נפלתם קורבן להונאת פישינג בטוויטר? לא רק אתם אשמים

מאת מורן בר, פברואר 28, 2010. 6 תגובות. שייך לקטגוריות אבטחת מידע, מדיה חברתית

הונאת הפישינג האחרונה בטוויטר תפסה רבים מאיתנו לא מוכנים, אך לא רק אנחנו אשמים. השירות היה צריך לאתר את ההונאה מוקדם יותר וגם הדפדפנים היו צריכים להצליח לחסום את האתר הזדוני.

this-you-tweetהשבוע גם כמעט אני נפלתי בהונאת הפישינג בטוויטר, כשקיבלתי הודעה פרטית מעוקבים שלי (DM) בה כתוב "This you???". עם פורים שבפתח, חשבתי גם אני שמדובר בתמונה ששמתי בעבר ברשת, ולא טרחתי לבדוק את הקישור המקוצר לפני שפתחתי אותו. למזלי, דפדפן ברירת המחדל שלי הוא Chrome ולכן הגעתי אל דף אזהרה ולא אל הדף אליו הופנו הגולשים להכנסת פרטי החשבון שלהם.

למעשה, כל האורות האדומים היו אמורים להדלק למשתמשים אשר נכנסים לקישור : הודעה אשר מגיעה בלינק מקוצר, מדומיין לא מוכר, אשר מובילה אל דף שגרפית אמנם דומה לטוויטר, אבל לא בפורמט המתאים ובדף נדרשים למלא מחדש את שם המשתמש ואת הסיסמא. קשה להאמין שכל כך הרבה משתמשים בטוויטר נפלו בפח ומסרו את פרטיהם, אך זוהי עובדה.

כאן תוכלו לראות הדגמה של הונאת הפישינג :


משתמשים בדפדפנים אחרים כמו אינטרנט אקספלורר 8 או ספארי, אשר קיבלו את ההודעות הדומות, הגיעו אמנם אל דפי אזהרה דומים, אך על פי דיווחים ברשת דווקא Firefox לא הצליח לזהות את האתר הזדוני, ולכן משתמשים רבים הכניסו את הפרטים שלהם ונפלו להונאה. בנוסף, כדאי לזכור כי מעל ל-33% מהמשתמשים עושים שימוש באותה הסיסמא בשירותים השונים ברשת, ולכן גילוי סיסמא אחת עלול להוביל לכניסה לחשבונות אחרים שלנו ברשת.

כמו כל שירות רשת אחר, גם טוויטר מותקפים מפעם לפעם. אך כמו בכל התקפות הפישינג הקודמות, האשמה נופלת גם על השירות עצמו בכך שלא עלה על ההונאה מוקדם יותר. בסופו של דבר, המשתמש הסופי צריך לסמוך על כל הגורמים בדרך, אם זה הדפדפן או השירות אליו הוא מחובר שיצליחו לחסום הונאות מסוג זה.

  • Print
  • email
  • Add to favorites
  • Facebook
  • Twitter
  • LinkedIn
  • Digg
  • del.icio.us
  • Google Bookmarks
  • FriendFeed
  • Netvibes
  • StumbleUpon
  • Suggest to Techmeme via Twitter
  • Technorati

תגים: , , , ,

מורן בר

עורכת משותפת. יזמית טכנולוגיה, בעלת נסיון של 11 שנים בתעשיית ההיי-טק. עם רקע נרחב בתחום האחסון, הגיבוי והתקשורת, ובעולם המדיה החברתית. כחלק משירותה הצבאי, מורן שירתה כמדריכה מטעם ממר"מ, ומאז, עבדה בחברות אינטגרציה גדולות ומובילות, כמנהלת PRE-SALE ושירותי מומחה. מורן הייתה שותפה למיזמי אינטרנט גדולים וביניהם אתר 2eat הישראלי. למורן תואר ראשון במשפטים (L.L.B).

6 תגובות לפוסט "נפלתם קורבן להונאת פישינג בטוויטר? לא רק אתם אשמים"

  1. מאת ליאור:
    1 במרץ 2010 בשעה 7:48

    לא הבנתי את המסקנה הסופית שלך – למה בדיוק זו אחריות השירות, הדפדפן, האינטרנט, העולם, החיים, היקום וכל השאר לדאוג לזה שאת תסתכלי על מה את מקליקה?

    להגיב
    • מאת מורן בר:
      2 במרץ 2010 בשעה 11:04

      בנימה פחות צינית, נראה לי שמשתמשים "רגילים" בשירותים מסוג זה לא צריכים להיות מודאגים מהודעות שמתקבלות מאנשים שעוקבים אחריהם (והם מכירים!), אם זה פישינג או לא פישינג. אלו לא הודעות ויאגרה או רולקס, אלו הודעות מאנשים ושולחים שהם מכירים. זוהי התחזות אליהם.

      אני באמת חושבת שהאחריות צריכה ליפול בעיקר על ספקי השירותים – בין אם זה טוויטר או הדפדפן, להגן על המשתמשים מפישינג.

      אנחנו כותבים פה גם כדי להעלות את המודעות, אני מקוה ובטוחה שמי שיקרא את זה יסתכל פעמיים בפעם הבאה, בעיקר על הטקסט Thats you??.

      להגיב
      • מאת ליאור:
        3 במרץ 2010 בשעה 8:55

        לא הייתי ציני בכלל – אני חושב שחשוב יותר שאנשים יתחילו להבין שבעידן האינטרנט עליהם לקחת אחריות ולהפסיק לחשוב שמישהו שומר עליהם, ויותר חשוב, שמיצהו *צריך* לשמור עליהם – אנחנו יכולים לדבר על זה עד מחר, אבל השורה התחתונה היא שזה פשוט לא אפשרי – תמיד הפורצים למינהם יהיו צעד אחד לפני מי שמנסה לשמור עלינו – ועדיף ללמד אנשים לשמור על עצמם, איך לעשות את זה ובעיקר מה לא לעשות.

        בסה"כ החוקים לא מסובכים – אל תלחצי על לינקים שאת לא בטוחה מי שלח אותם, אל תתני סיסמה לאתר אינטרנט אם לא ברור למה את צריכה, אל תורידי שום דבר למחשב שלך. שלושת הכללים האלה יגנו עליך מרוב הדברים – כולל ההונאה הנ"ל – לא עדיף ללמד אנשים אחת ולתמיד ולהפסיק להאשים את כל העולם מסביב?

        להגיב
        • מאת מורן בר:
          3 במרץ 2010 בשעה 9:35

          אני מכירה את החוקים, ובגלל זה גם נכתבה הכתבה, כמו שאמרתי קודם. ועדיין הוויכוח בינינו הוא האם משתמשים צריכים "להתמחות" בכל הקשור לזיהוי פישינג (ספציפית, פישינג) – אתה יודע כמה אנשים נפלו בדף הפישינג שעשו לבנק הפועלים?

          מחלקות שלמות קיימות בארגונים גדולים ובחברות שמפתחות מוצרים לקהל הרחב שיש בו סיכון אבטחת מידע שסורקים את הרשת ואת המוצר ומתריעים במידה ויש סיכון. אני ציפיתי גם לתגובה הרבה יותר מהירה מטוויטר.

          אבל כן, אתה צודק, המשתמשים הם האיום מספר אחד על אבטחת מידע בארגון וחינוך הוא האמצעי החשוב ביותר, רק תנסה להסביר את זה למזכירה ששמה את הפתק עם הסיסמא מודבק על המסך :-)

          ודבר אחרון – "אל תורידי כלום למחשב" – זו בקשה ריאלית ? :-)

          להגיב
          • מאת ליאור:
            3 במרץ 2010 בשעה 10:49

            אני לא מוריד שום דבר, ואין לי וירוס כבר … האמת, לא היה לי מעולם. אני לא משתמש באנטי וירוס ואין לי פיירוול. אני דואג לעדכן את מערכת ההפעלה ולא לוחץ על כפתור שאני לא מבין מה הוא עושה. בסיסי לא?

            מה שאנשים צריכים להבין שעולם האינטרנט הוא לא משחק, הוא כמו בעולם האמיתי. אם מישהו נותן לך "משהו" להעביר במטוס, תעבירי? אם מישהו דופק אצלך בדלת ואת לא מכירה, תכניסי אותו הביתה? או שתאשימי את העירייה שהכנסת מישהו זר הביתה?

            אני אתן דוגמא שונה, אבל מבחינתי, די זהה. ברמקול (http://ramkol.co.il) יש מנגנונים שמוצאים בצורה אוטומטית ביקורות החשודות כפירסומת עצמית, ומשתמשים מתריאים לנו על אחרות בצורה ידנית (כוח הקהילה) – אבל בכל זאת, יש פה ושם חוות דעת ש"עוברת" את המסננים – ולפעמים אנשים מתלוננים ש"אי אפשר לסמוך על האינטרנט" – אז אנחנו עושים את המיטב, ועוזרים לחוות דעת אמינות ואמיתיות – אבל אפילו אני אהיה הראשון שיאמר – אלא אם את מכירה את האדם מאחורי חוות הדעת (מה שאפשרי ברמקול) – את לא אמורה לסמוך על ביקורות בצורה עיוורת..

  2. מאת ויקי:
    1 במרץ 2010 בשעה 8:50

    איזה מזל שיש לי חבר מומחה בפישינג ואבטחת מידע..
    לא נפלתי! :)

    להגיב

כתיבת תגובה