מחירון ההאקרים נחשף: כמה שווה טביעת האצבע והדרכון של כולנו?

בחווית קנייה שמזכירה לעיתים את איביי, תוכלו לרכוש בלי בעיות מידע ביומטרי ופרטים מזהים רבים. בנוסף, זמינים לרכישה גם מידע ישראלי רב כמו כרטיסי אשראי טעונים בכסף, דרכונים ותעודות זהות

תמונה: Pixabay

אחרי מאות ואלפי פרצות אבטחה, פריצות ודליפות נתונים, הסיכויים לא רעים שפרטי הגישה והסיסמאות שלכם יושבים במאגר כלשהו בדארקנט, הרחק מהעיניים והסורקים של גוגל. אך בעוד שאת הסיסמה או החשבון שלכם אתם יכולים להחליף די בקלות, בשנים האחרונות העולם עובר להזדהות באמצעות גורמים ביומטריים, ואותם כבר אי אפשר להחליף כשהם דולפים. עתה מתברר שלא רק שפרטים כאלו דלפו, הם גם זמינים למכירה בדארקנט לכל דורש. ויש גם חדשות רעות לישראלים.

מידע ביומטרי של עשרות מיליוני בני אדם כבר בחוץ

“ההנחה היא שבניגוד לסיסמאות, מידע ביומטרי אי אפשר לגנוב לכאורה. הוא משהו אישי ולא גניב. אבל זו טעות, ואנחנו רואים זליגה של הרבה מידע ביומטרי רגיש”, מסבירים דניאל שקדי ואריאל שהם מחברת Forter הישראלית העוסקת בזיהוי ומניעת הונאות ברשת. באוגוסט 2019, למשל, דלפו מאגרי המידע של מערכות BioStar-2 של חברת Suprema, אשר הכילו מידע של כ-27.8 מיליון בני אדם. אבל לא רק סיסמאות ושמות משתמש מצאו את דרכם לרשת, אלא גם טביעות אצבע ומידע ממערכות זיהוי פנים של יותר ממיליון משתמשים.

זהו אחד האירועים המכוננים בעולם הזהות הביומטרית, כיוון שהוא חשף מיליונים רבים של אזרחים ברחבי העולם לסוג חדש של איום, ונתן להאקרים ושחקנים רעים הרבה מידע איכותי וחדש לעבוד איתו. המידע הזה, שהיה זמין לכל דורש, אמנם הוסר בינתיים מהרשת, אך מצא את עצמו כל מידע בדארקנט.

רגע לפני ששקדי ושהם לוקחים אותי לטיול לא נעים במיוחד בדארקנט כדי לראות איך טביעות האצבע ופרטי הפנים של אנשים אמיתיים הופכים למוצר סחיר ברשת, הם מסבירים מה האקרים מחפשים בדרך כלל ברשת: “Something You Know” – סיסמאות, שאלות אבטחה ושאר המידע שרק אתם מכירים; “Something You Have” – זהו למשל מייל, או סמארטפון שלכם שמשמש להוכחת גישה; ולבסוף, “Something You Are” – ואלו הם המזהים הפיזיים שיחודיים רק לכם כמו טביעת אצבע, כף יד, דגימת קול, מבנה פנים, רשתית וכדומה.

מהי מסיכה דיגיטלית?

אם עד עכשיו להאקרים הייתה גישה למה שאתם יודעים, או אפילו מה שאתם מחזיקים, הפריצות והדליפות האחרונות נותנות להם לראשונה גם את ‘מי שאתם’. התחנה הראשונה שלנו בדארקנט היא Genesis, חצי-פורום-חצי-חנות אינטרנטית-להאקרים. הכניסה לאתר מבוססת על הזמנות בלבד, כך שלא תוכלו פשוט להיכנס ולמלא עגלה כמו באמזון. בין היתר יכולנו לראות כיצד מוצעים לרכישה “טביעות אצבע אמיתיות” של אנשים מרחבי העולם, ולצידן גם ‘מוצרי צריכה בסיסיים’ כמו סיסמאות, קובצי קוקיז, לוגים ועוד מידע שיעזור להאקרים לבנות זהות דיגיטלית בדויה.

כך נראית מסיכה דיגיטלית. תמונה: פורטר

את הזהות הדיגיטלית הזו, שקדי מכנה “מסיכה דיגיטלית”: “אני אוהב בהשאלה כמובן, להקביל את זה למה שארייה סטארק היתה עושה ב’משחקי הכס’ – רק בעולם הדיגיטל”. המסיכה הזאת מאפשרת לכם להפוך לאדם אחר לגמרי, בין אם אדם אמיתי, או יישות סינתטית שנוצרה על ידי האקרים. עם המסיכות הללו אפשר אפילו לפתוח חשבון בנק וכמובן להזדהות בתור אדם אחר, והניצול של המצב הזה על ידי האקרים מוגבל רק בדמיון שלהם.

בעבור מסיכה דיגיטלית מלאה שכוללת את כל המידע של המשתמש – סינתטי או חצי סינתטי- האקרים יוכלו לשלם בסך הכל 12-42 דולר ליחידה. עם זאת, שקדי מציין שגניבת מסיכה דיגיטלית מלאה של משתמש אמיתי היא נדירה יותר, אך לחלוטין אפשרית ונמכרת בכמה מאות דולרים.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

לקנות מידע גנוב באותה קלות שאתם קונים באמזון

המערכת בחלק מהאתרים בדארקנט הזכירה לנו זירות סחר לגיטימיות כמו איביי או אלי אקספרס. לצד כל פריט מופיע גם מידע על המוכר כמו הוותק שלו, מספר העסקאות שעשה ודירוגים שונים כמו מידת החשאיות שלו, איכות המוצרים והתקשורת עימו ועוד.

באתר אחר אנחנו רואים מדריך שלם לזיוף טביעות אצבע שנמכר בדארקנט ב-3 דולרים בלבד, שקדי, שבודק את המוצר, קובע שהוא מספר מוצר טוב שאנשים רוצים לקנות, ויכולים להשתמש בו ללא הפרעה. בפורום אחר בדארקנט אני נתקל בהתכתבות עם האקר שטוען בפני שקדי שהוא מחזיק באמצעים ביומטריים וטביעות אצבע אמיתיות, ומבקש ממנו להמשיך את השיחה ב-Wickr – אפליקציית צ’ט מוצפנת.

ברוכים הבאים ל-Genesis. תמונה: פורטר

יש לא מעט סטארטאפים בתחום הסייבר, חלק מהם ישראליים, שמפתחים מערכות שמסוגלות לזהות משתמשים אמיתיים על פי פרופילים התנהגותיים: תזוזות עכבר, הקלדות, פעולות שונות וכו’. אבל עתה נראה שגם המידע הזה הופך לסחיר, כאשר אחד המשתמשים מבקש מהאקר בפורום לרכוש פרופילים התנהגותיים, כדי לשטות במערכות סייבר אחרות.

הזיהוי של טלגראס

חלק מה”שירותים” – כולל ישראליים – ביקשו מהמשתמשים לאמת את זהותם באמצעות שליחת תמונת סלפי שלהם עם תעודה מזהה (ולפעמים גם עם אצבע על האף, אבל זה נושא לדיון אחר). אם חשבתם שהמידע הזה נשמר אצל הצד השני בלבד, צר לנו לאכזב אתכם, כי גם את אמצעי הזיהוי האלו, תוכלו לרכוש בכ-120 דולר ל-10 יחידות.

שלחתם פעם תמונה שלכם עם תעודת הזהות שלכם? בהצלחה. תמונה: פורטר

“יש לזה כנראה ביקוש מאוד גדול”, מסביר שקדי. זהו יחסית מחיר גבוה לדבריו למידע הזה, מה שככל הנראה מעיד על כך שאין היצע גדול במיוחד עבור תמונות שכאלו. במקביל, הוא מראה לי מודעה למכירת מדבקות לאשרות כניסה לארצות הברית וקנדה בליווי מידע ביומטרי רגיש שנמכרות ב-2,000 דולר ליחידה. המוכר מגדיר את הפריט הזה כ-“Safe For Travel”. מידע שעוד לא דלף בצורה המונית משמעותית, וטומן בחובו כוח גדול, ופשוט נמכר במחירים גבוהים יותר, ממש כמו בחוקי הכלכלה.

הישראליים כבר על הרדאר של ההאקרים, ודליפה גדולה היא לא שאלה של “האם”

החדשות הטובות הן, שנכון לעכשיו, שקדי עוד לא מצא מידע ביומטרי של ישראליים במאגרים הללו, כיוון שטרם התרחשה דליפה גדולה של מידע ביומטרי ישראלי. אבל שקדי מדגיש שלא מדובר ב”האם” אלא ב”מתי”: “קו האימות לעולם ייפרץ”, הוא קובע. “הכל בסוף ידלוף, ואחרי פחות זמן ממה שמשערים. שקדי מזהיר מתרחיש יום הדין שבו מאגר טביעות אצבע או פנים של אזרחים ישראליים ידלוף, וטוען שביום הזה, האקרים יתחילו להצליב את הנתונים החדשים עם נתונים מדליפות קודמות. פרשות אדירות כמו “אגרון” או פרשת “אלקטור שהתרחשה רק השנה, הובילו לדליפה של מידע אישי של כ-6.4 מיליון אזרחים ישראליים, והמידע שהודלף בהן לפי הדיווחים הגיע גם לידיים לא מורשות, ועלול להשפיע על אזרחי המדינה עד היום.

רק צרפו לאותן דליפות ענק גם את כל הדליפות הכלליות והיותר קטנות שאנחנו שומעים עליהן חדשות לבקרים כמו דליפות מרשתות חברתיות, חברות פיננסיות ושאר השירותים שדלפו בעבר – וקיבלתם “סופר דאטה-בייס של אזרחי ישראל”, אותו מגדיר שקדי כ”קטסטרופה בקנה מידה שלא יתואר”.

תמונה: פורטר

בכלל, מידע ביומטרי ישראלי אולי עוד לא זמין – אבל לא תתקשו למצוא בדארקנט מידע רב על ישראלים, שעלול לגרום לא מעט כאבי ראש ללקוחות ולמחלקות הונאה בחברות אשראי: כרטיסי אשראי של אזרחים ישראליים עם כל הפרטים של המחזיקים בהם עם יתרת אשראי של 3,000-6,000 דולר נמכרים ב-59 אירו בלבד. גם במקרה הזה מדובר במוכר שביצע מאות עסקאות, ומדורג ב-5 כוכבים, דבר המעיד על אמינותו. האקר אחר הציע תבנית שמאפשרת לכל אחד לזייף דרכון ישראלי ב-30 דולר; והאקר נוסף הציע שירותי זיוף דרכונים ביומטריים – בהם גם דרכונים ישראליים. תבנית לזיוף של תעודת זהות ישראלית חדשה נמכר בסך הכל ב-8.45 אירו ליחידה.

“צריך רק לקחת את כל המידע הזה, לבצע הצלבות מהירות ושלום על ישראל. מידע פיננסי, מידע ביומטרי, מידע אישי. כל המידע הזה יהיה בחוץ”, מסכים שקדי. אם היה נדמה לנו שאנחנו בטוחים כיוון שהמאגר הביומטרי הישראלי לא נפרץ, הרי שמדובר בעניין של זמן, וככל שיותר שירותים ומוסדות יעברו לאמצעי אבטחה ביומטריים, כך יגדל הסיכון שאחד או יותר מאלו ידלוף. ואז, אל תתפלאו אם תמצאו את טביעת האצבע שלכם מסתובבת ברשת.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

6 תגובות על "מחירון ההאקרים נחשף: כמה שווה טביעת האצבע והדרכון של כולנו?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Ruslan Ver
Guest

אז איך נמנעים? הרי בחידוש תעודת זהות כרגע מחייבים לתת פרטיים ביומטריים

רון
Guest

מבקשים להוציא את האצבע מהמאגר, ומקבלים תז ל5 שנים במקום 10.
זה כנראה לא ישנה הרבה, אבל סוג של אקט מחאתי לסטטיסטיקות של כמה אנשים מוכנים להכנס למאגר.

הייקר
Guest

העניין הוא שבסופו של דבר המחאה שלך פוגעת בעצמך במגבלות על השרותים שאתה יכול לקבל. דליפת מידע היא חתיכת צרה צרורה אבל האלטרנטיבה היא לחיות בהסגר ולהישאר מאחור. דילמה לא פשוטה.

רון
Guest

אני עדיין עם תז ודרכון ישנים ולא מרגיש לי שאני מפספס שירותים כלשהם

What do you care
Guest

האמת שבינתיים אין שום צורך להיכנס למאגר הביומטרי – זה לא נותן שום יתרון.
אם לא תצטרף למאגר – זה לא מגביל שום שירות שאתה יכול לקבל עם הת.ז. החדשה – למעט זה שתצטרך לחדש אותה כל 5 שנים, שאם היית מצטרף למאגר היית צריך רק פעם ב10 שנים.

וכן, להיות מאובטח לגמרי זה להפוך לאנלוגי בעולם דיגיטלי.

עוז
Guest

דלפה הסיסמה – לא נעים לא נורא יש אין סוף. דלפה טביעת האצבע, הרשתית, תווי הפנים, חתימת הקול…
אבל מי יוותר על הנוחות והקוליות?

wpDiscuz

תגיות לכתבה: