$
  • חיפוש
שירות לקוחות מינוי לעיתון כלכליסט ביוטיוב ניוזלטר
כלכליסט-טק
כלכליסט-טק גיימריסט הקברניט IT מכשירים ומדריכים הייטק והון סיכון הסטארטאפים המבטיחים 25 שוברת קודים CES2023 +GROWTH יומנו של סטארט-אפיסט WallTech יוניסטרים 2024 מוסף מרץ 2022 תחבורת המחר הסטארטאפים המבטיחים 2023 הסטארטאפים המבטיחים הסטארט-אפים המבטיחים 22 יוניסטרים 2022 Tech@Work יוניסטרים 2023 קוקיז על חלל יוניסטרים 2025 TechTalk Growth 2025 סייבר הייטק בפקקים פטנטים וקניין רוחני דו"ח טכנולוגי
RSS  RSS כלכליסט-טק | לרשימת כל ה-RSS

לשתף חברים, לא האקרים: כך תגנו על חשבון הפייסבוק שלכם

התקנתם אפליקציות פייסבוק שמבטיחות הזמנה לגוגל+ או מתחזות לשירות שיחות הווידיאו החדש? ייתכן שמסרתם להאקרים מידע אישי. מומחי אבטחה מסבירים ל"כלכליסט" איך להגן על החשבון, עם 8 טיפים חשובים

שי ענבל 17:27 20.07.11
תגיות:

 

פייסבוק היא מקור למגוון עצום של בעיות פרטיות: ההגדרות לא ברורות לחלוטין, ברירות המחדל בעייתיות והרשת משנה אותן אחת לכמה חודשים. אבל יש בעיה נוספת הקשורה לשמירת המידע האישי ברשת החברתית, הנמתחת אל מחוץ לגבולות שלה. רבים אינם יודעים זאת, אך האפליקציות, אחד הרכיבים החשובים והמרכזיים של פייסבוק, כולל משחקים פופולריים כמו פארמוויל, הן למעשה חלק נפרד מהרשת החברתית - תחום שבו יוצרי היישומים יכולים לעשות כבשלהם.

 

האקרים מנצלים את המצב ומפיצים אפליקציות שבעזרתן הם משיגים מידע אישי או אפילו משתלטים על חשבונות של גולשים. בימים האחרונים ניצלו האקרים את השקת שירות הווידיאו צ'ט של פייסבוק כדי להפיץ אפליקציה שהתחזתה לשירות החדש, ואפליקציה אחרת התחזתה להזמנה לרשת המתחרה, גוגל+. הגולשים שמאשרים את התקנת האפליקציה נותנים למפתחים גישה למידע האישי ששמרו ברשת, ויותר מכך.

 

אבל יש דרכים למנוע את זליגת האישי מהחשבון שלכם ברשת החברתית: שני מומחי אבטחה, רועי שרייבר ואסף גריינר, מסבירים ל"כלכליסט" איך השיטה של ההאקרים עובדת, וחשוב יותר - איך מתגוננים מפניהם. בסוף הכתבה תמצאו 8 כללי אצבע, שיעזרו לכם להשתמש בפייסבוק בראש הרבה יותר שקט.

 

מה מסתתר מאחורי האפליקציה?

 

"פייסבוק לא רק שלא בודקת את האפליקציות שלה, היא גם מצהירה שאין לה אחריות על אפליקציות שלא היא כתבה", אומר שרייבר, מנהל המחלקה הטכנית ומעבדת המחקר בחברת "מגלן טכנולוגיות הגנת מידע". "כשיש כ-20 מיליון אפליקציות שמותקנות ביום על ידי משתמשים, לפייסבוק אין הרצון והיכולת לבדוק את כולן, בעיקר משום שהאפליקציות תורמות לפופולריות שלה".

 

היישומים הללו, שהחברה מסירה מהם כל אחריות, יושבים למעשה על שרתי צד שלישי. "נניח שהאפליקציה לקחה מידע שהיא לא היתה אמורה לקחת, ופייסבוק לבסוף החליטה להסיר אותה - כל המידע עדיין נמצא אצל המפתחת, מחוץ לפייסבוק", מסביר שרייבר.

 

מנכ"ל פייסבוק, מארק צוקרברג. הרשת לא בודקת את האפליקציות
מנכ"ל פייסבוק, מארק צוקרברג. הרשת לא בודקת את האפליקציותצילום: אי פי

 

המצב הופך לבעייתי שבעתיים כאשר מתגלים ליקויים שונים. "לאחרונה תוקנה פרצת אבטחה ברשת החברתית, שאפשרה למפרסמים לגשת לחלקים גדולים מהמידע הפרטי של המשתמשים. טוענים שבמספר השנים שבהן היתה הפרצה קיימת למיליוני אפליקציות היתה האפשרות לשאוב מידע פרטי. יכול להיות שרובן לא עשו זאת, אבל ההצגה של הרשת החברתית כאילו לא נגרם נזק היא בעיקר כדי להרגיע".

 

מה אפשרה הפרצה לעשות?

"המפתחים יכלו לגשת לחשבון הפייסבוק ובעצם לקחת את המפתח המזהה (Token) שמאפשר גישה לחשבון ולפרופיל, ואפילו להעלות פוסטים בשמך. גם אחרי שהבעיה תוקנה, האפליקציה יכולה להשתמש בחשבון, אפילו אם הסרת אותה, כי ה-Token עדיין נמצא בשרתים שלה".

 

"במקרה כזה, הדרך היחידה למנוע שימוש ב-Token היא לשנות את הסיסמה - דבר שרוב המשתמשים לא יודעים שעליהם לבצע. אבל לעתים האפליקציות לא זקוקות לגישה מלאה לחשבון, משום שבעת התקנת אפליקציה המשתמש מעניק לה הרשאות גורפות לחשבון. הרבה אפליקציות לא עובדות אם לא תאשר להן את ההרשאות המלאות, אז בסוף אתה מאשר מבלי להבין את הסיכונים", אומר שרייבר.

 

"הרבה אנשים לא מודעים להגדרה של 'מידע שזמין דרך החברים שלך': אם אני מתקין עכשיו אפליקציה, היא יודעת גם מי החברים שלי ויש לה גישה למידע פרטי שלהם, כולל שמם וגילם. התקנה של אפליקציה בעייתית לא מסכנת רק אותי, אלא גם את כל החברים שלי".

 

אז מה בעצם הפתרון עבור מי שרוצה להגן על עצמו?

"תחילת הפתרון, כמו כל דבר, היא במודעות. אנשים צריכים להבין מהו הסיכון שהם לוקחים על עצמם - לפעמים הסיכון שווה בעיניהם ולפעמים כדאי דווקא להחליט שלא. חלק מהדברים אפשר למנוע על ידי שינוי הגדרות ברירת המחדל. יש להימנע מלהתקין אפליקציות עם הרשאות מסוימות, וכדאי ליצור חשבון נוסף מסוים רק עבור משחקים ואפליקציות".

 

הספאם נעשה יותר נוח

 

גריינר, סמנכ"ל המוצרים בחברת אבטחת המידע קומטאץ', מגדיל לעשות וטוען שחשבון נפרד לא מספיק. "הייתי ממליץ לעשות הפרדה בין מחשבים שבהם אתם עושים פעולות מתירניות, לבין כאלה שאתם עושים בהם דברים רגישים. אפילו עם חשבונות שונים, יש גורמים שיודעים איך לעקוב אחריך ברחבי הרשת עם Cookies וכדומה, ואם זו אפליקציה המבוססת על פלאש, הם יכולים להיכנס מאוד עמוק".

 

אולי התחום שעבר את השדרוג המשמעותי ביותר הודות לרשתות חברתיות הוא הספאם. פייסבוק ודומותיה בעצם פותחות עולם חדש ונפלא לכל המפיצים הללו. הודעות הספאם המוצלחות יותר הן אלה שמבצעות התאמה אישית למשתמש.

 

"בספאם רגיל ההודעה נשלחה לעשרות מיליוני משתמשים, שקיבלו בסופו של דבר את אותו אימייל ואחוז ההקלקה עליהם היה מאוד נמוך. היום, כשספאמרים שולחים הצעות למשתמשים ברשתות חברתיות, הם יכולים לדעת הרבה פרטים עליהם. אם מישהו בעל תחומי עניין מסוימים או חבר בקבוצה מסוימת ואתה מנסח הודעה עבור החברים בקבוצה הזו - הסיכוי שהם יפתחו את ההודעה גדל משמעותית. בזכות הרשתות החברתיות, ההתאמה האישית של הספאם היא הרבה יותר קלה".

 

יש לזה פתרונות, גם בתוך פייסבוק עצמה. המשתמש יכול להגדיר את מידת החשיפה של התחביבים שלו, הקבוצות שאליהן הוא משתייך ורשימת החברים שלו.

"הרוב המוחלט של המשתמשים לא משנה את ההגדרות, אלא נשאר עם ברירת המחדל - ומדובר במשהו מאוד מתירני. במובן מסוים זו המהות של מקומות כמו פייסבוק: אם היו רוצים לעשות רשת סגורה, שבה אף אחד לא רואה אף אחד אחר, זו לא היתה רשת חברתית. מי שרוצה להיזהר צריך המון רצון ומוטיבציה להתעסק עם זה. רוב המשתמשים נחשפים ברשת מבלי שחשבו עד הסוף על המשמעויות של החשיפה הזו".

 

הסכנות ברשתות חברתיות לא מסתכמות רק בתיבת האימייל. רבות מהן מתרחשות באתר עצמו. "אנשים נורא רוצים כפתור דיסלייק, ואת הצורך הזה הרמאים מנצלים. הם פונים לכמות גדולה של משתמשים, ואומרים להם: אם אתה רוצה להוסיף כפתור דיסלייק, זה סט הפעולות שאתה צריך לבצע. התוצאה, כמובן, היא דליפה של פרטי משתמשים אל הנוכלים".

 

אילו עצות ניתן לתת למי שמנסה להיזהר מהונאות בפייסבוק ובכלל?

"בעיקר לפקוח עיניים. רוב הדברים שנראים טובים מכדי להיראות אמיתיים הם אכן כאלה. כיום אמצעי התקיפה נהיים יותר ויותר משוכללים וכל שיש למשתמשים לעשות הוא לשמור על תשומת לב ולהסתמך כמה שיותר על ההיגיון הבריא".

 

איור: אסף בן ארוש

 

8 כללי בסיס להגנה על החשבון בפייסבוק

 

1) שנו את סיסמת הכניסה פעם בחודש: פתחו את "הגדרות החשבון", בחרו ב"סיסמה" ואז באפשרות "שינוי".

2) בחרו סיסמאות המורכבות משילוב של אותיות ומספרים. הימנעו מלשלב בהן פרטים מוכרים כמו תחביבים, שמות או תאריכים.

3) השתמשו בכניסה מאובטחת באמצעות HTTPS. אפשרות זו נמצאת תחת "הגדרות החשבון>אבטחת חשבון".

4) לחצו על קישורים לעמודים ברשת החברתית רק מתוך האתר עצמו או דרך אפליקציות רשמיות. לא מומלץ ללחוץ על קישורים מתוך אימיילים ולינקים באתרים חיצוניים.

5) הגדירו חשבונות משתמש נפרדים. החשבון שבו לא תמסרו פרטים אישיים ישמש אתכם רק לאפליקציות בעייתיות מבחינת פרטיות הגולשים (כמו פארמוויל), או ליישומים שאינכם בטוחים במקורם.

6) בטלו גישה של אפליקציות פייסבוק המותקנות אצל חברים לפרטיכם האישיים. אפשרות זו נמצאת בתפריט "חשבון>פרטיות>יישומים ואתרי אינטרנט". הסירו את הסימון מכל התיבות ב"מידע הנגיש דרך חבריך".

7)אל תאשרו אוטומטית כל בקשת חברות. מאחורי תמונה אטרקטיבית עלול להסתתר ספאמר. תמיד בדקו את מידת הקרבה אליכם של מבקש החברות.

8)בחנו מדי פעם את האפליקציות שמותקנות אצלכם. ניתן לעשות זאת תחת "חשבון>פרטיות>יישומים ואתרי אינטרנט" ולחיצה על Apps you Use. הסירו אפליקציות שנראה כי הן אינן נחוצות
עקוב אחר כל השווקים ב-TradingView
x