$
אינטרנט

הקליק ונפגע: 5 השיטות בעזרתן האקרים מצליחים לעבוד עליכם

שליחת תמונות עירום למייל של העבודה, התחזות לאנשי תמיכה של חברת טכנולוגיה, הפלת משתמשים באתרי ארכיוני הורדות ואפילו התחזות לנשים סקסיות במיוחד; כך מצליחים פושעי סייבר להטעות את ציבור הגולשים

רפאל קאהאן 22:4419.11.17

כשמדברים על האקרים, עולה דימוי של מומחי סייבר סינים או רוסים שכותבים ומשגרים נוזקות משוכללות שמפצחות תחנות כוח ושרתים מאובטחים. בפועל, לרוב התוקפים אינם מומחים גדולים או מפתחי נוזקות, משום שאין להם צורך להיות כאלה: הם צריכים רק לשלוח לכם איזה לינק נגוע, ולקחת מה שבא להם אחרי שתלחצו עליו.

 

 

הנדסה חברתית - אוסף הטכניקות שגורמות לכם להקליק על הלינקים הללו - היא שיטת התקיפה הכי נוחה. ברשימה זו תכירו את חמש השיטות היצירתיות ביותר, מהן צריך להיזהר.  

 

1. הונאת הפורנו במשרד

 

רוב המשתמשים ביקרו לפחות פעם בחייהם באתר פורנו זה או אחר, וההאקרים יודעים זאת היטב. מה הם עושים? פשוט שולחים למייל עם סיומת מקצועית (שם חברה) מייל ובו אישור הרשמה לאתר סקס זה או אחר, בצירוף לינק להסרה מרשימת התפוצה.

 

מה? איך זה הגיע למחשב של המשרד? מה? איך זה הגיע למחשב של המשרד? צילום: Croton Web Design

 

 

הגולש הנבוך, שלא רוצה שהבוס יראה שיש לו קשר לאתר פורנו, מקליק במקרים רבים על הלינק להסרה. בשלב זה, הוא יועבר לאתר שיבשר לו שאין בעיה להימחק מרשימת התפוצה, צריך רק להזין מייל וסיסמה למחיקת החשבון. וכך, מקבל ההאקר את פרטי ההתחברות שלו או אפילו גישה למייל הארגוני.

 

2. הונאת המתיחה הטלפונית

 

כולנו מכירים את המיילים האלה שמציעים לנו להקליק על קישור ולקבל את האייפון החדש כפרס - ואז משאירים לנו נוזקה במחשב. אבל יש שיטה פשוטה יותר בה האקרים משתמשים כדי להשיג גישה למחשבים שלכם: הם פשוט פונים אליכם ומבקשים. התוקף יתחזה לאיש תמיכה או שירות לקוחות של חברת טכנולוגיה וישלח לכם מייל ובו יבקש את פרטי הגישה שלכם כדי לפתור בעיה (הוא יכול לעשות את זה גם בטלפון).

 

אני? אני מהחברה שמתקנת את המדפסת אני? אני מהחברה שמתקנת את המדפסת

 

 

אם זה קורה לכם, דעו ששום חברה, לא אמזון, מיקרוסופט או גוגל, תיצור קשר ביוזמתן עם לקוחות או משתמשי קצה. למעשה אסור לאנשי השירות שלהן לחזור ללקוח אם הלה לא יזם את הקשר מלכתחילה. אותה השיטה גם עובדת על בסיס התחזות לאנשי רשות המסים שיספרו לכם על החזר מס מלפני חמש שנים, שמחכה לכם אם רק תספקו את פרטי חשבון הבנק שלכם. ובכן, לצערכם זה לא יקרה. רשות המסים תשלח לכם מכתב רשמי ותספק לכם מספר טלפון (שכמובן יצלצל בלי סוף ללא תשובה) או כתובת מייל רשמית לחזרה (עם סיומת taxes.gov.il).

 

3. הונאת מלכודת הדבש

 

זוהי הונאה שמתמקדת בגברים רווקים, ועובדת היטב בעידן המדיה החברתית ושליחת תמונות הזימה. ההאקר מזהה קורבן פוטנציאלי ברשת חברתית או אתר היכרויות ויוצר איתו קשר תוך התחזות לאישה סקסית נטולת עכבות.

 

הצצת? יתכן שמדובר בסחיטה הצצת? יתכן שמדובר בסחיטה צילום: Global Digital Citizen Foundation

 

 

לאחר התכתבות קצרה (שיכולה להתבצע גם בידי בוט), ישלח ההאקר לקורבן תמונת עירום ויבקש אחת בתמורה. לכשיקבל אותה, יפנה ההאקר לקורבן למהלך סחיטה קלאסי. או שידרוש תשלום כדי למנוע פרסום של התמונה ברשת, או שהתמונה שקיבל הקורבן הכילה קוד זדוני שגם הצפין לו את המחשב ודורש כופר לשחרורו. מה עושים? פשוט לא שולחים תמונות אינטימיות למישהו שלא פגשתם מעולם.

 

4. הונאת הקובץ החסר

 

נכון שיש את המדפסת הזו בבוידעם שצוברת אבק? ואז יום אחד מחליטים להשמיש אותה לילד בשביל שיוכל להדפיס עבודות לבית הספר על המחשב שסבא וסבתא קנו לו ליום הולדת? אז תמיד עולה הבעיה הקבועה: המדפסת בת מאה, והיא דורשת דרייבר שסופק בזמנו על גבי CD-ROM שכמובן הלך מאז לאיבוד. המשתמש הסביר יגגל את השילוב הבעייתי driver printer - ובתוצאות החיפוש יופיעו לו מאות אתרי הורדות שמכילים "ארכיונים" בהם ניתן לקבל את התוכנה המבוקשת.

 

המדפסת לא עובדת? היזהרו מאין אתם מורידים לה דרייבר המדפסת לא עובדת? היזהרו מאין אתם מורידים לה דרייבר

 

 

רבים מהם הוקמו בידי האקרים, שיבקשו פרטים כגון כתובות מייל ואולי גם פתיחת חשבון משתמש כשתבקשו להוריד את הקובץ. זה כמעט תמיד יסתיים בהורדה שתכלול קובץ דמה במקרה הטוב (כשהמייל שסיפקתם יועבר מיד לידי מפיצי ספאם), גניבת פרטי ההתחברות במקרה הבינוני או נוזקה במקרה הגרוע. הפתרון: חפשו תוכנות אך ורק באתרי היצרנים או היבואנים הרשמיים.

 

5. הונאת העוקץ הקלאסי

 

זו שיטה החביבה על ההאקרים, משום שהיא קלה לביצוע ומפילה גולשים תמימים בפח בקלות. ראשית, בונה ההאקר אתר שדומה באופן מרשים לאתר קניות כגון איביי או אתר קופונים למשל. כל מה שנשאר זה לייצר רשימת דיוור שכוללת הנחות מפליגות על מוצרים נחשקים - המשתמש התמים לוחץ על הקישור והשאר היסטוריה.

 

פייסבוק? לא בדיוק פייסבוק? לא בדיוק צילום: InfoSec Resources

 

 

מי שאינו מעורה בדקויות עיצוב אתרים לא ישים לב לכתובת הלא בדיוק מדויקת (למשל, ebbay במקום ebay) או לשינוי הקל בעיצוב. התקפה כזו בוצעה רק השבוע בישראל והבטיחה זוג כרטיסי טיסה לבריטיש איירווייז. מי שהתפתה והזין את מספר הטלפון שלו חטף שירות פרימיום בתשלום שגבה עד 50 שקל לשיחה שבוצעה אליו דרך הקישור הזדוני.

 

 

 

זיכרו, אם זה טוב מדי כדי להיות אמיתי - זה לא אמיתי. אין ארוחות חינם ואף חברה לא תעשה קמפיין בו היא מבטיחה מתנות יקרות ערך בלי להוציא הודעה רשמית לתקשורת.

בטל שלח
    לכל התגובות
    x