הסכנה האמיתית במלחמות ההאקרים: גניבת הזהות - ברשת - הארץ

הסכנה האמיתית במלחמות ההאקרים: גניבת הזהות

בשבועיים האחרונים הכותרות נסובו בעיקר סביב גניבת כרטיסי האשראי, אבל לעתים די בשם, אימייל ומספר תעודת זהות כדי למרר לכם את החיים

עודד ירון
שתפו כתבה במיילשליחת הכתבה באימייל
עודד ירון

התקופה האחרונה חשפה את הבטן הרכה של האינטרנט הישראלי. נער סעודי, שלדברי מומחי אבטחה, רחוק מלהיות עילוי בעולם ההאקינג, משגע כמעט שבועיים מדינה שלמה. מדי כמה ימים מתפרסמת רשימה חדשה של כרטיסי אשראי במה שהפך כבר לריטואל. ההאקר מתרברב על הישגיו המופלאים וחושף עוד כמה ישראלים, וחברות האשראי ממהרות לבטל את הכרטיסים שנחשפו, והסדר מושב על כנו.

ואכן, בתחתיתה של כמעט כל כתבה שעוסקת באבטחת מידע, ולא מוכיחה נזק ברור כמו כרטיס אשראי חשוף, תוכלו למצוא את הטוקבקיסט שישאל משהו בסגנון "מה כבר יכול לקרות? קצת פרופורציות וצאו מהפראנויות, זה לא יהרוג אף אחד :)".

אבל, כל מי שעסק בנושא בשבועיים האחרונים מבהיר שזוהי אשליה מסוכנת. הניזוקים הישירים מחשיפת כרטיסי האשראי הן אולי חברות האשראי והביטוח ("ומי אתה חושב ישלם על זה בסוף?", שאל מומחה אבטחת מידע, "הלקוחות!"), אולם חשיפת הפרטים האישיים של אזרחים כה רבים מסוכנת לא פחות, אם לא יותר.

הסכנה הגדולה ביותר שעולה שוב ושוב בשיחות עם משפטנים ומומחי אבטחת מידע היא גניבת הזהות, שהפכה קלה הרבה יותר בשל הזמינות הרבה של מידע אישי גלוי ברשתות חברתיות שונות, ולא פחות מכך בשל המידע הרגיש יותר שלנו שמסתובב בעשרות ומאות אתרים מבלי ידיעתנו. הבעיה כפי שגילתה מדינה שלמה בצורה כואבת, שלפחות חלק ניכר מהם הזניחו את האבטחה.

כך אתם חושפים מידע בעצמכם

"יש פה תהליך מאוד עמוק", אומר גורם משפטי בכיר. "כשאתה לוקח היום ומחבר פרטי מידע שמפורסמים ברשת, למשל אם למישהו יש פרופיל פייסבוק ודלף עליו מידע ממרשם האוכלוסין ודלף עליו מידע בפריצה אתה יכול כבר ליצור מארג מידע מאוד מאוד עשיר שנאפשר לך להתחזות לו גם בעולם האלקטרוני וגם בעולם הפיזי. זאת סכנה שאנשים צריכים להבין", הוא מזהיר. "ברגע שמישהו יכול להתחזות ברמת ודאות גבוהה, זה גם יכול להיגמר בזה שהוא ייכנס לנכסים שלך למשל רישום הבית בטאבו ויעביר את זה על שמו וגם יוציא לעצמו תיעוד מזויף".

בישראל מדובר בהתעוררות מאוחרת, אחרי שבארה"ב הנושא עלה כבר על סדר היום מזה כמה שנים. אם כי משפטנים כעו"ד יהונתן קלינגר העוסק במשפט וטכנולוגיה מציינים שבמדינות כמו ארה"ב או בריטניה, שבהן אין תעודת זהות מסודרת, ההתחזות שם קלה בהרבה. בבריטניה מספיקים שני חשבונות משולמים כדי להזדהות כאדם - זאת בשל האמונה שאף אחד לא יטרח לשלם חשבונות אם הוא לא חייב.

איתן כבלצילום: מיכל פתאל

עו"ד ד"ר נמרוד קוזלובסקי, שעוסק רבות במפגש בין משפט וטכנולוגיה, מספר שבארה"ב התופעה אכן נרחבת בהרבה. "אנשים בארה"ב מספרים שכל החיים שלהם הם נאלצים לרדוף אחרי הצל הדיגיטלי שהשתלט על החיים שלהם", הוא הסביר.

אבל התופעה לא מוגבלת לארה"ב. קלינגר מספר למשל כי הוא טיפל כבר בכמה מקרים של גניבת זהות. "אני מכיר אנשים שהתחזו להם בפני רשם הדומיינים, חטפו להם את הדומיין ודרשו אלפי דולרים", אומר קלינגר. אם מדובר בבלוג זניח אז אולי זה לא נשמע נורא, אבל אם מדובר באתר מסחרי, או אתר מרכזי, התוצאות הכלכליות יכולות להיות הרות אסון, ועל כן אפשר להבין למה אנשים ישקלו לשלם. אולם, הוא מסביר, בדרך כלל כדאי להימנע מכך, וכך היה גם במקרה בו הוא טיפל. "אם תשלם לסחטנים זה לא מבטיח שגם תקבל בחזרה את הדומיין".

לעתים לא מדובר רק בשמות דומיין אלא גם בחשבונות פייסבוק, אימייל ושירותים נוספים, שנוכלים פורצים אליהם גם כדי לגנוב מידע, כמו כרטיסי אשראי, או כדי לסחוט. זה יכול להישמע טריוויאלי, אבל מדובר בחשבונות שעשויים להחזיק מידע אישי, ולשמש לתקשורת חשובה - בין אם מדובר בחשבון מייל ובין אם בחשבון בפייסבוק. מומחה אבטחה הסביר כי בעבודתו מול משרדי עורכי דין רבים הוא גילה כי הם משתמשים באימייל לא מאובטח ולא מוצפן כדי להעביר חומרים רגישים מאין כמותם, החל מראיות וכלה במסמכים אישיים.

בעוד שרוב המקרים אינם מדווחים ונותרים נחלתם של הקורבנות האלמונים בדרך כלל, הדבר לא מבטיח חסינות גם לבעלי תפקידים בכירים, שהפכו תלויים בספקי שירות מרוחקים ולעיתים אדישים כמו פייסבוק או גוגל. כך גילה למשל ח"ב איתן כבל, שצעיר ישראלי השתלט על החשבון פייסבוק שלו לצורך משחקי הימורים ברשת החברתית. "פתאום במוצאי שבת עוזר של כחלון שאל אותי אם גלשתי בשבת. אמרתי לו 'מה פתאום', והוא אמר לי, 'אז כנראה שמישהו השתלט לך על החשבון'". לדבריו, אותו צעיר ניסה גם להשיג פרטים של חבריו בפייסבוק.

העניין אמנם הסתיים ב"סולחה" שעשה עם הצעיר, אבל את החשבון הוא לא זכה לקבל מחדש. "רק אחרי חודשים זה הסתדר", אמר והבהיר שבכך התכוון לחשבון חדש שפתח. בפייסבוק, הסביר, "לא היה עם מי לדבר".

ד', פקיד בכיר בשירות המדינה שביכר להישאר בעילום שם, סבל מגורל דומה. פייסבוק חסמה אותו מכניסה לחשבון שלו, שבו הוא משתמש גם לצורך עבודתו, ככל הנראה בעקבות התנכלות של אדם שהטריד אותו. בפעם הראשונה הוא שלח להם תעודות שהעידו בין היתר על תפקידו והעניין נפתר. אולם בפעם השנייה הוא הרגיש שכבר אין עם מי לדבר. "הבעיה היא שאין מייל שאפשר להתכתב איתו בפייסבוק או לבוא בטענות או לבקש בקשות". יש רק דף בו ניתן לדווח על החשבון החסום, אבל את זה הצליח לעשות רק בפעם הראשונה, בפעם השנייה זה כבר לא עבד.

רק אחרי חודשיים החשבון נפתח מחדש, אבל, אז הוא למד את הלקח ושינה את הגדרות האבטחה כך שאיש לא יוכל למצוא אותו במקרה.

בסופו של דבר, הטלטלה של השבועיים האחרונים אמנם הביאה להרבה מאוד רעש מכל הכיוונים, אבל בכירים שעוסקים בתחום מקווים שזה יניע גם את הגלגלים בכיוון הנכון גם מבחינת האתרים עצמם וגם מבחינת המדינה, גם מבחינת חקיקה וגם מבחינת אכיפה. האירוע האחרון העלה מאוד את המודעות למצב האבטחה הבעייתי של אתרי מסחר אלקטרוני, אמר הגורם המשפטי הבכיר. מצד אחד, הם שמרו על כמויות אדירות של מידע רגיש, ומצד שני רמת האבטחה שלהם היתה נמוכה מאוד.

הוא התייחס לדיון שהתקיים בוועדת המדע והטכנולוגיה וסיפר שעלו בו כל מיני רעיונות. "בסופו של דבר אנחנו צריכים לייצר איזשהו מערך שיתמרץ להשקיע אבטחת מידע", הוא אמר. "זה יכול להגיע מכיוון זה שאם הם לא יעשו את זה הם יקבלו קנס. יכול להגיע מזה שאתה תצטרך לקבל סוג של רשיון, ולשם כך אתה תצטרך להוכיח שיש לך רמה מסוימת של אבטחת מידע.

"יכול להיות שצריך לבנות מנגנון רישוי של כל אתר שרוצה לקבל ולשמור פרטי כרטיסי אשראי. הבעיה היא שבניגוד לבתים שמחוייבים ברישוי, כשמדובר על אתרי אינטרנט, קצת יותר קשה לגלות שהם נבנים. בקיצור זה רעיון שמצריך הרבה חשיבה ותכנון".

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ