דוגמאות להונאות פיננסים ברשתות / צילום: צילומי מסך
בחודשים האחרונים רואים בישראל יותר ויותר קמפיינים אגרסיביים שנועדו להפיל בפח כמה שיותר אנשים. השיטה פשוטה: פרסומת בפייסבוק או באינסטגרם מזמינה אתכם לקבוצת וואטסאפ אקסקלוסיבית של דמויות מפתח פיננסית ישראלית, כמו איל ולדמן, דובי פרנסס, גלעד אלטשולר, גלעד אלפר ועוד.
● הונאת הרשת החדשה: הבטיחו תשואה חלומית, ואז המניה התרסקה
● המלצה ממתחזה לגילעד אלטשולר: כך תיזהרו מגל ההונאות החדש ברשת
בפרסומת מבטיחים תשואות חלומיות, בלי להזכיר סיכון או אפילו עמלה. נשמע חלום, אבל מדובר בהונאת Pump and Dump, שבמסגרתה מנפחים מניה ואז המארגנים מוכרים את אחזקותיהם, והמניה מתרסקת.
כך, למשל, לפני מספר שבועות המליצו סקאמרים על מניית OST, שזינקה ביותר מ־1,000% בתוך חודשיים, אך אז צנחה בחדות. השבוע פרסמנו בגלובס על הונאה נוספת, שבה מניית CCHH הומלצה על ידי סקאמרים, ולבסוף נחתכה בכ-90% ביום אחד.
בזמן שהיכולות של הסקאמרים משתכללות, נצביע כאן בעזרת מומחי סייבר על הסכנות החדשות והכלים האפשריים להתגוננות.
ניסיון לייצר אמינות: מטפחים את הקשר
עם העלייה במודעות הציבור להונאות, הסקאמרים עברו לשיטות שנועדו להחליש את חששות המשתמשים. "הם לא מיד מבקשים ללחוץ על לינק או לתת פרטים, אלא מייצרים רצף של התקשרויות, שיחות, התכתבויות ושיתוף בחומרים שנראים לגיטימיים, כמו מצגות ומסמכים", מסביר גיל מסינג, ראש המטה וראש מערך התקשורת הגלובלית בצ'ק פוינט.
"למעשה, התוקפים משקיעים בטיפוח הקשר לפני ביצוע ההונאה. הם מנסים להיצמד לאקטואליה ולמפגשים קיימים כדי לשוות אמינות, למשל לשלוח הודעות בזמן כנס מוכר על דברים שקשורים בו, תוך התחזות לגופים מאחורי הכנס או הנושא החדשותי". לשם כך נעשה שימוש גובר ברשתות החברתיות ואף בוואטסאפ, כדי לגרום לאנשים לחשוב שאם זה "מופיע יותר בפיד, יש סיכוי שזה קשור אליי ואמין. מה שהוא לא נכון בהכרח".
לא רק זאת, התוקפים ישתמשו בפרטים מזהים במהלך ההתכתבות. "בגלל שבשנים האחרונות היו דליפות משמעותיות, התוקפים יכולים להשיג בקלות פרט מידע מזהה של כל אחד מאיתנו, וכך באותן האינטראקציות, הם יראו שיש את המידע וככה ירצו שנסמוך", מפרט מסינג.
מה ניתן לעשות? תמיד כדאי להשתמש באמצעי אבטחה, חלק זמינים וחינמיים כמו בדיקת לינקים או SMS, והם מבוססים על התראות ודיווחים קודמים. בנוסף, אומר מסינג, כדאי לדווח על כל דבר שנראה חשוד ולקבל המלצות רק מגופים מוסמכים שאנחנו יכולים לאמת".
דיפ פייק: לחפש את חוסר המושלמות
אחת השיטות של הסקאמרים היא לייצר סרטונים בכיכובם של הדמויות המוכרות, כמו גלעד אלטשולר ומיכה כיתראן, שלכאורה ממש מדברים בהם.
לדברי נועם שוורץ, מנכ"ל חברת ActiveFence, המתמחה בזיהוי סיכונים ברשת ובבינה מלאכותית, "הטכנולוגיות המתקדמות ביותר היום כבר לא מייצרות פרצוף מזויף. הן משתמשות בפרצוף האמיתי, ומשנות רק את תנועות הפה. שפת הגוף, ההבעות, התאורה - הכול אמיתי". לדבריו, "אין כמעט מגבלות על מה שמעלים לשירותי ה-Lip-Sync, וכלי השיבוט הקולי מאשרים טקסטים פוגעניים ומפיקים סאונד שכמעט בלתי ניתן לזיהוי".
אחת ההמלצות היא לבדוק בעצמכם, ולחפש את המידע באופן אקטיבי. שוורץ מייעץ גם "להקשיב לפסקי זמן בנשימה, ל'החלקות' קטנות במעברי משפטים או לסנכרון מושלם מדי, כמו פרסומת. באופן אירוני, דווקא חוסר האנושיות המושלם הוא רמז".
המשמעות היא שסרטוני דיפ פייק הפכו "ממגושמים להפקה מקצועית, משמע, רוב האנשים מניחים שהונאות ייראו חובבניות, אך בפועל קורה דווקא להפך. ההפקות נראות היום מכובדות עם מצגות מעוצבות, גרפים 'רשמיים' וסביבה משרדית משכנעת. הן מתוזמנות היטב, והקול של הדובר רגוע ומייצר סמכותיות".
שיחות טלפון: לאמת באופן עצמאי
דמי בן ארי, מייסד שותף וסמנכ"ל טכנולוגיות בחברת אבטחת המידע Panorays מסביר כי "אין מצב שאנשים בסקאלה של בכירי הפיננסים יעשו פרסומות ודיגיטל מרקטינג כדי להמליץ על מניות". אבל ההונאות הללו לאו דווקא מתרחשות ברשתות החברתיות, אלא גם בשיחות טלפון.
הסקאמרים משתמשים בדיפ פייק כדי לקיים שיחות טלפון באמצעות קול מלאכותי, ובכך לפוגג חשדות שיש בפניית טקסט. "הם מנסים למכור דברים כמו אפשרות להשקיע את כל הפנסיה במניה חדשה שתתן תשואה ענקית", מפרט בן ארי.
מה אפשר לעשות? "פשוט להגיד 'לא', כי אין הצדקה להעביר ככה את הכסף ממקום למקום. אם בכל זאת יש משהו שנראה אמיתי ומושך, אז להתחיל לבדוק. ברגע שאומרים 'לא', סוגרים את השאלטר להונאות רבות. ואם מסתכלים על סיכוי-סיכון, הסיכוי להרוויח תמיד קטן לעומת הסיכוי להיפגע".
"צריך להבין ששיחה או חשבון פעיל לא מעידים על כך שמדובר בגורם אמיתי, ולכן מומלץ תמיד לבדוק עם המקור באופן אקטיבי".
ויזואליה: מצגות וחומרים נוספים
ההונאות העכשוויות כוללות גם מצגות ודוחות שנראים נהדר. לדברי גיא טיטונוביץ', מנכ"ל CHEQ המנטרת בוטים מזויפים ברשת ופועלת להסירם, "ככל שהטכנולוגיה מתקדמת, העין הבלתי מזוינת לא תצליח באמת לזהות. לכו חייבים להגביר את החשדנות הטבעית.
"הבינה המלאכותית תעשה דמוקרטיזציה לכל דבר. כמו שהיא מאפשרת לאנשים לייצר מצגות בקלות רבה יותר או לתכנת בלי שורה של קוד, כך היא תאפשר לקרימינלים להיות הרבה יותר אמינים ומשכנעים - וזה יקרה גם כשמדובר בעבריינים שמנסים לרמות אנשים, וגם כאלה שמנסים לרמות עסקים".
אז מה אפשר לעשות? לדברי טיטונוביץ', "זה הופך הרבה יותר קשה לזהות רמאים, והדבר היחיד שנותר לנו הוא לזכור שאין מתנות חינם. צריך להיות עם חשדנות בריאה: כמו שלא פותחים לזרים את הדלת, לא להתמסר לפרסומות ולהונאות".
לצד זאת, יש מי שממליץ על שימוש בבינה מלאכותית גם לטובת ההגנה. הכלים לא מושלמים ולא מכסים הכול, אבל אפשר לבדוק את החשבון או הבקשה בכלים מתקדמים, ולעתים סימן שאלה של מודל בינה מלאכותית יכול לעורר את החשדנות.