הונאות סייבר בישראל הפכו למכת מדינה, והפושעים ממשיכים למצוא דרכים יצירתיות לנצל את התמימות והפחד של הציבור. בשנים האחרונות, זה רק הולך וגובר – החל מהודעות SMS פשוטות שמתחזות לבנקים וחברות מוכרות, דרך סחיטות מיניות חסרות רחמים ועד להונאות מורכבות שמנצלות את מנגנוני האמון של אנשים. בראיון בלעדי, שרון קספר, מנהל מודעות הסייבר בבנק הפועלים, חושף את היקף התופעה וכיצד ניתן להיאבק בה. קספר מסביר על האתגרים שבהעלאת מודעות הציבור לסיכוני הסייבר, על הכלים הפשוטים שבהם משתמשים הפושעים כדי להפיל קורבנות, ומדוע אפילו אנשים זהירים ומודעים נופלים ברשת. איך מפעילים הנוכלים לחץ פסיכולוגי, ומה ניתן לעשות כדי להתגונן?

קספר, בעל ותק של 20 שנה בבנק הפועלים, מתאר את המסלול המגוון שעבר לאורך השנים בבנק, מעולמות התמיכה הטכנית, דרך תקופה בעולמות ניהול הפרויקטים של המוצרים הדיגיטליים, אפליקציות ויישומים באתר, תקופה במחלקת הפינטק בחטיבת החדשנות של הבנק ובשש השנים האחרונות כמוביל שני תחומים מרכזיים במערך הסייבר של הבנק בחטיבת הטכנולוגיה - מניעת דלף מידע ומודעות סייבר ארגונית: "אני אחראי על מודעות העובדים, הלקוחות והספקים שלנו לסיכוני הסייבר ולדרכים לצמצום הסיכונים," הוא מסביר.

האתגר הפסיכולוגי של הסייבר: לשנות את התפיסה

עבור קספר, "התחום של מודעות סייבר מורכב מהמון שכבות, מעבר להכרת הסיכונים עצמם והדרכים שבהן ההאקרים ופושעי סייבר פועלים, שזו בפני עצמה תשוקה שלי, שנמצאת איתי מגיל 13-12", נזכר קספר, ומתאר את האתגר שהיה צריך לעבור: "אבל ההיבט הפסיכולוגי מרתק אותי לגמרי בעניין הזה, כי עד שהגעתי לתחום אבטחת המידע, היה לי אנטי מובנה לגוף שנקרא אבטחת מידע, שנתפס כמגביל, וכשנכנסתי לנעליים, האתגר הכי גדול שלי היה לנצח את עצמי, פסיכולוגית, לעקוף את מנגנוני ההגנה והציניות ולדבר בשפה חדשה ובגובה העיניים ולהיפטר מכל העולמות הישנים של עשה ואל תעשה."

הונאות פשוטות, קורבנות רבים

עוד נחזור לנושא של עשה ואל תעשה ואיך להתגונן מפני ההונאות, אבל כעת ביקשתי מקספר לתאר את סוגי ההונאות הנפוצים כיום. "סוג הונאות אחד הוא הונאות שמתבססות על הודעות מתחזות, זה יכול להיות מייל, וואטסאפ, רשתות חברתיות, או הנפוץ ביותר – מסרוני SMS", הוא מסביר. "קל מאוד באמצעות כלים זמינים לכולם לייצר הודעות מתחזות שנשלחות ב-SMS תחת שם של כל חברה שתבחרו, ואפילו לשרשר את ההודעה המתחזה בתוך הצ'אט הקיים מול החברה האמיתית שאליה מתחזים הנוכלים." קספר מסביר כי אנשים נוטים להאמין להודעות שהם מקבלים, וכאשר מדובר בהודעה משורשרת בתוך שיחה קיימת, הם משתכנעים עוד יותר וממהרים ללחוץ על הקישור.

"המטרה העיקרית כאן היא כסף," מסביר קספר. "בדרך כלל, הפושעים יפנו אתכם לאתר מתחזה של הבנק, כדי להשיג את פרטי הזיהוי שלכם ומספר הטלפון. לאחר מכן, הם ירימו שיחת טלפון מתחזה בשם 'ביטחון הבנק' ויבקשו מכם פרטים נוספים, כמו קוד ה-OTP החד-פעמי שקיבלתם לנייד. דרך זה הם יצליחו להשתלט על החשבון ולנסות למשוך ממנו כספים ולהעביר אותם הלאה."

פושעים ישראלים לא רחוק מהבית

קספר ממשיך ומתאר סוג נוסף של הונאה: "הסוג השני דומה להונאות שמתרחשות באמצעות שירותים כמו Bit ודואר ישראל. כאן, הפושעים יובילו אתכם לדף מתחזה, שם תתבקשו להזין את פרטי כרטיס האשראי שלכם, כולל CVV ותעודת זהות. ברגע שיש להם את הפרטים הללו, הם מיד ניגשים לאתרים כמו אמזון, רוכשים gift cards, וגם אם הכרטיס נחסם, הנכסים הדיגיטליים הללו כבר בידיהם והם יכולים להמשיך ולהשתמש בהם."

לגבי זהות הפושעים, קספר חושף נתון מעניין: "כשאנחנו מדברים על הסוגיה הזו, ההתחזות שמטרתה לגנוב כספים בסופו של דבר, רוב הכנופיות, אם לא באמת ברמה של מעל 90 אחוזים, ממוקמים פה בארץ, חלקן בשטחים, חלקן לא, אזרחים ישראלים לכל דבר." קספר ממשיך וחושף תופעה מטרידה של סחיטה מינית דרך מיילים, המבוססת על הפעלת לחץ פסיכולוגי חזק. הוא מסביר כי הנוכלים מקימים תיבת מייל אנונימית וממנה "שולחים מייל מאוד פשוט, ללא שום דבר שדורש תחכום," הוא מתאר. ההודעה נפתחת ב-"Hello, pervert", וממשיכה בטענה שהמכשיר הודבק בתוכנת ריגול כמו פגאסוס, ושכעת יש בידיו מידע על אתרים מפוקפקים שבהם ביקר הקורבן, כולל צילומים אישיים. "הוא ממש חופר פנימה לתוך הבושה," מוסיף קספר, "ומאיים לשלוח את הסרטון לרשימת אנשי הקשר שלך, אלא אם תשלם לארנק הביטקוין שלו, שבמקרה האחרון שאני ראיתי, עמד על 831 דולר."

קספר מתאר כיצד ההונאה מצליחה בפשטות מפתיעה: "אתה לא צריך כלום, אין לך באמת שום תוכנה, לא פיתחת שום דבר, אין לך שום ידע טכנולוגי. מהבית שלך אתה מכין את התיבה האנונימית, מפיץ את המייל הזה הכי רחב שאתה יכול, והכסף מתחיל להישפך לארנקים הדיגיטליים." הוא מוסיף שהקורבנות, מתוך בושה, מעדיפים לשלם כדי להשתיק את המקרה, ולא פונים למשטרה, מה שמאפשר להונאה להמשיך לפעול בשקט. "מבחינתם זו לא עקיצה, הם חושבים שתפסו אותם באמת עושים משהו מביש."

"עוד דבר יחסית חדש אירע בתקופה האחרונה," מסביר קספר, הוא מיילים שמגיעים גם לאנשים פרטיים, עסקים קטנים וחברות גדולות, ממשרד עורכי דין שמייצג לכאורה חברה גדולה במשק הישראלי, כמו בזק או בנק הפועלים, בתלונה על הפרת זכויות יוצרים. "הם פונים אליך במכתב רשמי, אנחנו משרד עורכי דין, המייצגים את הלקוח שלנו בזק או בנק הפועלים וראינו שפרסמת ברשתות החברתיות תמונות וסרטונים שלנו ואתה מפר בזאת זכויות יוצרים ואנחנו עומדים לתבוע אותך." קספר מתאר את התהליך, שבו המייל מכיל קישור המתחזה למסמך חוקי. "אתה לוחץ על הדבר הזה, ובעצם הורדת והפעלת נוזקה מסוג stealer," שמקליטה את כל ההקלדות שלכם ומושכת את כל הסיסמאות השמורות מהדפדפן.

איך נמנעים מעקיצה? תשכחו מעשה ואל תעשה

בשלב הזה אתם בטח שואלים את עצמכם איך מתגוננים מפני הונאות מהסוג הזה, ואיך מזהים הונאה פוטנציאלית שכזו. קספר מבהיר: "אני לא מצפה מאף אדם שיישב מול הודעת SMS מסוימת ויגיד, זה מזויף וזה לא. אין לנו את היכולת הזאת." הוא ממליץ לאמץ גישה שונה: להתעלם מהודעות המגיעות עם קישורים, גם אם הן נראות דחופות או מפתות. במקום זאת, הוא ממליץ לסגור את ההודעה ולפנות ישירות לשירות הרלוונטי דרך חיפוש עצמאי או האפליקציה הקיימת. "אם תהיה בעיה, תדעו עליה כשתתחברו לשירות, אבל העיקר – הימנעו מלחיצה על קישורים בהודעות."

הגברת המודעות: תפקיד המדינה או האזרחים?

כשאנחנו שואלים לגבי הכשל במודעות, שגורם לאנשים ליפול ברשת, קספר מסביר כי הכשל במודעות הציבור נובע משני גורמים – מצד הציבור ומצד המדינה. אנשים לא מבינים שכשהם מקבלים SMS עם שם חברה מוכר, כמו Bit או PayPal, "זה לא נותן שום אינדיקציה לזה שזו החברה האמיתית", כיוון שכל אחד יכול לזייף את השם בקלות. בנוסף, הוא מדגיש שהתרגלנו לכך שהודעות מחברות מגיעות עם שם חברה במקום מספר טלפון, מה שגורם לרבים להניח שההודעה אמיתית. מצד המדינה, שרון מבקר את המצב: "אין פה אכיפה", ומציין שכבר יצאה הנחיה לספקיות לזהות את השולחים, אך בפועל "אני לא רואה שום שינוי משמעותי".

לאור הכשלים במודעות והתגברות ההונאות, קספר מסביר כי בבנק הפועלים מתמקדים בעיקר בהעלאת מודעות הציבור: "אנחנו לא גוף תוקף ואנחנו לא מחפשים את ההאקרים עצמם." הוא מציין שכל מידע שמוביל לפושע מועבר למשטרה, והבנק מסייע באיסוף ראיות, כולל הצלבת צילומים מבנקטים. אחרי שיש לפושעים גישה לפרטי הבנק, אחת הדרכים שבהן פושעים גונבים כסף היא באמצעות משיכת מזומן ללא כרטיס. "בדרך כלל זה קורה ב-23:59 ואז שוב ב-00:00 כדי לנצל את המקסימום משיכה של שני ימי עסקים", מסביר קספר.

מלבד העברת המידע למשטרה, לבנק הפועלים יש תפקיד מרכזי בהגברת המודעות להונאות. "ממש לאחרונה, השקנו מיני סייט חדש באתר שלנו שכולל המון פריטי מידע על סוגי ההונאות, כולל לשונית ברוסית," מסביר קספר, ומדגיש כי באתר מופיעים צילומי מסך של הודעות לדוגמה. "הדבר הזה מוצג כשאתה עושה יציאה מהחשבון שלך באתר, ואנחנו נותנים הפניות גם באפליקציה למידע הזה." קספר מוסיף כי "בשנתיים האחרונות היה לנו שיתוף פעולה מדהים עם הפורום של הבנקים ובנק ישראל. הרצאתי למאות בנקאים, שהעבירו, גם אני, את המידע במועדוני יום לקשישים ובמתנ"סים." כמו כן, הוא מתאר קמפיינים שנעשו בשיתוף עם צדי צרפתי וחיים אתגר, במהלכם הופקו סרטונים שהופצו באתר הבנק, בפייסבוק, ביוטיוב וברשתות החברתיות כדי להגיע לקהל הרחב.

"הכלים הם אותם כלים"

אנחנו מנסים להבין האם התחכום בהונאות גובר מיום ליום, וקספר מפתיע: "הדברים שמתחדשים זה היצירתיות. הכלים הם אותם כלים בסופו של דבר, והם תמיד פונים לשני הטריגרים הפסיכולוגיים או הרגשיים הקבועים. 'החשבון שלכם עומד להיחסם', אתם צריכים לעשות פעולה במהירות'". ההודעה משחקת על הטריגר הפסיכולוגי או הטריגר הישראלי, ש"הנה יש פה מתנה שאתם עומדים להפסיד אותה, בואו קודם כל לתפוס אותה."

העוקץ הרוסי: הונאת הענק שגבתה 100 מיליון שקלים

לסיום, קספר מבקש לשתף עוד על אחת מההונאות המשמעותיות ביותר, שצוברות לאחרונה תאוצה בקרב יוצאי ברית המועצות המתגוררים בישראל, ומכונה "העוקץ הרוסי". לדברי קספר, ההונאה פועלת כבר כשנתיים והצליחה להוציא מלקוחות כ-100 מיליון שקל. "ההונאה הזו היא מטורפת לגמרי," הוא אומר. קבוצת פשיעה ממזרח אירופה השיגה מאגר מידע של אזרחי ישראל, בעיקר עולים ממדינות חבר העמים, ומשתמשת באפליקציות מתחזות כדי לזייף שיחות שנראות כאילו הן מגיעות מתחנות משטרה, בנקים או רשויות אחרות. "אתה רואה אצלך בצג שזה ממש תחנת משטרה," מסביר קספר, "וגם אם תנתק ותתקשר חזרה, אתה תגיע לתחנת המשטרה האמיתית."

הפושעים משכנעים את הקורבנות שהם בעיצומה של חקירה נגד פקידים בבנק שמבצעים הונאות, ודורשים מהם לשמור על סודיות מוחלטת. "אנשים שגדלו ועלו ממדינות חבר העמים שומעים גורם אכיפה, הלב שלהם נאלם דום," מתאר שרון. הפושעים שולחים צילומים של תעודות מזויפות של אנשי ביטחון כדי לחזק את אמינותם, ולאחר מכן משכנעים את הקורבנות להוציא את כל כספם מהבנק או לקחת הלוואה, ולהעבירו לחשבון בחו"ל או למסור אותו לשליח מסוים.

עוד ב-

הבכיר הישראלי חושף: סוכני ה-AI שישנו את עולם העסקים | ראיון

לכתבה המלאה

קספר מדגיש עד כמה התופעה חמורה: "עכשיו, אולי זה נשמע הזוי ואולי תשאלו את עצמכם, מי ייפול או ישתף פעולה עם דבר כזה? אבל כמויות הכספים שנגנבו בהונאה הזו הן מטורפות. להערכתי, מעל 100 מיליון, וזה מצב נוראי, מאוד מאוד בעייתי. הבן אדם הולך מיוזמתו, נכנס לבנק, מוציא את כל הכסף במזומן, או אפילו מוסר את פרטי הכניסה לחשבון הבנק שלו באינטרנט, למשטרה כביכול, שמנקים לו את החשבון אחר כך."