מערך הסייבר הלאומי והרשות להגנת הפרטיות מתריעים מפני התגברות ניסיונות של האקרים לנצל את ימי השיא של הקניות למתקפות למטרות גניבת כסף ופרטים אישיים, הפחדה ושיבוש הקנייה. המערך והרשות מפרסמים היום עבור הציבור שורת המלצות לקנייה בטוחה וכן הנחיות הגנה ושמירה על פרטי הלקוחות עבור ארגונים, במיוחד אלו שעוסקים ברכישה מקוונת ובשליחויות.   

בחודש האחרון בלמו מערך הסייבר הלאומי ואיגוד האינטרנט הישראלי ניסיון לרכישת 800 שמות אתרים המתחזים לאתרים מוכרים. בנוסף, בחודש האחרון התקבלו במוקד 119 של המערך כ-140 דיווחים על אתרים מתחזים שכוונו אל קהל ישראלי, מתוכם כ-80 אתרים מתחזים לדואר ישראל. 

לדברי ארז תדהר, ראש האגף לניהול אירועי סייבר במערך הסייבר הלאומי, "השנה סביב ימי הקניות המיוחדים, חלה עלייה במספר אתרי האינטרנט המתחזים לאתרי קניות וכן בניסיונות דיוג, גניבת פרטים אישיים ובניסיונות לשבש אתרי קניות. לאור כך, נערכנו לחיזוק ההגנות במשק ובכלל זה פנייה אקטיבית לאתרי קניות ולחברות שליחויות עם התרעות על פרצות אבטחה ויצירת קמפיין מודעות נרחב לקנייה בטוחה ברשת". 

המלצות מערך הסייבר הלאומי לרוכשים באתרי הקניות:

• בדיקה וזיהוי אתרים מתחזים - לפני רכישה באתר מומלץ לוודא שמדובר באתר אמין ובכלל זה לבחון סקירות אודות האתר, אם קיים דף ברשתות החברתיות, האם יש כתובת ומספר טלפון לפנייה, וכן לשים לב שכתובת האתר בדפדפן מתחילה עם https לצד סמליל של מנעול סגור ושהיא ללא שגיאות כתיב.

• ניסיונות דיוג – לשים לב להודעות חשודות, במיוחד על משלוחים, ולבדוק את המידע עם המידע של ההזמנה שבוצעה בפועל. עדיף להגיע לאתר דרך חיפוש בלתי תלוי, ולא לפתוח קישורים או צרופות. 

• הכנת המכשירים לקנייה - מומלץ לוודא שמערכת ההפעלה, האפליקציות, והדפדפן, מעודכנים לגרסה האחרונה, ולוודא שמותקנות תוכנות אנטי וירוס (Anti-Virus) ותוכנת חומת אש (FireWall) מוכרות ואמינות.

• הוספת אימות נוסף לסיסמה היכן שניתן – בהרשמה לאתר קניות או באפליקציות מומלץ להגדיר אימות נוסף כגון קוד שנשלח במסרון.

• שמירה על כרטיס אשראי – יש לוודא שיש לאתר תקן PCI DSS, תקן של חברות האשראי אשר מופיע לרוב בעת הכנסת פרטי התשלום. מומלץ לעקוב אחר חיובים, להוסיף אימות של קוד בעת רכישה באשראי או להשתמש בפלטפורמות תשלום דיגיטליות או בכרטיס נטען. 

• ערנות לניסיונות הפחדה ושיבוש אתרים – במקרה של כניסה לאתר שהוחלף בו התוכן לתוכן מאיים או מזויף, יש להימנע מללחוץ על קישורים בו ולסגור את הדפדפן. ייתכן שהאקרים ינסו להעמיס אתרים כך שלא יהיו זמינים (מתקפת DDoS) – לרוב יש לנסות לחזור לאתר במועד מאוחר יותר. כמו כן, יש להימנע מהורדת קבצים מאתרים. 

עו"ד ליאת קילנר, מנהלת מחלקת אכיפה ברשות להגנת הפרטיות אומרת כי: "במיוחד בתקופה זו, על ארגונים וחברות לזכור כי ניסיונות תקיפת האתרים גוברים והחשש לדלף מידע ושימוש לרעה במידע אודות הציבור גדלים בהתאמה. כדי להימנע מאירועי אבטחת מידע, על ארגונים להיערך מראש להגברת ההגנה על המידע האישי המוחזק על ידם בהתאם לדרישות חוק הגנת הפרטיות והתקנות מכוחו". ברשות מזכירים לארגונים את חובת הדיווח באופן מיידי בכל אירוע אבטחה או חשש לו".