הרשתות החברתיות מהוות כר פעולה נרחב ונוח לכותבי נוזקות, ספאמרים וגם לגנבי זהויות. הקלות היחסית בה ניתן כיום לשלוף מידע מפרופילים ברשתות חברתיות, והנכונות של בעליהם לחלוק מידע אישי הופך אותן למטרה מספר אחת בכל הנוגע לגניבת זהות.
לפי מספר סקרים שנערכו בשנים האחרונות בשילוב עם סטטיסטיקות של גוגל, קרוב ל-50% מהגולשים הישראלים באינטרנט הם בעלי פרופיל ברשת חברתית, כאשר הרוב המכריע נמצא בפייסבוק.
גניבת זהות היא פעולה שבמהלכה מתקבלים מהקורבן המיועד פרטים אישיים המאפשרים לגנבים להתחזות אליו ולבצע בשמו פעולות מול חברות אשראי ובנקים, רכישה של מוצרים בשמו, ולעתים אפילו משמשות ככלי לפורצים לבתים.
בעקבות העליה התלולה בפופולריות של התקפות דרך רשתות חברתיות, ביצע אתר פייסבוק בשנתיים האחרונות שינויים בהגדרות האבטחה של חברים באתר, כך שלא ניתן יהיה לצפות במידע המוגדר אישי אלא אם כן הצופה נמצא ברשימת החברים של בעל הפרופיל.
מחקרים שנערכו בשנים האחרונות ע"י מספר חברות אבטחה הראו שקרוב ל- 50% מהמשתמשים ברשתות חברתיות מאשרים "הצעות חברות" מבעלי פרופילים לא מוכרים (זאת לא באמת דוגמנית משועממת שרוצה לשמוע על אוסף הבולים שלך), וכך מאפשרים להם גישה מלאה לפרופיל ולכל המידע המוגדר אישי, ונותנים כתובת נוחה למשלוח ספאם או לינקים שדרכם מושתלות נוזקות במחשב הקורבן. כמו כן, עדיין קיימים בעלי פרופילים רבים שהחליטו להתעלם מההודעות ה"מציקות" של האתר המבקשות הגדרות גישה לפרופיל לחברים בלבד.
אמצעי הזיהוי המופעלים כיום ע"י בנקים וחברות אשראי באינטרנט ובטלפון כוללים בדר"כ שאלת ביטחון, כמו שם הנעורים של האם או שמה של חיית המחמד, שרק בעל החשבון אמור להכיר. פרטים כאלה מופיעים לעתים קרובות בפרופיל המשתמש של חברים ברשתות חברתיות, או שניתן לגשת אליהם דרך רשימת החברים של בעל הפרופיל.
גנבי זהות משתמשים במספר שיטות לאיסוף מידע אישי:
פישינג (phishing) היא שיטה בה הגנב מפתה את הקורבן המיועד לספק סיסמת כניסה לאתר מסוים. בעבר היו נפוצים אימיילים שנשלחו כביכול מחברת אשראי או בנק, בבקשה לחידוש הסיסמה או עדכון הפרטים, עם לינק לאתר חלופי שהעלה מראש (קיימים היום מדריכים רבים באינטרנט כיצד ליצור דף כזה בקלות) שנראה זהה לדף הכניסה לאתר המקורי. בתקופה האחרונה, כאשר גולשים מודעים יותר לרגישות של מידע שקשור ישירות לגורמים פיננסיים, חלה עליה של מאות אחוזים בכל שנה במספר ההתקפות המנסות לגרום לקורבן המיועד להקליד את סיסמת הכניסה שלו לפרופיל ברשת החברתית. ההודעה תישלח בדר"כ מכתובת שמאוד קרובה לשם האתר המקורי כמו facebook@gmail.com.
ברגע שגנב מקבל גישה לפרופיל של המשתמש, הוא יכול לראות את כל המידע האישי של בעל הפרופיל, ולשלוח הודעות לרשימת החברים שלו בטוענות שונות בניסיון לקבל מידע נוסף, העברה של כסף לחשבון בנק או קישור לסרטון או אתר שדרכו מושתלות נוזקות במחשבים של החברים.
נוזקות (malware או crimeware) משמשות את גנבי הזהות על מנת לפרוץ למחשב של הקורבן המיועד ולמשוך מידע אישי שמאוחסן בו כמו מס' חשבון בנק או כל מידע אחר שיכול לשמש את הגנב. זה יכול להיות Trojan (סוס טרויאני) שמאפשר לגנב גישה מרחוק למחשב של הקורבן ללא ידיעתו, או keylogger שמתעד הקלדות באותו המחשב, מה שמאפשר בקלות לגלות סיסמאות גישה לחשבונות דוא"ל ואתרים של בנקים וחברות אשראי. תולעים (worms) שולחות הודעות פישינג לרשימת החברים ברשת החברתית או בדוא"ל, וכך מרחיב הגנב את המאגר של הזהויות הגנובות שברשותו. סקרים שערכו לאחרונה מספר חברות אבטחה מראים שקיים סיכוי גבוה משמעותית שמשתמשים ברשתות חברתיות יקליקו על קישור לאתר זדוני שקיבלו מ"חבר" מאשר לקישור שנשלח באמצעות אימייל.
שלושה מתכנתים הולנדים הקימו לפני מספר חודשים אתר שנועד לקדם את המודעות של משתמשי רשתות חברתיות לסכנה שיש בעדכוני סטטוס תכופים. הם השתמשו בקוד javascript ו- HTML כדי ליצור מנוע חיפוש שידע לחפש בטוויטר, שהמשתמשים הכבדים בה מעדכנים סטטוס אישי בכל כמה דקות, ולהצביע על משתמשים שנמצאים מחוץ לבית או בחופשה. את המנוע הם העלו לאתר שנקרא www.pleaserobme.com (בתרגום חופשי: בבקשה תשדדו אותי) בו ניתן היה להקליד שם של משתמש טוויטר ולקבל מייד את מיקומו הנוכחי. פורצים לבתים לא צריכים להיות מתכנתים כדי לרכוש כלי כזה מאחת ממשפחות הפשע הרבות (שרובן ממזרח אירופה) המייצרות נוזקות וכלים לכל מי שמוכן לשלם עבורם כסף, וניתן לכתוב כלי משוכלל הרבה יותר שיכול להיות מותאם גם לכל רשת חברתית אחרת, שיוכל לתת סטטיסטיקות מפורטות לאורך זמן על מיקומו או עיסוקיו על קורבן מיועד.
אז איך מתגוננים מפני גניבת זהות? קודם כל, חשוב להתקין תוכנת אנטי וירוס עם פתרון אבטחה שכולל הגנה מנוזקות, סריקה של מידע המועבר בפרוטוקול HTTP, וחומת אש שתדע לאתר גישה מרחוק או העברה של מידע מהמחשב או אליו. יש להגדיר סריקה תקופתית, לפחות פעם בשבוע, של המחשב לאיתור נוזקות. חשוב לא לאכסן מידע פיננסי או אישי במחשב, ולא לשמור סיסמאות לאתרים ולחשבונות משתמש באתרים שונים בצורה לא מאובטחת - ניתן להשתמש בתוכנות קידוד או לשמור את המידע בכונן קשיח נייד שאינו מחובר באופן קבוע למחשב. חשוב גם לא לשמור מידע חיוני בתיבת הדואר הנכנס או הדואר השמור בחשבון הדואר האלקטרוני, ולהקפיד למחוק כל מייל שמכיל מידע שכזה. כמו כן, אם ניתן לגשת לאתר הרשת החברתית או לחשבון הדואר האלקטרוני בפרוטוקול HTTPS המאובטח יותר, לשמור את הקישור לאתר בצורה זו (לדוגמא: https://www.facebook.com).
הכותב הוא אמיר כרמי, ראש צוות התמיכה הטכנית בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Smart Security. קומסקיור מפעילה בארץ מוקד תמיכה ופתרונות טכניים בשפה העברית.