טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

וואטסאפ חושפת את המשתמשים להתקפת פישינג מתוחכמת

אנחנו מפקידים בידיה מידע רגיש באופן קבוע, אך מסתבר כי אפליקציית ההודעות של פייסבוק לא יודעת לזהות אתרים מתחזים שמנסים לגנוב את המידע שלכם

תגובות
וואטסאפ
DADO RUVIC/רויטרס

מה היא התקפת פישינג? בגדול, מדובר בהתקפת התחזות שנועדה למשוך מהקורבנות פרטים אישיים, החל בסיסמאות ועד פרטי כרטיסי אשראי. בדרך כלל מדובר באתרים המתחזים לאתרים אחרים. אפשר לראות את התמונה הזו בתור דוגמה:

דוגמה לאתר פישינג
רן בר-זיק

שימו לב שלמרות שהאתר נראה אחד לאחד כמו אמזון, הכתובת לא שייכת ל-amazon.com, ומי שייכנס לאתר עלול להכניס את הסיסמה ושם המשתמש או את מספר כרטיס האשראי. תוקפים מפיצים את כתובת האתר המזויף במייל כקישור. אנשים תמימים לוחצים ומתפתים להכניס את פרטיהם.

ההתקפה הזו עדיין נפוצה, אבל כבר פחות. למה? כי משתמשים לומדים יותר ויותר להסתכל על כתובת האתר (הדומיין).

אבל הפורצים משתכללים. לפני כמה חודשים התגלה כי ניתן לנצל את שיטת שמות המתחם שהופיעו ביוניקוד על מנת לייצר שמות דומיינים כמעט זהים. הכוונה היא לשיטת קידוד שמאפשרת לנו ליצור שמות מתחם בעברית (כמו למשל איגוד-האינטרנט.org.il.) או בכל שפה אחרת.

מה הפורצים עשו?

השיטה הזו נקראת התקפת punycode. התוקפים איתרו אותיות שזהות לשפה האנגלית בשפות אחרות (כמו האות α בקירילית שדומה לאות a באנגלית), ואז הרכיבו מהאותיות האלו שמות דומיינים שונים, כמו αpple.com. הדפדפנים הציגו את הכתובת αpple.com למרות שהיא שונה לגמרי מ-apple.com וכך למעשה איפשרו פישינג.

אך לא אלמן ישראל. גוגל, יצרנית הדפדפן הפופולרי כרום, חסמה את הפרצה. אם תנסו להכנס ל-αpple.com, תגלו שהדפדפן מייד ממיר את הכתובת לכתובת "האמיתית". גם אם תעלו על הכתובת עם העכבר תגלו שה-Hover מציג את הכתובת האמיתית ולא את ייצוג היוניקוד.

כך בא לציון גואל, בערך. מסתבר שלא כל שירות הצליח לייצר הגנה נגד הבעיה הזו בצורה מספקת, כפי שראינו בשבת האחרונה ואתמול.

אתר לבדיקת כתובות אינטרנט
רן בר-זיק

מי שנתן לי את ההתרעה הוא ישראל חתן, רכז המערכת של התוכנית "חי בלילה", שסיפר לי שבשבת האחרונה אזרחי ישראל הוצפו במבול של ווטסאפים בסגנון הבא:

"Have you heard this News ? British Airways is giving away 2 Free Tickets to everyone on it's anniversary, Get your Free Tickets : http://www.britisharways.com/tickets  Enjoy your flight !".

הודעת הווטסאפ שנשלחה עם כתובת יוניקוד מזויפת
רן בר-זיק

הוא ביקש ממני לבדוק אם מדובר בהונאה. אבל איזה סוג של הונאה? כמובן שהכל נראה לגיטימי. כניסה פנימה הובילה לאתר של בריטיש אירוויז שהזמין אותנו להשתתף בהגרלה. כמו שדיווחה חברת האבטחה ESET ופורסם בחדשות 2, מדובר היה בעצם באתר פישינג שניסה לשכנע את הגולשים להתקין תוסף לכרום ולמסור את הפרטים שלהם ושל חבריהם למטרות נלוזות. אמנם נשמע די דומה לאתרי פישינג/ספאם נלוזים אחרים, אבל הפעם עוצמת ההתפשטות היתה גדולה מהרגיל. למה? הדומיין. שימו לב.

בפועל מדובר בהתקפה על בסיס יוניקוד: הכתובת היא לא https://www.britishairways.com, אלא כתובת יוניקוד שהיא בעצם: http://www.xn--britisharways-bbc.com/. ניתן לגלות זאת באמצעות אתר מיוחד שממיר כתובות יוניקוד לכתובות "אמיתיות" (אתם יכולים לנסות בעצמכם).

הכתובת, שזהה על פניו לכתובת של בריטיש איירוויז האמיתית, סייעה מאוד להתפשטות המתקפה הזו. כשאדם מן היישוב רואה כתובת לגיטימית, חומת ההגנה שלו תרד.

מדובר בפרצת אבטחה/פרטיות ממשית: וואטסאפ חושפת את המשתמשים שלה לסכנת פישינג כיוון שהיא לא ממירה את הכתובות שנשלחות בשירות שלה לכתובות "אמיתיות", ובכך חושפת את המשתמשים להתקפת פישינג. המשתמש הסביר לא יודע אם מדובר באתר britishairways.com או britisharways.com. ווטסאפ לא מציגה את הכתובת האמיתית אלא מותירים את הכתובת המזויפת בהודעה.

אם המשתמש לוחץ על הכתובת ועובר לכרום מעודכן מספיק, יש לו סיכוי לעלות על המתקפה, במידה והוא שם לב שה-URL השתנה בדפדפן הסלולרי שלו. אבל בפועל, אם דפדפן ברירת המחדל שלו הוא אנדרואיד מיושן או ספארי שלא עודכן, אין לו סיכוי לשים לב, וזו פרצת אבטחה משמעותית.

אז מה עושים כרגע? כמו בהרבה מקרים, עדיף לשים לב היטב לכל כתובת הנשלחת מהוואטסאפ ולהיות מודעים. דיווח נשלח לפייסבוק ב-12.11, אעדכן את תשובתם כשתתקבל.

פורסם לראשונה באתר internet-israel



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות