גוגל מזהירה: הונאות הפישינג החדשות מגיעות דרך יומן גוגל וקודי QR
גוגל פרסמה דוח הונאות עדכני שמזהיר ממגמה חדשה: הפישינג (הודעות מזויפות שמתחזות לגורם אמין כדי לגנוב פרטים) כבר לא מגיע רק ב"מייל חשוד". הוא עובר לערוצים שאתם סומכים עליהם – הזמנה ביומן גוגל, קוד QR – בדיוק כדי לעקוף את החשד שלכם.
מה קרה
בדוח ההונאות שלה מיוני 2026 מתארת גוגל כמה שיטות תקיפה שצוברות תאוצה.
פישינג דרך היומן: התוקף שולח הזמנה ליומן גוגל שנראית כמו הודעת "החיוב נכשל" או "חידוש מנוי". ההזמנה נכנסת ליומן שלכם כאילו אתם יצרתם אותה, ותזכורות חוזרות מפנות אתכם שוב ושוב לקישור שמוביל לעמוד גניבת פרטים.
Quishing – פישינג באמצעות קוד QR: במקום קישור, המייל מכיל קוד QR. מכיוון שזו תמונה, מסנני הדואר מתקשים לזהות בה קישור זדוני – ואתם סורקים אותה בטלפון האישי, שם ההגנות חלשות יותר, ומגיעים לעמוד מזויף.
תקיפת "אדם באמצע" (AITM): עמוד התחברות מזויף שמעביר בזמן אמת את שם המשתמש, הסיסמה ואפילו את קוד האימות אל התוקף – וכך עוקף גם אימות דו-שלבי. גוגל מציינת גם אפליקציות פיננסיות וקריפטו מזויפות שמבקשות הרשאות חריגות וגונבות כסף.
למה זה חשוב לכם
ישראלים רבים חיים בתוך Gmail ויומן גוגל, וקודי QR נמצאים בכל מקום – בתפריטים במסעדה, בתשלום על חניה, בקבלות. השיטות האלה עובדות בדיוק משום שהן מנצלות ערוץ מוכר ולא "מייל חשוד" – וזה מה שמפיל גם אנשים זהירים.
מה עושים?
אל תסרקו קוד QR שהגיע במייל או בהודעה לא צפויים. אם משהו מבקש מכם "לחדש מנוי" או "לאשר תשלום", היכנסו בעצמכם ישירות לאתר או לאפליקציה הרשמית.
קיבלתם הזמנה ליומן על "תשלום שנכשל" או על שירות שאינכם מכירים? אל תלחצו על הקישור – מחקו את ההזמנה. בהגדרות יומן גוגל אפשר לבטל הוספה אוטומטית של הזמנות ממי שאינכם מכירים.
לפני שאתם מקלידים סיסמה, ודאו שכתובת האתר בשורת הכתובת היא האמיתית. הכי בטוח: לפתוח את השירות בעצמכם, לא דרך קישור שקיבלתם.
התקינו אפליקציות פיננסיות רק מחנות האפליקציות הרשמית, וחשדו בבקשות הרשאה חריגות.
הפעילו אימות דו-שלבי – ועדיף באמצעות אפליקציית אימות או מפתח (passkey) ולא ב-SMS.
המכנה המשותף לכל השיטות פשוט: הונאה שמגיעה דרך ערוץ שאתם בוטחים בו היא עדיין הונאה. הכלל שמגן עליכם בכולן – אל תגיבו לפנייה שלא ביקשתם, ולכו בעצמכם אל המקור.
תגובות