מדריךכך תמנעו מהאקרים איראנים לחטט לכם במייל
מדריך
כך תמנעו מהאקרים איראנים לחטט לכם במייל
מיילים הם טכנולוגיה מיושנת שקשה מאוד לאבטח. אמנם רובנו לא מהווים מטרה להאקרים איראנים (כמו המייל של ציפי לבני שנפרץ) אבל אנחנו כן מטרה להאקרים שמחפשים דרכים לסחוט קורבנות תמימים. אז איך אפשר לאבטח את תיבת המייל?
אירועי השבוע בסייבר שכללו את הגילוי על ניסיון של האקרים איראנים לפרוץ למיילים של בכירים ישראלים וביניהם ציפי לבני ואנשי מערכת הביטחון מדגישים את הסכנות האורבות לנו ברשת. מיילים הם טכנולוגיה מיושנת שקשה מאוד לאבטח. הם נמצאים בשימוש רק כי הם זמינים כמו הודעות SMS (שגם נחשבות אגב מאוד לא בטוחות). אמנם רובנו לא מהווים מטרה להאקרים איראנים אבל אנחנו כן מטרה להאקרים שמחפשים דרכים לסחוט קורבנות תמימים.
אם יש לכם עסק, או שיש לכם סכסוך מר עם מישהו שיהיה מוכן להשקיע מאמצים לפרוץ לכם לאמצעי התקשורת הדיגיטליים - המדריך הזה נועד לתת לכם מספר טיפים כדי למנוע או לפחות להקשות על התוקפים. חלק מהמדריך מבוסס על טיפים שקיבלנו מאיגוד האינטרנט הישראלי וחלק מוכרים כאמצעים יעילים לאבטחת תיבת המייל שלכם. מוכנים? התחלנו.
1. מיפוי של כל החשבונות ולמה הם משמשים
חשבון המייל האישי והמקצועי של כל אחד מאיתנו מייצג אותנו באינטרנט ומהווה מפתח כניסה למידע האינטימי ביותר שלנו. רוב השירותים המקוונים משתמשים בכתובת המייל כשם משתמש. גם כי זה פשוט יותר וגם בגלל שהמשתמשים נוטים להיתקע עם השם שנבחר להם. כיום כאשר המייל משמש גם לקבלת הודעות מגופים רשמיים חשוב לשמור עליו שבעתיים. אבל קחו בחשבון שהרכבת הזו כבר נסעה לה מזמן ושהמייל שלכם זמין וגלוי לרוב מי שירצה למצוא אותו. חשוב לבדוק את כל חשבונות המייל שאי פעם השתמשתם בהם. מחשבונות המייל המקוונים של גוגל, מיקרוסופט או יאהו, עבור דרך המייל שקיבלתם מהספקית וכנראה לא השתמשתם בו שנים וכלה במייל המקצועי מהעבודה (או העבודות).
2. בדיקת סיסמאות
עכשיו שאנחנו יודעים אילו חשבונות משמשים אותנו הגיע השלב להפעיל את אמצעי האבטחה הזמינים לכל שירות דואר אלקטרוני מוכר. דבר ראשון חשוב לבדוק את הסיסמאות. ישנו שירות מצוין בשם Have I been pwned שמאפשר לכם לבדוק האם כתובות המייל, שמות המשתמש והסיסמאות שלכם דלפו לרשת במסגרת פריצה כלשהי לאחד מהשירותים אליהם נרשמתם בעבר. אם אתם משתמשים ותיקים ברשת התכוננו לכך שהתשובה תהיה חיובית. אין כמעט שירות שלא נפגע במהלך השנים כולל רשתות חברתיות כגון לינקדין או אחרות. זאת אומרת שאיפשהו, מתישהו הם התגלגלו לאחד ממאגרי הנתונים הגנובים שקיימים ברשת האפלה או שנמכרים כמאגרים לקבוצות האקרים או שולחי דואר זבל.
3. שינוי סיסמאות והפעלת אמצעי אבטחה
נתחיל עם הסיסמאות, אלה אולי אמורות להיעלם מתישהו בשנים הקרובות לטובת אמצעים יותר יעילים אבל כרגע זה מה שיש. סיסמא טובה היא סיסמה שלה שילוב של אותיות גדולות או קטנות באנגלית, מספרים וסימנים. מכיוון שאלה לרוב סיסמאות מסובכות מומלץ לעשות שימוש במנהל סיסמאות - אלה שירותים, אפליקציות או תוספים שמייצרים סיסמא רנדומלית וקשה לפיצוח ומאפשרים לכם לשמור אותן במאגר שלהן. כדי להפעיל אותן צריך רק לזכור את הסיסמה הראשית. אם אתם לא מהסוג שמסתדר עם שירותים מקוונים אפשר בהחלט לעשות שימוש במחברת נייר או אפילו בקובץ טקסט שתקבעו לו סיסמה שקל יהיה לכם לזכור. בנוסף, מומלץ להפעיל ככל שניתן שירות אימות דו שלבי. אלה ניתנים לעקיפה אבל לאבטחה שוטפת הם מספיק יעילים.
4. איך מזהים הודעות חשודות או ניסיונות פישינג
עבור מי שלא מתמצא באינטרנט קשה לפעמים להבין איזו הודעה היא לגיטימית, דואר זבל או ניסיון פישינג (דיוג). ישנם מספר כללי אצבע שלא תמיד קל ליישם אבל שווה לנסות. הראשון הוא לא להקליק אף פעם על קישורים מהודעות שלא ביקשתם שישלחו לכם. אם קיבלתם הודעה מהדואר ואתם לא יודעים שיש לכם חבילה בדרך, אל תקליקו על הקישור. אם תרצו להזמין תור פשוט גילשו לאתר הדואר או לאפליקציה והזמינו ידנית משם. הרבה מאוד האקרים מצליחים לחקות בצורה מאוד משכנעת את האתרים הרשמיים של שירותי הדואר, הבנקאות או הבריאות והם ינסו לשכנע אתכם להכניס פרטי זהות, אשראי או אפילו שמות משתמש וסיסמאות. לא מעט קמפיינים מפילים באופן קבוע בפח מאות משתמשים. דרך נוספת לזהות מייל לא לגיטימי הוא לחפש ביטויים שנראים כאילו תורגמו דרך שירות מקוון כגון גוגל טרנסלייט או מקביליו. חפשו שגיאות כתיב, ניסוחים קלוקלים או עיצובים שנראים לא בדיוק כמו שנראה האתר של השירות.
5. תמיד לחשוד בשמות השולחים
אל תסתמכו על שמות השולחים, קל לזייף אותם במייל ועוד יותר קל ב-SMS. מה שכן, אם אתם קצת מתמצאים, נסו לנתח את כתובת המייל של השולח, אם אתם רואים שהכתובת נראית כמו ג'יבריש או שהיא פרטית (נגיד שם של מישהו @ שירות המייל) וההודעה מתיימרת להגיע מבנק אז כנראה שזה ניסיון פישינג. ארגונים ממשלתיים, שירותים מקוונים רשמיים או חברות לרוב ישלחו לכם מייל מכתובת ארגונית שנראית כמו משהו גנרי כגון info או sales עם כתובת האתר, שימו לב אם יש אי דיוקים בכתובות האתרים, למשל postil.com נראה כמו כתובת של הדואר אבל הסיומת com אינה משמשת חברות או ארגונים בישראל לפחות אלה שפועלים רק בישראל.
6. אל תתנו את שמות המשתמש, הסיסמאות או קודי ההתחברות לאף גורם שמבקש אותם
חשוב לדעת את העובדה הבאה. אף אחד, לא הבנק, לא קופ''ח ולא חברת החשמל, יבקש מכם את הפרטים האלה. אף פעם, אי פעם. זה לא מעניין אותם. אם יש לכם בעיית התחברות התקשרו למוקד השירות אם יש אחד כזה או דברו בצ'ט עם נציג. וגם אז הוא לא יבקש מכם את הפרטים האלה. אם כן, או שהוא מתחזה או שהוא לא מקצועי. כמו כן לא להתפתות לבקש עזרה מזרים. פנו לגורם מקצועי שאתם מכירים גם אם זה יעלה לכם קצת. זה עדיף מאשר למצוא יום אחד את החשבון מרוקן. הסיפור האחרון היה של צעיר שהצליח להשיג את פרטי ההתחברות של הורי ילדים אותם הכיר במשחקי אונליין וסחט אותם לאחר שהשתלט להם על חשבון הגיימר שלהם. הוא נתפס, אבל לא לפני שהצליח להתעמר ולהתעלל בקורבנותיו ולגנוב את כספי ההורים.