כתובת המייל שלנו היא נכס יקר מאוד. נכס שתוקפים יכולים להשתמש בו על מנת להתקיף את המשתמש. הדבר נכון עוד יותר בנוגע לאנשים ידועים יחסית שגם כך מהווים מוקד להתקפות.
הכתבה הזו תחולק לשני חלקים. החלק הראשון שבו אני אסביר על איך אני יכול לנצל את פייסבוק על מנת להשיג בקלות יחסית מייל של כל משתתף. בחלק השני אני אסביר למה זה כל כך חשוב.
הבאג של פייסבוק
הדרך הטובה להסביר את זה היא עם סרטון שבו אדגים איך מוצאים את כתובת המייל של כל אדם בקלות. אני אדגים על עצמי, אבל כמובן שאפשר לעשות את זה על כל אדם.
חשוב לציין שהראשון שהסב את תשומת לבי לעניין היה המתכנת גיא סלע (המייסד של Poker Fighter) אני פשוט המשכתי בדרך שהוא גילה לראשונה. לא מדובר בבאג אבטחה קריטי כמובן אבל בבאג.
אם אין לכם סבלנות לראות את הסרט – אז זה עובד ככה: ראשית מאתרים את חשבון הפייסבוק של האדם ודרכו את שם 'שם המשתמש' של אותו אדם בפייסבוק נמצא.
עם שם המשתמש הזה ניתן לנסות להתחבר. פייסבוק תציג לנו גרסה מקוצרת של המייל שאותה קל לנחש וזו מהות הבאג – הערבול וההסוואה של המייל לא טוב מספיק.
על מנת לאשש את הניחוש שלנו ננסה להכניס שוב לפייסבוק את המייל. גם כאן יש באג, פייסבוק לא מגבילה אותי בכמות הניסיונות, כך שאפשר בקלות לבנות brute force שינחש את המייל. ברגע שנקבל אישור – בינגו! יש לנו את המייל.
דיווחתי על התקלה לפייסבוק כמובן. בניגוד לגוגל, ששם תהליך הדיווח היה פשוט ויעיל. בפייסבוק זה היה יותר קשה ולא קיבלתי תשובה מיידית. עבר כבר יום שלם ועדיין לא קיבלתי תגובה מ׳ענקית הטכנולוגיה׳. אז נראה לי שזה בטוח לפרסם.
תוספת מאוחרת ממשתמש שבחר להיות אנונימי:
חשוב לציין שגם אתרים אחרים משתמשיםן בשיטות האלו וחושפים תווים אחרים – כך שלמעשה ניתן להצליב בין כמה חשבונות של בן אדם בכמה אתרים (בפרט אם הוא פתח חשבונות בהם – טוויטר, גוגל, אינסטגרם וכד׳) ולגלות עוד כמה תווים. עבור אנשים מפורסמים שפותחים עם אותו מייל , יהיה ניתן לעבור על רשימה של אתרים מראש (רשתות חברתיות ואתרים נפוצים מאותה מדינה), ולמצוא את פרטי המייל שלהם.
מה אפשר לעשות עם מייל?
אלא אם כן אתם מתכנתים זקנים שמתעניינים בעיקר במטאל, בריצה ובתכנות, סביר להניח ששמעתם על השערוריה התורנית החדשה בתחום אבטחת המידע. והפעם היא (שוב) הדלפת תמונות של זמר מפורסם ודוגמנית. בדרך כלל פרשה כזו גורמת לדאגות אצל האדם הסביר. אבל האמת היא שהתהליך מאחורי גניבות תמונות שמתרחשות באופן סדיר הוא פשוט למדי להבנה ופשוט גם להגנה. מן הסתם, אנחנו צריכים את המייל של המותקף. תודה לפייסבוק על זה!
בניגוד לתוכנות כופר, וירוסים ותוכנות זדוניות אחרות שמתפשטות ברשת ללא הבחנה ופוגעות במי שאפשר, ישנן מתקפות ממוקדות יותר. מתקפה כזו לא מצריכה ידע מיוחד או אפילו כלים מיוחדים ולפיכך השכיחות של התקפות כאלו הולכת וגדלה. המזל הוא שעם מודעות והבנה אפשר לעצור את המתקפה.
התקפות מסוג זה מתבצעות בדרך כלל על ידי השגת הסיסמה ושם המשתמש של ג׳ימייל. ג׳ימייל הוא שירות המייל הפופולרי ביותר בעולם וכמעט לכל אדם יש אותו. בעבר, שירות המייל הכיל תכתובות אישיות. כיום רוב המיילים שלנו הם תכתובות רשמיות אבל הדבר החשוב ביותר הוא שהמייל שלנו הוא מפתח לכל השירותים הוירטואליים שלנו וברגע שיש לנו גישה למייל של אדם כלשהו, יש לנו גישה לכל השירותים שלו בקלות. כולל לכל התמונות שהוא מצלם.
איך זה עובד? ברגע שאני משיג את פרטי חשבון המייל של אדם כלשהו – כלומר כתובת המייל והסיסמה, אני יכול להכנס לחשבון המייל של אותו אדם. מעבר לזה שאני יכול לצפות במיילים שלו, אני יכול להכנס לכל שירות שהוא ולבצע שחזור סיסמה. תהליך פשוט שמתבצע כאשר אנחנו שוכחים סיסמה.
כאשר אנו רוצים לשחזר סיסמה לאתר כלשהו, כמו פייסבוק בדוגמה לעיל. אנו מכניסים את כתובת המייל שלנו ולוחצים על ׳שכחתי סיסמה׳. האתר שולח לכתובת המייל שלנו קישור לאיפוס הסיסמה. אנחנו לוחצים עליו ומתבקשים להזין סיסמה חדשה. התוקף, כשיש לו שליטה במייל שלנו, עושה את זה בדיוק ויכול להשיג גישה למייל. אם הסיסמה שלנו למייל ולאתר זהה (מה שקורה ברוב המקרים) הוא יכול לנסות את מזלו עם הסיסמה של המייל שאותה כאמור הוא יודע.
עם כתובת המייל אפשר להכנס כאמור לכל אתר ולצפות בתמונות פרטיות שהצבנו בפייסבוק או באינסטגרם ואינם חשופות לגולשים. אבל איך אפשר להכנס לתמונות שצולמו בטלפון הנייד? כיום מכשירי אנדרואיד מחוברים באופן אוטומטי לגוגל תמונות וכל התמונות המצולמות בו עולות אוטומטית ל-Google Photos ושם הן שמורות ונגישות אך ורק למי שיש לו את החשבון…. כלומר, למי שיש לו את שם המשתמש והסיסמה! וכך מי שמצליח להשיג את כתובת המייל שלכם והסיסמה יכול לגשת לתמונות.
לאחר שהבנו שהמייל והסיסמה הם הרכוש הוירטואלי היקר ביותר, אנחנו צריכים להבין איך תוקפים מצליחים להשיג אותם בקלות. ישנן כמה דרכים להשיג סיסמאות של כתובת מייל, אבל אנחנו נתמקד בדרך הפשוטה ביותר והנפוצה ביותר – פישינג.
בשיטת פישינג אנחנו גורמים לאדם עצמו לתת לנו את הפרטים האלו. איך? יש מגוון שיטות. השיטה הפשוטה ביותר לא מצריכה שום ידע טכנולוגי. להתקשר לאדם עצמו ולהתחזות לטכנאי של הארגון שלו ולבקש ממנו את הסיסמה. זה נשמע אידיוטי, אבל לא מעט מתקפות עבדו בדיוק ככה. השיטה הזו כל כך נפוצה שיש אפילו ערך בויקיפדיה עליה.
דרך מתוחכמת מעט יותר היא לבצע התקפה ממוקדת תוך כדי שאנחנו גורמים לקורבן להקליד את פרטי המייל. למשל, שולחים מייל לקורבן שאומר לו שהחשבון שלו בג'ימייל עומד לפוג והוא צריך ללחוץ על הקישור כדי למנוע את התפוגה. האדם הסביר ילחץ על הקישור. הקישור, שהוא קישור מאובטח יפנה אותו לדף שנראה זהה לחלוטין לדף הכניסה לג'ימייל. המשתמש יקליד את הדואר שלו ואת הסיסמה שלו ותופיע הודעת תודה. אך הפרטים לא נשלחים כמובן לג'ימייל אלא לתוקף.
גוגל מנסה להלחם בתוקפים, במידה וההתקפה נעשית בקנה מידה נרחב ויש גולשים שמדווחים עליה, האתר שמכיל את הטופס המזויף נחסם ומי שינסה להכנס אליו באמצעות כרום יקבל התראה מאוד בולטת על מנת לא להכניס את הפרטים.
אבל במתקפות ממוקדות באדם אחד, אף גולש לא ידווח וגוגל לא ידעו שיש טופס מזויף והקורבן לא יקבל את ההתראה הזו.
הקורבנות יכולים להתגונן על ידי מבט בשורת הכתובות. אם אנו צריכים לעשות לוגין לגוגל, בשורת הכתובת אנו חייבים לראות google.com:
למרבה הצער, רוב הגולשים לא טורחים להסתכל בשורת הכתובות וזו הסיבה להצלחה יחסית של מתקפות ממוקדות. בתנאי שאני יודע מה המייל של המותקף. אם מתקפה אחת נכשלת, אני יכול לנסות שוב ושוב בדרכים שונות.
מה הפתרון האולטימטיבי כנגד סוג כזה של התקפה? להשתמש באימות דו שלבי. אימות דו שלבי הוא קל לשימוש וקל להפעלה. אימות דו שלבי מחייב בכל חיבור ממחשב לא מוכר לחשבון שלי להשתמש בסיסמה נוספת שניתנת לייצור רק על גבי הטלפון האישי שלי. אם אין לי את הטלפון, לא אוכל להתחבר לחשבון. בכל שירות ניתן להפעיל אימות דו שלבי והוא נתמך בכל המדינות. כיום יש לי אימות דו שלבי על חשבון המייל שלי, חשבון הפייסבוק, הטוויטר, המייל וחשבון האחסון של האתר שלי. הפעלתי אותו בכל חשבון שהוא מספיק חשוב עבורי.
ההפעלה של אימות דו שלבי בג'ימייל היא פשוטה ביותר. צריך להכנס לדף הזה של גוגל ולעקוב אחר ההוראות וההסברים.
אם אתם אנשים ידועים, או שאתם חוששים מזליגת הנתונים והתמונות האישיות שלכם אל הרשת, זה הדבר הראשון והחשוב ביותר שכדאי לעשות. נכון, ניתן לבצע התקפות אחרות, אך התקפת הפישינג שמיועדת לגניבת ססמאות היא מתקפה פשוטה שקלה לביצוע על ידי כל האקר-וונאבי. שימוש באימות דו שלבי ירתיע לפחות אותם. בנוסף, אל תתנו לפייסבוק את המייל האישי שלכם.
4 תגובות
זו לא פרצה בפייסבוק. זו פרצה במוח של דר זוזובסקי.
אם הפרטיות שלה היתה חשובה לה, היא היתה מסווה את עצמה קצת יותר.
השתמשתי בה רק בתור דוגמה, אבל ניסיתי עוד לא מעט אנשים כולל את עצמי ואכן הצלחתי ואפילו בקלות. הפתרון הוא רק 2FA.
אממממ חייב לשאול….
"איך זה עובד? ברגע שאני משיג את פרטי חשבון המייל של אדם כלשהו – כלומר כתובת המייל והסיסמה, אני יכול להכנס לחשבון המייל של אותו אדם. מעבר לזה שאני יכול לצפות במיילים שלו, אני יכול להכנס לכל שירות שהוא ולבצע שחזור סיסמה. תהליך פשוט שמתבצע כאשר אנחנו שוכחים סיסמה."
אם השגת את כתובת המייל שלי, לא אומר שאתה יכול בהכרח להכנס לחשבון שלי לא כן? עד לרגע זה, יש למחזיק כתובת המייל שלי רק את שם המשתמש שלי לדואר… לגלות את הסיסמא זה קצת יותר גדול – נכון, הרבה אנשים משתמשים באותן סיסמאות וללא צירופים של אותיות גדולות / קטנות וללא מספרים ותווים מיוחדים…. הרבה מהסיסמאות הינן תאריך לידה / כתובת / וכו'…
לא, אבל זה מתחיל לסלול את הדרך להתקפת פישינג ממוקדת שבמסגרתה הוא יתן לי את הסיסמה מרצונו. אם אני רוצה להתקיף אדם מפורסם שידוע לי שמו והמייל שלו, זה כבר קל. אלא אם כן יש לו אימות דו שלבי.