בנק ישראל מפרסם הבוקר (ראשון) כי במחצית השנה האחרונה ישנה התגברות בניסיונות להונאות מסוג פישינג (דיוג-Phishing) כנגד לקוחות המערכת הבנקאית, במטרה לגנוב כספים מחשבונותיהם. בבנק ישראל ציינו כי הגורם העוין (התוקף) מנסה בשלב ראשון לגנוב פרטי זיהוי של הלקוח, המשמשים לכניסה לחשבונו באתר האינטרנט של הבנק או באתרים של חברות תשלומים, ובדרך כלל גם פרטים אישיים נוספים כמו פרטי כרטיס אשראי של הלקוח. באמצעות פרטים אלו מנסה התוקף להעביר כספים מחשבונו של הלקוח לחשבון אחר ממנו יכול התוקף למשוך את הכספים, ו/או לבצע עסקאות בבתי עסק.
על פי הדיווח, בשבועות האחרונים בוצעו ניסיונות גניבת פרטים אישיים של לקוחות תוך התחזות לחברת PayPal המשמשת בין היתר לבצע תשלומים על רכישות באינטרנט, בארץ ובעולם.
דפוס הפעולה של התוקף כולל שליחת דוא"ל באנגלית או בעברית למספר גדול מאד של אנשים פרטיים, בתקווה שכמה מהם יחשבו שמדובר במייל לגיטימי מחברת PayPal ולכן יספקו את הפרטים שיאפשרו לתוקף לבצע את ההונאה. בהודעת הדוא"ל "מסבירים" ללקוח שלטובתו, עליו להזין את הפרטים האישיים, היות וקיים חשש שגורם זר עשה שימוש בכרטיס האשראי שלו. הלקוח מתבקש להקיש על צרופה, שמעבירה אותו לדף שמתחזה מבחינה ויזואלית לאתר החברה ובו הוא מתבקש לספק את הפרטים: קוד זיהוי לאתר האינטרנט של הבנק וסיסמא, מספר חשבון, סיסמת הלקוח בחברת PayPal, תעודת זהות, שם פרטי ושם משפחה, כתובת פיסית, תאריך לידה, שם האם לפני נישואין, מספר טלפון, מספר כרטיס אשראי, תוקף, ואת שלוש הספרות האחרונות בגב הכרטיס.
• זאת ההזדמנות שלך! נסדר לך קריירה ונלווה אותך להצלחה - לפרטים נוספים לחצו כאן
בניסיונות הונאה אלו הצליחו התוקפים לגרום לבנקים נזק כספי מזערי בהיקף של כמה עשרות אלפי שקלים ולא נגרם נזק ללקוחות. כך, באירוע הנוכחי הבנקים בחנו כל פניה באופן פרטני וקיבלו החלטה האם לזכות את הלקוח בהתאם לנסיבות.
בצד פעילויות ההגנה והאבטחה הננקטים על-ידי הבנקים באופן שוטף, הפיקוח על הבנקים מוצא לנכון ליידע את לקוחות הבנקים בדבר ניסיונות ההונאה האחרונים ולחדד את ההמלצות בדבר התמודדות עם ניסיונות הונאה מסוג זה, כדי להגביר את ערנותם ותשומת הלב ולהפחית את סיכויי ההצלחה של ההונאה.
מספר המלצות כיצד על הלקוחות לפעול לצמצום הסיכונים וכיצד הם יכולים לזהות ניסיונות פישינג:
• אין למסור בשום מקרה אמצעי זיהוי ופרטים אישיים אחרים, גם אם הנימוקים נראים משכנעים (כגון: הצורך לעדכן פרטי הלקוח במערכת לשיפור השירות, שדרוג אמצעי אבטחה לטובת הלקוח, וכד'). הבנק או חברות כמו PayPal לעולם לא יבקשו באמצעות הדוא"ל שהלקוח יזין פרטים אלו. בקשה לעדכון פרטים נעשית רק לאחר תהליך זיהוי לקוח, לדוגמא, באמצעות אתר הבנק או החברה.
• יש לוודא שכתובת השולח מוכרת ללקוח (לדוגמא, חברה שהלקוח מנוי בה) ולבדוק שהכתובת מדויקת (לדוגמא, שכתובת PayPal כתובה נכון ולא עם שגיאה אפילו מינורית כדוגמת תוספת או החלפת אות).
• יש לבדוק את תוכן ההודעה, האם הוא כללי (לדוגמא, נוסח "לקוח יקר" ללא פרטי הלקוח אמור להעלות חשד) והאם הוא בשפה עברית כאשר מדובר בבנק בישראל או בחברה מקומית, האם הנוסח תיקני והולם וללא שגיאות ניסוח ו/או שגיאות כתיב. דוא"ל בשפה עילגת או בשפה שונה מזו שבה החברה או השירות נוהג להתכתב עם הלקוח, ייחשב כחשוד.
• יש לבדוק ככל שניתן את כתובת הקישור, לוודא שהיא מוכרת ללקוח וכתובה נכון. בקישור שהתקבל במייל ניתן לבדוק גם ע"י עמידה עם העכבר על הקישור וצפייה בכתובת היעד.
• יש לשים לב גם להודעות SMS או WhatsApp שמתקבלות במכשיר הטלפון הנייד עם קישור לאתרים וכמובן להודעות דוא"ל, SMS או WhatsApp חשודות שמתקבלות לכאורה מבנק או מחברת כרטיסי אשראי.
• מומלץ להתקין תוכנות הגנה במחשב האישי ובמכשיר הטלפון הנייד וכן להקפיד על עדכניות מערכת ההפעלה.
עוד אמרו היום בבנק ישראל כי "התפתחות הבנקאות הדיגיטלית, כמו התפתחויות דיגיטליות בשלל תחומי החיים, טומנת בחובה ערך רב לציבור ולכן הפיקוח על הבנקים מעודד את לקוחות הבנקים להגביר את השימוש בערוצים הישירים. כידוע, המהפכה הדיגיטלית מייצרת גם סיכונים לפרטיות ולאבטחת המידע. לכן בצד ההשקעה המתמשכת של התאגידים הבנקאיים בניהול הסיכונים הכרוכים בשימוש בבנקאות הדיגיטלית, על ציבור הלקוחות להגביר את הערנות כלפי הודעות דוא"ל, מסרים או מסרונים ולהשהות את תגובתו עד שבדק את מהימנותם. אם ללקוח יש ספק, הרי שאין ספק ומוטב לא להיענות להודעה או ללחוץ על הקישור לפני בדיקה מול הבנק או החברה הרלוונטיים."