימן מנעול בשורת הכתובת, ליד כתובת האתר). באתרים כאלה, הסיכוי לציתות למידע קטן הרבה יותר.
 
לסיכום, מומלץ גם לבדוק מדי פעם את חשבונות הבנק וכרטיסי האשראי. אם אתם מזהים העברות חריגות, דווחו לצוותי האבטחה של הבנק או ספק שירותי האשראי באופן מידי. חלק מהאפליקציות מאפשרות לכם ״להקפיא״ כרטיסים ספציפיים, עד שתצליחו להבין בוודאות אם אכן התרחשה פריצה או לא. לחבר׳ה הרעים יש דרכים רבות, שבהן הם יכולים להשתמש כדי לגנוב את פרטי כרטיס האשראי, אבל יש גם הרבה דברים, שנוכל לעשות כדי לדאוג שהם לא יגיעו אלינו.