אם אתם גולשים באיביי ומחפשים מוצרים לרכישה ופתאום מוצג בפניכם חלון קופץ שמציע לכם קופון אם תתקינו אפליקציה או תזינו את פרטי החשבון שלכם - צאו מייד מהאתר, אל תורידו את האפליקציה ובשום פנים ואופן אל תזינו את פרטי החשבון שלכם.
פרצת אבטחה חמורה שגילה חוקר אבטחה ישראלי באתר המכירות הענק מאפשר לנוכלי רשת "לדוג" (phishing) גולשים בעזרת התקנת אפליקציה על מכשירם או גניבת פרטי החשבון שלהם. רומן צייקין מחברת צ'ק-פוינט גילה כי האקרים יכולים ליצור באיביי חנות ולשתול בתיאור מוצר בה קוד שמקפיץ חלון שנראה כאילו הוא חלק מאיביי, אך למעה הוא שייך להאקרים וכך מאפשר להם להתקין אפליקציה זדונית על המכשיר או פשוט לבקש מהמשתמש את פרטי חשבון האיביי שלו.
איך מתגוננים?
למרות שהפרצה הזו, שהובאה לידיעתה של איביי לפני כחודש וחצי וטרם תוקנה, לכאורה חמורה וקשה להתחמק ממנה, שמירה על כמה כללים פשוטים תעזור לכם להימנע מנפילה בה ובתרמיות רבות אחרות ברשת:
1. קנו תמיד ממוכרים מוכרים - שימו לב שאתם גולשים רק בחנויות של מוכרים שזכו לממוצא דירוג גבוה מגולשים רבים. כדאי לחשוד בכל מוכר שהדירוג שלו אינו מעל 4 כוכבים ובכל מוכר שכמות הדירוגים שלו (מופיעה לצד הציון הממוצע) נמוכה מכמה אלפים.
2. אל תעשו שום פעולה לא צפויה - הגלישה באתר כמו איביי אמורה להיות תהליך מסודר: נכנסים, מזינים פרטים, גולשים, מזמינים מוצר ומבצעים הזמנה. אין שום סיבה שבתהליך הזה יהיו מעורבים פוופ-אפים כמו אלה שיצרו אנשי צ'ק-פוינט. הצעה להוריד את אפליקציית איביי צריכה להופיע בעמוד הראשי של האתר - וזהו. אחרי שעברתם את שלב הכניסה, אתם כבר בתוך האתר ואין לאיביי סיבה לטרטר אתכם להתחיל מחדש באפליקציה, ואם זה קורה - זו לא איביי (ולא אף אתר גדול אחר). אותו דבר אמור לגבי הקלדת הסיסמה: כבר הזנתם אותה בכניסה לאתר (או שהיא שמורה על המכשיר). בקשה חוזרת שלה צריכה לעורר בכם חשד, במיוחד אם היא לא נעשית בשלב האחרון של התשלום כאמצעי לווידוא זהותכם.
מeBay נמסר בתגובה:
היינו בקשר עם החוקר והטמענו מספר מסנני אבטחה על פי הממצאים שלו. בעוד שלא לגמרי סגרנו הכל, מאחר שאנחנו מאפשרים תוכן פעיל בשוק המקוון שלנו, חשוב להבין כי תוכן מזיק הוא נדיר מאוד, ולהערכתו פחות משני מוצרים על כל מיליון שמשתמשים בתוכן פעיל. למידע נוסף על איך eBay נלחמת בפרצות וכמה הסכנה מוגבלת:
http://www2.ebay.com/aw/uk/201410131601372.html