אבטחה והונאות
20 באוג׳ 2024
אתר שנראה רשמי, הודעת תמיכה אדיבה או בקשה לחתימה אחת יכולים להספיק כדי לרוקן ארנק — ההגנה מתחילה בבדיקת הכתובת, מקור הפנייה ומה שהארנק באמת מבקש לאשר. צלם: David Larsen
הונאת פישינג מוצלחת אינה חייבת לפרוץ את הבלוקצ׳יין, לפצח הצפנה או להתגבר על ארנק חומרה. לעיתים כל מה שנדרש הוא לגרום למשתמש להיכנס לאתר שנראה מוכר, להקליד משפט שחזור או לחתום על בקשה שאינו מבין.
העמוד המזויף יכול להיראות כמעט זהה לאתר של בורסה, ארנק או פרויקט אמיתי. הלוגו נכון, הצבעים מוכרים, התפריטים פועלים ואפילו כתובת האתר עשויה להיות שונה באות אחת בלבד. במקרים אחרים, התוקף מתחזה לנציג תמיכה ומציע לעזור בבעיה דחופה: משיכה שנתקעה, חשבון שעומד להיחסם או ארנק שצריך כביכול לעבור „אימות”.
המטרה היא ליצור רגע שבו המשתמש מפסיק לבדוק ומתחיל לפעול.
פישינג אינו רק הודעת דוא״ל עם שגיאות כתיב. הוא יכול להגיע בהודעת טקסט, בשיחה פרטית ברשת חברתית, בשיחת טלפון, בקוד QR, באפליקציה מזויפת או דרך אתר שמבקש לחבר ארנק. רשות הסייבר האמריקאית מגדירה פישינג כניסיון לגרום לאדם לפתוח קישור או קובץ מזיקים, למסור מידע אישי או להתקין תוכנה זדונית.
בעולם הקריפטו, טעות אחת עלולה להיות קשה במיוחד לתיקון. עסקה שנחתמה ונרשמה בבלוקצ׳יין בדרך כלל אינה ניתנת לביטול, ובארנק במשמורת עצמית אין גוף מרכזי שיכול לאפס את החשבון ולהחזיר את הכספים. (MetaMask Help Center)
מה התוקפים מנסים להשיג?
לא כל מתקפת פישינג פועלת באותה צורה. התוקף עשוי לנסות להשיג אחד מארבעה דברים מרכזיים.
פרטי כניסה לבורסה
המשתמש מקבל הודעה שלפיה זוהתה כניסה חשודה, נדרשת בדיקת אבטחה או שהחשבון עומד להיחסם. הקישור מוביל לעמוד התחברות מזויף שבו הוא מזין כתובת דוא״ל, סיסמה ולעיתים גם קוד אימות.
האתר יכול להעביר את הנתונים מיד לתוקף, שמנסה להתחבר לחשבון האמיתי בזמן שהקורבן עדיין ממתין להודעת „האימות הושלם”.
משפט שחזור או מפתח פרטי
משפט השחזור מאפשר לבנות מחדש את המפתחות של הארנק. מי שמקבל אותו אינו זקוק לטלפון, למחשב, לסיסמת האפליקציה או למכשיר המקורי כדי להשתלט על הנכסים.
ארנקים וחברות חומרה מדגישים שנציג תמיכה אמיתי לא יבקש את משפט השחזור. חברת Ledger מציינת שלעולם לא תבקש את 24 המילים, ו־MetaMask מזהירה שכל מי שמבקש את משפט השחזור מנסה למעשה לקבל גישה לארנק.
חתימה על עסקה או הרשאה זדונית
האתר אינו מבקש סיסמה או משפט שחזור. במקום זאת הוא מציע מתנה, החזר כספי, חלוקת מטבעות או „אימות בעלות”, ומבקש מהמשתמש לחבר את הארנק ולחתום.
החתימה יכולה להעניק לחוזה הרשאה להעביר מטבעות, לאפשר גישה לכל הפריטים באוסף מסוים או ליצור הוראה שהתוקף ינצל בשלב מאוחר יותר. MetaMask מתארת חתימות והרשאות זדוניות כאחת הדרכים הנפוצות שבהן תוקפים גורמים למשתמש לאשר פעולה שונה מזו שהוא חושב שהוא מבצע. (MetaMask Help Center)
התקנת תוכנה מזויפת
הודעה יכולה לטעון שנדרש עדכון אבטחה דחוף ולהפנות להורדת ארנק, תוסף דפדפן או תוכנת ניהול מזויפים. התוכנה עשויה לבקש את משפט השחזור, לשנות כתובות שמועתקות ללוח או להציג למשתמש עסקה שונה מזו שהוא עומד לאשר.
Ledger מזהירה מפני אפליקציות מתחזות ומדגישה שיש להוריד את תוכנת הארנק רק דרך המקור הרשמי שלה. (Ledger Support)
האתר נראה אמיתי — אז היכן נמצאת ההונאה?
אתרי פישינג נועדו לעבור בדיקה חזותית מהירה.
התוקפים מעתיקים את הלוגו, הגופנים, הצבעים והטקסטים מהאתר המקורי. לעיתים גם כפתורים ותפריטים עובדים, ורק אזור ההתחברות או חיבור הארנק נועד לגנוב מידע או חתימה.
הפרט החשוב ביותר אינו העיצוב — אלא כתובת האתר.
הבדל של אות אחת יכול להוביל לאתר אחר לחלוטין. התוקף עשוי:
להחליף אות באות דומה.
להוסיף מקף או מילה.
להשתמש בסיומת אחרת.
להציב את שם המותג בתוך כתובת ארוכה.
ליצור תת־דומיין שנראה רשמי.
להשתמש באותיות משפות שונות שנראות כמעט זהות.
לדוגמה, הופעת שם של בורסה בתחילת כתובת אינה מוכיחה שהאתר שייך לה. הבעלות נקבעת לפי הדומיין האמיתי, ולא לפי המילים שמופיעות במקום כלשהו בשורה.
Kraken מזהירה מפני דומיינים השונים באות אחת או שתיים מהכתובת הרשמית וממליצה לוודא שהדומיין בדפדפן הוא הדומיין האמיתי של החברה.
איך קוראים כתובת אתר נכון?
כתובת אינטרנט יכולה לכלול כמה חלקים, והחלקים הראשונים אינם תמיד החשובים ביותר.
נניח שמופיעה כתובת במבנה הבא:
המילה Kraken מופיעה בתחילת הכתובת, אבל הדומיין השולט באתר הוא למעשה:
גם מילים כמו „secure”, „verify”, „support” או „wallet” אינן סימן לאמינות. כל אדם יכול לרשום דומיין שכולל אותן.
לפני הזנת סיסמה או חיבור ארנק כדאי ללחוץ על שורת הכתובת, לראות אותה במלואה ולהשוות לדומיין הרשמי שכבר מכירים. במסך טלפון חלק מהכתובת עלול להיות מוסתר, ולכן חשוב לפתוח אותה ולא להסתמך על הכותרת או הלוגו שמציג הדפדפן.
סמל המנעול אינו מוכיח שהחברה שמאחורי האתר אמינה. הוא מצביע על חיבור מוצפן בין הדפדפן לאתר, וגם אתר זדוני יכול להשתמש בחיבור מוצפן.
מדוע לא כדאי להיכנס דרך קישור בהודעה?
הודעת פישינג מנסה לגרום למשתמש לפעול מתוך ההודעה עצמה.
היא עשויה לכלול כפתור בשם „אבטח את החשבון”, „בטל משיכה”, „קבל תגמול” או „אמת את הארנק”. גם אם הטקסט שעל הכפתור נראה תקין, הוא יכול להפנות לכתובת אחרת לחלוטין.
כאשר מתקבלת הודעה על בעיה בחשבון, הדרך הבטוחה יותר היא לסגור אותה ולהיכנס לשירות באופן עצמאי:
לפתוח סימנייה שנשמרה מראש.
להקליד את הכתובת הידועה בדפדפן.
לפתוח את האפליקציה הרשמית שכבר מותקנת.
להגיע לתמיכה מתוך האתר או האפליקציה.
רשות הסייבר האמריקאית ממליצה לאמת הודעה חשודה באמצעות ערוץ עצמאי, ולא באמצעות הקישור, מספר הטלפון או כתובת התשובה שמופיעים בה.
גם מיקומו של אתר בתוצאות חיפוש אינו הוכחה לכך שהוא רשמי. Kraken ממליצה להשתמש בסימנייה ולא להגיע לעמוד ההתחברות באמצעות מנוע חיפוש, הודעת דוא״ל או רשת חברתית. (Kraken Support)
הסימן החזק ביותר: יצירת לחץ
פישינג כמעט תמיד מנסה לקצר את הזמן שבין הקריאה לפעולה.
ההודעה עשויה לטעון:
המשיכה כבר מתבצעת.
החשבון יינעל בתוך כמה דקות.
הארנק דורש שדרוג מיידי.
יש לאמת בעלות לפני שהכספים יוקפאו.
המתנה זמינה רק לזמן קצר.
נציג התמיכה מחכה לפעולה כדי „להציל” את הנכסים.
המטרה היא לגרום למשתמש להרגיש שאין זמן לבדוק.
שפה דחופה, מאיימת או רגשית היא אחד מסימני הפישינג המרכזיים שמציינת רשות הסייבר האמריקאית. היא ממליצה לעצור ולבדוק כאשר הודעה כוללת לחץ, בקשה למידע אישי, כתובת חשודה או קישור מקוצר ולא מוכר. (CISA)
אירוע אמיתי יכול להיות דחוף, אבל שירות לגיטימי לא צריך את משפט השחזור כדי לטפל בו. כאשר אדם מבקש מידע שמעניק שליטה מלאה בארנק, עצם הבקשה היא הסכנה.
נציג התמיכה שפונה ראשון
אחד המקומות הנוחים ביותר לתוקפים הוא אזור התגובות ברשתות החברתיות.
משתמש כותב שההעברה שלו תקועה, שהארנק אינו מציג מטבע או שאינו מצליח להתחבר. בתוך דקות מופיעה תגובה מחשבון שנראה כמו „תמיכה רשמית” ומזמינה אותו לשיחה פרטית.
הפרופיל יכול להשתמש באותו לוגו, בשם כמעט זהה ובתוכן שהועתק מהחשבון האמיתי. בהמשך הנציג המזויף עשוי לשלוח קישור ל„סנכרון”, לבקש צילום מסך או להציע להזין את משפט השחזור באתר.
MetaMask מציינת שהיא אינה פונה ראשונה בהודעה פרטית ברשתות חברתיות, אינה מספקת תמיכה ב־WhatsApp או בטלגרם ואין לה מספר טלפון לתמיכה. ערוץ התמיכה המרכזי שלה נפתח מתוך אתר התמיכה הרשמי.
גם Kraken מזהירה שמספר טלפון שנמצא באינטרנט ומוצג כשירות לקוחות עלול להיות חלק מהונאת פישינג, וששירות קולי אמיתי נפתח רק במסלולים המוגדרים בתוך האפליקציה.
הכלל הנכון אינו לזכור בעל פה את דרכי התמיכה של כל חברה, אלא להגיע אליהן מתוך האתר הרשמי — ולא דרך האדם שפנה אלינו.
הודעה מקצועית יכולה להיות מזויפת
שגיאות כתיב וניסוח מוזר עדיין מופיעים בהונאות רבות, אבל הם כבר אינם תנאי לזיהוי.
תוקפים יכולים להעתיק הודעות מקוריות, להשתמש בעיצוב המדויק של החברה ולנסח טקסט רהוט ומשכנע. גם כתובת השולח המוצגת באפליקציית הדוא״ל אינה תמיד מספיקה, משום שניתן להשתמש בדומיין דומה או בשם תצוגה שמסתיר את הכתובת האמיתית.
לכן הודעה אינה נעשית אמינה רק משום שהיא:
כתובה היטב.
כוללת את השם הפרטי.
משתמשת בלוגו הנכון.
מזכירה שירות שבו המשתמש אכן משתמש.
נשלחה סמוך לפעולה אמיתית.
כוללת פרטים שנראים פנימיים.
מידע אישי שדלף בעבר, כתובת ארנק ציבורית או פוסט שכתב המשתמש יכולים לאפשר לתוקף ליצור פנייה מותאמת ומשכנעת יותר.
האם חיבור ארנק לבדו מאפשר לגנוב כסף?
חיבור רגיל של ארנק לאתר מאפשר בדרך כלל לאתר לראות את הכתובת הציבורית ואת המידע שכבר ניתן לצפות בו בבלוקצ׳יין. החיבור לבדו אינו מעניק אוטומטית יכולת להעביר את המטבעות. כדי להזיז נכסים, האתר יזדקק בדרך כלל לחתימה, להרשאת טוקנים או לעסקה נוספת.
אבל אין להסיק מכך שחיבור לאתר מזויף הוא פעולה חסרת סיכון.
לאחר החיבור האתר יודע איזו כתובת נמצאת מולו ומהם הנכסים שהיא מחזיקה. הוא יכול להציג בקשה שנראית כמו כניסה, אימות או קבלת מתנה — אך למעשה מעניקה הרשאה מסוכנת.
לכן צריך להבחין בין שלושה שלבים:
חיבור
האתר מקבל גישה לצפייה בכתובת הציבורית.
חתימה על הודעה
המשתמש מאשר מסר קריפטוגרפי. החתימה יכולה להיות תמימה, אך במקרים מסוימים היא יכולה לשמש למתן הרשאה או לביצוע פעולה עתידית.
אישור עסקה או הרשאת טוקנים
המשתמש מאשר פעולה שתירשם ברשת או נותן לחוזה זכות להשתמש בנכסים מסוימים.
העובדה שלא מופיעה עמלת רשת אינה מוכיחה שהחתימה חסרת משמעות. חלק מחתימות הפישינג מתבצעות מחוץ לרשת ויכולות להיות מנוצלות לאחר מכן.
מהי הרשאת טוקנים זדונית?
אפליקציות מבוזרות זקוקות לעיתים להרשאה כדי להשתמש במטבע מסוים בשם המשתמש. לדוגמה, בורסה מבוזרת צריכה אישור לגשת לכמות המטבע שהמשתמש מבקש להחליף.
ההרשאה עצמה היא מנגנון לגיטימי. הסיכון נמצא בהיקף ההרשאה ובזהות החוזה שמקבל אותה.
אתר זדוני יכול לבקש הרשאה בלתי מוגבלת, שמאפשרת לחוזה להעביר את כל הכמות הזמינה של מטבע מסוים. במקרה של נכסים דיגיטליים אחרים, הוא יכול לבקש גישה לכל האוסף.
MetaMask מדגישה שהרשאה מאפשרת לאפליקציה להעביר את הטוקנים שאליהם ניתנה הגישה, ושבקשות רחבות כמו הרשאה לכל הנכסים אינן הגיוניות לצורך קבלת מתנה אקראית. לפני אישור צריך לבדוק:
איזה אתר מציג את הבקשה.
איזה חוזה יקבל את ההרשאה.
לאיזה מטבע היא מתייחסת.
מהי הכמות המרבית.
האם הפעולה מתאימה למה שהתכוונו לעשות.
מדוע בכלל נדרשת הרשאה לצורך הפעולה המוצגת.
כפתור שעליו כתוב „Claim” אינו קובע מה החוזה עושה. חלון האישור של הארנק הוא המקום שבו צריך לבדוק את הפעולה האמיתית.
ניתוק האתר אינו מבטל הרשאות
משתמש שמגלה שחיבר את הארנק לאתר חשוד עשוי ללחוץ על „ניתוק” ולהניח שהסכנה הסתיימה.
ניתוק מסיר את החיבור בין האתר לכתובת, אך אינו מבטל בהכרח הרשאות שכבר נחתמו ונרשמו ברשת. חוזה שקיבל הרשאה להעביר טוקנים יכול להמשיך להחזיק בה גם לאחר שהאתר נותק מהממשק.כתבה נפרדת בסדרה תעסוק בסדר הפעולות לאחר חתימה או חשיפה. בשלב הזיהוי חשוב לזכור: חיבור, הרשאה ועסקה הם דברים שונים, וכל אחד מהם דורש טיפול אחר.
אפליקציות ותוספים מתחזים
פישינג אינו מוגבל לאתרי אינטרנט.
תוקפים יכולים לפרסם:
תוסף דפדפן בעל שם דומה לארנק מוכר.
אפליקציה שמחקה את המסך המקורי.
קובץ „עדכון אבטחה”.
גרסה מזויפת של תוכנת ארנק חומרה.
תוכנה שמבטיחה לשחזר עסקה או לפתור שגיאה.
כלי מזויף לבדיקת זכאות לחלוקת מטבעות.
לאחר ההתקנה, האפליקציה מבקשת „לייבא ארנק” באמצעות משפט השחזור. מבחינת המשתמש זה נראה כמו תהליך רגיל, אך המילים נשלחות לתוקף.
MetaMask ממליצה להגיע להורדת האפליקציה או התוסף דרך האתר הרשמי ולבדוק את זהות המפתח. Ledger מזהירה מפני תוכנות מזויפות שמתחזות לכלי הניהול הרשמי שלה ודורשות מהמשתמש לבצע פעולה או למסור את משפט השחזור.
קוד QR אינו קיצור דרך לאמון
קוד QR מסתיר את הכתובת שאליה הוא מפנה עד לרגע הסריקה.
הוא יכול לפתוח אתר מזויף, להכין העברה לכתובת של התוקף או להציג בקשת חיבור לארנק. העובדה שהקוד מופיע בכנס, בחשבון מוכר או במסמך שנראה רשמי אינה מוכיחה שהוא בטוח.
לאחר הסריקה צריך לבדוק את הכתובת המלאה לפני פתיחתה, ובוודאי לפני התחברות או חתימה. אין לאשר פעולה רק משום שהיא התחילה מסריקת קוד ולא מלחיצה על קישור.
„קיבלת מתנה” היא אחת המלכודות היעילות ביותר
הודעות על Airdrop, החזר כספי, תגמול, NFT או חלוקת מטבעות יוצרות שילוב של חמדנות ודחיפות.
האתר מבקש לחבר ארנק כדי לבדוק זכאות, ולאחר מכן מציג חתימה שנראית כמו אישור קבלה. בפועל, החתימה יכולה להעניק הרשאה להעביר נכסים קיימים.
גם מטבע או NFT שמופיעים בארנק בלי שהמשתמש ביקש אותם יכולים לשמש כפיתיון. השם, התמונה או תיאור העסקה עשויים להפנות לאתר שבו נדרש „לממש” את הנכס.
אין צורך לפעול רק משום שמשהו הופיע בארנק. עצם קבלת הטוקן אינה מחייבת לחבר את הארנק לאתר, להחליף אותו או לחתום על פעולה כלשהי.
שבעה סימנים שצריכים לעצור את הפעולה
בקשה למשפט השחזור או למפתח פרטי
אין בעיה בחשבון שמחייבת למסור לאדם אחר את המידע שמאפשר להשתלט על הארנק.
פנייה יזומה של „נציג תמיכה”
במיוחד כאשר היא מגיעה מיד לאחר שאלה שפורסמה בפומבי.
לחץ לפעול במהירות
חשבון שעומד להיסגר, משיכה דחופה או מתנה שתיעלם בעוד דקות.
כתובת אתר כמעט נכונה
שינוי באות, מקף נוסף, סיומת אחרת או דומיין ארוך שמכיל את שם המותג.
בקשת חתימה שאינה מתאימה לפעולה
למשל הרשאה בלתי מוגבלת לצורך כניסה לאתר או קבלת מתנה.
בקשה להתקין עדכון דרך קישור
במיוחד בקובץ שנשלח בהודעה או דרך נציג.
העברת השיחה לפלטפורמה אחרת
נציג שמבקש לעבור לטלגרם, WhatsApp, שיחת מסך או חשבון פרטי.
סימן אחד אינו מוכיח תמיד שמדובר בהונאה, אך הוא סיבה מספקת לעצור ולאמת את הפנייה בערוץ עצמאי.
בדיקה של דקה לפני חיבור או חתימה
לפני כל פעולה אפשר לעבור על סדר קצר.
בודקים כיצד הגענו לאתר
האם פתחנו סימנייה מוכרת, או שהגענו דרך הודעה, פרסומת, תגובה או קישור שנשלח אלינו?
קוראים את כתובת האתר במלואה
לא את שם העמוד ולא את הלוגו. בודקים את הדומיין, האיות והסיומת.
משווים למקור רשמי נוסף
פותחים את חשבון הפרויקט המופיע באתר הרשמי, את התיעוד או קישור ששמרנו בעבר. אין להשתמש באותו מסר חשוד כדי „לאמת” את עצמו.
בודקים מה הארנק מבקש
האם זו רק התחברות, חתימה, העברה או הרשאה? איזה נכס נחשף ובאיזה סכום?
מחפשים סיבה הגיונית
מדוע קבלת מתנה דורשת הרשאה לכל המטבעות? מדוע תמיכה צריכה חתימה? מדוע נדרש להזין משפט שחזור באתר?
עוצרים כאשר משהו אינו ברור
אין חתימה שחייבים לאשר מיד. אפשר לסגור את החלון, לבדוק מחדש ולחזור מאוחר יותר.
מערכות התרעה בארנקים יכולות לזהות חלק מהאתרים ומהעסקאות המסוכנים, אך גם MetaMask מדגישה שהתרעה היא כלי עזר ואינה יכולה למנוע מהמשתמש לאשר פעולה מזיקה.
הרגלים שמצמצמים את הסיכון
כדאי לשמור סימניות לאתרים שבהם משתמשים באופן קבוע, במקום לחפש אותם מחדש בכל כניסה.
רצוי להשתמש בארנק נפרד לניסויים, לחלוקות ולפרויקטים חדשים, ולא לחבר לכל אתר את הארנק שבו נמצאת עיקר ההחזקה.
יש להפעיל אימות דו־שלבי בחשבונות בורסה ובדוא״ל, ולהימנע ככל האפשר מאימות המבוסס רק על הודעת טקסט.
את משפט השחזור שומרים אופליין, לא בצילום, בדוא״ל, בענן או באפליקציית פתקים מסונכרנת.
אין להתקין תוסף או אפליקציה דרך קישור שנשלח בהודעה. מגיעים לאתר הרשמי באופן עצמאי ומשם לחנות האפליקציות או לעמוד ההורדה.
בעת חתימה באמצעות ארנק חומרה יש לבדוק את הפרטים במסך המכשיר. הארנק מגן על המפתח, אך הוא אינו יכול לדעת לאיזה אתר או אדם התכוונו להעביר את הכסף.
מה עושים כאשר ההודעה נראית אמיתית?
לא משיבים לה כדי לברר.
לא מתקשרים למספר שמופיע בה.
לא לוחצים על קישור להסרת חשש.
פותחים את האתר או האפליקציה באופן עצמאי ובודקים אם אותה התראה מופיעה גם בחשבון. אם נדרשת תמיכה, מגיעים אליה מתוך הממשק הרשמי.
במקרה של הודעה חשודה אפשר גם לדווח עליה לשירות שאליו היא מתחזה ולסמן אותה כספאם או פישינג. חברות כמו Kraken ו־MetaMask מפרסמות ערוצי דיווח רשמיים מתוך מרכזי התמיכה שלהן.
פישינג מצליח כאשר המשתמש מאשר את הסיפור
התוקף אינו חייב לבנות אתר מושלם. הוא צריך לבנות סיפור שמסביר מדוע המשתמש חייב לפעול עכשיו.
הסיפור יכול להיות פחד: „מישהו מנסה למשוך את הכסף”.
הוא יכול להיות תקווה: „נמצאת זכאי לתגמול”.
הוא יכול להיות סמכות: „אני נציג האבטחה”.
והוא יכול להיות שירות: „אני אעזור לך לפתור את הבעיה”.
ההגנה אינה מבוססת רק על זיהוי שגיאות כתיב או לוגו לא מדויק. היא מבוססת על תהליך קבוע שאינו משתנה גם כאשר ההודעה נראית אמינה:
לא מוסרים משפט שחזור.
לא פועלים מתוך קישור שקיבלנו.
בודקים את הדומיין.
קוראים את בקשת החתימה.
ומגיעים לתמיכה דרך המקור הרשמי בלבד.
בעולם שבו עסקה יכולה להיות בלתי הפיכה, עצירה של דקה אינה עיכוב. היא שכבת אבטחה.
הערת הבהרה:
הכתבה נועדה למטרות מידע והגנה כללית בלבד. ממשקים, סוגי חתימות ושיטות הונאה משתנים עם הזמן. במקרה של חשד לחשיפת משפט שחזור, השתלטות על חשבון או חתימה זדונית, יש להפסיק את הפעילות ולפעול במהירות בהתאם לסוג האירוע.
Related Articles
