חשש: הונאות פישינג סביב מענקי הקורונה

לביטוח לאומי חסרים פרטים על מאות אלפי חשבונות בנק - וחוקרי אבטחת מידע חוששים שהאקרים ונוכלים ינצלו את הפער הזה כדי לדלות פרטים מאזרחים באמצעות הודעות פישינג והתחזויות בטלפון. בביטוח לאומי מדגישים: "לא נפנה לאזרחים בטלפון והודעות מטעמנו לא יכילו קישורים"

יובל מן
תמונה כלליתתמונה כלליתתמונה כללית

בשבוע הבא צפויים מיליוני אזרחים לקבל מענק מביטוח לאומי במסגרת תוכנית "צ'ק לכל אזרח" שהגתה הממשלה בעקבות הגל השני של הקורונה. ישראלים רבים שהמגפה פגעה בהם כלכלית מחכים בקוצר רוח לסכום של מאות עד אלפי שקלים שייכנס לחשבונם, אבל חוקרי אבטחת מידע מזהירים כי האקרים ונוכלים למיניהם עשויים לנצל את הציפייה הרבה על מנת לדלות מאותם אזרחים פרטים רגישים - או כדי להדביק אותם בנוזקות.


הבעיה נובעת מכך שהמענק מיועד להגיע לחשבונות הבנק של כשישה מיליון בני אדם - אך למאות אלפים מהם אין חשבון בנק או שאינם בקשר עם ביטוח לאומי, זאת אומרת אינם עצמאים או זכאים לקצבאות למיניהן. מנכ"ל ביטוח לאומי, מאיר שפיגלר, הודה השבוע בריאיון לאולפן ynet: "אין לנו כרגע את כל חשבונות הבנק של כל התושבים בישראל". 

עומר דמבינסקי, מנהל מחקר הדאטה בחברת אבטחת המידע צ'ק פוינט, אומר בשיחה עם ynet כי ישנו חשש שגורמים זדוניים ייצרו קשר עם אזרחים במיילים, בהודעות SMS וגם בטלפון ויבקשו מהם למלא פרטים רגישים על מנת לקבל את המענק  - מכתובות מגורים ומספרי זהות ועד לפרטי חשבונות בנק ומספרי אשראי. לדבריו, האקרים עלולים גם להדביק את הקורבנות בנוזקות כדי להשתלט על המכשירים שלהם, או להתחזות לנציגים של ארגוני מגזר שלישי כדי לבקש מאזרחים לתרום את המענק שלהם.


תמונה כללית

החשש הזה אינו מופרך: בחודש מרץ, לאחר פרסום תוכנית הסיוע הכלכלי של הממשל האמריקני, נראתה עלייה משמעותית בכמות הדומיינים (כתובות של אתרים) שחבילת הסיוע או מילים הקשורות אליה מוזכרות בהם, למשל grant או stimulus. חלק גדול מהאתרים הללו התגלו כאתרי דיוג (פישינג), וחלקם התחזו לשירותים ממשלתיים. "האתרים הזדוניים נבנים כהעתק מדויק של האתרים הלגיטימיים, מה שמעודד אזרחים רבים להזין פרטים אישיים רגישים", אומר דמבינסקי.

לחשוד בכל הודעה

אז איך מתגוננים? קודם כל מומלץ לחשוד בכל הודעה שאתם מקבלים בנושא המענק. התבקשתם למלא פרטים כדי לקבל את הכסף? אל תלחצו על אף לינק, חפשו את האתר הרשמי של ביטוח לאומי בגוגל ותמצאו שם את ההסבר כיצד לפעול כדי לקבל את המענק. בביטוח לאומי כבר הודיעו שהם לא מתכוונים לפנות לאזרחים בטלפון, ולכן אם מישהו מציג את עצמו כנציג של המוסד, מדובר במתחזה. בכל מקרה, זכרו: ביטוח לאומי לא זקוק למספר כרטיס האשראי שלכם כדי להעביר לכם את הכסף - אז אל תמסרו אותו בשום פנים ואופן. קיבלתם הצעה לתרום את המענק לעמותה כלשהי? אתרו את הפרטים שלה ופנו אליה ישירות.

בביטוח לאומי מודעים לחשש. "כדי להימנע מניסיונות הונאה הודענו לציבור ונשוב ונפרסם זאת, כי לא ניזום פניות בטלפון לבקשת פרטי חשבון בנק לצורך תשלום המענק וההודעות שיישלחו מטעמנו לא יכללו קישורים", נמסר מביטוח לאומי, "מערכות המחשוב של הביטוח הלאומי עומדות בכללי אבטחת מידע המחמירים ביותר. כמו כן, אנו מאמתים את הנתונים מול מערכות הבנקים, והמענק ישולם אך ורק לחשבון בנק שרשום על שם הזכאי למענק. יחידת הסייבר של ביטוח לאומי נמצאת בקשר רציף עם מערך הסייבר הלאומי כדי למנוע ניסיונות פגיעה בציבור".

(צילום: חגי דקל)