כל מה שלא רציתם לדעת על גניבת זהות, ואיך להתגונן מפניה

למרות אינספור המקרים והאזהרות, אנשים עדיין נופלים קורבן להאקרים והונאות מקוונות. יונדב פרי, מומחה לתחום אבטחת הסייבר, מציע מדריך שיעזור לכם להישמר

יונדב פרי
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
יונדב פרי

באחד מסופי השבוע ב-2012 הבחין מאט הונאן, כתב בכיר במגזין Wired, כי האייפון שלו כבה לפתע. מכיוון שציפה לשיחה חשובה מיהר להפעילו שוב, אך גילה כי כל תוכנו של האייפון נמחק, ואין כל אפשרות להפעילו. בהיותו איש אחראי ידע כי יש לו גיבוי עדכני על הלפטופ, ומיהר לחבר את האייפון למחשב לביצוע שיחזור. לחרדתו גילה כי גם כל תוכנו של הלפטופ נעלם כלא היה. בשלב זה הבין כי כנראה נפל קורבן להאקרים באינטרנט. בדיקה זריזה העלתה כי גם האייפד מחוק כליל. בהמשך מצא כי אינו יכול להיכנס לחשבון ג'ימייל, וכי ההאקרים השתלטו גם על חשבונו בטוויטר, ופרסמו בשמו דברי נאצה גזעניים והומופוביים.

מאט הונאן אינו לבד. כל יום נופלים כמיליון משתמשי אינטרנט קורבן לגניבת זהות ברשת, שתוצאותיהן הרסניות. כשהתחיל לחקור את פשר התקיפה, גילה מאט הונאן כי התוקפים ניצלו חולשה של אפל בזיהוי משתמשים (הפונים לשירות התמיכה טלפוני). אפל מוכנה להאמין למטלפן בדבר זהותו אם ימסור למוקדן את כתבתו ואת 2 הספרות האחרונות של כרטיס האשראי. פרטים אלה ידועים לכל נער בפיצריה השכונתית המקבל הזמנה טלפונית לפיצה, וקל להשיגם גם בדרכים רבות אחרות.

כך קיבלו תוקפיו אפשרות לשנות את הסיסמה בחשבונו בחברת אפל. לאחר שחדרו לחשבון, ניצלו את היכולת שמעניקה אפל למחוק מרחוק את תוכן המכשיר למי שמכשירו נגנב, ומחקו את שלושת מכשיריו של הקורבן. בהמשך ניצלו את שליטתם בחשבון אפל כדי להשתלט גם על חשבונותיו בג'ימייל ובטוויטר, ומחקו גם את כל התוכן שהיה שמור בג'ימייל. הנזק לקורבן התקיפה היה באובדן כמות אדירה של תוכן, כולל העותק היחיד של כל התמונות המשפחתיות שצילם מאז נולדה בתו בת השנתיים. את המידע על אופן ביצוע התקיפה קיבל מאט הונאן מהתוקף עצמו, באמצעות טוויטר.

אייפון. על הכוונתצילום: רויטרס

גניבת זהות היא אחד ממעשי הפשע הנפוצים באינטרנט המודרני, שזכו לשם הכולל "פשיעת סייבר". במונח "זהות" באינטרנט כוונתנו לאוסף שמות המשתמש והסיסמאות שיש לכל אחד מאיתנו בשרותים הרבים שאנו מנצלים ברשת – חשבונות דוא"ל, שרותי בנקאות, שרותי בריאות, רשתות חברתיות, קשר עם מקום העבודה, קניות מקוונות ועוד רבים. באירוע של גניבת זהות משתלט תוקף אלמוני על זהותו האינטרנטית של הקורבן.

מרגע שהצליח התוקף לשים את ידו על סיסמתנו לחשבון הדוא"ל, דרכו סלולה להשתלטות על כל היתר. לאחר ששינה את הסיסמה ואת יתר פרטי האבטחה בחשבון הדוא"ל (כדי למנוע מבעל החשבון את האפשרות לחזור ולהיכנס לחשבון), כל שעל התוקף לעשות הוא לנסות להיכנס לחשבונותיו האחרים של הקורבן. כשהוא נדרש להקליד סיסמה, ילחץ על הקישור "שכחתי סיסמה", ויקבל בדוא"ל קישור לאיפוס הסיסמה, וההמשך ברור. ההשתלטות על חשבון הדוא"ל היא הצעד הראשון, שבעקבותיו יכול התוקף להשתלט על מרבית החשבונות והשירותים אליהם יש לקורבן גישה.

מרבית פשיעת הסייבר באינטרנט נעשית ע"י ארגוני פשע מקצועיים. לרשותם עומדים משאבים רבים, ובעיקר אנשי מקצוע השולטים היטב בכלים ובשיטות לחדירה למחשבי היעדים. חברת האבטחה מקאפי מעריכה כי בשנת 2012 העלות הכלכלית הכוללת של פשיעת סייבר בעולם עמדה על למעלה מ-300 מיליארד דולר. רק לאחרונה פורסם כי בורסת המטבע המקוונת מאונט-גוקס שבטוקיו הודיעה על פשיטת רגל, עקב פריצה למחשביה וגניבת ביטקוין (המטבע האינטרנטי) בשווי של כ- 271 מיליון דולר.

גניבות זהות מהוות חלק מהתצריף הכולל של פשיעת הסייבר, ומבוצעות לשם אחת או יותר מן המטרות הבאות:

- משיכת כספים מחשבונות הבנק של הקורבן

- סחיטה – דרישה כי הקורבן ישלם כופר כדי לקבל חזרה את השליטה בחשבונותיו. (רבים המקרים בהם גם לאחר התשלום לא מחזיר התוקף את השליטה לקורבן).

- שימוש בשמו של הקורבן ובספר הכתובות שלו להפצת "בקשות לעזרה" לכל חבריו, בהן נכתב בדרך כלל כי "נשדדתי בעת שביליתי בחופשה בספרד / ויילס / סקנדינביה ונשארתי חסר כל. אנא שלח לי הלוואה של 2,000 דולר כדי שאוכל לשלם את חובי למלון ולחזור הביתה". באופן מפתיע, מספר רב של אנשים נופלים בפח, ובהאמינם כי חברם הוא זה ששלח את הבקשה שולחים כסף (לחשבון שנמסר ע"י התוקף) או מספר כרטיס אשראי, כסף אשר מגיע כמובן לידי העבריינים.

- "סגירת חשבון" עם הקורבן ע"י גורמים המסוכסכים איתו, אישית או עסקית. (כפי שקרה להונאן)

- ריגול - עסקי, צבאי או מדיני. דליית מידע מסווג ממאגר הדוא"ל של הקורבן, וממקורות נוספים אליהם יש לו גישה (כגון מערכות המחשוב במקום עבודתו ומערכות אחסון בענן)
- צעד ראשון בדרך לתקיפה עוינת של מערכות המחשוב של מקום עבודתו של המותקף, הן כתחילת תהליך מתוחכם של פשיעת סייבר, והן במסגרת לוחמת סייבר.

- עדיין נפוצה, אם כי במידה פחותה, תקיפה ע"י צעירים לשם התרברבות והוכחת יכולת בלבד, ללא כל כוונת זדון ממשית.

- ידועים מקרים שבהם נגנבת זהותו של אדם לאחר פטירתו, והתוקף "לובש" את זהותו של הנפטר, על מנת לבצע מעשי פשע ולהתחמק מהחוק בזהות שאינה שלו.

אציין כי בחלק גדול מן המקרים נעשים נסיונות התקיפה על מאות אלפים של יעדים אפשריים, ללא כל כוונה לפגוע בקורבן מסויים. חדירה לחשבון אימייל מאפשרת לתוקף להגיע לסיסמאות של הקורבן באתרים כמו אמאזון, בנקים וכד', ופותחת מגוון אפשרויות של גניבת כספים, הונאה, הוצאת תעודות מזויפות וכדומה. פושעים "זוטרים" מבצעים את החדירה עצמה ומוכרים את הסיסמאות שגילו בשוק השחור (במחיר של כ- 5 דולר לסיסמה).

ישנם גם לא מעט מקרים בהם התוקף נשאר "שותף סמוי" בחשבון הדוא"ל של הנתקף, מבלי למנוע גישה מבעל החשבון. התוקף מנצל את גישתו לחשבון על מנת לקרוא (ולהעתיק) בסתר חומר מתיבת הדואר, ולשלוח דוא"ל בשמו של הקורבן התמים, שאינו מודע כלל ל"שותפות" העלולה להימשך זמן רב.

כיצד מתבצעת חשיפת הסיסמאות ע"י העבריינים? ידועות מספר שיטות עיקריות. ראשונה בהן היא פשוט ניחוש של סיסמאות טריוויאליות שאנשים בוחרים מתוך חוסר זהירות. מחקרים מראים כי ארבע 3 הסיסמאות הנפוצות ביותר ברשת הן: "PASSWORD" ,"QWERTY" ,"123456" ו- "12345678".

אדם הבוחר סיסמה מעין זו למעשה מזמין את הגנבים להיכנס מבעד לדלת הפתוחה. ניתן להוריד מהרשת קובץ המכיל את 10,000 הסיסמאות הפופולריות ביותר, ועבריינים מנצלים אותו כדי "לפצח בכוח" (Brute Force) סיסמאות של חשבונות. שיטה ידועה אחרת היא "הנדסה חברתית" או Phishing. בשיטה זו מקבל הקורבן הודעת דוא"ל תמימה, שנשלחה לכאורה מחברה עימה הוא קשור, או מהבנק שלו, או מאחד מחבריו. ההודעה מזמינה אותו ללחוץ על קישור כדי לפתור בעיה דחופה הקשורה לחשבונו. הקישור התמים לכאורה מעביר אותו לדף אינרנט זדוני המופעל ע"י התוקף. בדף זה הוא מתבקש "כאילו" להיכנס לחשבונו ע"י הקלדת שם וסיסמה, אך למעשה הוא מוסר אותם לתוקף.

בווריאציה אחרת, הדף אליו הגיע מחדיר לדפדפן שלו קוד זדוני סמוי, שאותו ינצל התוקף כדי לקרוא בסתר את השמות והסיסמאות שהקורבן מקליד. קיימות דרכים נוספות רבות בהן מוחדר למחשבי הגולשים קוד זדוני מסוג "סוס טרויאני" או "רשם הקלדות" (Key Logger), השולח לתוקף כל חומר המוקלד ע"י הקורבן, כולל כמובן שמות וסיסמאות. קצרה היריעה מלפרט עוד דרכי תקיפה רבות. אזכיר רק עוד תקיפה שהפכה פופולרית לאחרונה – גניבת הסמארטפון של הקורבן, המכיל אפשרות גישה למרבית חשבונותיו. אחת מחברות האבטחה בארה"ב כינתה מגיפה זאת של גניבות מוצרי אפל בשם Apple Picking, או קטיף תפוחים.

הנזקים האפשריים לקרבנות גניבת הזהות רבים וקשים. הזכרתי כבר גניבת כספים מחשבונות בנק. לפני כשנה פורסמה ידיעה בעתונות הישראלית על תקיפה מסוג זה, בה נפגעו מספר אילי הון ישראליים, בסכומים של עשרות אלפי דולר כל אחד. נזק אחר הוא כמובן אבדן החומר שנמחק ע"י התוקפים מהחשבונות שנפרצו, שבמרבית המקרים אינו מגובה. לאדם הפשוט נגרם קושי ממשי בנסיון לקבל חזרה שליטה בחשבונות שנפרצו, ואבדן "פנקס הכתובות" בדוא"ל גם הוא נזק משמעותי. במקרים של תקיפת חברות גדולות, נגרמים נזקים ישירים של מאות מיליוני דולרים, בתוספת ההוצאות העקיפות לשיפור האבטחה וסגירת הפרצות.

חנות של טרגט
חנות טארגטצילום: בלומברג

רשת חנויות הכלבו האמריקאית טארגט הותקפה בדצמבר האחרון, והתוקפים גנבו למעלה מ-110 מיליון מספרי כרטיסי אשראי של לקוחות. הנזק נאמד ב- 411 מיליון דולר. הצעד הראשון של התוקפים היה חדירה לחשבון דוא"ל של עובד בחברה קטנה המספקת שירותי תחזוקה לבתי הכלבו, וממנו התקדמו התוקפים עד לקופות הרושמות של טארגט. במקרים של לוחמת סייבר עלולים הנזקים להיות לא רק כספיים, אלא גרימת כאוס בתשתיות חיוניות ובמערכת הביטחון במדינה.

גם אני, כותב שורות אלה, הייתי לפני כשנתיים קורבן לגניבת זהות. התוקפים (שזהותם לא התבררה) השתלטו תחילה על חשבון הדוא"ל שלי בג'ימייל, ושינו את כל הגדרות האבטחה כך שנמנעה ממני כל אפשרות לחזור ולהשתלט על החשבון. בהמשך חדרו והשתלטו על כמה חשבונות נוספים שלי ברשת.

התוקפים שיגרו מכתבים בחתימתי לכל חברי ומכרי, עם סיפור על כך שנשדדתי בחופשה בוויילס ואני מבקש הלוואה של 4,251 דולר כדי לשוב ארצה. לפחות אחד מחברי האמין לתרמית ושלח בתגובה את מספר כרטיס האשראי שלו. (טוב לדעת שיש לי חברים כל כך טובים). נאלצתי לעמול קשות שעות רבות כדי לשכנע את המחשבים בחברת גוגל (אין שם מענה אנושי) שאני הוא אני, ולא האדם האחר הטוען לזהותי. בסופו של דבר שוכנע המחשב, וקיבלתי אפשרות לחזור ולהיכנס לחשבון. החלפתי את הסיסמה לסיסמה חזקה (בעלת הרבה אותיות וספרות ללא קשר וללא פשר), תיקנתי את כל הגדרות האבטחה, וחשבתי שניצחתי בקרב. לתדהמתי למחרת שוב השתלט התוקף על חשבוני. אז הבנתי שיש במחשב שלי תוכנה זדונית – רשם הקלדות – אשר שלחה את הסיסמה החדשה לתוקף.

בשלב זה עברתי למחשב של אחד מקרובי משפחתי, שלשמחתי היה ללא סוסים טרויאניים, וממנו הפעלתי את האבטחה המוגברת של ג'ימייל, הנקראת "אימות זהות דו-שלבי", עליה עוד יוסבר בהמשך. אותה אבטחה מוגברת הראתה לי כי במשך השבועיים הבאים ניסה התוקף כ-10 פעמים נוספות לחדור לחשבון, אך לשמחתי ללא הצלחה. הגשתי גם תלונה למשטרת ישראל על התקיפה, בצירוף מידע העשוי לסייע ללכידת התוקף אי שם בעולם, בעזרת האינטרפול. לצערי לא הראתה המשטרה כל נכונות לפעול בנושא, והסתפקה בצירוף המקרה לסטטיסטיקה השנתית של עבירות מחשב. פנייה לכלבוטק לפרסם את האירוע כאזהרה לציבור לא נענתה.

מסתבר כי על כל אחד מאיתנו המשתמש ברשת מרחף הסיכון להיות קורבן לגניבת זהות. למזלנו ניתן ומומלץ לבצע מספר צעדים פשוטים, אשר יקשו על התוקפים לבצע את זממם:

)

- ראשית, אל תבחרו סיסמאות טריוויאליות, כגון שמות הילדים או הכלב, תאריך ימי הולדת, וכיוצא באלה. אפשר לבחור משפט של 2 או 5 מילים או יותר (ללא רווח בין המילים) שקל לכם לזכור אותו, למשל "זאתדוגמאלסיסמהטובה" (ואל תעתיקו מכאן). אל תשתמשו באותה סיסמה בכמה אתרים.

- שנית, בכל שרות אינטרנטי המאפשר אימות זהות דו-שלבי (באנגלית זה נקרא 2 step verification) בחרו והפעילו אופציה זאת, כמוסבר להלן. זהו בוודאות אמצעי המיגון העיקרי המומלץ לשרותי דוא"ל, רשתות חברתיות, ושירותי קניות ברשת.

- אמצעי הגנה שלישי – היו מודעים והזהרו מפני נסיונות "הנדסה חברתית" או "פישינג". אל תקלידו על קישורים שקיבלתם במייל מגורמים לא מוכרים. אל תשלחו שם משתמש וסיסמה במייל. התיחסו בזהירות ללינקים הנשלחים "כאילו" מחבר באופן חשוד – יתכן וחשבונו נפרץ.

- שמרו גיבויים של חומר חשוב (כולל ספר הכתובות במייל).

ובכן, מהו "אימות זהות דו-שלבי"? זהו תהליך המוודא באמצעות טלפון סלולרי כי האדם שהקליד כרגע שם משתמש וסיסמה הוא באמת בעל החשבון הרשום. כאשר אנו בוחרים להפעיל את האפשרות של אימות דו-שלבי (בג'ימייל למשל), נתבקש להזין את מספר הטלפון הסלולרי שלנו. בכל פעם שניכנס לחשבון, מיד עם הקלדת השם והסיסמה, ישלח אתר האינטרנט הודעת טקסט לטלפון שלנו, המכילה קוד חד פעמי בן 6 ספרות. את הקוד הזה נתבקש להקליד בחזרה לאתר. הקלדת הקוד תאשר לאתר כי האדם המנסה להיכנס לחשבון לא רק יודע את הסיסמה, אלא גם מחזיק בידו את המכשיר הסלולרי המסוים שנרשם מראש בחשבון.

תהליך זה מבטיח כי התוקף שגילה את סיסמתנו עדיין יהיה מנוע מלהיכנס לחשבון. אלא אם גנב קודם לכן את הטלפון שלנו, או החדיר לתוכו תוכנה זדונית. כאמצעי חירום, בעת הגדרת התהליך, נקבל מן האתר מספר קודי חירום חד-פעמיים, אותם יש להדפיס על נייר ולשמור במקום בטוח. אם חלילה הטלפון שלנו אבד, נגנב, או סתם התקלקל אפשר להיכנס לאתר בעזרת אחד מקודי החירום, ואז לבטל את מספר הטלפון מן האתר.

להלן רשימה חלקית של אתרים המאפשרים שרות אימות דו-שלבי: Amazon, Apple, Dropbox, Ebay, Facebook, Gmail, Hotmail, Linkedin, PayPal, Twitter, Yahoo Mail.

מספר האתרים המאפשרים אימות דו שלבי גדל מחודש לחודש. כדי להפעיל אימות דו שלבי יש להיכנס לאתר בו מדובר, לבחור בהגדרות החשבון, לבחור בהגדרות אבטחה, ובדרך כלל ליד האפשרות להחליף סיסמה תימצא גם האפשרות להפעיל אימות דו-שלבי. תוכלו לקבל מידע נוסף אם תקלידו בגוגל 2 step verification.

ישנם גם יישומים לסמארטפונים המייצרית עצמאית (בתיאום עם האתר) קודים מתחלפים. יתרונם ביכולת לעבוד גם במקומות ללא קליטה סלולרית. מרביתם קרויים Authenticator.

יונדב פרי הוא מרצה ומומחה בכיר בתחום אבטחת סייבר ורשתות מחשבים. עמית סדנת יובל נאמן למדע טכנולוגיה וביטחון באוניברסיטת תל-אביב. עבד בתפקידים בכירים בחברות היי-טק, והיה חבר בארגוני תקינה בינלאומיים.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ