לכאורה, היה זה עוד מייל תמים שהגיע מספק מכובד ומוכר. הספק ביקש שלא להעביר אליו את התשלום בגין החשבונית האחרונה, עקב ארגון מחדש בחשבונות הבנק. למנהל החשבונות שקיבל את המייל לא הייתה סיבה לחשוד, שהרי אם הספק ביקש שלא לקבל את התשלום, מה הבעיה? אותו ספק ביקש בנוסף עוד דבר אחד קטן, הוא מעוניין לבצע התאמה מקיפה של היתרה בחשבון. האם יואיל מנהל החשבונות המכובד לשלוח לו את החשבוניות הפתוחות? מכיוון שאף זו הייתה בקשה לגיטימית, לא היסס מנהל החשבונות ושלח את החשבוניות הפתוחות במייל.

בדיעבד הסתבר כי אותו מייל תמים לא נשלח על ידי הספק אלא על ידי גורם מתחזה שלאחר מספר ימים ממועד פנייתו הראשונה ביקש לשנות את פרטי חשבון הבנק ולהעביר לחשבון החדש את התמורה לה הוא לכאורה זכאי עבור כל החיובים הממתינים לתשלום. מייד נספר כיצד הסתיים האירוע.

החברות לא מספרות על פישינג

בתקופה האחרונה אנו עדים לשימוש ההולך וגובר במושג "פישינג", הן בתקשורת העולמית והן בישראל. מדובר על תופעה נרחבת מכפי שניתן לשער, אך רבים עדיין אינם מבינים את משמעותה, את הנזקים העלולים להיגרם כתוצאה ממנה ואת הפעולות הקיימות שבאמצעותן ניתן להימנע מליפול קורבן להונאה זו.

הונאת פישינג, היא שיטה בה הקורבן מתפתה להזין פרטים אישיים וחסויים שלו באתרים עוינים, ללא ידיעתו ומבלי שהוא יחשוד בכך. כאשר הקורבן מזין את פרטיו האישיים באתרים מדומים (מספר כרטיס אשראי, סיסמאות לחשבונות וכדומה), הוא למעשה חושף מידע אישי חסוי שלו לגורמים עבריינים שיעשו בו שימוש.

קיימות מגוון שיטות נפוצות שבהן נוקטים עבריינים בביצוע הונאת הפישינג. אחת הדרכים היא באמצעות התחזות לחברות/אתרים מוכרים ע"י שליחת דואר אלקטרוני אשר נראה על פניו מוכר. כך למשל, התריעה לאחרונה חברת החשמל מפני ניסיונות הונאה חוזרים ונשנים, שהתבצעו באמצעות הודעות אשר נשלחו בשמה ללקוחות הדורשות תשלום חוב, על מנת שחשבון הלקוח לא יוקפא. לקוחות אשר לחצו על הקישור שצורף להודעה, הועברו לאתר מזויף שנראה זהה לזה של חברת החשמל. לאחר שהלקוחות הזינו את פרטיהם האישיים באתר המזויף, אותם גורמים עבריינים השתמשו בפרטי התשלום שהוזנו למטרות הונאה.  

הונאות מסוג פישינג נפוצות ביותר וישנן לא מעט חברות במשק אשר נפגעו מהן בעבר. יחד עם זאת, החברות נוטות שלא לספר על הונאה שהתרחשה אצלן, לאור החשש כי חשיפת ההונאה תוביל לתדמית שלילית של החברה כלפי המשקיעים, כלפי קהל הלקוחות או תחשוף את החברה לתביעות.

לאחרונה עולים יותר ויותר דיווחים מחברות אשר חוו מתקפת פישינג, כאשר שיטת ההונאה שבה השתמש התוקף כנגדן הייתה התחזות לספק חיצוני, מתוך מטרה לקבל תשלום על חשבוניות לא קיימות ואף להירשם כספק במאגרי המידע של החברה.

פישינג מישראכרט (צילום: צילום מסך)
בעסקים מדובר בסכומים הרבה יותר גדולים|צילום: צילום מסך

איך אפשר למנוע הונאת פישינג

אמנם דרכי הונאת הפישינג המנוצלות על ידי נוכלים בכדי לעקוץ את החברות ולמשוך מהן כספים הולכות ומשתכללות, אך ישנן מספר פעולות מרכזיות שאותן יכולות החברות לבצע על מנת להגן על עצמן מניסיונות פישינג וביניהן:

  • הטמעת מנגנון עורך מאשר במערכת הפיננסית, כך שכל פעולת עדכון בפרטי חשבון בנק של ספק תדרוש אישור על ידי גורם בקרה בחברה.
  • ביצוע שיחת CALL BACK לספק עמו עובדת החברה על מנת לוודא כי בקשת השינוי אמינה.
  • הקפדה על קבלת מסמך המעיד על קיום חשבון הבנק מהספק, כתנאי לביצוע העברה בנקאית (אישור ניהול חשבון/ המחאה).
  • אחת לתקופה מומלץ להפיק דוח ספקים שאינם פעילים לתקופה שמעל לשנה, המוגדרים במערכת בסטטוס "פעיל", לצורך חסימתם במערכת.
  • בחברות שבהן מרבית הספקים בחברה הינם קבועים, מומלץ לשקול את האפשרות להקמת רשימת מוטבים קבועה במערכת הבנק. במקרה כזה כל שינוי ידרוש אישור מורשה חתימה, על ידי המערכת הבנקאית.

מייל מזויף שנשלח מיד

ישנם גם גורמים עבריינים המנסים לבצע הונאת פישינג בדרך של התחזות לבעל תפקיד בתוך הארגון בו עובד הקורבן, לצורך העברת כספים או ביצוע פעולות זדוניות אחרות. כך קרה לדירקטור שנדרש לאשר פרוטוקולים של הישיבות בהן השתתף. גורם עברייני שככל הנראה הצליח להתחקות אחר דפוס העבודה של הדירקטור עם החברה שלח בתום אחת הישיבות מייל שלכאורה נשלח ממזכירות החברה המבקש לאשר את פרוטוקול הישיבה.

ברגע שנכנס אותו דירקטור לקישור וראה כי מאחוריו לא עומד דבר, הבין כי משהו אינו כשורה. לא עבר שבריר שנייה מרגע הכניסה לקישור, ומיד נשלח בשמו של הדירקטור מייל מזויף לכל אנשי הקשר העובדים עמו, המתאר סיטואציה לפיה הוא נקלע למצוקה במדינה זרה, לאחר שעבר אירוע שוד שהותיר אותו ללא כל אמצעי תשלום ולכן הוא מבקש את עזרת חבריו בכדי שיסייעו לו ויעבירו כסף לחשבון שפרטיו צורפו למייל.

הקפדה על קיום הדרכות תקופתיות לעובדים בכל נושא הונאות הסייבר והפישינג, הוא צעד הכרחי נוסף שעל החברות לנקוט בו על מנת להתמודד עם איום ההונאות. הצגת השיטות/דרכי ההונאה המקובלות יחד עם מתן כלים להתמודדות עם תרחישים עתידיים, תעודד את ערנות העובדים ותגביר בקרבן את תודעת הזהירות המתבקשת.

רו
רו"ח שי מדינה|צילום: אסנת קרסננסקי, יחסי ציבור

עם השנים פיתחו הנוכלים שיטות מגוונות לביצוע הונאות פישינג לרוב, תוך ניצול חולשת הבקרות הקיימות בארגונים ובחברות. בכדי להימנע מלהוות פיתיון קל עבור אותם נוכלים, על החברות לדאוג ולבצע מיפוי תקופתי של כל תהליכי התשלום המתבצעים בהן תוך בחינת נאותות הבקרות בכל שלבי התהליך, בחינת הגורמים המאשרים, חידוד הנהלים ובמקרה הצורך עדכון והשמה של בקרות חדשות במטרה לחזק את ההגנה על הארגון מפני "דייג" עתידי.  

נקנח בתיאור מקרה הפישינג מתחילת המאמר: מנהל החשבונות שלח לסמנכ"ל הכספים לאישור את השינוי בפרטי חשבון הבנק, אשר ביקש המתחזה לספק. סמנכ"ל הכספים, בעקבות יישום המלצת ביקורת שבצענו בעבר בחברה, שאל את מנהל החשבונות האם וידא עם הספק האמיתי שאכן מספר חשבון הבנק שלו השתנה. מנהל החשבונות אישר שבדק. הוא שלח מייל לכתובת המייל המזויפת ושאל את המתחזה, האם אכן החשבון השתנה. המתחזה אישר שאכן כך - סכום של מאות אלפי יורו נשלח לספק המתחזה.

יום לאחר מכן, הספק המתחזה, אשר תיאבונו גבר, לאור ההצלחה מאתמול, ביקש לשלם גם את חשבון שטרם הגיע מועד פרעונו והפעם למספר חשבון בנק אחר. דרישה נמהרת זו עוררה את חשדו של מנהל החשבונות, אשר פנה הפעם לספק האמיתי, אשר הבטיח לו שחשבון הבנק שלו לא השתנה לאחרונה. החברה פנתה בבקשה בהולה לבנק, על מנת שינסה לעצור את התשלום שבוצע אתמול, וזה אכן הצליח, בעור שיניו להשיב את הכסף. סוף טוב הכל טוב? לא ממש. יותר עניין של מזל. אירוע זה בוצע בשיטת הונאה פשוטה יחסית, אולם הנוכלים הופכים לנועזים ומתוחכמים יותר משנה לשנה ועל החברות להיערך לכך בהתאם.

הכותב הוא שותף, מנהל מחלקת ביקורת חקירתית, פאהן קנה ניהול בקרה