דף הבית  >> 
 >> 

הרשם  |  התחבר


זהירות! קישור לפניך 

מאת    [ 28/12/2009 ]

מילים במאמר: 1634   [ נצפה 2844 פעמים ]

זהירות! קישור לפניך

רו"ח סיגל שפיץ טולדנו וקובי זווירש

כיום אנו חיים בעידן שהטכנולוגיה היא חלק מחיינו. אנחנו מחזיקים בזהויות וירטואליות, עושים קניות באינטרנט, מחדשים את רישיון הנהיגה והרשימה עוד ארוכה. האינטרנט הפך לדבר כה טרוויאלי בחיינו, ממש כמו צחצוח שיניים ועם זאת רובנו לא מודעים לסכנות האורבות לנו מעבר לפינה. נכון, רוב האנשים אינם אנשים טכניים ואצל חלקם השימוש באינטרנט מסתכם בשליחת תמונה לדודה מניו יורק. אך בדיוק כמו שלימדו אותנו לא לקבל סוכריה מאדם זר, בעזרת כמה כללים פשוטים נוכל להפוך את חווית הגלישה שלנו לבטוחה הרבה יותר.

במרבית המקרים ניתן לאמר כי הבעיה נובעת מהרגלים לא נכונים שצברנו במשך הזמן. אם תשאלו אדם מהו אתר מאובטח, ישנה סבירות גבוהה כי תקבלו את התשובה "אתר מאובטח זהו אתר שיש לו את הסימן מנעול ליד הכתובת". אותו מנעול מאפשר לנו לדעת כי האתר עושה שימוש בפרוטוקול SSL(Secure Socket Layer). ואכן ככה לימדו אותנו. אם תיכנסו לאתרי קניות או מוסדות שונים המאפשרים תשלומים באינטרנט לדוגמה, תמצאו שם מקום בו הם מסבירים כי האתר עושה שימוש בהצפנה של הנתונים, בצירוף תצלום של הדפדפן, בו ניתן לראות את המנעול. סימן המנעול הוא הדבר היחיד שהמשתמש המצוי זוכר ומבחינתו עצם הימצאותו מעידה כי האתר בטוח. אכן, שימוש ב SSL מבטיח כי התעבורה שעוברת בין מחשב כלשהו לבין אתר אינטרנט, מוגנת בפני ציתות של גורם צד שלישי.

אך האם זה מספיק? לצערנו לא.

אתרים העושים שימוש ב SSL מכילים תעודה המונפקת על ידי אחד מהגורמים המורשים לכך (לדוגמת Verisign) שתפקידם לוודא זיהוי של האתר ובעליו. התעודה מכילה שלושה פרמטרים המעידים על מהימנותה. הדפדפן בודק את הערכים הללו, ויציג לנו התראה במידה והתגלה פרמטר לא תקין. במאמר זה לא נפרט כיצד מתבצעת בדיקה זו, אך יש לציין כי מרבית האנשים לא טורחים לקרוא את הודעת השגיאה ובוחרים להתעלם ממנה.

אחת משיטות ההונאה הנפוצות ביותר כיום באינטרנט הינה "פישינג". זו שיטה בה אתר זדוני מתחזה לאתר לגיטימי במטרה לגנוב מידע. בדרך כלל, מידע זה יכיל את הסיסמה שלנו לאתר המקורי אליו רצינו להכנס. אותם אתרי פישינג מנצלים את מה שלימדו אותנו (לחפש מנעול) ועושים שימוש ב SSL כדי שהמשתמש יאמין שהאתר אכן בטוח. במקרים אלו מפעילי האתר לא יגישו בקשה לתעודה כדי שהתרמית לא תיחשף וייצרו את התעודה בעצמם. בבואנו להיכנס לאתר, הדפדפן יציג לנו התראה אודות התעודה, אנחנו נתעלם ממנה באלגנטיות ונמשיך לעמוד הבית בו נתבקש להקיש שם משתמש וסיסמה. לאחר מכן נקבל בדרך כלל הודעה על פיה האתר אינו זמין כרגע או שלא יקרה דבר. בצורה זו מפעילי האתר יצברו כמות גדולה של נתונים שתוכל לשמש אותם לשם כניסה לאתר המקורי, שם יוכלו לצפות במידע האישי שלנו ובמקרה הגרוע אף לבצע פעולות שונות כגון העברת כספים, קניית מוצרים, התחזות ועוד.

אתרי הפישינג עושים שימוש בטכניקות שונות כדי לשכנע אותנו להגיע לאתר שלהם. ב 90 אחוז מהמקרים מדובר בקישור (Link) שראינו או נשלח אלינו, מלווה בפיסקה שתנסה לשכנע אותנו שמדובר בגוף מוכר ואמין. הקישור יכול להגיע אלינו באמצעות דואר אלקטרוני, תוכנות מסרים מיידיים או פורומים שונים באינטרנט.

שיטה נוספת היא שימוש בפירצה קיימת באתר. ניצול הפירצה נעשה על ידי טכניקות של הזרקת קוד, באמצעותם נעשית השתלה של תוכן מזויף באתר קיים. מאותו רגע יוצג בפנינו האתר המקורי והתוכן המזויף באותו עמוד. גם במקרה זה, ינסו לגרום לנו למסור נתונים כאלה ואחרים. שיטה זו מתוחכמת יותר מכיוון שלא נקבל אף חיווי בכניסה לאתר. כמו כן, ישנה אפשרות שזהו אתר שאנחנו נכנסים אליו מדי פעם באמצעות קישור השמור אצלינו במועדפים, אז מה, פתאום הוא לא בסדר?

 

אז מה ניתן לעשות כדי שגם אנחנו לא ניפול בפח?

·         חוק מספר אחד, להיות חשדניים. הגורם האנושי הוא החוליה החלשה בהונאות מעין אלו. אם נקבל הודעה שמתרה בנו להיכנס לאתר כי: יש לנו חוב, זכינו בפרס או כל הודעה שכתובה בסגנון דומה, מיד צריכה להידלק אצלנו נורה אדומה, במיוחד אם לא זכור לנו שמסרנו את כתובת הדואר האלקטרוני שלנו לאותו גורם. אם בכל זאת קיים ספק, אפשר לצלצל לחברה ולברר. אך לא לעשות שימוש באף מספר שמצורף בגוף ההודעה.

·         נכנסתם לאתר העושה שימוש ב SSL וקיבלתם התראה מהדפדפן? קיראו בעיון את ההודעה בטרם תמשיכו לגלוש. זכרו: Better safe than sorry.

·         לא למסור מידע אם אין לכך סיבה הגיונית. חברת כרטיס האשראי שלך לא צריכה שתמסור לה את מספר הכרטיס.

·         שימו לב לשגיאות כתיב. סבירות נמוכה שגופים מכובדים יפרסמו הודעות או ישלחו דואר עם שגיאות.

·         הרבה תרמיות ינסו לבלבל את המשתמש עם כתובת שדומה לאתר המקורי. לדוגמה: www.bankleomy.co.il.

·         לא לפתוח קישורים חשודים שהגיעו אלינו באמצעות דואר אלקטרוני, מסנג'ר, פורומים וכו'. אם באמת חשוב לנו להגיע לאותו אתר, נברר את כתובתו במנועי חיפוש אמינים.

·         עשו שימוש בגרסאות האחרונות של הדפדפנים הנפוצים. בהרבה מהם קיים תוסף אנטי פישינג שיתריע מפני אתרים חשודים.

·         עשו שימוש בתוכנות אנטי וירוס ו – Anti-Malware. כך תגנו מקודים זדונים אשר מבצעים שינויים במערכת ההפעלה ומפנים אותכם לאתרי פישינג ללא ידיעתכם.

 

גלישה בטוחה ומהנה!

 

 

 

רו"ח סיגל שפיץ טולדנו הנה מנכ"לית שותפה בחברת הייעוץ דיס ביקורת ואבטחת מידע, וקובי זווירש הנו יועץ אבטחת מידע בחברה.

 

*חברת דיס ביקורת ואבטחת מידע, מתמחה במתן שירותים מקצועיים ע"י מומחים בתחומי ביקורת פנימית, ניהול סיכונים ואבטחת מידע. החברה אשר הוקמה בשנת 2006 משלבת ידע וניסיון עשיר - הן בפן התהליכי והן בפן הטכנולוגי, ומסייעת לארגונים לשפר ולייעל תהליכים, לחסוך בהוצאות ולמקסם את רמת האבטחה בארגון. על לקוחות החברה בארץ ובעולם נמנים גופים פיננסיים, רשויות מקומיות, חברות ממשלתיות, חברות טלקום ועוד.

http://www.this.co.il




מאמרים חדשים מומלצים: 

חשיבות היוגה לאיזון אורח חיים יושבני  -  מאת: מיכל פן מומחה
היתרונות של עיצוב בית בצורת L -  מאת: פיטר קלייזמר מומחה
לגלות, לטפח, להצליח: חשיבות מימוש פוטנציאל הכישרון לילדים עם צרכים מיוחדים -  מאת: עמית קניגשטיין מומחה
המדריך לניהול כלכלת משק בית עם טיפים ועצות לניהול תקציב -  מאת: נדב טל מומחה
חשבתם שרכב חשמלי פוטר מטיפולים.. תחשבו שוב -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב