פישינג (“דיוג”), שומר מסך, אמנון לוי, אילן ספקטור וחברים

מעשה באמנון לוי, אילן ספקטור, שומר מסך וחברים. מה זה דיוג, איך נזהרים ולמה יש תמיד לבדוק לא רק את תוכן הקנקן, אלא גם מקורו

אמנון לוי שידר לא מזמן תחקיר בנושא פישינג (לצפייה. חבל על התמיכה העלובה בדפדפנים שהם לא IE). הסיפור שהוביל לתחקיר ולתוכנית הוא מעשה בבחור חביב בשם אגוז צרפתי שהחליט לפרוץ לתיבות דואר אלקטרוני של מפורסמים, באמצעות שיטה חדשנית ומדהימה ביותר (לא באמת) שנקראת פישינג. כמובן, טלוויזיה, ניפוח ומכאן ועד סיפור שבסיסו מעורער המרחק קצר. נמאס לי להטיף לטלוויזיה מוסר, בעיקר מכיוון שזו אינה שומעת אותי, אבל אם אפשר להגיד מילה או שתיים לחבר’ה הנחמדים שגולשים פה אז למה לא.

בתור אחד שמנהל פורום האקינג וגולש בפורומים רבים אחרים, לא הצלחתי להתעלם מהתופעה: עשרות ילדים בגיל הטיפש-עשרה נכנסים ומציפים את הפורומים בבקשות ל”פישינג מוכן”. יש המגדילים לעשות ומבקשים “פישינג שלא יתפסו אותם”, “פישינג שהאנטי-וירוס לא חוסם”, ובעיקר דפי פישינג ספציפיים כמו שנראו בכתבה (מה שרק מעיד על הראש הסגור וחסר היצירתיות של אותם אנשים): לפייסבוק ולג’ימייל.

הנדסה חברתית

רעיון הפישינג (או הדיוג אם אתם דוגלים בעברות מושגים טכנולוגיים) הוא פשוט וקל, אך טרם נציג אותו, אני חושב שקודם כל יהיה מעניין להסביר את המונח הנדסה חברתית. ובכן, הנדסה חברתית באבטחת מידע היא היכולת להשפיע על דרך החשיבה של הפרט או החברה בעזרת מילים או מעשים, ובאופן שיגרום לנו לקבל את מה שרצינו מהמשתמשים (בדרך-כלל מידע חסוי) – סיסמאות, גישה למערכת וכדומה. דוגמא מצויינת לכך ואולי הנפוצה ביותר, היא פשוט להרים טלפון לאדם אקראי, ולהגיד לו בקול סמכותי: “שלום, מדברים מספקית האינטרנט שלך. לאחרונה חלו שיבושים במשרדינו, ונמחקו לנו שמות המשתמש והסיסמאות של המשתמשים. אנו צריכים ממך שם משתמש וסיסמה שתרצה שנקבע במערכת”. רוב האנשים, שסיסמתם היא סיסמה קבועה, פשוט יתנו את שם המשתמש והסיסמה המקוריים שלהם שהיו להם לפני-כן. במידה ונפלו בפח – יש לתוקף אינטרנט חינם, ואולי אפילו הצצה לתיבת הדואר האלקטרוני של המשתמש.

רעיון ההנדסה החברתית הוא נפוץ ורחב מאוד, והוא מפיק כמות בלתי ניתנת לעיכול של תתי-נושאים, הונאות, סיפורים ורעיונות לביצוע האקינג בדרכים מתוחכמות. אחד האנשים המוכרים ביותר בתחום, שהוכתר על ידי התקשורת פה כאחד ההאקרים הגדולים בימינו, הוא קווין מיטניק. קווין, בן 47 כיום, הצליח להוציא מידע כמעט מכל מקום אפשרי. ברשימת ההצלחות שלו כלולות חברות כמו מוטורולה, נוקיה, סאן מיקרוסיסטמס, IBM (לזו הגיע לרמת Full administration על מנת לזכות בהתערבות, אגב) ואפילו ה-FBI בכבודם ובעצמם. קווין ישב בכלא שנים על הפשעים שביצע, אמנם הוא טוען שבחיים לא פרץ באמצעים טכנולוגיים – אלא רק באמצעות מוחו. כאשר שוחרר, הגיע למסקנה שהאדרנלין לא שווה את העונש – וכיום הוא מייעץ לחברות ענק בנושאי אבטחת מידע, ואפילו כתב שני ספרים (שבאופן אישי – לא יצא לי לקרוא מהם כלום חוץ מההקדמה, אך לדברי חברים ומומחים מדובר בחומר קריאה מומלץ ביותר).

דייג, אוהב דיוגים?

אז מה זה פישינג, בעצם? Phishing, או בעברית דיוג, היא מתקפה שנועדה לחלץ נתונים מאנשים בעזרת שימוש ביכולת הנדסה חברתית, לרוב די בסיסית. שם המתקפה נגזר מהלחם המילים Fishing ו-Phreaking, כאשר המילה Phreaking (פריקינג) נגזרת מהלחם המילים Phone ו-Freak, ומהווה שם כולל לפריצה למערכות טלפוניה, אחד התחומים שמסמלים יותר מכל את התחלת התפתחות תחום ההאקינג. אם הבנתם את האטימולוגיה של המילה, אין שום סיבה שיהיה לכם קושי כזה או אחר להבין את המתקפה עצמה, שכן היא פשוטה להחריד.

נניח ומתחשק לי לסחוט שמות משתמשים וסיסמאות של משתמשי בנק. הדבר הראשון שיש לעשות הוא להקים אתר שדומה בדיוק לאתר של אותו בנק. אלא מה? כשהמשתמש רוצה להתחבר לחשבון הבנק שלו ומכניס את שם המשתמש והסיסמה, במקום ההתחברות לאותו אתר (או בנוסף להתחברות) נשלחים אל יוצר האתר המדומה שם המשתמש והסיסמה. נשמע פשוט? כך זה גם במציאות.

ההתקפה היא התקפה בסיסית ויעילה מאוד בהרבה מקרים, אך איננה נחשבת בשום אופן “פריצה למחשב“, כמו שהגדיר אותה מר אמנון לוי עשרות פעמים במהלך הכתבה. היא גם לא נחשבת ולא מתקרבת להיות “הסודות הכמוסים של ההאקרים“, או כל דבר מדהים ומטורף אחר, נהפוך הוא: היא מתקפה חובבנית המיועדת למתחילים משום שאינה מצריכה ידע, היא עוברת על החוק באופן חד וחלק והיא נבזית ועלובה בכך שמטרתה לגרום נזק גרידא – ולא רק בנק דיסקונט מזהיר מפניה (מכיוון שכבר הספיקו להתחזות אליו), אלא גם כתבות רבות בתקשורת הישראלית.

דייגים מנוסים

כיצד אפשר לגרום לפישינג להצליח? לא מדובר בתורה מסיני, אלא בסך הכל במספר טכניקות של הנדסה חברתית פשוטה.

ראשית, מראה הכתובת של אתר הפישינג חשוב מאוד. הרבה פעמים התוקפים יבחרו להשתמש בכתובת דומה לכתובת המקורית, על מנת למשוך קורבנות. דוגמאות לדומיינים שיכולים להוות פישינג:

  • gmall.com במקום gmail.com. הטכניקה: שימוש באותיות דומות.
  • gmail.mesicka.com במקום gmail.com – הטכניקה: שימוש ב-Subdomain. בתור בעל האתר Mesicka.com, אני יכול ליצור “תתי-דומיינים” (כמו שהוצג בדוגמה).
  • gmail.com@mesicka.com במקום gmail.com – הטכניקה: שימוש במנגנון כניסה לאתרים. בדוגמה שהבאתי, יהיה ניסיון להכנס ל-Mesicka.com בשם המשתמש gmail.com, ולא ניסיון להכנס לgmail.com כמו שאנשים רבים יטו לחשוב. האופציה הזו הושבתה באינטרנט אקספלורר, ומקפיצה הודעת אזהרה בפיירפוקס ובאופרה.
  • gle.comססg במקום google.com – הטכניקה: התקפה הומוגרפית. יש סיכוי סביר שרובכם הרימו גבה ושאלו מה לעזאזל שונה. התשובה היא שהאות האנגלית O (“אוו”) במילה גוגל, הוחלפה באות העברית סמך שנראית בדיוק כמותה. כיום, יש אפשרות לרשום דומיינים (כתובות) בעברית, והדבר מגביר פי מאה את הסכנה לפישינג שיראה אמין מאוד.

השלב השני לאחר זיוף כתובת משכנעת, היא שינוע המשתמשים להגיע אל האתר. גם כאן לא חסרות טכניקות:

  • הוספה של כתובת האתר בסוף המסמך, על מנת לאפשר ללקוח, לכאורה, להגיע לאתר ביתר קלות. האמת היא שלחיצה על הקישור שנוצר תוביל אותו לאתר הפישינג, ממש קרוב לנגיסה בפתיון. המשתמש העצלן הממוצע כמובן שיעדיף להכנס דרך הקישור שבהודעה, ולא להתחיל להקליד את הכתובת בעצמו – חופר לעצמו את הקבר במו ידיו.
  • Tabnabbing (“גניבות טאבים”). מתקפה מתוחכמת שהועלתה לידיעת התקשורת השנה: אתם נכנסים לדף אינטרנט שנראה רגיל לכאורה (מאמר על חמציצים, נניח). כשאתם עוברים טאב (“סימנייה” בעברית), סקריפט מופעל והופך את צורתו של מאמר החמציצים התמים והנחמד שלנו לאתר פישינג. כשתחזרו לאותו הטאב, תשתכנעו שהשארתם חלון ג’ימייל/פייסבוק פתוח – ומכאן המרחק להקלדת הסיסמה קצר. ממליץ (מאוד) קריאה בהרחבה, לחבר’ה שמתעקשים על עברית, גיא מזרחי שיחק אותה כאן, וסיפי שיחק אותה כאן.
  • gmail.com במקום gmail.com – כאן אני משתמש באפשרות לשים טקסט על קישור. לחיצה על הקישור תוביל אותכם ל-Mesicka.com למרות שכתוב בפועל “gmail.com”. במקרים אחרים היא יכולה להוביל אתכם גם ל-Evil.com, בו נמצא, לדוגמה, דף פישינג.

כמובן שאלו רק דוגמאות אחדות ממגוון הדרכים לתחמן, וישנן עוד דרכים רבות להסתיר ולהסוות את אתר הפישינג.

האגוז הצרפתי בפעולה, שומר מסך מריחים שיש רייטינג והישרדות חוטפת נזקים

יום בהיר אחר, ישות רעבת רייטינג העונה לכינוי “האגוז הצרפתי” פתחה בלוג באתר תפוז. מדובר בפעולה שכל אחד יכול לעשות, והיא ממש לא מצריכה ידע טכני מיוחד. אותה ישות רצתה קצת רייטינג לבלוג (גם לעבדכם הנאמן לא יזיק, אגב), והיא החליטה על דרך פעולה פשוטה ומתוחכמת בו זמנית: היא תפרוץ לתיבות הדואר האלקטרוני של בכירים בתעשיית הבידור (ולא למחשבים שלהם, אמנון לוי!), תוציא משם פרטים חשובים – ותפרסם אותם בבלוג.

מסתבר שלא צריך יותר מדי על מנת לעשות את זה: דף פישינג, כתובות דואר אלקטרוני של ידוענים ואנחנו מוכנים לצאת לדרך. לפני הפקות גדולות, שידורי גמר ואפילו סתם כשהתחשק להם, פעלו אילן ספקטור וחבורתו (אותו/אותם אגוז צרפתי/אגוזים צרפתיים) על מנת להוציא מתיבת הדואר האלקטרוני של אותם ידוענים את המידע המדויק על מתי ומי זכה, ולפעמים אפילו ציין במדויק את מספר הקולות. את המידע הם פרסמו בבלוג.

איך הם עשו את זה? ניחשתם נכון. חבורתו שלחו לאנשים בתעשיית הבידור קישור לדף פישינג פשוט. למרות שהרוב נכנע לטריק הפשוט, חלק הצליחו שלא ליפול בפח. אבל אז הגיע אל אותו ידוען אותו מכתב, מכתובת של אדם קרוב שהוא מכיר. ואז הוא נפל.

ברור שמדובר על מעשה בעל השלכות ענק: מאחורי פרקי התוכניות עומדות תעשיות הימורים המגלגלות סכומים אדירים על “מי ינצח” – ודי לחכימא ברמיזא. כמו כן, מיליונים של דולרים מושקעים בכל תוכנית שכזו – והורדת הרייטינג על ידי חשיפת תוצאות הפרק היא מעשה שגורם חורים אמיתיים בכיס של יוצרי אותן תוכניות. אז מה עושים?

איך מתגוננים מהתקפת פישינג?

יש סיכוי סביר מינוס שניסו לעשות לכם את זה פעם, יש סיכוי סביר מינוס מינוס שנפלתם להתקפה שכזו. אתם לא יכולים לנחש אם קרה בעבר הרחוק דבר שכזה, אבל הנה כמה כללים בסיסיים (חלקם הציע גם גיא מזרחי בתוכנית עצמה):

  • הצצה לכתובת האתר איננה מספיקה! הקלידו אותה בעצמכם, ואל תכנסו ללינקים זמינים שמופיעים בתחתית המכתב.
  • אל תסתמכו על שם או כתובת האדם ששלחו את דבר הדואר האלקטרוני – ניתן לזייף את הכתובת והשם בקלות.
  • שמרו על מדיניות סיסמאות בסיסית. קליפורד סטול היה זה שאמר: “התנהג אל הסיסמה שלך כאילו היא מברשת השיניים שלך – אל תחלוק אותה עם אף אחד, והחלף אותה פעם בחצי שנה”.
    • באמת להחליף פעם בחצי שנה – זה חשוב! כך אם פרצו לכם פעם אחת, לא ניזוקתם למשך זמן רב.
    • באמת לא לחלוק סיסמאות! לא עם חברים, ולא עם אתרים: לא להכניס ל-2 שירותים שונים את אותה סיסמה. כך אם פרצו לכם לחשבון הפייסבוק, לא יפרצו לכם למייל.
    • טיפ נוסף מאיתנו: לא להשתמש בתשובה אמיתית למנגנון שאלה-תשובה לשחזור סיסמה! הפתרון: לקשקש הרבה תווים אקראיים באורך רציני. מי מכם באמת השתמש ביצור הזה פעם? התשובה היא אף אחד, חוץ ממספר אנשים שמתעסקים באבטחת מידע ומוצאים את זה מאוד שימושי כאמצעי לגנוב לכם את הסיסמה (ובינינו, כמה קשה יהיה לגלות את השם של הכלב שלכם, או 4 ספרות אחרונות של רישיון הנהיגה…).
  • ישנם פתרונות רבים המבוססים על טכנולוגיה כזו או אחרת בדפדפן, שמאפשרת להמנע מפישינג (אך אין לסמוך עליהם ב-100%, בניגוד לתחושה הכללית הנוחה שהם נותנים):
    • כל הדפדפנים הנפוצים היום כוללים פתרונות (חלקיים מאוד, מאוד) לגילוי פישינג.
    • תוסף בשם Web Of Trust שזמין כמעט לכל הדפדפנים, ומתריע לכם בעיגול אדום כאשר אתר מסוים אינו בטוח – על פי דירוגי משתמשים ותוכנות.
  • מודעות! קראתם כתבה בנושא? העבירו אותה לחבריכם. חושבים שהכתבה הזו טכנית מדי? העבירו להם אחת אחרת. המודעות היא אחת מהדרכים הטובות ביותר לזיהוי הנדסה חברתית ומניעתה (והנה כיפאק לאמנון לוי, למרות שהוא היה יכול לעשות תחקיר רציני יותר ולא קרקס מההתקפה).

הדיוג במספרים ובסטטיסטיקות

תמיד אהבתי לדבר במספרים, במיוחד כשזה נוגע לעולם ההאקינג והמחשוב. למרות שאין לנו את הכלים למדוד בדיוק את היקף התופעה, תמיד ניתן לנסות ולשער מה קורה באמת על פי דיווחים שהתקבלו, השוואות וכלים מתמטיים שונים (ומחקר שכזה הוא בהחלט לא התחום שלי – ולכן לא ארחיב על אותן שיטות).

בכל מקרה, אחד מהמסמכים היותר מעניינים שמצאתי בנושא הוא דו”ח שיצרו קבוצת אנשים נחמדה בשם Anti-Phishing Working Group, אותם תוכלו למצוא ברשת בעיקר בשם APWG. אני בהחלט ממליץ לקרוא את הדו”ח כאן (יש לזכור שהדו”ח מדבר רק על המחצית השנייה של 2009 – מעודכן יחסית, אך לא כללי). סתם כדי לסקרן, הנה כמה מסקנות מעניינות מהמסמך:

  • לפי הדו”ח, שני שלישים מדפי הפישינג בעולם לאותה חצי שנה, נוצרו על ידי אותה קבוצה!
  • הממצאים מראים שסך כל הזמן שדפי הפישינג היו באוויר, קטן מבשנים קודמות.
  • רוב דפי הפישינג מתמקדים בזיוף חמישה אתרים גדולים בלבד!
  • רוב הפישינג עדיין לא התקדם להשתמש בהתקפות הומוגרפיות (שימוש באותיות משפות אחרות שנראות אותו דבר), אולי מכיוון שמדובר בטכנולוגיה חדשה יחסית.

אפילוג

חשבתי על להמשיך ולהרחיב גם על “Desktop Phishing”, על DNS Hijacking ועל שטויות רבות אחרות, אבל אז הבנתי שמבנה המאמר לא מתאים לכך. אני מאמין שיבוא יום (והוא לא כל-כך רחוק) שבו אחליט לפרט על אותן מתקפות, אך את המאמר הזה הייתי מעדיף להשאיר נקי כמה שאפשר משפה טכנית, בעיקר על מנת שיהיה נוח להפיץ אותו.

מתקפת הפישינג, למרות התדמית העלובה שקיבלה בקרב עולם ההאקינג, היא בעלת עוצמה רבה. אותה מתקפה עלולה לפגוע באנשים רבים, בעיקר אלו הלא זהירים ואלו הלא מודעים לבעיה. כמו כל מתקפת האקינג סטנדרטית אחרת, היא עלולה להיות הרסנית ולגרום נזק רק כשהיא משומשת על גורמים בתעשייה (ראו את המקרה של תוכנית הישרדותכוכב נולדהאגוז הצרפתי AKA אילן ספקטור וכל שאר החברים בפרשה).

לא צריך לנתק את חשבונות הבנק, ולא צריך להכנס לאימה מתמדת. הוצעו פה פתרונות מצויינים שבהחלט אמורים לספק אתכם, ועם קצת הגנה ומוח פעיל לצד הגיון בריא – אתם מוגנים מספיק. פארנויה מהרשת היא דבר רע, והאינטרנט היא מקום יותר מנפלא להסתובב בו – פשוט צריך לדעת היכן וכיצד. שימרו על עצמכם ואל תקחו קבצי עוגיות מזרים.

הפוסט פורסם לראשונה בבלוג טכנולוגיה ואבטחת מידע מזווית אחרת

ים מסיקה

בן 18 ומסיים לימודים בחטיבה העליונה השנה. אני סקרן מאוד, פרפקציוניסט להחריד, אוהב ללמוד לעומק כל מה שאני מוצא בו עניין ולשתף אחרים בידע שאני צובר. את דעתי אני מביע באופן נחרץ וברור (גם אם היא בעמדת מיעוט), ואני תמיד שמח להתווכח עליה ולהביא טענות משכנעות. אני מתכוון לעשות זאת פעמים רבות בבלוג, שכן הנושאים שאני מעלה מעוררים פעמים רבות חילוקי דעות קשים (שמתנהלים בעיקר בחלק התגובות). תחום ההתעניינות העיקרי שלי הוא המחשב, בו אני משקיע את רוב שעות היום, ללמוד ולפתח מיומנויות חדשות בכל מה שזז כאן. בגדול, אני חי ונושם את עולם המחשבים והאינטרנט. אני יודע תכנות בשפות רבות (אם כי לא ברמה גבוהה מדי) ומתעסק בטכנאות, הקמת אתרים, משחקים (גיימר) וכן מתעסק בזמן האחרון באבטחת מידע, וטיפה ברשתות.

הגב

5 תגובות על "פישינג (“דיוג”), שומר מסך, אמנון לוי, אילן ספקטור וחברים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
סיון
Guest

מאמר מצוין. תודה

רן בר-זיק
Guest

פוסט מצוין ובהיר – כל הכבוד!

Big tom
Guest

אהבתי את הכתבה, מקווה שתשכיל אותנו בעוד כמה נושאים מעניינים בתחום.
אני מאוד מסכים אתך שהכתבה של אמנון לוי ב TV הייתה מנופחת כל כך שעכשיו בטח האגוז הצרפתי יהפוך להיות איזו דמות מי יישמע.

ים מסיקה
Guest

תודה רבה לכם (:

Big tom; אתה מוזמן להכנס לבלוג שלי ולהציץ (:

Hagai Pipko
Guest

למי שרוצה מוזמן לראות את הסרטים Takedown ו Hackers
יש שם שימוש יפה בהנדסה חברתית, למרות שהסרטים מאוד מוגזמים כמו רוב הסרטים בהוליווד אבל עדיין מספיק נחמד.

http://www.imdb.com/title/tt0113243/
http://www.imdb.com/title/tt0159784/

wpDiscuz

תגיות לכתבה: