מתכוננים לחג הקניות הגדול: מדריך לקנייה בטוחה ברשת

ברגעים אלה ממש אין מי שלא מתכונן לחג הקניות הגדול, בלק פריידיי (Black Friday). ככל שיותר לקוחות מאמצים בשמחה את הקניות המקוונות, כך פושעי סייבר חוגגים יותר. הצרכנים, הנלהבים לקנות בזול – עלולים ליפול למלכודות: אתרי אינטרנט מזויפים המיירטים את הנתונים הפיננסיים שלכם, הונאות מסוגים שונים, מתקפות פישינג, הונאות SMS ועוד – כולם נועדו לגניבת המידע האישי וגניבה פיננסית.

לדברי שושי ליבוביץ, מנהלת פעילות ישראל, יוון וקפריסין ב-F5, "האקרים משתמשים בטווח רחב של טקטיקות, כולל אתרים מזויפים, שנחזים להיראות מאוד אמיתיים. הם משתמשים בעיצובים מאוד מתוחכמים, בלוגואים גנובים ובדומיינים '.com' או '.co.il'. למרות שאתרי מכירות פומביות, דוגמת eBay, נוקטים במדיניות מניעת הונאות קפדנית – נוכלי הרשת עוקפים אותם, בשכנוע הצרכנים לרכוש מחוץ לאתרי המכירה הפומבית".

שושי ליבוביץ', מנהלת פעילות ישראל, יוון וקפריסין ב-F5. צילום: יח"צ

"ניתן לאתר עסקאות של נוכלי הרשת על ידי זיהוי אנומליות בתהליך התשלום, ומאפיינים חריגים בעסקה", אמרה לייבוביץ'. "קמעונאים יכולים לנטר לקוחות קבועים ולשייך אותם למכשיר בו הם משתמשים. אם מכשיר אחר נמצא בשימוש, הם יכולים לבצע בדיקות נוספות, במהלך המכירה. הם גם צריכים להימנע מלבקש תשלום באמצעות המחאת מזומן, או כרטיס אשראי נטען מראש – שיטות של נוכלים".

"צרכנים וקמעונאים חייבים לפעול בזהירות ובעקביות בעולם המסחר המקוון", סיכמה. "צרכנים צריכים להשתמש רק באתרי אינטרנט מוכרים ומבוססים היטב. פגמים באמינות האתר יבואו לידי ביטוי בלשון הטקסט או טעויות בפורמט. צרכנים צריכים לערוך קניות באתרים מוצפנים, עם התחילית http באתר החנות ובסמל ה-padlock בדפדפן".

נקודות תורפה בישראל

דימה טאטור, מנהל תחום אבטחת מידע וסייבר ב- Comm-IT, אמר כי "בארץ קיימות כמה נקודות תורפה, שמאפשרות לפושעי הסייבר עבודה קלה".

"בישראל אין חובה מפורשת בשימוש בקוד ה-CVV (בגב הכרטיס) בכל העסקאות, ולא מעט אתרים בארץ מאפשרים עסקאות בלעדיו, בעיקר קטנים בינוניים".

"קיים פער גדול בין רמת האבטחה של אתרים קטנים לעומת הגדולים, לא כולם עומדים בדרישות ה-PCI. אתרים רבים לא עומדים בדרישה לפרוטוקולי הצפנה מתקדמים, ועושים שימוש בפרוטוקולים חלשים ופגיעים. פושעי הרשת מודעים לכך, וגונבים זהויות, סוחרים במידע ומבצעים עסקאות עם כרטיסי אשראי גנובים".

זהירות: פישינג!

ג'ון סייר, יועץ אבטחת מידע בכיר ב-Sophos, אמר כי "במהלך בלק פריידיי איום הפישינג הולך וגדל. אם עסקה מקוונת או הצעה באימייל כוללת הנחה שנראית טובה מדי מכדי להיות אמיתית – היא כנראה לא אמיתית. לחצו על מקש Delete מיד. כדי לוודא שמדובר בעסקה אמיתית, יש לגשת לאתר הספק ולבדוק את המחיר ולהימנע מללחוץ על הלינק באימייל, שהוא זדוני".

לדבריו, "חפשו עסקאות טובות בטלפון הסלולרי, אבל היו זהירים עם הרשת האלחוטית אליה אתם מחוברים כשאתם עושים קניות אונליין. הכניסו את פרטי כרטיס האשראי שלכם רק כשאתם מחוברים לרשת מאובטחת. הדרך הטובה ביותר לאבטח את הכסף שלכם היא באמצעות PayPal – או כרטיס האשראי שלכם. הימנעו משימוש בכרטיסי חיוב מיידי".

"חפשו שגיאות כתיב והקלדה", אמר סייר. "פושעי הסייבר לוקחים מותג פופולרי ידוע ברשת ומשנים בו אות אחת, או שתיים, כדי לגרום לכם להקליק ולשתף במידע אישי. לדוגמה, בתקיפה המפורסמת של ה-tvvitter הנוכלים שילבו שתי אותיות V במקום אות אחת של W. בנוסף, שימו לב לרמת האבטחה של הסיסמאות – בנו אותן ארוכות ומורכבות. בחרו סיסמאות שונות לכל חשבון ובנו אותן קשות לניחוש. בחרו באותיות גדולות וקטנות, מספרים וסמלים".

הוא ציין כי "אם אתם מתלבטים אם ללחוץ על לינק באימייל, בדקו לפני הכל את כתובת ה-URL. שאלו את עצמכם האם הכתובת בלינק לגיטימית. כלל האצבע הוא: אם אתם לא בטוחים שהלינק אמיתי, פשוט מחקו אותו מיד".

הוא סיים באומרו כי "אם אתם חושבים שנפלתם קורבן להתקפת פישינג, שנו מיד את הסיסמה שלכם. פנו לבנק מיד, כדי לבדוק אם התבצעה פעילות לא חוקית".

לוודא שהקישור והאתר מאובטחים

עדי נאה גמליאל, מנהל טכנולוגיות ראשי, 2BSecure, אמר כי "לפני הכל, כשניגשים לאתר קניות יש לבדוק שהקישור מאובטח באמצעות Https, שמעיד שהאתר מאובטח. יש לוודא שלכתובת האתר לא התווספו מילים ואותיות חריגות, או שיש בה שגיאת כתיב".

"באתר עצמו, יש לבחון את חזותו ולהימנע מרכישה באתרים שהתוכן שלהם כולל שגיאות כתיב, תחביר חריג וטקסט לא מאורגן, או שנראה שקיימת שגיאת קוד חזותית, כמו תמונות שמופיעות בחלקן, או כל סימן אחר שנראה כמעין באג לא שגרתי בחזות האתר".

עדי נאה גמליאל, CTO של 2BSecure. צילום: עידן גרוס

הדבר הכי חשוב, אמר נאה גמליאל, "הוא לבצע רכישות באתרים מוכרים וגדולים. יש להיזהר מעסקאות שנראות טובות מדי. שימו לב לרמת הרייטינג של המוכרים באתרים. עדיף לבחור במוכר בעל הרייטינג הגבוה גם אם המחיר פחות משתלם".

"אם אתם מקבלים בימים אלה אימייל בנושא פרטי עסקה שלא ביצעתם, אל תפתחו אותו ובוודאי אל תלחצו על הלינק בתוכו. אימייל זה יכול להכיל כותרות כמו 'משלוח לא תקין', 'מוצר איקס נשלח ובדרך אלייך', או אפילו 'אימות פרטי אשראי בנוגע למשלוח שלך'. כל אלו חייבים להדליק לכם נורה אדומה. מאחורי אימייל זה עומד מתחזה שינסה לגנוב את הזהות שלכם, או את פרטי כרטיס האשראי שלכם".

שימו לב היכן אתם נמצאים

מומחי FortiGuard, גוף המחקר של פורטינט (Fortinet), מסרו כי "באחרונה פורסם שפרוטוקול ההצפנה WPA2, שנועד להגן על הנתונים העוברים בין המחשב והמכשיר האלחוטי המקשר את המחשב לאינטרנט – נפרץ. לכן, חישבו פעמיים על קניות ברשת תוך שימוש בנקודת גישה אלחוטית ציבורית".

בנוסף, "הטלפון החכם שלכם תמיד מחפש את נקודות הגישה האלחוטיות אליהן אתם מתחברים. ברגע שהטלפון מוצא רשת מוכרת, הוא יתחבר אליה באופן אוטומטי. כיום ישנם כלים המסוגלים לאתר את שם הרשת שהטלפון החכם שלכם מנסה לאתר ולחקות את השם הזה. הדבר מאפשר לפורץ להשתמש בחיבור המזויף, על מנת לגנוב את המידע האישי שלכם".

"ודאו כי כל המכשירים שלכם מעודכנים עם הגרסאות האחרונות", ציינו. "היו זהירים כשאתם מורידים אפליקציות המציעות הנחות שונות, בייחוד על מכשירי אנדרואיד".

"שיקלו להשתמש בשירות VPN (רשת ווירטואלית פרטית)", המליצו החוקרים. "קיימים מספר שירותים חינמיים, או בעלות נמוכה, המבטיחים כי כל החיבורים שלכם תמיד מאובטחים. חפשו במנוע החיפוש ביקורות ברשת ודירוגים לאתר לא ידוע לפני שאתם קונים בו".

"היו סקפטיים – לרוב, מחירים נמוכים וזמינות גבוהה של מוצרים שקשה להשיגם הם סימן מתריע לאתרי הונאה. ודאו שהספקים ברשת משתמשים בצ'קאוט (מערכת תשלום) מאובטחת המקבלת את כל כרטיסי האשראי הגדולים. הימנעו מאתרים אשר דורשים תשלום ישיר באמצעות הבנק שלכם, העברות דרך החשבון או דרכי תשלום אחרות שלא ניתן להתחקות אחריהן".

שתהיה רכישה בטוחה.