פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      מדריך: כך תשמרו על עצמכם ברשת

      התקפת הסייבר בה מאיימת אנונימוס היא הזדמנות טובה להתעדכן על דרכי הזהירות מווירוסים, פישינג ושאר הונאות

      רשת האינטרנט הופכת לבטוחה פחות ופחות בשנים האחרונות, קשה שלא לשים לב לכך. לפני שני עשורים, עת הייתה האינטרנט מועדון מצומצם של חנונים ומדענים, גניבת סיסמאות ופריצה למיילים נעשו כבדיחות או תעלולים. היום המצב שונה. בנוסף, מעבר לסכנות העומדות בפתחו של כל גולש, לנו, הישראלים, יש גם את אלו שרוצים לפגוע בנו מסיבות פוליטיות. בשבוע שעבר הכריזה קבוצת "אנונימוס" על כוונתה לתקוף את האינטרנט הישראלי החל ממחר, ולהפיל יותר ממאה אתרים. ייתכן שהקבוצה מכוונת גם לאזרחים עצמם, ואינדיקציה לכך קיבלנו עם וירוס הפייסבוק שהתפשט בארץ לפני מספר ימים.

      אך עדיין, הסיבה העיקרית לתקיפות גולשים, זו שנפוצה בכל רחבי העולם, היא כסף. מהרגע בו התחלתם לאגור מידע חשוב ברשת, הוא שווה כסף. מהרגע בו רשת האינטרנט הפכה לערוץ יצירת הקשר הישיר אתכם, זה שנמצא מול העיניים שלכם בכל שעות היום, הכתובת של העיניים שלכם שווה כסף. ובשנים האחרונות, בהן התחלתם לאגור מידע משמעותי גם על גבי הטלפון הסלולרי שלכם, והטלפון הפך למיני-מחשב, הוא הפך גם למטרה. אך לנו, כמשתמשי אינטרנט ישראלים, מצויירת מטרה נוספת על הגב. בין אם מתוך רצון לייצר מסר פוליטי או אנטישמי, פועלות לא מעט קבוצות האקרים בניסיון לפרוץ לחשבונות פרטיים של משתמשים ישראליים.

      חייבים לסייג: המקרים שנראים לכם כמו תסריטי אימים - דליפת מספר האשראי שלכם - הם המקרים המינוריים ביותר. מהרגע בו מספרי אשראי מופצים ברשת האינטרנט, יעבור זמן קצר עד אשר כל המספרים האלה ייחסמו על ידי חברות האשראי, ובעלי הכרטיסים יקבלו כרטיס חלופי. הפריצות המסוכנות ביותר בתחום הזה הן אלה עליהן הפורצים לא רצים לספר לכל העולם - אך אז הם גם לא מקבלים את החשיפה התקשורתית אותה אלה הפוליטיים והאקטיביסטים מביניהם כה רוצים.

      צרה ושמה סיסמה

      החלק המתסכל ביותר עבור המשתמשים הוא שלא תמיד רמת הסיסמה שהם נתונים משפיעה על היכולת לפרוץ לחשבון. הרי אם ההאקרים פורצים ישירות לבסיס הנתונים של אתר, וגונבים ממנו את שמות המשתמש והסיסמאות - גם הסיסמה המאובטחת ביותר בעולם תדלוף. עם זאת, בהנחה ומדובר באתר עם מנגנון אבטחה טוב, הסיסמה תדלוף כשהיא מוצפנת. במקרה הזה, יידרשו משאבים רבים - זמן חישוב רב על מחשב פשוט או בניית מחשב ייעודי ויקר לפריצה - כדי לפרוץ הצפנה אפילו של סיסמה אחת. העלות הגבוהה מול התועלת במקרים כאלו מאפשרת להניח שפיצוחי הסיסמאות פשוט לא ייעשו.

      אבל אין זה אומר שבאתרים ובשירותים בהם יש לכם חשבון רצוי להשתמש בסיסמאות דוגמת 123456, או אפילו ה-q1w2e3 הכביכול יותר מתוחכמת (לא באמת). למעשה, בסיסמאות כאלו לא כדאי לכם להשתמש בכלל (ואם לסמוך על מאגרים שדלפו בשנים האחרונות - רבים מאוד משתמשים בהן).

      יש כמה חוקים בסיסיים שיעזרו לכם לבחור סיסמה מאובטחת:
      בוודאי שמעתם כבר על כך שסיסמה צריכה להכיל אות גדולה, אות קטנה ומספר, כשהיא באורך 6 תווים לפחות. אלו הדרישות של שירותים אינטרנטיים רבים כיום. כנראה גם שמעתם שכדי למנוע פריצה על ידי מישהו שמכיר אתכם, כדאי להמנע מהחשודים המיידיים - תאריכי לידה ושמות של ילדים, למשל. כמו כן, עדיף שהסיסמה לא תהיה מילה שניתן למצוא במילון, מכיוון שיש תוכנות פריצה שכוללות מילונים ופשוט עוברות מילה-מילה. עדיף גם שלכל שירות תהיה סיסמה שונה.

      בשלב הזה, עלול להתפתח אצלכם כאב ראש, אך האמת היא שזה לא חייב להיות מסובך כל כך. רצף אקראי אחד אתם מסוגלים לזכור? כנראה שכן. אז איך יוצרים סיסמה ייחודית לכל אתר וזוכרים גם אותה? משתמשים בפריטים מזהים מהאתר עצמו.

      אז נכון, אם תוסיפו פשוט את שם האתר אחרי הסיסמה, כל מי שיפרוץ אותה יבין את החוקיות. אבל אם, נגיד, תחליטו שבכל אתר, אחרי הגרעין אתם מוסיפים את האות השניה והשלישית בכתובת של אותו האתר? זה לא נראה ברור מדי, אך מאפשר רמת אבטחה גבוהה יותר.

      רוצים רמת אבטחה גבוהה יותר? יש אתרים, ביניהם גם גוגל ופייסבוק, שמאפשרים לכם להשתמש במנגנוני אימות כפול. כך, בנוסף להכנסת סיסמה, אתם מקבלים סיסמה משנית שתקפה לזמן קצר לטלפון הסלולרי שלכם. מצד אחד, זה אומר שגניבת סיסמה לא תעזור - צריך לגנוב גם את הטלפון הסלולרי. מצד שני, מדובר בטרחה לא קטנה.

      לחשוב לפני שמקליקים

      איך תדעו שהמחשב שלכם הודבק בתוכנה מזיקה? במקרים רבים, אין לכם דרך לדעת. אם ההדבקה נעשתה כדי להפוך את המחשב שלכם ל"זומבי" - מחשב "עבד" שנשלט על ידי שרת מרוחק ויכול לעשות בשמו דברים כמו התקפת אתרים אחרים או שליחת דואר זבל - כנראה שלא תבחינו בכך. תוכנת האנטי וירוס שלכם, בייחוד אם היא מתעדכנת כל הזמן בהגדרות חדשות, דווקא תגלה, כנראה, את הנוזקה (malware) הזאת די מהר.

      אך ממה, בכלל, יש להזהר כדי שלפחות מהצד שלכם לא יהיו תקלות? קודם כל, הקשיבו להגיון הפנימי. חבר כלשהו שולח לכם פתאום הודעה באנגלית (אתם נוהגים לדבר בעברית) בה הוא מבקש מכם להיכנס לאתר כלשהו ולא מסביר למה? תבדקו איתו במה מדובר לפני שאתם נכנסים. כניסה לאתר "חולה" יכולה לגרום לכך שבלי אישורכם ובלי ידיעתכם, תותקן על המחשב שלכם תוכנה זדונית.

      אותו הדבר נכון גם לגבי מיילים מוזרים, קבצי תמונה או טקסט, קבצים שהורדו מאתרים ועוד. תוכנת אנטי וירוס מעודכנת תדע להתמודד עם רבים מאלה, אבל לא עם כולם, כך שהגיון בריא וחשדנות בריאה הם הכלים הטובים ביותר שעומדים לרשותכם.

      פישינג (צילום מסך)
      מייל מוזר? לא לפתוח, גם אם הוא מבקש בנימוס

      שלא ידוגו אתכם ברשת

      כדאי גם לדעת שבשנים האחרונות, נהיה קשה יותר לזהות מייל שכל מטרתו היא להדביק את המחשב שלכם. אם אתם עובדים בארגון אליו רוצים לפרוץ למטרות גניבת מידע, וניתן להסיק ממאגרים פתוחים ברשת (דוגמת Linkedin או פייסבוק) שאתם עובדים בארגון, אתם עשויים לקבל התקפה מותאמת אישית. אנשי כספים מקבלים מייל שמדבר על דו"חות כספיים בעברית רהוטה ומבקש להסתכל במצגת; אנשי כוח אדם מקבלים קורות חיים; אולי אפילו תקבלו מייל שנראה כאילו הגיע מהבוס שלכם. בכל מקרה ומשהו לא נראה נכון - דרכי ההתבטאות נראות חשודות, או שהמייל דל בפרטים קונקרטיים אודות הקישור שמבקשים לפתוח, עדיף ליצור קשר עם האדם באמצעי תקשורת אחר ולוודא כי מדובר במייל שאינו זוייף.

      לפעולה מהסוג הזה קוראים "פישינג". ההאקר שולח הודעת מייל שמתחזה למייל רשמי של גוף בו אתם בוטחים: הבנק שלכם, למשל, או פייפאל - שם יש לכם חשבון. הוא מבקש שתאמתו את פרטיכם, "במסגרת בדיקת אבטחה". הלינק עליו אתם לוחצים במייל מביא אתכם לעמוד באתר הרשמי של הארגון. או כך לפחות זה נראה. מבט על שורת הכתובת יגלה לכם שמדובר בכתובת שאינה קשורה כלל לאותו ארגון, ושהעמוד הוא למעשה העתקת קופי-פייסט שנועדה לגרום לכם להכניס שם את הפרטים בלי לחשוב פעמיים. לאחר שתעשו דבר כזה - לאותו האקר יש את מה שהוא צריך: שם המשתמש והסיסמה שלכם, איתם הוא יכול להיכנס לחשבונכם ולעשות בו שמות. לכן חשוב לדעת שגוף רציני אף פעם לא ישלח לכם אי-מייל שמבקש שתזינו/תאמתו פרטים שכבר אמורים להיות אצלו. ואם אתם חושבים שאולי הפעם מדובר ביוצא מהכלל - אל תקישו ולו אות אחת בעמוד אליו נלקחתם, לפני שהסתכלתם על שורת הכתובת בדפדפן ווידאתם שאכן מדובר באתר האמיתי.

      עוד דרך טובה לעלות על הונאות כאלו הוא לחפש שגיאות כתיב בטקסט. בעמוד הכביכול רשמי הזה של אפל (שוב, כביכול) כתובה המילה associated באיות השגוי accociated. לאפל האמיתיים והפדנטים זה לא היה קורה.

      פישינג (צילום מסך)
      אולי זה נראה רשמי במבט הראשון, אבל לא במבט השני

      ומה לגבי הדואר שלכם בוואלה? הנה כמה עצות

      מעבר לעצות שכבר ניתנו ליצירת סיסמה בטוחה, הנה כמה דברים שכדאי לדעת על דואר וואלה!:

      לעולם לא נבקש מכם לתת לנו את הסיסמה שלכם. קיבלתם מייל שמבקש מכם לכתוב את הסיסמה במייל חוזר? סמנו אותו כספאם ותשכחו ממנו.

      כשקישור עליו אתם לוחצים מוביל אתכם לדף הזדהות, הסתכלו בשורת הכתובת: האם אתם נמצאים ב-walla.co.il או friends.walla.co.il, או שמא מדובר בכתובת שונה לגמרי. אם הכתובת שונה, צאו מהדף - מנסים לעבוד עליכם.

      עזרו לנו לעזור לכם. סמנו כל מייל חשוד ככזה, על מנת שהמערכות שלנו תדענה שהוא עבר את המחסומים שהוצבו.

      המנעו מכתיבת כתובת המייל המלאה שלכם במקומות ציבוריים ברשת. מעבר לכך שזה עשוי לגרום לכך שתקבלו ספאם, זה גם לא בטיחותי בעליל.

      חושדים שמישהו בכל זאת פרץ לתיבה? החליפו את הסיסמה מיד, ופנו לכתובת המייל support@walla.net.il