גניבת זהות – איך אנחנו ממשיכים ליפול בפח?

אם לפני חמש שנים הייתם מחפשים ”הנדסה חברתית” בגוגל, כמעט שלא הייתם מקבלים שום תוצאות. היום, כמובן, המצב שונה לחלוטין – אבל מה שלא השתנה היא מידת ההצלחה שלה. מופתעים? אתם לא באמת צריכים להיות.

shutterstock identity

הפוסט נכתב על ידי רונן מואס, בעלים שותף, ESET ישראל.

כבר מזמן כולם יודעים שמטרת העל של ההאקרים, ושלשמה הם פורצים לנו למחשב, מפתחים וירוסים או כלי פריצה מתוחכמים, היא אחת – כסף! הרבה כסף ועל חשבוננו. כדי להגשים את המטרה הזו האקר צריך להיות בעל יכולות פריצה גבוהות או לחילופין לרכוש בדארקנט כלי פריצה מתקדמים מאוד, לחפש קורבנות תמימים ולקוות שהמחשבים שלהם מכילים מידע בעל ערך כספי – כמו גישה לחשבונות בנק או פייפאל ולחייך כל הדרך אל הבנק.

מידת ההצלחה של ההאקר תלויה במערכות ההגנה של המחשבים ובכישורים שלו להתגבר עליהם. הנדסה חברתית באה להתגבר על החלק הראשון – הפריצה, כי בעצם למה להתאמץ אם אפשר פשוט לקבל גישה לדלת הראשית מהקורבן עצמו? הנדסה חברתית משמעותה “ניצול של תכונות פסיכולוגיות של האדם אשר עשויות להביא אותו לציית לבקשותיו של הפורץ” (וויקיפדיה).

לייק ותוכלו לצפות בסרטון

היום יש הרבה אתרים שכדי לצפות בתכנים שלהם גולש נדרש לעשות לייק או להתקין אפליקציה שבעזרתה ניתן לצפות בתכנים. הגולש הנמהר לצפייה בתכנים יעניק לייק, אבל קריאת האותיות הקטנות תבהיר לנו שאנחנו בעצם שמים את כל הפרטיות שלנו בידיים זרות ואנחנו מאפשרים להם גישה מלאה לפרופיל, רשימת חברים כולל כתובות אימייל ואף הרשאה לפרסום פוסטים בשמנו שיכולים בקלות להיות הונאות.

השיטות הן מגוונות וחלקן די ידועות כמו לדוגמא פישינג – התקפות של “דייג סיסמאות” – המתבצעות דרך דואר אלקטרוני המפנה לאתרים המתחזים לאתרים המקוריים, ומאפשרות לגנוב כסף וזהויות של גולשים באינטרנט.

ישנם הרבה אתרים שמאפשרים צפייה בתוכן רק למשתמשים רשומים, מה שעלול ליצור אצלנו המשתמשים ריבוי פרטי גישה לאתרים שונים. עכשיו עם יד על הלב, כמה פעמים השתמשתם באותה כתובת אימייל ואפילו באותה סיסמא במספר אתרים שונים כדי שלא תאלצו לזכור הרבה סיסמאות? אבל את האמת! האם יתכן שחלק מהאתרים יאמתו את הפרטים גם באתרים אחרים? לדוגמא, גוגל או פייפאל ואולי אפילו ימכרו את פרטי הגישה לנוכלים צד שלישי? התשובה היא שכמובן שכן. אני מוכן להמר שאם בכנס אבטחת מידע תוצב בכניסה עמדת רישום לשירות “אטרקטיבי שקר כלשהו” חלק מהמשתתפים ישתמשו באותם פרטי גישה של חשבון הגוגל שלהם למרות שהם בכנס אבטחת מידע ואמורה להיות להם מודעות גבוהה יותר וכך בעצם יתנו לפורץ את פרטי הגישה שלהם על מגש וזאת הנדסה חברתית קלאסית.

אם אתם כרגע ממש כועסים כי זה לא אמור לקרות אצל אנשי IT ואבטחת מידע אז אתם כנראה בעלי מודעות גבוהה לנושא, אבל עדיין תסכימו איתי שיהיו משתתפים שיפלו בפח בניסוי הזה. כל מה שהפורץ רוצה זה שתתנו לו את המידע מרצונכם החופשי.

ויש גם דרכים מלוכלכות יותר

נתקלתי בעבר בשיטות מפתיעות שאפילו עברו את גבול החוצפה. קיבלתי טלפון מאשה נחמדה, על פי הקול היא הייתה בגיל 60 מה שכנראה אמור היה לשדר אמינות של סבתא? והיא הודיעה לי שעליתי בגורל בהגרלת “שקר כלשהו” וזכיתי בפרס כספי, קבלת הפרס תתבצע על ידיי זיכוי חשבון האשראי שלי וכל מה שהיא צריכה זה את פרטי האשראי שלי לאימות נתונים. אמרתי לה בלי להסס, מאמי, אנחנו כותבים על זה מאמרים כל שבוע וקיבלתי ניתוק בפנים. במקרה הזה נסיון ההונאה היה ישיר לגנבת כסף אך בהרבה מקרים מטרת ההונאה היא לקבל פרטי גישה לפייסבוק או לדוא”ל שלנו. אני מניח שלא באמת מעניין אותם לצפות בתמונות משפחתיות בפייסבוק שלי או לקרוא אימיילים פרטיים. אז מה יש להאקרים לעשות כבר עם הסיסמאות שלי?

גישה לפייסבוק תאפשר להאקר לפרסם פוסטים בשמנו שיראו אמינים מאחר והגיעו ממקור מוכר. בפוסטים אפשר לשתול קישורים לנוזקות מוסוות בתוך אפליקציות – מה שיתן להאקר גישה נוספת למחשבים נוספים או לחשבונות פייסבוק אחרים שדרכם יפרסם פוסטים זדוניים. רק לפני שבוע ראיתי שאחד החברים שלי בפייסבוק העלה פוסט בוול שלי עם תמונות של בחורות. לחיצה על התמונה הובילה להתקנת אפליקציית ימי הולדת (אני אוהב להתנסות ולקרוא את האותיות הקטנות) עם הרשאות מלאות לקבלת כל פרטי החברים שלי כדי להפיץ להם גם את האפליקציה. יתכן שבשלב ראשון האפליקציה תהיה תמימה לכאורה אבל בקלות היא יכולה להפוך לאפליקציה זדונית.

לעומת הפייסבוק פרטי גישה לחשבון הגוגל שלנו הם ממש אוצר. הפורץ יוכל לשחזר סיסמאת 
פייפאל לאימייל שיש לו גישה אליו, והנה יש לנו חשבון הוצאות פתוח לרכישות באינטרנט. עם גישה מלאה ל-Gmail אני יכול לבצע בקלות את העוקץ הניגרי והוא יראה אפילו אמין יותר כשהוא מגיע מהאימייל האישי שלי. מעל הכל פרטי חשבון גוגל מאפשרים לנו שליטה די מלאה על הסמארטפון או הטאבלט שלנו. ניתן בקלות להיכנס ל-Google Play דרך הדפדפן עם פרטי החשבון הגנובים, לבחור מכשיר שמקושר לחשבון ולהתקין כל אפליקציה שנרצה. עכשיו רק תפעילו את הדמיון לאן אפשר לקחת את זה. ולא, זאת ממש לא המלצה לפרוץ ולהתקין אפליקציות על מכשירים של אחרים.

משתמשי אפל שימו לב, אתם גם חשופים – פרטי חשבון אייטונז שיחשפו יכולים לאפשר לפורץ גישה לצפייה ושליחה של הודעות טקסט בשירות iMessage.

קרדיט תמונה: two identities via shuterstock




הכתבה בחסות ESET

חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה - ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android - מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.


בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.


בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, 
עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.


כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה על "גניבת זהות – איך אנחנו ממשיכים ליפול בפח?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יוסי
Guest

הנדסה חברתית היא תופעה ישנה מאוד – ראו קווין מיטניק

wpDiscuz

תגיות לכתבה: