פישינג, או דיוג בעברית תקינה, הוא שם לתרמית סייבר במסגרתה מנסים תוקפים להוציא במרמה פרטים רגישים של המשתמש כגון חשבונות בנק, פרטי כרטיס אשראי, מספר זהות ועוד. נוסף על סחיטת פרטים אישיים, ניתן באמצעות פישינג להדביק את המחשב בתוכנה זדונית כלשהי. ניסיונות לדיוג נפוצים מאוד במייל, ב-SMS ואף בשיחות טלפון, ולכן חשוב לדעת מה זה דיוג ואיך להימנע מכך.
כשמדובר על פשעי סייבר, לא תמיד ברור לכלל המשתמשים מה הסכנה הגדולה. הרי מדובר בעניין שהוא אך ורק אלקטרוני, ללא התקפה ישירה על הרכוש בבית למשל, או על שלמותו הפיזית של האדם.
למעשה דיוג במייל או במסרון יכולים לשאת השלכות הרסניות לא פחות מפריצה לבית שלכם. תרמית פישינג מוצלחת יכולה להביא לסחיטה של המשתמש, לגניבת זהות ולגניבה של רכוש וכסף בסכומים גבוהים (למשל באמצעות פריצה לחשבון הבנק שלכם). לכן אסור להקל ראש בתרמית זאת ויש להתייחס אליה במידת החשד הראויה.
ישנן שיטות רבות ומגוונות לתרמיות דיוג, ולכן חשוב יותר להכיר את המנגנון הכללי שעומד מאחוריהם מאשר להתוודע לכל תרמית ספציפית. עם זאת, בשביל לסבר את האוזן ולהבין על איזו סוג הונאות מדובר נציג דוגמה אחת שעלולה להפיל בפח לא מעט משתמשים תמימים.
דיוג בשיחת טלפון אולי מעט פחות נפוץ ממסרונים או דואר אלקטרוני אך הוא בהחלט עשוי להיות אפקטיבי. במקרה הזה, הונאה מקובלת היא שיחה מנוכלים שמתחזים לנציגי גוף פיננסי רלוונטי כלשהו. הנציגים יבקשו מכם למסור קוד משתמש על מנת לחסום את כרטיס האשראי שלכם מהונאה כלשהי שהתרחשה כנגדו (אף שבפועל אין אחת כזאת כמובן).
על איזה קוד מדובר? מדובר בקוד one time password (OTP), סיסמה הנשלחת לעיתים עבור אישור עסקאות רכישה ברשת. חשוב לדעת שאסור למסור אותה לאף צד שלישי, ללא קשר מטעם מי הוא טוען שהוא מדבר אתכם.
חשוב להבין שהאקרים מתוחכמים עושים הרבה מאמץ בשביל להצליח לפתור באופן אלגנטי את השאלה איך לא להראות כמו פישינג. יחד עם זאת, גם היום ישנם הרבה סימנים שיכולים להעיד שאתם ניצבים מול תרמית זדונית ולא מול מסרון או הודעת אימייל תמימה.
איך מזהים מתקפת דיוג? לרבות מהודעות יש הקדמה גנרית, אפילו בלי פנייה אישית בשם. נוסף על כך רבות מהתרמיות מאופיינות בכתובת דומיין חשודה, בניסוחים קלוקלים ומלאי שגיאות ובתזמון תלוש לקבלת ההודעה או השיחה.
מעבר למאפיינים הטכניים, הונאות הפישינג מזוהות עם כמה פרטים שמהווים חלק בלתי נפרד מהמנגנון: תחושת בהילות בבקשה הכתובה בהודעה או בשיחה, בקשת מסירת פרטים אישיים, לינק חשוד ללחיצה והודעה הכתובה עם הצעה שקשה לעמוד בפניה (למשל הנחה מופלגת או זכייה בסכום כסף כלשהו). בהקשר ההצעה חשוב לזכור את הכלל הנכון תמיד – אם זה טוב מכדי להיות אמיתי, כנראה שזה לא אמיתי.
יש הרבה טכניקות להימנע מהונאות דיוג למיניהן, אך עבור שולחים מיילים בתפוצה רחבה חשוב גם לדעת כיצד להימנע מיצירת תדמית של מתקפת סייבר זדונית כאשר שולחים הודעה תמימה הפונה ללקוח.
היכרות עם טכניקות הפישינג השונות והשימוש שנעשה בהן בהודעות מאפשר להימנע מניסוח של הודעות דומות ברוחן ובכתוב בהן להונאות אלו. בנוסף, חשוב להימנע מבקשת פרטים אישיים כלשהם במייל או מניסוח הבטחות. עמידה על כללים אלו והבנה של עולם הונאות הסייבר תאפשר לכם לנסח מיילים שקוראים לא יפחדו לקבל.
לסיכום, אם לנסח זאת בנקודות, כך יש לכתוב מייל שאינו מרגיש כמו תרמית:
