קיבלתם מייל מפייסבוק? כך תזהו פישינג לפני שיגנבו לכם את החשבון

זה לא היה עוד מייל מגוחך עם שגיאות כתיב בולטות

זה לא היה עוד מייל מגוחך עם שגיאות כתיב בולטות או הודעה שנראית מזויפת מרחוק. להפך. זה היה מהלך מדורג, מתוחכם, וכזה שמי שלא רגיל לבדוק לעומק – יכול בקלות ליפול בו.

השלב הראשון היה אימייל שנראה אמין יחסית. אחד הדברים שגורמים לאנשים להוריד את רמת החשדנות שלהם הוא עצם זה שהכול עטוף במיתוג מוכר. ברגע שמופיעים שמות כמו Meta, Facebook או אפילו Google, הרבה אנשים מרגישים אוטומטית שיש כאן משהו לגיטימי. זו בדיוק הנקודה שבה התוקפים מנסים לעבוד עלינו: הם לא מבקשים ממך מיד סיסמה, אלא קודם כל בונים אצלך אמון.

במקרה הזה, אחד הדברים הערמומיים במיוחד

במקרה הזה, אחד הדברים הערמומיים במיוחד היה שהקישור הראשוני נראה כאילו הוא קשור לגוגל. עבור הרבה אנשים זה כבר מוריד הגנות. הם חושבים לעצמם: אם זה של Google, כנראה שזה בסדר. אבל זו בדיוק הטעות. העובדה שקישור עובר דרך שירות מוכר או נראה כאילו הוא קשור לחברה גדולה, ממש לא אומרת שהמטרה הסופית שלו בטוחה.

בהמשך, הופיע טופס שנראה לכאורה מסודר ורשמי

בהמשך, הופיע טופס שנראה לכאורה מסודר ורשמי. גם שם נעשה שימוש בתרגיל קלאסי אבל יעיל מאוד: הטקסט שמוצג למשתמש נראה כמו כתובת של פייסבוק, כדי לתת תחושת ביטחון. בפועל, כאשר בודקים את היעד האמיתי של הקישור, מגלים שהוא מוביל לכתובת אחרת לגמרי. זה בדיוק אחד הטריקים שאני כל הזמן מסביר לאנשים לשים לב אליהם – מה שכתוב על המסך הוא לא תמיד הכתובת האמיתית שאליה לוחצים.

משם התהליך ממשיך לעמוד שנראה מושקע מאוד

משם התהליך ממשיך לעמוד שנראה מושקע מאוד, עם לוגו של Meta, שפה עיצובית נקייה, ניסוחים שנועדו להרגיש רשמיים, ואפילו אלמנטים שגורמים למשתמש לחשוב שהוא בתוך תהליך בדיקה או אימות לגיטימי. אלא שכאן כבר היה אפשר לראות את אחת הנורות האדומות הכי חשובות: הכתובת עצמה הייתה חשודה. במקום דומיין רשמי של Meta או Facebook, הכתובת הייתה:

account-manage-settings.vercel.app/required

למי שלא רגיל לבדוק כתובות אינטרנט, זה עלול להיראות שולי. הדף עצמו נראה "פייסבוקי", יש לוגו, יש כפתורים, יש טופס, ואפילו האייקון בלשונית יכול לתת תחושת אמינות. אבל בפועל, זו לא כתובת רשמית של Meta. זו פלטפורמה אחרת לגמרי שעליה הוקם עמוד מתחזה.

ופה בדיוק מתחיל השלב המסוכן באמת

ופה בדיוק מתחיל השלב המסוכן באמת.

הקורבן מתבקש למלא פרטים שונים: שם מלא, אימייל, מספר טלפון, שם הדף, תאריך לידה ועוד. ברגע שהמשתמש כבר מילא כמה שדות, קרה מה שהתוקפים תכננו שיקרה – הוא נכנס למצב פסיכולוגי של "כבר התחלתי, אז אני ממשיך". זה מנגנון ידוע של הנדסה חברתית. בכל שלב בונים עוד קצת אמון, ועוד קצת מחויבות, עד שמגיעים לנקודה הקריטית.

ובסוף מגיעה הדרישה להזין סיסמה

ובסוף מגיעה הדרישה להזין סיסמה.

זה הרגע שבו ההונאה עוברת מאיסוף מידע כללי לניסיון ממשי להשתלטות על החשבון. אם המשתמש יכניס שם את הסיסמה שלו, הוא עלול למסור אותה ישירות לתוקף. משם הדרך לניסיון השתלטות על החשבון כבר קצרה מאוד.

מה שהופך את המקרה הזה לכל כך מעניין

מה שהופך את המקרה הזה לכל כך מעניין הוא לא רק עצם הניסיון, אלא האיכות של הביצוע. זה לא קישור אחד גס ומזויף. זה מסלול שלם שנבנה כדי להוביל את המשתמש צעד אחר צעד, בלי להפעיל אצלו יותר מדי התנגדות. קודם אימייל שנראה מוכר, אחר כך קישור שנראה תמים, אחר כך טופס שנראה רשמי, אחר כך עמוד מעוצב היטב, ורק בסוף – בקשת הסיסמה.

זו בדיוק הסיבה שאני תמיד אומר

זו בדיוק הסיבה שאני תמיד אומר שלא מספיק להסתכל אם יש לוגו יפה או אם העיצוב נראה מקצועי. היום תוקפים יודעים לבנות עמודים שנראים מצוין. מה שצריך לבדוק הוא את הדברים הפחות נוצצים: מה הדומיין האמיתי, לאן הקישור באמת מוביל, האם יש לחץ או בהילות, והאם בכלל יש היגיון בכך שפייסבוק או Meta יבקשו את המידע הזה בדרך הזאת.

מבחינתי, זה היה עוד תזכורת

מבחינתי, זה היה עוד תזכורת לכך שפישינג טוב לא נראה כמו פישינג. הוא נראה כמו משהו אמין, מסודר, אפילו "רשמי". ולכן דווקא אנשים נורמטיביים, זהירים וחכמים יכולים ליפול בו – לא כי הם לא מבינים, אלא כי ההונאה בנויה היטב.

חשוב לדעת: האקרים משכללים את השיטות שלהם שהופכים להיות יצרתיים מיום ליום. בעל עסק או כל אחד שחשוב לו הנכסים הדיגיטליים שלו לא יכול להיות כל הזמן על זה. קשה לעקוב אחרי העולם הזה אם אתם לא עובדים בתחום. אם הנכסים הדיגיטליים שלכם זה משהו שחשוב לכם צרו איתי קשר ואני אדע מה לעשות כדי שאף אחד לא יצליח לפרוץ לכם לחשבון.