This post is also available in: enEnglish (אנגלית)

מאת אילן סגלמן, Power Communication (מפיצת פתרונות Sophos בישראל)

חשיפת מידע סודי ואישי לגורמים בלתי אמינים ממשיכה להיות נושא שתופס את הכותרות. הרשות להגנת הפרטיות במשרד המשפטים הישראלי חשפה לאחרונה פגיעה שיטתית בפרטיות של מאות אלפי חיילים משוחררים ואזרחים, אשר מידע אישי רגיש אודותיהם הוצא מתוך מאגר מידע של יחידת מיטב בצה"ל.

אם לא די בכך, נחשפו בישראל באותה עת שני קמפיינים של הונאה, האחד בו פנו התוקפים למשתמשי חברות סלולאריות באמצעות מייל או sms עם הודעה על סיום חבילת שירות והפנייה ללינק המבקש פרטי כרטיס אשראי. הקמפיין השני הציע שי לחג, כביכול, בגובה של מאות שקלים לכל המקליק בלינק מסוים. אף אחד מהקמפיינים הללו כמובן לא היה ביוזמת החברות, אלא מדובר במתחזים המבקשים להשיג מידע אישי בדרכים מתוחכמות, המנצלות את תמימות המשתמשים.

משתמשים מתמודדים עם שלל איומים כאשר הם גולשים, מקליקים ומשתפים מידע אישי עם חברות ועם אנשים פרטיים. בעידן המידע הנוכחי, משתמשי המדיה החברתית והאינטרנט נחשפים לסיכונים ללא ידיעתם.

ניתן לחלק את הסיכונים בגלישה ברשתות החברתיות לשניים – מידע שהמשתמשים משתפים מרצונם והתקפות סייבר זדוניות בחשבונות המשתמשים ברשתות החברתיות.

הסוג הראשון, שיתוף מידע ברשתות החברתיות, הוא ללא ספק הפשוט ביותר משום שהוא כולו קשור לפעולותיו של המשתמש. חשיפת מידע אישי ברשתות החברתיות כרוכה בסיכון גבוה משום שמידע זה יכול להפוך לציבורי. אם אתם חושבים ששיתפתם מידע ברשתות החברתיות רק עם קבוצת קטנה של אנשים, חשבו שוב – המידע הזה פתוח לקבוצה רחבה הרבה יותר, כולל אנשים זרים לחלוטין. מטבען, רשתות חברתיות מעוניינות לעודד אתכם לשתף ולהיות פתוחים, אך מנקודת מבט של אבטחת מידע – מדובר בסכנה.

הסוג השני, התקפות זדוניות, הוא מורכב יותר. חשבונות של משתמשים ברשתות החברתיות הפכו רבי-ערך להאקרים. ישנם מספר סוגים של התקפות המתבצעות ברשתות החברתיות, בין היתר ספאם (פוסטים ממומנים, פרסומות), התקפות פישינג (phishing), בהן פושעים מנסים להערים על משתמשים על מנת שיחשפו מידע אישי, וכמובן נוזקות (malware), אותן תוכנות זדוניות, כולל וירוסים, סוסים טרויאנים, תולעים ואיומים אחרים.

המטרה של רוב ההאקרים היא להשיג מידע אישי משום שמידע אישי שווה כסף. ברגע שהם משיגים את המידע, הם יכולים לגנוב כסף ישירות על ידי שימוש בפרטים אישיים באמצעותם יוכלו להיכנס לחשבון הבנק והם גם יכולים לרכוש מוצרים עם כרטיס אשראי. ההאקר יכול גם למכור את המידע לאלו שמעוניינים לגנוב מכם כסף בצורה זאת. דרך נוספת בה האקר יכול להשתמש במידע שלכם היא על ידי הונאת החברים והמשפחה שלכם – ההאקר שולח להם הודעה כשהוא מתחזה לכם וגורם לקרוביכם להעביר לו מידע אישי כמו פרטי חשבון בנק. יתרה מכך, ההאקר יכול למכור את הזהות שלכם כך שפושעים אחרים יוכלו להתחזות לכם ולהשיג מידע פיננסי ורגיש בשמכם.

מה צריכים משתמשי הרשתות החברתיות לעשות בנוגע לאבטחה?

משתמשים צריכים לשים בראש סדר העדיפות את השימוש הבטוח ברשתות החברתיות. הנה כמה טיפים חשובים שיכולים לסייע להימנע מאובדן מידע, זהות והדבקה בנוזקות:

  1. השתמשו בסיסמאות מאובטחות – מה עומד מאחורי הסיסמה? החיים שלכם! אם פיצחו אותה, הקבצים שלכם יועמדו למכירה. הפכו את הסיסמאות שלכם לבטוחות באמת – השתמשו לפחות ב- 14 תווים ושלבו אותיות קטנות וגדולות באנגלית, מספרים וסמלים.
  2. בדקו הגדרות ברירת מחדל של כל אתר כך שהפרטים עליכם לא יוצגו לראווה וצמצמו את כמות המידע האישי שאתם מספקים.
  3. היזהרו עם תמונות שאתם מעלים לרשתות החברתיות ונסו להימנע הוספת תמונות שיכולות להיות מביכות או לסכן אתכם ולפגוע בכם בעתיד על ידי סחטנות.
  4. אבטחו את המחשבים – החיים שלכם רבי ערך וכך גם המידע שלכם! האקרים רוצים אתכם ואת המידע שלכם. השתמשו רק במחשבים שהותקנה בהם תוכנת אבטחת מידע מעודכנת.
  5. חשבו לפני שאתם מקליקים – לעולם אל תקליקו על לינקים רק משום שאתם מכירים את השולח. חלק מהנוזקות משתלטות על חשבון המשתמש ושולחות אוטומטית הודעות 'מזוהמות' לכל אנשי הקשר של המשתמש במטרה להדביק גם אותם.
  6. ספאם – שימו לב לספאמרים שמנסים להשיג את הפרטים האישיים שלכם על ידי משלוח הזמנות מבלי שיתבקשו. אם אינכם מכירים את האדם ששלח לכם את ההודעה, הדבר הטוב ביותר הוא להתעלם ממנה.
  7. אימות באמצעות שני גורמים (two-factor authentication) – הדבר משאיר את החשבון שלכם בטוח ומאובטח אפילו אם ניחשו את הסיסמה שלכם או גנבו אותה. בתמורה לאי-הנוחות הקלה של הכנסת קוד חד-פעמי לצד הסיסמה שלכם כאשר אתם מתחברים, תקבלו שדרוג מיידי וקבוע שהופך את החשבונות שלכם לקשים יותר לפריצה באופן משמעותי.
  8. התנתקו בצורה מסודרת מהמערכת (log-out) – כך תוכלו למנוע משני סוגי תוקפים להשיג את מבוקשם. הראשון הוא תוקף המתחזה לכם ומפעיל את החשבון שלכם כשאתם לא נמצאים או אם במקרה שכחתם את הסמארטפון שלכם במקום כלשהו והוא נגנב. השני הוא האקר שמשתמש בשיטת תקיפה שנקראת Cross-Site Request Forgery (CSRF) על מנת לגרום לכם לעשות משהו לא חוקי כמו לתת לו גישה לחשבונות, מבלי שתהיו מודעים לכך.