יום ראשון, 8 באוגוסט 2010

גניבת זהויות - אפליקציות זדוניות - דרכי התמודדות

כולנו שמענו לא פעם על גניבת זהויות, חלקנו אפילו נתקלנו בתופעה פנים אל פנים, לא פעם ראינו סטטוסים מעוררי אימה האומרים "ימח שמו של מי שפרץ לי לחשבון וגנב לי את כל הכסף של הטקסס הולדם". ישנן מאות סיבות לגניבת זהויות ופריצת חשבונות פייסבוק.

גניבת זהויות בפייסבוק - גניבת חפצים \ כסף מאפליקציות שלכם


החל מגניבת כסף וירטואלי בטקסס הולדם ועד לגניבת חפצים יקרי ערך הנמצאים באפליקציה כזו או אחרת (עיינו ערך מאפיה וורס), הפייסבוק כרשת חברתית מעניק את היכולת לכל מתכנת, לתכנת אפליקציות לפייסבוק בהתאם לתקנון הנקבע מראש.

אמנם היוזמה מבורכת ואנו רואים מאות אפליקציות חדשות שחלקן אפילו כבשו את לבבותיהם של רבים (פארמוויל של זינגה לדוגמא), אך יש תפוחים סרוחים בכל יוזמה ברוכה, ואותו תפוח רקוב מכרסם בשאר הטוב. לפעמים מתכנתים, מתכנים תוכנות זדוניות הנועדו לגנוב זהויות \ מידע מאנשים דרך הפייסבוק בתחבולות חכמות.

שם משתמש וסיסמא חלשים - אתרי פישינג


החל מפריצה לפרופיל עצמו וגניבת שם המשתמש והסיסמא (לא תאמינו כמה זה קל)ועד לשימוש באתרי פישינג חכמים. הגורמים המקבליםאת המידע יכולים לנצל אותו בכדי לבצע פניות לעוד פרופילים ולקחת מהם את המידע שהם צריכים.

אחד מאתרי הפישינג דווח לא מזמן בבלוג של ווביסט, בכתבה גדולה על גניבת זהויות, בתוכן הכתבה הוצגה חברה אשר הראתה כמה זה קל לגנוב זהויות וחשבונות והראתה אתר "למען גלעד שליט" שצריך בשביל לתחום לתת שם משתמש וסיסמא של הפייסבוק, ניצול ציני של המצב כמו זה הוא היעיל ביותר. הרבה משתמשים נתנו את השם משתמש והסיסמא, אמנם חברה זו אינה עושה שימוש במידע ולא תעשה אלא רק רצתה להדגיש כמה זה קל.

אמנם זהו אתר ישן, וזוהי תחבולה ישנה אך לא מזמן צצה תחבולה עוד יותר מחוכמת אשר פייסבוק הצליחו להוריד ממש מהר אך אין לדעת מה הנזק, בתחבולה זו אנו נקבל הודעה מאחד החברים שלנו באנגלית שאומרת "omg is that you lol", ובצמוד להודעה לינק, ברגע שתלחצו על הלינק תעברו לעמוד שנראה כיביכול שהוא עדיין בתוך פייסבוק שנקרא "old_videos" ובעמוד מבקשים מכם ללחוץ על login.

ברגע שתלחצו על הכפתור הזה האפליקציה תשתלט לכם על הפרופיל, תשלח הודעות דרך הצ'אט שלכם לאחרים בכדי שגם הם ילחצו, לאחר מכן יגנב שם המשתמש והסיסמא שלכם, מה שבסופו של דבר יביא לאובדן החשבון שלכם לידי זרים.

הונאה זו היא מהמתוחכמות אם כי עלו עליה די מהר, והתופעה נגדמה די מהר, אך לתופעה זו יש פנים רבות וזוהי הייתה תחבולה אחת מיני רבות, הצורות בהן אתרי הפישינג האלו מגיעים לא מוגבלות, המגבלה היחידה היא היצירתיות של הפורץ \ מתכנת.

אז מה עושים ?


הגדרות אבטחה - מידור חברים


דבר ראשון מגדירים את הגדרות האבטחה של הפייסבוק שלכם, בצד ימין בדרך כלל יש סעיף עליון שנקרא account, נכנסים להגדרות האבטחה ומוודאים כמה פרטים חשובים. דבר ראשון שתאריך הלידה המלא והמילל שלכם, אינו מופיע. עדיפות גם לא לחברים.

לא פעם פורצים לחברים שלכם ומשם מגיעים גם אליכם, אם יש לכם מייל כלשהו שהסיסמא שלו היא תאריך הלידה, תעודת הזהות, תאריך הלידה של אמא וכו' תשנו את הסיסמא למשהו מורכב ומסובך ומהר, אחד הדברים הקלים ביותר לבצע זוהי פריצה למייל דרך ניחוש נכון של הסיסמא.

מידור של פרטים - need to know bases


בכל ברשתות החברתיות, כמה שפחות פרטים שבסופו של דבר יכולים להיות התשובה לשאלה הסודית של המייל, או שמהווים סיסמא למייל או לפייסבוק. עדיפות היא לא להציג תאריכים, מיילים. וכמובן לא לשים תשובה לשאלה הסודית "מה הסרט האהוב עליי" כי זה גם עלול להופיע בפייסבוק.

לאחר הגדרה ומידור של הגדרות האבטחה, יש להגדיר שאפליקציות שצריכות לקבל מידע מהפרופיל בכול צורה חייבים לעבור אישור שלנו, כלומר שלא יצא שנתקין דבר מה בלחיצה ללא שאלה מצד האתר, דרך יעילה לעצור את עצמנו שלב אחד לפני הטעות של הפעלת אתר הפישינג.

אתרים צד שלישי - אפליקציות - שינוי סיסמאות חכם


לעולם אין להזין את שם המשתמש והסיסמא באפליקציות צד שלישי של פייסבוק ולא משנה מה המטרה נעלה או לא (דוגמת אתר גלעד שליט), פייסבוק לא ידרוש ממך שם ומשתמש וסיסמא אם התחברת לאתר. לכן אם אתם מובילים לאתר חיצוני וכו' אין להזין נתונים.

שכל חשבון של כל מייל שלכם יהיה עם סיסמא שונה עדיפות לאות גדולה, אות קטנה וסדרת מספרים שאינן תאריך או מספור היכול להופיע ברשותות אינטרנטיות כאלה או אחרות, עדיפות להתרגל לזכור מספר חדש שאומר לכם כלום.

תשובה לשאלה הסודית - הפרדת חשבונות מייל


שיטה אחרת שאפשר, אם פרצו לכם את הסיסמא לתת תשובה לשאלה הסודית שלא קשורה לשאלה בכלל, אך כדאי גם לזכור את התשובה. כלומר שהשאלה תיהיה "מהו הבית ספר היסודי הראשון שלי ?" ושהתשובה תיהיה "סבתא אסתר", ככה לעולם לא יצליחו לפרוץ לכם למייל דרך "שכחתי סיסמא"

ברגע שעברתם על כל ההגדרות ושיניתם את כל הסיסמאות, תשתדלו להפריד חשבונות של רשתות חברתיות, אתרים כמו בנק וכדומה למיילים נפרדים. בכדי למדר נזק במידה וכן הצליחו לפרוץ לכם לחשבון. בסופו של דבר אלו שנפרץ להם החשבון בדרכים קלות היו אלו ששמו תעודות זהות, תאריכי לידה ותשובות קלות לשאלות הסודיות שלהם במיילים ובחשבונות נפייסבוק שלהם.

זיכרו: גלובליזציה או לא, איננו מעוניינים בחור באבטחה בצורה כזו, השתמשו נכון באתרים לרשותכם והימנעו מחשיפת יתר.
פורסם על ידי אורי זילברשטיין ב- 4:02

תגובה 1:

  1. שמוליק - VPR25 באוגוסט 2010 בשעה 15:33

    אכן בעיה שגודלת עם הזמן. היום, לכל שטות שיש בפייסבוק יש יותר מה שיקחו לנו מאשר מה שנקבל מהם, יש להיזהר בכל מצב לא משנה באם "חבר המליץ" זה לרוב ספאם.

    אחלה פוסט, תודה על העדכונים.

    השבמחק

הירשם ל- תגובות לפרסום (Atom)