כל מי שהזמין תור למשרד הפנים להנפיק תעודת זהות ו\או דרכון ביומטרי חשוף למתקפה ופרטיו בסכנה, כך נחשף אמש (א') בתוכנית חי בלילה.
איך זה עובד? הודעות על קביעת התור נשלחות בסמס. מתברר כי שרת הסמס הזה לא מוגן, ואפשר לגשת אליו ולקבל פרטים על כל מי שקבע תור. כככה אפשר לפנות אליו בטלפון או בסמס, להתחזות למשרד הפנים, ולדלות ממנו פרטים נוספים. זה נקרא פישינג.
אתם כמו דגים שבולעים פתיון
מתקפות פישינג הן המתקפות הנפוצות ביותר ברשת, כך לפי מחקר של מעבדות קספרסקי שנעשה במחצית הראשונה של שנת 2017. מה הוא פישינג? פישינג, או 'דיוג' בעברית, הוא שם כולל למתקפות שנועדו לשכנע משתמשים לתת פרטים אישיים לתוקף. מה שיפה במתקפות האלו שהן לא מצריכות ידע טכני כלל. כל מה שהן צריכות הוא הבנה פסיכולוגית, קצת חוצפה ומעט תחכום.
למשל, אם אני מתקשר למישהו, מתחזה לנציג חברת החשמל ומשכנע אותו לתת לי את מספר כרטיס האשראי - זוהי מתקפת פישינג. רואים כמה זה קל? לא צריך מילים מפוצצות כמו 'האקינג' וידע במחשבים. קצת חוצפה ויכולת שכנוע ואני יכול להתחזות.
אבל רוב האנשים - גם הקוראים של השורות האלו - לא תמימים. אם אני אנסה להתקשר אליכם ואתחזה לנציג של חברת חשמל ואבקש מספר כרטיס אשראי, לא תאמינו לי ותנתקו את הקו. בגלל זה צריך להוריד את רמת החשדנות או (המונח המקצועי) את חומות ההגנה. אם נמשיך בדוגמה של חברת החשמל, אם אני אתקשר ואתם תראו בשיחה המזוהה את המספר '103', יש סיכוי גבוה יותר שתאמינו לי. אם אני אתקשר ובנוסף אציין את מספר תעודת הזהות שלכם ואת הסכום המדויק של חשבון החשמל האחרון שלכם, אז האדם הסביר יאמין שאני נציג של חברת החשמל.
זו עיקר העבודה של העבריינים שמבצעים 'פישינג' - הם ינסו להשיג כמה שיותר פרטים עליכם על מנת לבצע מתקפה. מה המתקפה? להשיג כסף או משהו אחר, כמו תמונות עירום למשל.
קבעתם תור? חשפתם פרטים
זו הסיבה שהפירצה האחרונה שהתגלתה בשרתי משרד הפנים היא כל כך חמורה. שרת המסרונים של משרד הפנים היה חשוף לחלוטין ואיפשר לכל תוקף עם מעט מאוד ידע טכני להאזין לכל תקשורת הסמסים בין המשרד לאזרחים. מאז פרסום הכתבה הוא נסגר.
כיוון שכיום כל אזרח חייב לקבוע תור על מנת להוציא תעודת זהות או דרכון ומחויב לתת את מספר הטלפון שלו כדי לקבל את התור, זה אומר גישה מלאה לכל מי שקובע תור למשרד הפנים. או יותר נכון למספר הטלפון שלו ולטקסט שנשלח אליו.
השרתים החשופים איפשרו לתוקפים לקבל את הפרטים של האזרחים, לשלוח מסרונים בשם משרד הפנים (ולחייב את משרד הפנים בעלות של השליחה כמובן). זו כמובן חגיגה לכל מי שרוצה לבצע מתקפת פישינג. לא רק שאני מקבל מידע חשוב על קורבנות, אני מקבל דרך לשלוח להם מסרים בשם גוף שהם סומכים עליו: משרד הפנים ורשות האוכלוסין.
באופן עקרוני, כל תוקף היה יכול לשגר לאלפי אזרחים סמסים בשם משרד הפנים ומאותו שם שולח של הסמס שנשלח לקביעת התור. ככה ההודעה הייתה מופיעה כאילו באמת נשלחה מהמשרד ושום דבר לא היה מעורר חשד.
באותו סמס לא חשוד בכלל היה אפשר לשלוח הזמנה ל'קיצור תור' או כל הצעה קוסמת אחרת. בסמס ל'קיצור התור' היה מופיע קישור לאתר מזויף, שהיה מבקש מכם פרטי אשראי - ואתם הייתם מוסרים אותם. אפשר לעשות אותו דבר גם בשיחת טלפון מתחזה.
לקחת את התמונות האישיות שלכם
אפשר לקחת את זה למקומות אחרים, אפלים יותר מקבלת כרטיס אשראי. מתקפות פישינג משמשות תוקפים מעט יותר מתוחכמים לקבל פרטים אישיים מאוד על אנשים. כך למשל, האתר המזויף שמציע קיצור תור יכול להכיל כפתור לוג-אין באמצעות גוגל, שנותן גישה לגוגל דרייב או גוגל פוטוז. אם לא שמתם לב, תמונות שאתם מצלמים מגובות לשם באופן אוטומטי. ברגע שיש לתוקפים גישה לגיבוי הזה - הם יכולים לשלוף את כל תוכנו ולחפש תמונות עירום או כל תוכן רגיש אחר. אפשר גם לשלוח לכם קישור להורדת אפליקציה זדוית שפותחת גישה למכשיר שלכם ולכל התוכן שעליו - כולל מיילים, תמונות והודעות וואטסאפ. נשמע מדע בדיוני? זה כבר נעשה לא מעט פעמים.
למה שמישהו יתן גישה לתוכן האישי שלו? הוא לא יתן, אלא אם כן מדובר באתר 'רשמי' של משרד הפנים, שהקישור אליו הגיע בסמס ממשרד הפנים בהמשך לסמס קודם ממשרד הפנים שנשלח כתוצאה מבקשה שלנו. זו הסכנה הגדולה בפירצה האחרונה שהתגלתה במשרד הפנים.
הסכנה האמיתית, שהעמידה מתכנתים ומומחי אבטחת מידע על הרגליים, היא שהפירצה הזו כל כך קלה לניצול. גם מתכנת מתחיל בתחילת דרכו לא היה מותיר שרת כזה חשוף לעין כל ברשת. המאגר הביומטרי עצמו, חשוב לציין, לא נפרץ ולא מושפע באופן ישיר מהסכנה. אבל פרטים אחרים שלנו כן בסיכון, ויתכן מאוד שמישהו כבר הספיק לאסוף פרטים מהמערכת לפני שהיא נסגרה.
תגובת משרד הפנים
"הפרטים אליהם הגעתם הינם פרטים שנשלחו אל קבלן משנה של רשות האוכלוסין לצורך שליחת מסרון לאזרחים. לדברי ספק השירות התקלה זוהתה לפני מספר ימים והשרת המדובר אינו זמין יותר. רשות האוכלוסין מתייחסת בחומרה רבע לאירוע. אנחנו נמצאים בשלב תחקור האירוע ובחינת המשך העבודה עם הספק".