אפל מזהירה: הונאת Apple Pay מתוחכמת גונבת קודים בזמן אמת

בימים האחרונים מתמודדים מיליוני משתמשים ברחבי העולם עם גל תקיפות סייבר מתוחכם המכוון לארנקים הדיגיטליים שלהם, כאשר מומחי אבטחה מזהירים מפני הונאת פישינג (דיוג) המשלבת טכניקות הנדסה חברתית אשר פועלות במקרה זה ממש ב"זמן אמת".

על פי הדיווחים האחרונים, התרמית מתחילה בהודעת דואר אלקטרוני או מסרון, המתחזים להודעה רשמית ואותנטית להפליא שלכאורה מגיעה מאפל (Apple). ההודעות כוללות לוגו מדויק, מספרי תיק ואף חותמות זמן, ובהם התרעה מלחיצה על "פעילות חריגה" או עסקה שנחסמה בחשבון המשתמש. בהודעות מזויפות אלו נטען כי בוצעו רכישות בסכומי כסף גבוהים, לעיתים של מאות ואלפי דולרים, של מוצרים כמו מחשבי MacBook Air עם שבבי M4 או כרטיסי מתנה, והמשתמשים נדרשים לפעול מיידית כדי למנוע את החיוב. 

בניגוד להונאות עבר שהסתפקו בגניבת סיסמאות דרך קישור זדוני, במקרה החדש הזה התוקפים הנוכחיים משתמשים בטקטיקה המכונה Vishing (פישינג קולי), במסגרתה הם דוחקים בקורבן להתקשר למספר טלפון המופיע בהודעה כדי "לפתור את הבעיה" – מה שמוביל אותם ישירות למוקד שירות לקוחות מזויף, המופעל על ידי הנוכלים.

העוקץ מתבצע תוך כדי שיחה של הקורבן עם הפושעים

החידוש המסוכן בהונאה זו, כפי שמדגישים חוקרי אבטחה ב-Cybernews וכמו שצוין בדו"ח מיוחד של חברת אבטחת הסייבר Malwarebytes – שחשפה את פרטי המתקפה במחקר אשר ביצע צוות המודיעין שלה – טמון בביצוע הגניבה ב"זמן אמת" (Real-Time), בעוד הקורבן משוחח עם התוקף. כאשר המשתמש המבוהל מחייג למספר, עונים לו נציגים המתחזים לאנשי מחלקת "הונאה וחיובים" של אפל. בזמן שהשיחה מתקיימת, התוקף מזין את פרטי המשתמש באתר האמיתי של אפל, פעולה המייצרת באופן מיידי שליחה של קוד אימות דו-שלבי (2FA) למכשיר של הקורבן. הנציג המתחזה מנצל את הלחץ ואומר לקורבן כי עליו להקריא לו את הקוד שהתקבל זה עתה "לצורך אימות וביטול העסקה", אך למעשה, ברגע שהמשתמש מקריא את הקוד, התוקף מזין אותו באותה שנייה ממש, עוקף את מנגנוני ההגנה ומשתלט על החשבון ועל אמצעי התשלום.

החוקרים מסבירים כי הצלחת המתקפה נובעת מהפסיכולוגיה של המשתמש: "קמפיינים כאלה עובדים בהיקף רחב, מכיוון שהמותג של אפל נושא אמון עצום, והמשתמשים הורגלו לשתף פעולה עם 'תמיכה' כשהם מפוחדים".

"התרעות איומים של אפל לעולם לא יבקשו מכם ללחוץ על קישורים"

אפל עצמה מבהירה במסמכי התמיכה שלה כי היא לעולם לא תבקש ממשתמשים למסור מידע רגיש בדרך זו. בהנחיות הרשמיות של החברה מודגש כי "התרעות איומים של אפל לעולם לא יבקשו מכם ללחוץ על קישורים… או לספק את סיסמת ה-Apple Account או את קוד האימות שלכם בדוא"ל או בטלפון". 

יתרה מכך, בפורומים הרשמיים של החברה חודד המסר כי "אפל לעולם לא תיצור איתכם קשר" באופן יזום לגבי עסקאות, אלא הבנק המנפיק את הכרטיס הוא זה שאמור לפנות במקרה של חשד. 

בכל אופן, הונאות מתוכחמות וחדשות אלו מתאפיינות ביצירת תחושת דחיפות מלאכותית, תוך שימוש באיומים כי החשבון "יינעל" אם לא תתבצע פעולה מיידית.

שימו לב שהמומחים ממליצים למשתמשים שקיבלו הודעה חשודה לא להתקשר למספרים המופיעים בה, אלא להיכנס עצמאית לאפליקציית ההגדרות במכשיר ולבדוק את היסטוריית הרכישות הרשמית, ובמקרה של ספק – לשנות מיידית את הסיסמה ולוודא שאימות דו-שלבי פעיל.