אמור במדריך זה אינו מהווה ייעוץ מכל סוג שהוא לרבות ייעוץ השקעות ו/או תחליף לייעוץ כאמור. שוק המטבעות הדיגיטליים הינו בעל סיכון רב. איננו מבטיחים את מידת הדיוק ו/או עדכניות המידע שבמדריך והשימוש בו הינו על אחריותך בלבד וכפוף לתנאי התקנון.
שני מסרים חוזרים על עצמם שוב ושוב, מכל הכיוונים וערוצי התקשורת: 1. יש המון כסף בקריפטו. 2. קריפטו זה מסוכן. זה לא פלא שעם הבטחות כאלה, עולם הקריפטו ימשוך אליו לא רק משקיעים אמיצים וחלוצי טכנולוגיה אלא, למרבה הצער, גם רמאים המחפשים לדפוק את המערכת – ולהשאיר כמה קורבנות בדרך.
עוקץ זו לא המצאה חדשה, אך מאז עליית האינטרנט כמות הרמאים הוכפלה והשיטות השתכללו כל כך עד שנדמה שהמשתמש הממוצע נמצא בסכנה מתמדת.
יש לא מעט סוגים של הונאות, אך בשנים האחרונות אנחנו רואים כמויות מטרידות של לקוחות שמאבדים את הונם כי נפלו קורבן למתקפת פישינג. במאמר זה נסביר מה הוא עוקץ פישינג, איך הוא נראה ואיך להימנע ממנו.
מה זה פישינג?
זה פשוט – פישינג "Phishing" זו שיטת עוקץ שבה העוקץ מתחזה לאדם או גוף לגיטימי, ומבקש מהקורבן לבצע פעולות שהיו לכאורה לגיטימיות בהקשר הרגיל. לדוגמה, הרמאי יתחזה לחברת אשראי ויבקש "לאמת את זהות הלקוח", ובכך יגרום לקורבן, שחושב שהוא משוחח עם חברת האשראי שלו, לתת לו את פרטי האשראי.
בעולם הקריפטו, פישינג לוקח כמה צורות עיקריות.
איך נראה פישינג?
אתרים מזוייפים
נניח שאתם מקליקים על לינק שאמור להוביל אתכם לאתר של טרזור. אתם מגיעים לאתר, והכל נראה תקין – יש שם את הלוגו של טרזור, העיצוב נראה מתאים, הכל רגיל. מה שלא שמתם לב אליו הוא שהכתובת של האתר שבו אתם נמצאים אינה trezor.io אלא trez0r.io, או בכלל trezor.co. בקיצור, זה לא האתר של טרזור. לפתע מופיע חלון פופ-אפ שמתנוסס עליו הלוגו של טרזור, המבקש מכם "לשחזר" או "לאמת" את הארנק שלכם. את השאר כבר הבנתם לבד.
אפליקציות מובייל ודסקטופ מזוייפות
העיקרון זהה. חיפוש רגיל בחנות האפליקציות מניב את התוצאות שחיפשתם – לדוגמה, ארנק Electrum. אתם יוצרים ארנק או "משחזרים" ארנק קיים, ולא יודעים שמדובר באפליקציה מתחזה, והמידע הסודי שלכם עובר לגורם זר. אם היה לכם כסף בארנק ששחזרתם, הוא מיד מתרוקן ועובר לידיו של העוקץ ללא הושיב.
כאן מצולמים תוספים לכרום המתחזים לתוכנת Ledger Live:
אימייל
קיבלתם לאינבוקס הודעה מהיצרן של הארנק שלכם, המבקש "לאמת" את זהותכם או "לשחזר את הגישה לארנק"? אם תקליקו על הלינק המצורף ותזינו שם את המידע הסודי שלכם, הלך הכסף.
רשתות חברתיות
פנו אליכם בפרטי, במסנג'ר או באינסטגרם בנוגע לארנק שלכם, או בנוגע ל"תמיכה טכנית"? עם הלוגו של לדג'ר או של טסלה? צר לנו לבשר לכם כי מנסים לחלוב אתכם.
כלים מתקדמים וגאדג'טים
יש אתרים שמציעים לכם שירותים לגיטימיים וחינמים – לדוגמה, BitAddress הותיק. אך כל כלי, בטח חינמי, הקשור בצורה כזו או אחרת למפתחות הפרטיים/24 המילים שלכם הוא בגדר חשוד מיידי.
לדוגמה, האתר בתמונה מתחזה לכלי שמאפשר לכם להמיר מפתחות פרטיים מהסוג הישן, למפתחות פרטיים מהסוג החדש, 12 מילים:
כמובן שאין זה יותר מנסיון יצירתי להשיג את המפתח הפרטי שלכם.
איך להימנע מפישינג?
- לעולם אל תמסרו את המידע הסודי שלכם (24 מילים) לאף גורם – גם לא לנותן שירות או לחברה שייצרה את הארנק.
- השתמשו אך ורק בארנק שלכם כדי לעשות פעולות. כל גורם חיצוני הטוען למידע על הקריפטו שלכם הוא זדוני.
- כשאתם גולשים באתר של נותן שירות אמין, תמיד בדקו את שורת הכתובת. האם זו באמת הכתובת של נותן השירות? שימו לב במיוחד לסיומת (com/org/io) ולאותיות O ו- l ולמספר 0.
- מומלץ לעשות Bookmark לאתר האמיתי ולהשתמש תמיד בקישור זה כדי להיכנס אליו.
- האם כתובת האתר מוגנת? נשתמש רק בכתובות המתחילות ב https ולא http. בדפדפן כרום מופיע מנעול קטן ליד כל כתובת https. שימו לב: לא כל אתר שמופיע עבורו המנעול הוא בטוח. אבל אם אין מנעול, האתר לא בטוח.
- אל תקליקו על לינקים ישירות מתוך אימיילים או הודעות פרטיות הקשורות לקריפטו.
- אל תאמינו לאף הודעה שאינה מגיעה ישירות מהארנק הפרטי שלכם. אל תאמינו לף הודעה שמבקשת מכם "לעדכן פרטים" או שמזהירה על "פעילות חשודה".
- תישארו חשדנים.
- מומלץ להשתמש בארנק חומרה כדי לשמור על הקריפטו שלכם.
- אם אתם לא בטוחים – תתייעצו עם מישהו שמבין יותר מכם. זו לא בושה.
עולם הקריפטו הוא מסוכן – אבל אם אתם זהירים ומודעים לסכנות, אין שום סיבה שתפגעו. עם ארנק חומרה, שמירה ראויה על 24 המילים, וקצת שכל, הכסף שלכם יישאר שלכם. תסמכו על עצמכם.
מאמר זה מונגש לציבור על ידי קריפטומן, היבואן הרשמי בישראל של קריפטוסטיל, בילפודל, לדג'ר, טרזור ועוד.
