הצעות מזויפות לטיסות ומלונות מוזלים

יום ג', 11 ביוני 2019
 
מלכודת תיירים: מלכודות פישינג מאחורי 
 
 
חוקרי קספרסקי, העוקבים אחר פעילות ספאמרים והונאות פישינג זדוניות, חשפו במהלך חודש מאי פעילות הונאות תיירות נרחבת. בין היתר, החוקרים זיהו יותר מ-8,000 התקפות פישינג המסתתרות מאחורי הצעות המוצגות בפלטפורמות תיירות נפוצות. בנוסף, חשפו החוקרים קמפיין להפצת ספאם הנראה כאילו הוא מגיע ממותגי תיירות מוכרים, כאשר למעשה הוא מוביל את הקורבנות ללא ידיעתם להירשם לשירותי טלפון בתשלום.
 
ספאם ופישינג נמצאים בין אפיקי התקיפה היעילים ביותר, משום שהם מנצלים את הטבע האנושי לתת אמון במותגים, בתהליך שידוע בשם "הנדסה חברתית". מדובר בקמפיינים משכנעים מאוד, משום שהתוקפים משתמשים באתרים מזויפים הזהים מאוד לגרסה המקורית. כך הם מצליחים להוביל בקלות את הקורבות למסור להם פרטי אשראי או לשלם עבור מוצר או שירות שכלל אינם קיימים.
 
במהלך יום אחד בלבד (21 במאי), החוקרים זיהו 7 משלוחי דואר אלקטרוני שונים שהכילו, תחת שמות של פלטפורמות נפוצות להזמנת מוצרי תיירות, הזדמנויות להשגת כרטיסי טיסה וחדרים. שלוש מהן הציעו טיסות בחינם בתמורה להשלמת סקר קצר ושיתוף הקישור עם אחרים. לאחר 3 שאלות המשתמשים התבקשו להזין את מספר הטלפון שלהם, והתוקפים השתמשו בנתון כדי לרשום את הקורבנות לשירותי טלפון בתשלום.
 
במקביל, בתקופה שבן אפריל לסוף מאי, זיהו החוקרים התקפות פישינג שהתחפשו לאתרים פופולאריים להזמנת מקומות לינה, כגון Airbnb (עם 7,917 התקפות). בדוגמא אחת, יצרו התוקפים עמוד פישינג שדומה מאוד לפלטפורמה מוכרת, והציגו לקורבנות מגורים זולים במרכז העיר עם ציונים גבוהים. ברגע שהקורבן אישר את ההזמנה והעביר את הכסף, ההצעה באתר נעלמה. 
 
קספרסקי ממליצה לנקוט באמצעי האבטחה הבאים כדי להגן על עצמכם מהונאות פישינג וספאם:
 
·       אם הצעה נראית טובה מכדי להיות אמיתית, היא כנראה כזאת. עדיף להימנע ממנה.
 
·       בידקו בזהירות בשורת הכתובת לפני שאתם מזינים מידע רגיש כגון שם משתמש או סיסמא. אם משהו נראה שגוי ב-URL (אינו כתוב נכון, לא נראה כמו המקור, או משתמש בסמלים מיוחדים במקום אותיות), אל תזינו שום מידע באתר שכזה.
 
·       הזמינו טיסות ומגורים רק באתרים אמינים של ספקים אמינים. ההמלצה היא לכתוב את כתובת האתר באופן ידני בשורת הכתובת.
 
·       אל תלחצו על קישורים שמגיעים ממקור בלתי ידוע (דוא"ל, הודעות מסנג'ר או רשתות חברתיות).
 
·       השתמשו בפתרונות אבטחה בעל טכנולוגיות אנטי-פישינג מבוססות התנהגות, המתריעים על ביקור באתר פישינג.