החברות הישראליות מתעלמות, אבל יש פתרון לאיומי הפישינג

השבוע דיווחנו כאן באתר מקור ראשון על מתקפת פישינג חדשה בדמות הודעות וואטסאפ של חברות מוכרות כמו שופרסל, רמי לוי וסופר פארם. השיטה לא חדשה, האקר מפיץ הודעת פייק על מתנה מחברה שחוגגת יום הולדת ומי שנכנס לקישור מגלה אתר שדומה מאוד למקור בו הוא נדרש להזין את כרטיס האשראי שלו לצורך קבלת זיכוי של אלפי שקלים. מי שנופל בפח נותן את כרטיס האשראי שלו לגנב שנהנה מתמימות של אזרחים שלא מכירים את התופעה.

העובדה שחברות גדולות במשק בוחרות להתלוצץ עם התופעה במקום להילחם בה מעלה את השאלה האם בכלל ניתן לחמוק מהסכנה. חברת BrandShield המתמחה  באיתור והסרה של הונאות וזיופים באינטרנט עבור החברות והמותגים המובילים בעולם, הצליחה לפתח מוצר כחול לבן שיודע לאתר מראש את התוקף ולמנוע ממנו לקחת מכם את פרטי חברת האשראי. החברה פועלת בעיקר בחו"ל ואינה ממוקדת במטרה לעבוד מול חברות ישראליות, ובכל זאת, בשיחה עם מנכ"ל החברה עולה שאלה מדאיגה, האם החברות בישראל בכלל רוצות לעצור את התופעה.

"השיטה החדשה שבה מצליחים הכי הרבה להונות את הציבור זה דרך הרשתות החברתיות" מסביר יואב קרן מנכ"ל החברה בראיון למקור ראשון. "מה שנעשה שם הוא התחזות לארגון או לבכירים בארגון שמייצרים אינטראקציה עם הקהילה שנראית לגיטימית. מי שיעלה בעמוד המקורי פוסט הם מיד יעתיקו אותו כדי לייצר אמינות. בשלב מסוים הם יפנו לאתר ההונאה והעוקבים יפלו בפח. יש חברות בעיקר בעולם שהבינו את הנזק שזה גורם להם והם לקחו שירותים. מערך הסייבר הלאומי לא עושה את זה ותלונה במשטרה היא לא רלוונטית כי אין למשטרה כלים וטכנולוגיה להתמודד עם זה. במקרים מאוד קיצוניים אם שמי שעושה את ההונאה הוא מישראל, אז אולי אפשר לתפוס אותם". לדבריו ההודעות הללו מגיעות מגנביי סייבר בעולם שמסתירים את עצמם טוב מאוד. התופעה מוכרת היטב, היא מעצימה במספרים חסרי תקדים והיא תלך ותגדל אבל זה לא בסדר העדיפויות של ארגוני האכיפה בעולם.

מסתבר שמאוד זול להקים הונאה כזו של שליחת הודעת וואטסאפ עם קישור מזיק. מספיק שכמה אנשים נופלים בפח והנוכלים עושים הרבה מאוד כסף. החברות בישראל לא רוצות לספק הגנה כי מצידן לא נגרם להן נזק. בסוף התוקף לוקח את הפרטים של הלקוח ולא של החברה ולכן הן לא רואות עצמן ניזוקות. לדבריו זו טעות בתפיסה ניהולית אסטרטגית שכן תעלה לחברות מחיר כבד בעתיד. "זו גישה שגויה" מסביר יואב קרן מנכ"ל חברת BrandShield. "הגישה בסוגיה הזו מושתת על תפיסות עבר וזו לא הגישה בעולם כיום. הקורונה הביאה את החברות בעולם להבין שהאון ליין הוא אחד מהמקורות המרכזיים להכנסות שלהם.

25 שנים של אינטרנט כדי להגיע למצב שהמסחר האלקטרוני הוא 14 אחוז מהמסחר העולמי בשנתיים של הקורונה קפצנו ל-20 אחוז. זו קפיצה אדירת מימדים בזמן מאוד קצר שלוותה בפעילות ענפה של פושעי סייבר. אחד הדברים המרכזיים שקרו זו עליה בהונאות של מכירת זיופים כמו מוצרים מזויפים ופישינג. זו מתקפה שבה לא מוכרים שום דבר פשוט לוקחים מהם כסף בהונאה. חברות ישראליות חיות על פי תפיסה עתיקה שברגע שאתה לא מטפל בבעיה הזו כחברה עסקית אתה לא באמת יוצר לעצמך נזק, אבל אתה גורם לאנשים שילכו לאתר מתחזה ובמקום להוציא את הכסף אצלך הוא הולך למתחזה. מי שאומר שזה לא מעניין אותו לא חכם במיוחד ויש לזה עוד השלכה, בסוף הצרכן מאבד אמון בחברה כי מבחינתו החוויה מולה, שהיא בעצם מול נוכל, נתפסת אצלו כחוויה שלילית הוא מ אבד אמון".

עוד מסביר קרן, כי מנכ"לי החברה חייבים להבין שאם החברה שלהם סובלת מהתחזויות היא נתפסת בעיני הציבור כחברה לא אמינה. "כשכבר תרצה להשתמש בפלטפורמה האינטרנטית אתה עלול לגרום ללקוח לא להאמין בך וזה יעלה לך הרבה מאוד עם נזק עתידי עצום".

העולם לא חושב כמו חברות בישראל.
"בניגוד לחברות ישראליות בעולם מבינים את מהפכת האינטרנט בצורה אחרת. "אנחנו נותנים שירותים לחברות בעולם לא בארץ. יש לנו כמה חברות בודדות בישראל אבל הן לא מוכרות כי רוב העשייה שלנו היא בחול. לפעמים חברה בחו"ל מוכרת מוצר אחד בלבד ומשתמשת בשירות הזה. בגדול אנחנו מפעילים מערכת בינה מלאכותית שכל הזמן סורקת את הרשת ומאתרת את התופעה הזו של פישינג. ברגע שמופצת הודעת פייק כזו המערכת יודעת לאתר את האתר שמארח את הנוכל ומיד לחסום אותו. אני לא יכול למנוע את הפצת הוואטסאפ אבל אם משהו יפול בפח ויכנס ללינק המצורף לא יקרה לו כלום וזה החלק החשוב. אני חוסך ממנו את הנפילה לידיו של הנוכל. בסוף חשוב לזכור שחברה רצינית צריכה לדעת גם להגן על הלקוחות שלה".

עוד אומר קרן "אני לא יודע למה חברות ישראליות לא משתמשות בשירות הזה אבל יש פתרונות. יש אחריות כלפי הצרכן שלך, גישה שזו לא הבעיה שלי היא לא נכונה היא לא מדויקת. חלק מהפעולות הללו תוקפות את העובדים של הארגון בין היתר הניסיון הוא לאסוף מידע עסקי או פיננסי על החברות הללו כך שנזק יש פה".

הדבר היחידי שהמדינה מספקת לאזרח זו אזהרה. כאן מסתיימת האחריות. המחוקק יכול להסדיר את הנושא, המשטרה יכולה לקבל יותר משאבים להפעלת הגנה מתופעה כזו, מערך הסייבר הלאומי בכלל לא באירוע והאזרח הקטן שגולש ברשתות החברתיות ממשיך ליפול בפח. 2021 מסתיימת ומשאירה מאחוריה נתונים עגומים של עליה חדה בפשעי סייבר כלפי האזרח הקן – התחזית ל-2022 הולך להיות הרבה יותר גרוע.