אל תעבירו לחברים: עוקץ הבמבה שמסכן את הפרטים שלכם

הודעה שמתחזה למבצע של "במבה" מבטיחה שובר של 500 שקלים, אך במערך הסייבר הלאומי מזהירים כי מדובר בניסיון פישינג שעלול להוביל לגניבת מידע אישי, קודים ופרטי אשראי

ד"ר איתי גל צילום: אבשלום ששוני
עקבו אחרינו
במבה
במבה | צילום: ויקיפדיה
5
גלריה

ההודעה נבנתה כך שתיראה כמו פעילות שיווקית תמימה של מותג מוכר. היא כוללת תמונה המזוהה עם במבה, שאלות פשוטות, כפתורי תשובה צבעוניים והבטחה לקבלת פרס כספי בתוך זמן קצר. בתחתית העמוד עשויות להופיע תגובות של "זוכים", שמספרים שקיבלו לכאורה את השובר ומעודדים משתמשים אחרים להשתתף.

אזהרת מערך הסייבר הלאומי לפרסומת לבמבה
אזהרת מערך הסייבר הלאומי לפרסומת לבמבה | צילום: מעריב אונליין

התגובות האלה נועדו ליצור תחושת אמינות ולהפחית את החשד. המשתמש רואה אנשים אחרים שמספרים על זכייה, תמונה של מוצר מוכר וממשק שנראה מקצועי, ולכן עלול להניח שמדובר במבצע רשמי. בפועל, אין כל ערובה שהתגובות נכתבו בידי אנשים אמיתיים או שהמבצע קשור ליצרנית במבה.

השלב הראשון בעוקץ הוא בדרך כלל משיכת המשתמש אל אתר שמתחזה לעמוד רשמי. לאחר מענה על כמה שאלות פשוטות עשוי האתר להודיע למשתמש שזכה בפרס. בשלב הבא הוא עלול להתבקש למסור שם מלא, מספר טלפון, כתובת דואר אלקטרוני, כתובת מגורים או פרטים אחרים לצורך "משלוח השובר".

בחלק מניסיונות הדיוג המשתמש מתבקש להזין פרטי כרטיס אשראי, לעיתים בטענה שנדרש תשלום סמלי עבור משלוח, אימות זהות או הפעלת הפרס. במקרים אחרים נשלח לטלפון קוד אימות והמשתמש מתבקש להעביר אותו לאתר. קוד כזה עלול לאפשר לתוקפים להשתלט על חשבון, לאשר פעולה פיננסית או להתחבר לשירות דיגיטלי בשם הקורבן.

במבה
במבה | צילום: istockphoto

לעיתים הדרישה האחרונה בדרך לקבלת הפרס היא לשתף את ההודעה עם מספר חברים או קבוצות. בדרך זו הקורבנות עצמם מפיצים את העוקץ הלאה, וההודעה מגיעה לאנשים שמכירים את השולח וסומכים עליו. העובדה שהקישור נשלח מחבר או מקרוב משפחה לא מוכיחה שהמבצע אמיתי, מאחר שגם הם עלולים להעביר אותו לאחר שנפלו בפח.

במערך הסייבר ממליצים שלא ללחוץ על קישורים למבצעים שמגיעים בהודעות שרשרת, גם כשהם כוללים לוגו מוכר או נשלחים מאדם מוכר. במקום להיכנס דרך הקישור, יש לפתוח באופן עצמאי את האתר הרשמי של החברה או את העמודים המאומתים שלה ברשתות החברתיות ולבדוק אם המבצע אכן פורסם שם.

סימני אזהרה נוספים הם הבטחה לפרס יקר תמורת פעולה פשוטה, ספירה לאחור, הודעה שמספר הזוכים מוגבל, דרישה לפעול מיד או בקשה להעביר את ההודעה לאנשים נוספים. גם כתובת אתר חריגה, שגיאות כתיב, ניסוח משונה או מעבר בין כמה עמודים לפני קבלת הפרס צריכים לעורר חשד.

פישינג, אילוסטרציה
פישינג, אילוסטרציה | צילום: REUTERS/Dado Ruvic

אין למסור בעקבות הודעה כזו מספר תעודת זהות, סיסמה, קוד אימות חד פעמי או פרטי כרטיס אשראי. גופים מסחריים, בנקים וחברות אשראי לא אמורים לבקש מלקוחות להעביר קוד אימות שהתקבל בטלפון לצורך זכייה בפרס. הקוד נועד למשתמש בלבד, ומסירתו לאדם אחר עלולה לאפשר ביצוע פעולה בחשבון.

מי שלחץ על הקישור אבל לא הזין פרטים, צריך לסגור את העמוד ולא להוריד קבצים או להתקין יישומים שהוצעו בו. מומלץ לבדוק אם הורד למכשיר קובץ לא מוכר, למחוק אותו בלי לפתוח אותו ולוודא שמערכת ההפעלה והדפדפן מעודכנים.

מי שמסר סיסמה צריך להיכנס לשירות האמיתי דרך האתר או היישומון הרשמי, להחליף מיד את הסיסמה ולהתנתק מחיבורים פעילים במכשירים אחרים. אם אותה סיסמה משמשת בחשבונות נוספים, יש להחליף אותה גם בהם ולהפעיל אימות דו שלבי.

תשלום באינטרנט צילום: Shutterstock)
תשלום באינטרנט צילום: Shutterstock) | תשלום באינטרנט צילום: Shutterstock)

אם נמסרו פרטי כרטיס אשראי, יש לפנות בהקדם לחברת האשראי, לדווח על החשיפה ולבדוק אם בוצעו חיובים לא מוכרים. אם נמסר קוד אימות הקשור לחשבון בנק, לארנק דיגיטלי או לשירות פיננסי, יש ליצור קשר מיד עם הגוף הרלוונטי ולא להמתין להופעת חיוב.

את ההודעה החשודה אין להעביר הלאה, גם לא בצירוף שאלה אם היא אמיתית. מומלץ לחסום את השולח כשמדובר במספר לא מוכר, להשתמש באפשרות הדיווח של היישומון וליידע את האדם שממנו התקבלה ההודעה אם נראה שהוא הפיץ אותה בתום לב.

בכל חשד לאירוע סייבר אפשר לפנות למרכז 119 של מערך הסייבר הלאומי, הפועל לקבלת דיווחים מאזרחים ומארגונים ולמתן מענה מקצועי ראשוני. במקרה של גניבת כסף, חיוב לא מוכר או חשד לעבירה פלילית, יש לפנות גם לבנק, לחברת האשראי ולמשטרה לפי הצורך.

תגיות:
סייבר
/
במבה
/
פישינג
/
מערך הסייבר הלאומי
פיקוד העורף לוגוהתרעות פיקוד העורף