גניבת חשבונות אינטרנט For Dummies

פשוט משחשבתם: כיצד משיגים גישה לחשבונות אישיים בשירותי האינטרנט השונים וכיצד תוודאו שלא יפרצו אליכם.

shutterstock

הפוסט נכתב על ידי עמית כהן שבעברו היה חלק מצוות האבטחה של פייסבוק ואחראי על אבטחת השרתים והגנת המשתמשים. בצה"ל סווג ליחדת סייבר והיום עובד עם חברות בילוש.

הרשת מלאה בתוכנות פריצה לפייסבוק. הבטחות ל-100% פריצה ופיצוח הקוד או הסיסמה לפרופיל מוזכרות בכל פורום ולמזלנו ישנן תוכנות בודדות (מאוד) שבאמת עובדות. מעבר לזה, רובן מכילות וירוסים כדי להפיל "פורצים" חובבניים. רוב התוכנות, גם במידה והן עובדות, מוצאות את דרכם לג'אנק האינטרנט מהר מאוד, הפייסבוק עולה על חור האבטחה ומנטרל אותו תוך מספר ימים מזמן הגילוי שלו.

אז כיצד משיגים גישה לחשבונות אישיים באתרי האינטרנט? לצורך הדוגמה נשתמש ברשת החברתית הגדולה בעולם – פייסבוק.

ישנן מספר שיטות לקבל גישה לחשבון משתמש:

1. Brute force

הדרך הישנה והלא מתוחכמת – ניחוש הסיסמה ע"י נסיונות חוזרים ונשנים. איך זה מתבצע?

את התוכנה לסריקת הסיסמאות מזינים ע"י:

  • כתובת התקפה, כתובת IP של השרת המארח או של הדומיין של הדף הכניסה שדרכו מנסים להיכנס.
  • רשימת פרוקסי, שזה מין דרך לפצל את חיבור האינטרנט שלכם להמון המון חיבורים קטנים בעלי IP שונה. כך גם קשה לחסום את אותם הפורצים והם גם יכולים לנסות המון סיסמאות במקביל.
  • רשימת צירופי סיסמאות, רשימה בעלת אלפי ומאות אלפי סוגי סיסמאות וצירופים שונים. החל מרשימת סיסמאות פופולאריות (כן, הסיסמה 12345 והסיסמה 654321, יש באמת אנשים שמשתמשים בזה) וכלה בקומבינציות שונות של סיסמאות, שילובים של שמות עם מספרים, שמות ותאריכי לידה, כל הקומבינציות השונות לסיסמת 6 ספרות וכו'. אפשר לסרוק הכל ולבנות רשימת סיסמאות ענקית שמתוך מאות אלפי הסיסמאות סביר להניח שהמשתמש הפשוט בחר באחת מהן.

וזהו בעצם. נותנים לזה לרוץ כמה שעות טובות (לפעמים גם כמה ימים) והתוכנה מנסה להיכנס עם כל אחת מהסיסמאות לפרופיל הפייסבוק.

לרעתם של הפורצים / האקרים ולטובתינו חשוב לציין שזה רק נשמע פשוט. סריקת סיסמאות לפייסבוק זו אחת הדרכים הכי מיושנות ולא מוצלחות לפרוץ לפייסבוק. רשימות הפרוקסי מתעייפות לעיתים קרובות ומתנתקות באמצע, רשימת הסיסמאות מכילה מאות אלפי קומבינציות וגם הן לא בטוח נכונות. התהליך ארוך ומייגע ופייסבוק חוסמת את כל הכתובות שמנסות לסרוק (להיכנס ע"י) סיסמאות במוקדם או במאוחר. הרבה יותר פשוט לדעת את הסיסמה ע"י שיחה עם הקורבן מאשר לשבת ולסרוק בלי סוף…

הדרך הכי טובה להתגונן מפני ההתקפה הזו היא פשוטה יחסית, מכיוון שהפריצה הזו פרימיטיבית ועובדת רק בדרך כלל על המשתמשים "הפשוטים" שלא יודעים מה חשיבותה של סיסמה וחושבים "מי כבר ינסה להיכנס לי לחשבון". הדרך לסגור את ההתקפה הזו היא פשוט להזין סיסמה שאין סיכוי (יש סיכוי אבל הוא קרוב לסיכוי לזכייה בלוטו) שרשימת הסיסמאות מכילה אותו. סיסמה "חזקה" טובה לא ניתנת לפריצה ע"י סריקת סיסמאות, מה בונה סיסמה חזקה?

  • אותיות גדולות וקטנות
  • ספרות שונות
  • סימנים שונים
  • שפה שונה
  • סדר רנדומלי

ככל שתשלבו יותר מהפרמטרים הללו כך הסיסמה תהיה קשה יותר לפיצוח (ברמה של בלתי אפשרית). דוגמא לסיסמה חזקה מאוד ולא מוגזמת היא "Udont4ME!0". מתוסכלים מדרישות מוגזמות לסיבוכיות הסיסמה והדרישה להזדהות בכל מקום? אתם לא היחידים שנאלצים למצוא שיטה לזכור סיסמאות.

ובכן, רוב הפריצות לפרופילים בפייסבוק הינן בגלל טעות אנוש. הפופולאריים ביניהן – פריצה דרך המייל או ע"י פישינג.

2. Phishing

אחת הדרכים הכי פופולאריות לפריצה לפייסבוק היא באמצעות פישינג. מהו פישינג ואיך עובדים איתו (ועלינו)?

מקור השם פישינג (Phishing) – שיבוש של המילה דייג באנגלית, או בעברית תקנית דיוג. השם מרמז על צורת דייג, רק שכאן לא מנסים לתפוס דגים אלה "פראיירים" שיאמינו לאתר המזויף שהוא באמת פייסבוק. שיבוש השם בלועזית נוצר מכיוון שגם באתר המזוייף כמו בדייג מדמים משהו אמיתי ומקורי, יוצרים פיתיון שמאוד דומה לדבר האמיתי, אך בעצם זו רק הדמיה.

הפישינג הוא בעצם התחזות אתר אינטרנט זדוני לאתר אינטרנט אחר. ההתחזות לרוב מאוד מאוד דומה למקור, הכל תלוי באיכויותו וסבלנותו של יוצר דף הפישינג. יוצר הדף לוקח את מבנה הדף המקורי שאותו הוא רוצה "לשכפל" ומעתיק את כל המידע, המבנה, התמונות והגרפיקה מהאתר המקורי לאתר הדמה שהוא בנה. פישינג טוב נמדד בהתחזות לאתר המקורי בכמה שיותר היבטים ובאופן מקיף ככל הניתן:

  • בניית אתר המדמה את האמיתי, שכוללת הפנייה פנימית של לינקים ומעבר לדף באתר המקורי לאחר הזנת הפרטים כדי לשפר את האמינות.
  • מעבר לכך, לאחר הזנת הפרטים שלכם לא יופיע שלט "אה אה אה עבדתי עליכם, אני פורץ!", אלא אתם תועברו לאתר המקורי בדיוק לדף הספציפי שהייתם אמורים להגיע. הדף המזויף שימש באמת להזנת הפרטים, לאימות עם השרת של פייסבוק ולהעברת הגולש לדף הרלוונטי, רק שבדרך, לפני שליחת הפרטים שהבאתם לאתר המקורי לאימות, הפורץ נותן פקודה לרשום אותם אצלו בצד.
  • עיצב האתר שיהיה זהה ככל הניתן ונאמן למקור. זהו החלק הפשוט יחסית. אין צורך ליצור שום דבר חדש, פשוט לקחת ולהעתיק את כל המלל, מבנה והגרפיקה מהאתר המקורי ולהעתיק אותם באופן זהה לאתר הדמה של הפורץ.
  • היבט אחרון הוא קניית דומיין הדומה ויזואלית ככל הניתן למקור כדי שהקורבן לא יבדיל. לדוגמא – facehook.com ,face.book.com, או faceb00k.com. שימו לב ששום דומיין כאן הוא לא המקורי, הם כתובים בצורה מאוד זהה למקור מבחינת העין שקוראת את המילה. הדוגמאות שהבאתי מאוד אטראקטיביות, מכיוון שהן מאוד דומות לדומיין המקורי. לרוב, הפורצים לא ישקיעו כל כך בזיוף הכתובת ולא יקנו כתובת תקנית, מכיוון שכתובת תקנית צריכה להיות רשומה על שם של מישהו. ומכיוון שזה דבר שכרוך בתשלום (מסנן אוטומטית ילדים בני 16 שרוצים לפרוץ לשם ההנאה) לרוב הכתובות יהיו על דומיינים חינמיים או סאב דומיין.

שום פורץ, טוב ככל שיהיה, לא יכול לזייף דומיין בדיוק. פורץ טוב יכול לתת כתובת דומה למקור, כמו הדוגמאות שהבאתי, אבל אין אפשרות לזייף כתובת זהה בדיוק ללא התערבות בהגדרות מחשב או התעבורה של הקורבן, או פריצה לשרתי DNS המאחסנים את הדומיין שאליו מכוונים (DNS spoofing).

האתר המזויף יכול לבוא גם בצורה של פריצה למשחקים בפייסבוק, או אתר שמביא לכם גרסאות משחק "מעודכנת יותר".

איך נזהרים? מלבד להסיט מבט לדומיין האתר, אתם יכולים גם לשים לב לשינויים מינוריים בעיצוב או במבנה האתר. כל שינוי קטן שאתם לא מכירים יכול להוות נורת אזהרה, אל תהססו לבדוק שוב את הדומיין או לרשום אותו באופן ידני. אם אתם רוצים למנוע מצב של הגעה לדפים מזויפים ולהקדים תרופה למכה אתם פשוט צריכים להיכנס לכתובת בעצמכם ולא ללחוץ על שום קישור שיוביל אתכם לכתובת, אפילו אם מציעים לכם "לחיצה עליי תביא לכם את סוס הפוני הכחלחל הקסום בפארם-וויל". אתם רוצים להיכנס לאתר? או דרך גוגל או לרשום אותו ידנית בעצמכם.

בהזדמנות זו ארצה להזכיר שבזמן האחרון לפייסבוק יש מערכת שלא תאפשר לפורצים לשלוח לינק לדף פישינג בצ'אט. יותר מזאת, היא מעדכנת את הדפדפן גוגל כרום בדף הזדוני והוא מוגדר כמסוכן, אבל כמו שאתם יודעים, רוב ההאקרים מצאו דרך מקורית מאוד לעקוף את זה. ע"י קידוד והסתרה של דף הפישינג, מנגנון האבטחה של פייסבוק לא מזהה את הדף הזדוני. בין האתרים שמקודדים ומצפינים את הכתובת לאתרכם: http://link-safe.net.

הנה דוגמא לדף פישינג שפייסבוק לא יחסמו, אלה אם כן זה ידווח בצורה ידנית וגם אז רק הרבה זמן יטופל אם בכלל (שימו לב לא להכניס שם פרטים!):

http://link-safe.net/out/0e70a473-0a4a/269671

שימו לב ששינוי כתובת URL על ידי קיצור לא מחייב קידוד, אבל הקידוד לא מאפשר למנועים של פייסבוק סריקה אוטומטית של האתר והסרתו במקרה הצורך.

3. פריצה לאימייל

אחת הדרכים לפרוץ לפייסבוק שלכם (ולכל עולמכם הווירטואלי) תהיה באמצעות פריצה לאימייל. מכיוון שיש שוני ניכר בין תיבות האימייל השונות, אנחנו נתמקד הפעם באימייל של וואלה. המייל של וואלה מאוד פופולארי בארץ, אולי בגלל פשטותו ואולי בגלל העברית הצחה שבו.

המייל של וואלה יספק לכם את הסיסמה לדואר של משתמש ללא כל תוכנת פריצה מיוחדת, ידע גדול בפריצות או יצירת דף פישינג. הדבר היחיד שהוא דורש הוא מספר פרטים מזהים כדי לראות שאתם בעלי החשבון ולחיצה על "שכחת את הסיסמה?"

אילו פרטים מזהים הוא דורש ואיך אני מסתיר אותם מפני פורצים?

  1. שם משתמש לדואר.
  2. תאריך לידה.
  3. פרט מזהה – יכול להיות אחד מהבאים: שם אמא, אבא, חבר הכי טוב, שם סרט אהוב, פתגם אהוב, ספר אהוב, דמות אהובה מסרט וכו'.

כמו שאתם רואים שניים מהם ממש קל להשיג, השלישי דורש מעט תחכום.

  1. את שם המשתמש לדואר שלכם אפשר לאתר בקלות ע"י ידיעת כתובת הדואר (ב- Gmail זה לא חייב להיות כך). את שם המשתמש אפשר לאתר בקלות: שם משתמש כאן – example@walla.co.il, יהיה כאמור example.
  2. את תאריך הלידה שלכם אפשר למצוא ע"י תוכנה שמופצת ברשת בשם "רישומון" – תוכנה שכוללת את כל מרשם האוכלוסין של מדינת ישראל, שם תמצאו ת"ז של אנשים, תאריכי לידה ועוד פרטים מועילים. כמובן שאפשרי להשיג את המידע ע"י שיחה טלפון אליכם. או קחו לדוגמא מצב שנגש אליכם בחור/ה מהמין השני שטוענת שמתעניינת באסטרולוגיה, או שאומרת לכם שהיא בדיוק גם מזל שור ושואלת לגבי מה התאריך המדויק שלכם – אני אספר לכם משהו? אתם תתנו את התאריך ובלי מחשבה אפילו. הנורמה החברתית אומרת שזה פרט שולי שאין בעיה לספר אותו ואתם תספרו ואפילו תשמחו לספר כדי שידעו מתי יום ההולדת שלכם (במיוחד אם זה בחור/ה אטרקטיבית).
  3. פרט הזיהוי הוא עקב אכילס פה – מצד אחד זה אמור להיות פרט שאתם תמיד תזכרו, כדי שתוכלו להחזיר לעצמכם את הסיסמה, מצד שני הפרט שאתם תמיד תזכרו צריך להיות כזה שאם שואלים אתכם עליו ישר תדלק לכם נורה אדומה. אם שמתם פרט זיהוי שהוא שם אבא/אמא או דברים שכן הגיוני שישאלו אתכם, לדוגמא "יוו אני חושב שאני מכיר אותך, לאמא שלך קוראים שרה? – לא, קוראים לה בכלל לאה." הופ, חשפתם את מנגנון האבטחה האחרון (והפשוט יש לומר) שלכם. לכן, כדאי לבחור שאלת זיהוי לא פשוטה, שאין שום סיבה הגיונית שבעולם שתגידו אותה ללא תמרור אזהרה ברור שיהיה לכם מול הפנים. ככל שתהיו חשאיים יותר, כך הפורץ יהיה צריך להיות מחוכם יותר. כך שאם כבר יפרצו לחשבון שלכם, לפחות זה יהיה אחרי מאבק מתיש. חשבו על פרט זיהוי שלא תשכחו מצד אחד, אבל שלא תספרו לאחרים מצב שני.

קחו בחשבון שאם המין השני אטרקטיבי מספיק, תוך שיחה קצרה הוא יכול לחשוף את כל אחד מהפרטים הללו ללא מאמץ מיוחד. חשדו תמיד באנשים שאינכם מכירים ודברים "טובים מידי" מכדי שיהיו אמיתיים. אם זה טוב מידי כנראה שזה לא אמיתי, עם כל האכזבה שבדבר. אל תהיו תמימים ואל תחשפו את המייל שלכם בפייסבוק בכלל, אין שום דבר מועיל בלנדב את המידע הזה. ופורץ טוב רק צריך לראות את הפרצה בכדי להיכנס, אז אל תתנו לו אפילו את הפתח הצר ביותר.

מנגנון הגנה מומלץ למייל שלכם הוא מייל חלופי, כך שאם תשכחו את הסיסמה היא פשוט תשלח למייל החלופי שלכם. כדאי שיהיה לכם אחד נוסף אישי שאיתו לא נרשמים לאתרים.

הערת העורך: רגע, ומה אם בשיטה זהה השיגו את הגישה למייל האישי שאיתו קיבלו גישה למייל של וואלה שדרכו אני נכנס לפייסבוק? התבלבלתי… ס_ם

ולכן אני ממליץ לכם לאבטח את חשבון האימייל שלכם ע"י המכשיר הנייד, שבמקרה שתישכח הסיסמא תוכלו לשחזרה ע"י SMS.

4. רשתות ציבוריות

בהמון מקומות ציבוריים מעניקים לנו, כחלק מהשירות, נקודת גישה אלחוטית לאינטרנט. ניתן למצוא את הנקודות הללו בכל בית קפה שמכבד את עצמו, חנויות מחשבים וכו'. החיבור מתבצע ע"י קישוריות לנקודת הגישה של המקום ללא צורך בסיסמה או בנתונים מיוחדים. מלבד זה שהחיבור לרוב מאוד מאוד איטי הוא גם יכול להוות תדר האזנה למה שאתם עושים באינטרנט באותו זמן. פרופיל פייסבוק פרוץ הוא אולי אחד הצרות הקטנות ביותר שלכם, אם תחליטו גם להיכנס דרך רשתות אלו לחשבון הבנק שלכם לדוגמא.

נקודות WiFi ציבורית אינן מאובטחות וכל אחד יכול להתחבר אליהן. יש לזה יתרונות מבחינת נוחות, אך יתרון זה יכול להוות גם פרצת אבטחה ברורה. במידה ואתם גולשים למקומות הדורשים סיסמת משתמש, להבדיל מהתחברות לפייסבוק במחשבים ציבוריים, כאן ישנה הרגשה שאתם כן מוגנים. אתם יושבים על במחשב שלכם, שאותו אבטחתם באנטי וירוס והפיירוול החזקים ביותר והסיסמאות שאתם מזינים (במידה והן נשמרות, הן נשמרות על המחשב הפרטי שלכם). אך שכחתם פרט אחד, לא משנה כמה המבצר שלכם יהיה בעל חומות גבוהות, אם לא תאבטחו את ספינות הציוד שנכנסת ויוצאת ממנו אתם עדיין תחוו אבדות.

כלומר, לא משנה כמה המחשב שלכם מוגן, אם המידע נשלח ליעדו בדרך שאינה מאובטחת, פורצים יכולים ליירט אותו או להאזין לו בדרך לייעדו, וכך לדעת את פרטי הכניסה שלכם. כאן לא מדובר על אתר המתחזה לפייסבוק שיבצע יירוט סיסמה בדרך ליעדה המקורי, אלא על "פיראטים" שישדדו את המידע שלכם בדרך ליעדו רק כי אין אבטחה לרשת.

פורץ יכול לשבת בבית קפה תמים, להפעיל תוכנת פריצה והאזנה לרשת, לחכות ולקלוט אתר מעניין שנכנסים אליו. על הצג לרוב תופיע תעבורת הרשת של הקורבן ולאחר מכן, במידה שאתר דורש סיסמה, גם שם המשתמש והסיסמה של הקורבן. הפורץ רק צריך לצפות ולחכות למתי שיש זיהוי של אתר מעניין או לזהות שם משתמש (לרוב מייל) ולאחר מכן השורה הבאה תהיה לרוב הסיסמה.

תוכנה ידועה בשם Wireshark להאזנה לתעבורת הרשת

תוכנה ידועה בשם Wireshark להאזנה לתעבורת הרשת

היום מצויות תוכנות פשוטות לגניבת ה-cookies (בהם נשמרים פרטי הזדהות). ביניהן תוכנות כדוגמת FaceNiff או Firesheep.

אז מה עושים? לא לגלוש משום מקום?! כמו בכל דבר בחיים גם פה יש רמת סיכון מסויימת. אם אתם רוצים שלא ישדדו אתכם ברחוב אתם יכולים להשאר בבית, אבל כמובן שזה לא פיתרון. הרשתות הציבוריות הפתוחות מיועדות לרווחת הלקוחות ולהנאתם.

אין בעיה לגלוש באתרים לשם ההנאה או לשם מידע כל עוד אינם דורשים מכם שם משתמש וסיסמה. אתם יכולים לדמיין את המצב הבא – נניח שהרשת בבית הקפה מאובטחת אבל יש מאחוריכם אדם שמסתכל על מה שאתם עושים במחשב, אתם הרי לא תכנסו לאתרים בעלי סיסמה כדי שהוא לא יראה מה אתם מקלידים… כך אותו הדבר גם ברשת WiFi פתוחה. אפשר להיכנס לאן שרוצים ולרוב אפילו לא יקרה כלום, אבל מספיק פעם אחת "שיהיה מישהו מאחורה", שבמקרה שלנו הוא לא חייב להסתכל פיזית על האצבעות שלכם, אלא להאזין לרשת ולראות על הצג שלו מה אתם מקלידים וזה יהיה פעם אחת יותר מידי. בסך הכל אין הרבה אנשים שיושבים ומאזינים לכם ברשתות ציבוריות אך מספיק שיהיה אדם אחד שתתקלו בו והתוצאות יכולות להיות מרות מאוד. במקרה הטוב יפרצו לכם לפייסבוק, במקרה הרע אתם תאבדו מידע עיסקי יקר מפז ואת חשבון הבנק שלכם.

הערת העורך: אם כבר גולשים לאתר הדורש פרטי הזדהות שאכפת לנו מהם, אז לפחות רק אם האתר הזה עובד ב-HTTPS. שגם את זה אפשר לעקוף, דרך אגב, על ידי SSL null-prefix attack, או קניית דומיין (כפי שנכתב בחלק על פישינג קודם) ויצירת תעודת SSL מתאימה, כך שיראה לגיטמי.

5. תוכנות ריגול

דרך נוספת היא השתלת סוס טרויאני במחשבו של המשתמש (ומכשיר נייד בימינו הוא גם מחשב לכל דבר), אשר יגנוב סיסמאות שמורות בדפדפן או יתקין קילוגר שישדר כל מה שאתם מקלידים וישלח לשרת של התוקף.

הפוסט פורסם לראשונה בבלוג אבטחת מידע – גיבוב ממולח.

קרדיט תמונה: Hacker via Shutterstock.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

8 Comments on "גניבת חשבונות אינטרנט For Dummies"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
דוד
Guest

ההמלצה לגבי הסיסמא לא מדוייקת – עדיף סיסמא ארוכה ממספר מילים אקראיות ובלי סמלים.
MyRandomEasyPassword היא יותר מהירה ונוחה להקלדה ללא טעויות מ Udont4ME!0, והרבה יותר בטוחה.

חשמלאי לא מוסמך...
Guest
חשמלאי לא מוסמך...

יתרה מזו, כדאי לשאלת הסיסמא, לענות תשובה לא הגיונית.

למשל: מספר הנעליים שלך?
תשובה: ILoveMyW1Fe

כשאין הגיון לתשובה, השאלה הופכת ללא רלוונטית…

סוס
Guest

נכון, וכמו הרבה דברים xkcd אמרו את זה קודם

yoni
Guest

כתבה איכותית מפורטת ומסבירה בצורה טובה מאוד את הסכנות שקיימות ברשת

יצחק
Guest

ב"ה

כתבה עניינית, רק שהיה צריך להוסיף שמומלץ להשתמש בסיסמאות שונות עבור שירותים שונים, כי יש אתרים מפוקפקים שמוכרים מידע מלא ללקוחות המפוקפקים שלהם.. ומשם הדרך קלה לפריצה

ao
Guest

מרתק וחשוב! תודה רבה

ירון
Guest

אגב, מקור המילה Phishing הוא שיבוש המשלב את המילים fishing ו-phone, כי במקור הדיוג היה דרך רשת הטלפוניה שאנשים היו מתחזים לשירותים מסחריים והיו מנסים להוציא מידע חסוי מהאנשים אליהם היו מתקשרים (כמו מספר אשראי, חשבון בנק וכו').

סתם לידיעה.

יצחק
Guest

אתר נחמד שהוצא פה בעבר לבדיקת חסינות ססמא:
https://howsecureismypassword.net/

ובכלל הוא נותן טיפים איך לשפר ססמא או לחילופין תוך כמה זמן בממוצע ייקח לפרוץ אותה

תהנו

wpDiscuz

תגיות לכתבה: