מדי שנה עורכת חברת קספרסקי תחרות בין סטודנטים מצטיינים בתחום הסייבר ברחבי העולם, כאשר שלב הגמר נערך כל פעם בעיר גדולה אחרת. הכנס, שהוא חצי אירוע גיוס כוח אדם, לא מאוד מרתק כשלעצמו , אבל הוא מספק הזדמנות נהדרת לשוחח עם מומחי האבטחה של החברה.
אחד השמות הבולטים בקספרסקי בשוודיה - המדינה המארחת את הכנס השנה - הוא דיוויד ג'ייקובי, בחור דברן בעל פנים עגלגלות שהחיוך כמעט שלא יורד לו מהפנים. ניסינו לברר איתו מה השתנה בתחום בתקופה האחרונה וממה עלינו לחשוש.
כולנו רוצים לעזור
ובכן, החדשות הרעות הן שההאקרים בעולם רק הולכים ונעשים מתוחכמים. הם הבינו שאנחנו, המשתמשים, נעשינו מודעים וחשדניים יותר ולכן לא נותרה להם ברירה אלא לשדרג את דרכי הפעולה שלהם בהתאם. במילים אחרות, לא עוד שימוש באתרי דיוג שמתחזים לפייסבוק באופן מביך, אלא התקפות ממוקדות שמגיעות מהדואר האלקטרוני של אדם מוכר. מעבר לטקטיקה, גם התוכן עצמו עבר שינוי וכעת ההודעות נראות מוכרות יותר ומעוררות אמון. איך ההאקרים עושים את זה? בין היתר על ידי איסוף מידע זמין שכולנו מעלים לרשתות החברתית.
שיטות ההאקינג החדשות נכנסות תחת הקטגוריה "הנדסה חברתית": שם גג לכל הפעולות שנועדו לנצל את התמימות, טוב לב והחולשות אנושיות כדי להשיג מידע. למשל, אדם שמתקשר אלינו הביתה ומציג את עצמו כנציג חברת סקרים ש"רק רוצה לשאול אותנו כמה שאלות", יכול להיות גם האקר שמנסה לבנות את ההתקפה הבאה. השאלה הבלתי נמעת כעת היא למה בעצם אנחנו נוטים לשתף פעולה?
"אם אתה גורם לאנשים לחשוב שהם עוזרים למישהו, שהם עוזרים ליצור משהו חדש – הם ימסרו לך דברים", אומר ג'ייקובי ל-NEXTER, וכדי להדגים עד כמה טוב לבם של אנשים יכול להפיל אותם בפח, הוא מספר על ניסוי קטן שערך באחת ההראצות שנשא בעבר. לקראת האירוע עצמו, ג'ייקובי פנה לכמה מהמשתתפים במייל, טען שהוא צריך עזרה עם המצגת וביקש מהם לשלוח לו את הסיסמה שלהם. תופתעו אולי לשמוע חלק מהאנשים אכן הסכים לתת לו את המידע הפרטי, למרות ההיכרות השטחית. הם פשוט רצו לסייע.
דגים עם חנית
דיוויד אם, מומחה אבטחה ואחראי לחינוך משתמשים, מכנה את התקיפות החדשות בשם "דיוג בחנית", בשל המתקפות הממוקדות על אנשים ספציפיים, בניגוד לשנים קודמות בהן האקרים פנו לקהל גדול וקיוו ללכוד קורבן או שניים. אם הוא נותן דוגמה לשיטת הפעולה: "לבעלי תפקידים בארגונים יש היום פנים. יש להם חשבון בפייסבוק, הם מצייצים בטוויטר וכולי, והאקרים מנצלים את זה. אם למשל אני מצייץ על הכנס עכשיו בטוויטר. מישהו יכול ליצור כתובת מייל מזויפת, להתחזות לעמית שלי ואפילו לציין משהו על הביקור שלי בשטוקהולם- וזה ייראה בעיני אמין לחלוטין. מייל כללי מעלה חשד, אבל דיוג חנית שם אותך או אותי כמטרה, ואוסף מספיק מידע כדי ליצור בקשה שתיראה אמיתית".
התקפה אחרת משוכללת שאם מתאר נקראת "מאגר מים". מקור השם הוא מהנטייה של אריות (ההאקרים) להמתין לג'ירפות (אנחנו) בנקודות אליהן הן באות לשתות מים. בסוג התקיפה הזה, שהוא שילוב של שתי מתקפות פשוטות יותר. הקוד הזדוני, זה שנועד לגנוב מאיתנו מידע רגיש, לא נשתל ככה סתם – הוא נשתל באתר שקורבן המטרה של ההאקר עשוי לגלוש אליו.
אם שוב מפשט את העניינים באמצעות דוגמה: בתקופת החופשות בין הסמסטרים, סטודנטים רבים נכנסים לאתרי נסיעות גדולים כמו אקספדיה. שתילה של קוד זדוני גם באתר גדול ולגיטימי כמו אקספדיה, יכולה להניב להאקר את המידע שהוא מחפש.
אך המאמצים כמובן לא נגמרים שם. דיוויד אם מונה עוד כמה סוגי תקיפה פופולרים אחרים מהשנים האחרונות, למשל, לייצר נקודת וויי-פיי מזויפת, כמו שנעשה באירועים גדולים כמו אולימפיאדת החורף האחרונה ברוסיה, או אפילו להקים נקודת וויי-פיי חופשית אמיתית – אבל גם להתקין עליה תוכנת "רחרחן" שגונבת נתונים ממי שמשתמש בנקודה הזו.
אז איך מתגוננים?
על אף סיפורי האימה הללו, אפשר להתגונן בפני התקפות הנדסה חברתית ותקיפות מהדור החדש. ג'ייקובי נותן כמה טיפים:
קודם כל, גם ברשת, שימו לב לאן אתם עומדים להכנס. דפדפנים מודרניים מאפשרים לכם לראות לאן מוביל כל קישור שנשלח אליכם. עמדו עם העכבר מעל הקישור, וקראו בעיון את כתובת האתר. נראה לכם חשוד? אל תקליקו. שימו לב במיוחד לשיבושים קטנים, שנועדו להטעות אתכם, כמו facebo0k.com, לדוגמה, וזכרו שאנשי תמיכה טכנית של אף אחד מגופי הטכנולוגיה הגדולים כמו מיקרוסופט, פייסבוק או גוגל, לעולם, אבל לעולם לא יפנו אליכם בבקשה לקבל את הסיסמה שלכם.
שנית, בדקו את הגירסה של הסמארטפון החדש שלכם. זה טיפ שהוא נכון במיוחד לטלפוני אנדרואיד זולים שמריצים גרסאות ישנות ופגיעות אבטחתית של אנדרואיד כמו גירסה 2.3 ועוד גירסאות עתיקות. בדקו אם אפשר לשדרג את תוכנת הסלולרי לגירסה חדשה ובטוחה יותר. אמנם גוגל יצאה לאחרונה ביוזמת Android One, שאמורה לחסל את הנגע הזה, עדיין טלפונים רבים שנמכרים בישראל ובעולם מכילים גרסאות ישנות. על זה אומר ג'ייקובי שהצרכן והמשתמש לא חושב כך – הרי רק הרגע הוא רכש טלפון חדש. אך מכשיר חדש לא אומר שהתוכנה חדשה. אל תיכנסו לשאננות ולתחושת ביטחון מזויפת.
בנוסף, התקינו עדכונים. לכל התוכנות שלכם. רוב האנשים סבורים שצריך לעדכן רק את מערכת ההפעלה (לרוב Windows) ואולי את תוכנת האופיס. זוהי טעות. הרבה תוכנות אחרות שכנראה מצויות על המחשב שלכם יכולות להוות חור אבטחה – אם זה Adobe Reader או פלטפורמת ג'אווה (רעה חולה רצינית בכל הנוגע לאבטחה), עדכנו כל תוכנה לגיטימית על המחשב שלכם שמודיעה לכם על עדכון חדש. אל תתעלמו.
עוד רכיב חשוב שרובנו נוטים להקל בו ראש, בעיקר מטעמים של נוחיות, הוא סיסמה. רובנו מתעצלים להמציא סיסמה ייחודית לכל אתר, משתמשים באותה סיסמה לכמה אתרים ועוד דברים שמקילים על האקרים לגנוב את הזהות שלנו ולפרוץ לנו לכמה שירותים במקביל. אבל לג'ייקובי יש פתרון. איש האבטחה השוודי מציע פטנט נהדר ליצירת סיסמאות מורכבות, אך קלות לזכירה, אם עושים אותן אישיות. הנה השיטה:
1: קחו את שיר אהוב עליכם או שאתם זוכרים, באנגלית.
2: היזכרו במילים מהשורה הראשונה של השיר.
3: קחו את האות הראשונה של כל מילה.
4: רגע. זו עדיין סיסמה פשוטה מדי. שימו בין כל אות סימן מיוחד (סימן מיוחד יכול להיות כוכבית *, טילדה ~ או כל סימן לא שגרתי אחר).
5: עדיין לא מספיק מסובך. הוסיפו בסוף מה שיצרתם שלוש ספרות שאתם זוכרים, אבל אחרים לא.
6: ברכותינו, יצרתם עכשיו סיסמה שהאקרים יתקשו לשבור או לשחזר.
7: חזרו על התהליך לכל אתר חשוב בנפרד, והקפידו לא לחזור על אותה סיסמה פעמיים.
שימו לב, סיסמת המייל היא הסיסמה הרגישה ביותר. שמרו אותה אצלכם, אל תתנו אותה לאף אחד, ועשו אותה המסובכת ביותר. האקרים שיפרצו לכם למייל, יוכלו משם, על ידי שחזור סיסמה, להשתלט לכם על חשבונות נוספים כמו פייסבוק, כונני עננים ועוד.
וכמו תמיד, ג'ייקובי מקנח בעצה הקבועה של אנשי האבטחה: שלהתקין אנטי וירוס או תוכנת אבטחה זה לא מספיק, אנחנו צריכים גם להשתמש בשכל הישר שלנו. "תוכנת אבטחה לא תמנע ממך לתת את הסיסמה שלך בטלפון, או לשכוח את הסלולרי שלך איפשהו. מה שהמוצר לא עושה בשבילך, אתה צריך לעשות בעצמך", מסכם ג'ייקובי.
הכותב היה אורח חברת קספרסקי בשטוקהולם