מתקפות הפישינג (Phishing – השגה של מידע רב ערך, כגון סיסמאות, פרטי אשראי וכו' במרמה) על סמארטפונים נמצאות במגמת עליה. סקר שביצעה חברת המחקר האמריקנית Pew Research Center טוען שמשתמשים בגילאים 18 עד 24 שולחים ומקבלים בממוצע 109.5 הודעות SMS ביום. עם כמות כזו של הודעות טקסט, קל להבין למה המשתמשים לא נוטים להתמהמה לפני שהם לוחצים על לינקים שלכאורה התקבלו מאחד מאנשי הקשר שלהם או מחברה מוכרת.
הודעות כאלה, שמעוצבת כך שהן יראו לגיטימיות במטרה לגרום למשתמש ללחוץ על לינקים זדוניים, היו שמורות בעבר להודעות אי-מייל בלבד ומטרתן הייתה לגרום למשמשי ה PC לבקר באתרים המכילים ווירוסים ותוכנות זדוניות אחרות. אבל פושעי האינטרנט הבינו שבממוצע יש הרבה פחות הגנות כשמדובר בסמארטפון, והרבה מאוד קורבנות פוטנציאליים, מה שאומר – הרבה כסף בשבילם.
את מומחי האבטחה זה לא מפתיע. רק לפני כמה שנים השתמשנו בטלפון הסלולרי שלנו רק כדי לבצע שיחות טלפון, אבל עכשיו זה הרבה יותר מזה. גלישה באינטרנט, שליחת אימיילים, צפייה בסרטוני וידאו או הקשבה למוזיקה, המכשיר הנייד שלך הוא יותר כמו מחשב קטן שבמקרה גם מאפשר לך להוציא או לקבל שיחות טלפון – רק עוד אחת מהפונקציות שלו. אבל באותו זמן המכשיר הזה גם מכיל הרבה מאוד מהמידע האישי שלך, והופך אותו לטרף יחסית קל.
פושעי האינטרנט יכולים להונות את המשתמש בצורה הזו ולגרום לו להתקין תוכנת ריגול או אפליקציה שתשלח הודעות SMS בתעריף יקר שיהיו "עטופות" באפליקציה לגיטימית. (עיין ערך האפליקציה המזויפת של Angry Birds Space). משתמשים רבים לא יבחינו בכלל שאפליקציה הפועלת ברקע מתעדת את מה שהם עושים עם הטלפון שלהם או שולחת הודעות SMS יקרות מבלי ידיעתם (או לפחות עד שהם יקבלו את החשבון).
בתמונה המצורפת אתם יכולים לראות הודעת פישינג כזו. במבט ראשון הלינק נראה לגיטימי, אך מי שיבדוק יותר לעומק יגלה שהאתר שייך למשהו שהוא שונה מאוד מחברת "וולמארט". אבל רוב האנשים אינם בודקים, במיוחד הממהרים מבניהם. דבר נוסף שחשוב לציין לגבי הדוגמא שבתמונה – זה מאוד לא סביר שחברת "וולמארט" תחליט פתאום לחלק שוברי קניה על סך 1000$ לכמה ברי מזל. בנוסף, ההודעה יוצרת תחושה מדומה של דחיפות בכך שהיא מעודדת בך למהר ולממש את הזכייה לפני ש 161 השוברים שנשארו ייחטפו על ידי אחרים. נשמע פישי נכון? אבל הונאות כאלה מצליחות כיוון שקמפיינים דומים של פישינג-באמצעות-SMS עבדו בעבר, ומספרי המתקפות, כמו גם מספרי הקורבנות, רק גדלים.
התגוננות מפני SMS-Phishing
אז מה אתה יכול לעשות כדי להגן על עצמך? הכלל הראשון שאני ממליץ לך לאמץ על מנת להתגונן מפני SMS-Phishing (או בקיצור smishing) הוא להגביל את הורדת האפליקציות שלך לחנויות האפליקציות הרשמיות של יצרניות מערכת הפעלה כדוגמת Google Play ו- App Store או מאתרים של חברות מוכרות, ולהימנע ככל האפשר מהורדת אפליקציות מאתר צד שלישי. חנויות האפליקציות הרשמיות סורקות באופן קבוע את הפורטלים שלהם על מנת לאתר אפליקציות מזויפות או זדוניות, מה שנותן לך קצת מרווח בטחון.
בנוסף, כמו שזה לא יהיה רעיון טוב ללחוץ על לינקים מאימיילים לא מוכרים, כך גם המצב בהודעות SMS וכדאי שתחשוב פעמיים לפני שאתה לוחץ על לינקים כאלה.
כמו כן, זה יהיה חכם מצדך לנעול את הטלפון באמצעות הגדרות האבטחה של המכשיר ואולי אפילו להתקין תוכנת אבטחה שתאתר ותמנע את ההונאות האלו לפני שתיפול בפח. בשורה התחתונה, ככל שתגביר את רמת האבטחה של המכשיר שלך, כך הסיכוי שהמידע האישי שלך שמאוחסן במכשיר ייחשף או שתיפול קורבן להתקפות smishing יפחת.
גלעד הראל הוא דובר חברת קומסקיור נציגת ESET בישראל
