זהירות! קישור לפניך 

זהירות! קישור לפניך

רו"ח סיגל שפיץ טולדנו וקובי זווירש

כיום אנו חיים בעידן שהטכנולוגיה היא חלק מחיינו. אנחנו מחזיקים בזהויות וירטואליות, עושים קניות באינטרנט, מחדשים את רישיון הנהיגה והרשימה עוד ארוכה. האינטרנט הפך לדבר כה טרוויאלי בחיינו, ממש כמו צחצוח שיניים ועם זאת רובנו לא מודעים לסכנות האורבות לנו מעבר לפינה. נכון, רוב האנשים אינם אנשים טכניים ואצל חלקם השימוש באינטרנט מסתכם בשליחת תמונה לדודה מניו יורק. אך בדיוק כמו שלימדו אותנו לא לקבל סוכריה מאדם זר, בעזרת כמה כללים פשוטים נוכל להפוך את חווית הגלישה שלנו לבטוחה הרבה יותר.

במרבית המקרים ניתן לאמר כי הבעיה נובעת מהרגלים לא נכונים שצברנו במשך הזמן. אם תשאלו אדם מהו אתר מאובטח, ישנה סבירות גבוהה כי תקבלו את התשובה "אתר מאובטח זהו אתר שיש לו את הסימן מנעול ליד הכתובת". אותו מנעול מאפשר לנו לדעת כי האתר עושה שימוש בפרוטוקול SSL(Secure Socket Layer). ואכן ככה לימדו אותנו. אם תיכנסו לאתרי קניות או מוסדות שונים המאפשרים תשלומים באינטרנט לדוגמה, תמצאו שם מקום בו הם מסבירים כי האתר עושה שימוש בהצפנה של הנתונים, בצירוף תצלום של הדפדפן, בו ניתן לראות את המנעול. סימן המנעול הוא הדבר היחיד שהמשתמש המצוי זוכר ומבחינתו עצם הימצאותו מעידה כי האתר בטוח. אכן, שימוש ב SSL מבטיח כי התעבורה שעוברת בין מחשב כלשהו לבין אתר אינטרנט, מוגנת בפני ציתות של גורם צד שלישי.

אך האם זה מספיק? לצערנו לא.

אתרים העושים שימוש ב SSL מכילים תעודה המונפקת על ידי אחד מהגורמים המורשים לכך (לדוגמת Verisign) שתפקידם לוודא זיהוי של האתר ובעליו. התעודה מכילה שלושה פרמטרים המעידים על מהימנותה. הדפדפן בודק את הערכים הללו, ויציג לנו התראה במידה והתגלה פרמטר לא תקין. במאמר זה לא נפרט כיצד מתבצעת בדיקה זו, אך יש לציין כי מרבית האנשים לא טורחים לקרוא את הודעת השגיאה ובוחרים להתעלם ממנה.

אחת משיטות ההונאה הנפוצות ביותר כיום באינטרנט הינה "פישינג". זו שיטה בה אתר זדוני מתחזה לאתר לגיטימי במטרה לגנוב מידע. בדרך כלל, מידע זה יכיל את הסיסמה שלנו לאתר המקורי אליו רצינו להכנס. אותם אתרי פישינג מנצלים את מה שלימדו אותנו (לחפש מנעול) ועושים שימוש ב SSL כדי שהמשתמש יאמין שהאתר אכן בטוח. במקרים אלו מפעילי האתר לא יגישו בקשה לתעודה כדי שהתרמית לא תיחשף וייצרו את התעודה בעצמם. בבואנו להיכנס לאתר, הדפדפן יציג לנו התראה אודות התעודה, אנחנו נתעלם ממנה באלגנטיות ונמשיך לעמוד הבית בו נתבקש להקיש שם משתמש וסיסמה. לאחר מכן נקבל בדרך כלל הודעה על פיה האתר אינו זמין כרגע או שלא יקרה דבר. בצורה זו מפעילי האתר יצברו כמות גדולה של נתונים שתוכל לשמש אותם לשם כניסה לאתר המקורי, שם יוכלו לצפות במידע האישי שלנו ובמקרה הגרוע אף לבצע פעולות שונות כגון העברת כספים, קניית מוצרים, התחזות ועוד.

אתרי הפישינג עושים שימוש בטכניקות שונות כדי לשכנע אותנו להגיע לאתר שלהם. ב 90 אחוז מהמקרים מדובר בקישור (Link) שראינו או נשלח אלינו, מלווה בפיסקה שתנסה לשכנע אותנו שמדובר בגוף מוכר ואמין. הקישור יכול להגיע אלינו באמצעות דואר אלקטרוני, תוכנות מסרים מיידיים או פורומים שונים באינטרנט.

שיטה נוספת היא שימוש בפירצה קיימת באתר. ניצול הפירצה נעשה על ידי טכניקות של הזרקת קוד, באמצעותם נעשית השתלה של תוכן מזויף באתר קיים. מאותו רגע יוצג בפנינו האתר המקורי והתוכן המזויף באותו עמוד. גם במקרה זה, ינסו לגרום לנו למסור נתונים כאלה ואחרים. שיטה זו מתוחכמת יותר מכיוון שלא נקבל אף חיווי בכניסה לאתר. כמו כן, ישנה אפשרות שזהו אתר שאנחנו נכנסים אליו מדי פעם באמצעות קישור השמור אצלינו במועדפים, אז מה, פתאום הוא לא בסדר?

אז מה ניתן לעשות כדי שגם אנחנו לא ניפול בפח?

·         חוק מספר אחד, להיות חשדניים. הגורם האנושי הוא החוליה החלשה בהונאות מעין אלו. אם נקבל הודעה שמתרה בנו להיכנס לאתר כי: יש לנו חוב, זכינו בפרס או כל הודעה שכתובה בסגנון דומה, מיד צריכה להידלק אצלנו נורה אדומה, במיוחד אם לא זכור לנו שמסרנו את כתובת הדואר האלקטרוני שלנו לאותו גורם. אם בכל זאת קיים ספק, אפשר לצלצל לחברה ולברר. אך לא לעשות שימוש באף מספר שמצורף בגוף ההודעה.

·         נכנסתם לאתר העושה שימוש ב SSL וקיבלתם התראה מהדפדפן? קיראו בעיון את ההודעה בטרם תמשיכו לגלוש. זכרו: Better safe than sorry.

·         לא למסור מידע אם אין לכך סיבה הגיונית. חברת כרטיס האשראי שלך לא צריכה שתמסור לה את מספר הכרטיס.

·         שימו לב לשגיאות כתיב. סבירות נמוכה שגופים מכובדים יפרסמו הודעות או ישלחו דואר עם שגיאות.

·         הרבה תרמיות ינסו לבלבל את המשתמש עם כתובת שדומה לאתר המקורי. לדוגמה: www.bankleomy.co.il.

·         לא לפתוח קישורים חשודים שהגיעו אלינו באמצעות דואר אלקטרוני, מסנג'ר, פורומים וכו'. אם באמת חשוב לנו להגיע לאותו אתר, נברר את כתובתו במנועי חיפוש אמינים.

·         עשו שימוש בגרסאות האחרונות של הדפדפנים הנפוצים. בהרבה מהם קיים תוסף אנטי פישינג שיתריע מפני אתרים חשודים.

·         עשו שימוש בתוכנות אנטי וירוס ו – Anti-Malware. כך תגנו מקודים זדונים אשר מבצעים שינויים במערכת ההפעלה ומפנים אותכם לאתרי פישינג ללא ידיעתכם.

גלישה בטוחה ומהנה!

רו"ח סיגל שפיץ טולדנו הנה מנכ"לית שותפה בחברת הייעוץ דיס ביקורת ואבטחת מידע, וקובי זווירש הנו יועץ אבטחת מידע בחברה.

*חברת דיס ביקורת ואבטחת מידע, מתמחה במתן שירותים מקצועיים ע"י מומחים בתחומי ביקורת פנימית, ניהול סיכונים ואבטחת מידע. החברה אשר הוקמה בשנת 2006 משלבת ידע וניסיון עשיר - הן בפן התהליכי והן בפן הטכנולוגי, ומסייעת לארגונים לשפר ולייעל תהליכים, לחסוך בהוצאות ולמקסם את רמת האבטחה בארגון. על לקוחות החברה בארץ ובעולם נמנים גופים פיננסיים, רשויות מקומיות, חברות ממשלתיות, חברות טלקום ועוד.