בימים האחרונים התקבלו בחברת אבטחת המידע ESET דיווחים על מייל הנשלח כביכול מטעם חברת התקשורת Partner המבקשת לעדכן את הלקוח כי החשבון הושעה בעקבות פעילות חשודה שזוהתה בחשבונו האישי ולכן עליו לעדכן את פרטיו בעדכון האבטחה החדש.
במטרה לשמור על הלקוח מהפעילות החשודה שזוהתה בחשבון “אנו חוששים כי השתמשת בפעילויות חשודות בחשבונך או שמישהו משתמש בחשבון ה-Partner שלך ללא ידיעתך”, מתבקשים הנמענים לעבור אל החשבון האישי באמצעות הקלקה על הקישור במייל, שאפילו נצבע בצבעי המותג, “עבור אל חשבון ה-Partner שלך”. הקישור אשר מצורף לגוף המייל, מוביל לאתר המתחזה לאתר הרשמי של Partner ובו הקורבן מתבקש להתחיל בתהליך זיהוי הכולל הזנה של מספר הטלפון ותעודת הזהות.
בשלב הראשון מתבקשים המותקפים להזין פרטי זיהוי ראשוניים – ת.ז או ח.פ וארבע ספרות אחרונות של אמצעי התשלום. לאחר השלמת הפרטים עוברים לעמוד הפישינג עצמו.
לאחר השלמת תהליך הזיהוי הראשוני, הקורבן מועבר למסך הבא ובו הוא מתבקש לעדכן במהירות את המידע הבא הכולל: מספר, כתובת מייל, הכתובת המלאה, ופרטי כרטיס אשראי, זאת כאמור במטרה לטפל ב”השעיית חשבון החיוב לאור זיהוי פעילות חשודה”. לאחר שהקורבן מילא את הפרטים המלאים, הוא מועבר לעמוד האמיתי של Partner, זאת בכדי להסתיר ולטשטש עקבות וכך למנוע זיהוי של נפילה בפח.
לאחר שהקורבן מילא את הפרטים המלאים, הוא מועבר לעמוד האמיתי של Partner, זאת בכדי להסתיר ולטשטש עקבות וכך למנוע זיהוי של נפילה בפח.
אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET בישראל מציין כי:”אנו רואים ניסיונות שהולכים ומשתפרים ליצור הודעות פישינג אמינות בעברית. במרבית הודעות הפישיניג המתורגמות לעברית, עדיין ניתן לזהות שימוש בשירותי תרגום ולכן חשוב להיות ערניים לשגיאות כתיב ותחביר.במייל המצורף הפעם, ניתן לראות כי אפילו השתמשו בצבעי המותג אשר מזוהים עם חברת Partner, במטרה לגרום למייל להיראות כמה שיותר אמיתי ואותנטי. חברות גדולות בדרך כלל בעלות מחלקות גדולות של שיווק ואנשים רבים אחראיים לכך שהתוכן יהיה מדויק. כאן ניתן לראות כי במייל עצמו כתוב “לחץ כאן כדי היכנס“, טעות אשר לא היינו מצפים לה מחברה בסדר גודל של פרטנר ובאופן כללי כל הניסוח של המייל אינו ברמה גבוהה.
דף הפישינג הועתק מהדף המקורי של החברה, אבל עדיין ניתן לראות שהכתובת אינה אמינה והאתר הינו ללא תעודת אבטחה. הטכניקה פה היא טכניקה מוכרת של התקפות פישינג, בהן מועתק אתר אמיתי בצורה מלאה. צירוף כל הפרטים של שם, מספר טלפון, כרטיס אשראי ומספר ת”ז מאפשרים לתוקפים להשתמש או למכור את הפרטים שנאספו על מנת לבצע בקלות רכישות על חשבון הקורבן.”
בחברת אבטחת המידע ממליצים כי “במקרה בו מתקבלת הודעת דוא”ל מספק השירות, חשוב מאוד להתחבר לאתר הספק בנפרד ולא מתוך הקישור בהודעה שהתקבלה ולבדוק האם קיימת בקשה לעדכון הפרטים. ניתן גם ליצור קשר טלפוני עם השירות ממנו כביכול נשלח המייל כדי להבין האם באמת יש צורך בעדכון פרטים בחשבון”.
חחחח אם הם רוצים להפיל אותי שירשמו בהתחלה “היי פרטנר”
מה הדומיין של הפישינג?
התמונה לא ברורה.
קשה לפענח. זו התמונה שקיבלנו ולצערנו היא לא הכי ברורה
עכשיו קיבלתי משהו דומה שמתחזה ל-012,
מהכתובת הבאה: geromacl@geromacler.com
הכותרת: נדרש אימות חשבון::::שמנו לב לפעילות יוצאת דופן, אנו זקוקים לעזרתך לאבטחת חשבונך
המייל נראה אמיתי באופן מטריד. לוגו של 012, כתובת של פרטנר, עברית לא משובשת. זו פעם ראשונה שנתקלתי בפישינג כה משכנע בעברית. אשמח לשלוח צילום מסך במקרה הצורך.
הטקסט:
אימות חשבון
על ידי אימות זהותך, אתה יכול להוסיף שכבת אבטחה נוספת לחשבונך ולהבטיח שתוכל לגשת רק למידע האישי והתשלום שלך.
אימות משתמשים הוא גם דרישה ארגונית. אימות זהותך מאפשר לנו לספק לך את השירות האמין ביותר בענף ולשמור על הקהילה שלנו.
מה אני צריך לעשות:
שמנו לב לפעילות חריגה כלשהי, אנו זקוקים לעזרתך כדי לאבטח את חשבונך כדי למנוע גישה לא מורשית. למען בטחונך, עשויות להיות הגבלות על חשבונך עד שתנקוט פעולה.
כדי להתחיל להשתמש בחשבון שלך, כל שעליך לעשות הוא לאשר את המידע שלך.
לחץ על כפתור ‘בדוק את החשבון שלך עכשיו ‘ כדי להתחיל לפתור את המקרה שלך
בדוק את החשבון שלך עכשיו
© כל הזכויות שמורות לחברת פרטנר תקשורת בע”מ
רחוב העמל 8, פארק תעשיות אפק. ת”ד 435, ראש העין 48103
תודה!! בדיוק התלבטתי אם זה אמיתי או לא המייל הזה..