גם אובמה, מאסק וגייטס הבינו: פריצה לחשבון במדיה החברתית חמורה מפריצה לחשבון הבנק

הפריצה לחשבונות הטוויטר של מפורסמים הוכיחה פעם נוספת עד כמה מדיה חברתית משמעותית בעידן הנוכחי. מחקרים הראו שפרטים של חשבון פייסבוק מאומת נמכרים במחיר של 125 דולר, 60 דולר יותר מפרטי גישה לחשבון בנק שיש בו לפחות 2,000 דולר

יותם גוטמן
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
ברק אובמה וג'ו ביידן
ברק אובמה וג'ו ביידןצילום: אי־אף־פי

הפריצה לטוויטר בסוף השבוע האחרון היא האחרונה מבין סדרת פריצות לחשבונות מדיה חברתית של סלבריטאים שארעו בשנים האחרונות. הפריצה הזו שונה מאחרות משום שהיא ארעה בכמות גדולה מאוד של חשבונות בפרופיל גבוה ביותר – במקביל. (בין החשבונות שנפרצו היו של המועמד לנשיאות ג׳ו ביידן, ברק אובמה, קים קרדשיאן, קניה ווסט, אלון מאסק וביל גייטס). בנוסף, התוקפים השתמשו באותם חשבונות כדי לצייץ את אותו מסר, תוך ניסיון להונות את הציבור הרחב (לשלוח ביטקוין לחשבון מסוים תוך הבטחה שהסכום יוכפל ויוחזר חזרה).

הניסיון הזה הוא ילדותי (ואכן, נראה שהתוקפים היו צעירים מאוד) ולא הניב למתקיפים שלל רב (בערך כ-120 אלף דולר). אולם, החולשה שהמתקפה הזו חשפה מדאיגה מאוד. מסתמן שהתוקפים השיגו גישה (כנראה דרך עובד טוויטר) למערכת ניהול המשתמשים הפנימית של טוויטר, וכך יכלו לצייץ משלל חשבונות מוכרים את אותו ציוץ שקרי. ההגנות המסורתיות של משתמשי מדיה חברתית, סיסמה חזקה וייחודית ושימוש במנגנון אימות 2fa, לא הגנו על אותם משתמשים משום שהפורצים השיגו גישה ישירה למערכת הניהול.

הפריצה הזו מוכיחה שוב עד כמה מדיה חברתית משמעותית בעידן הנוכחי וכמה ניתן לנצל לרעה את אותן פלטפורמות שדרכן אנו צורכים את רוב התוכן שאנו צורכים. במידה מסוימת, ניתן לומר שהפרסונה שלנו במדיה החברתית שווה יותר מאשר חשבון הבנק שלנו או כרטיס האשראי שלנו, אבל אנו לא מודעים לכך ומאבטחים את החשבונות הללו בצורה חלשה יותר.

מחיר עובר לסוחר

עדות לכך שחשבונות מדיה חברתית שווים יותר מחשבונות בנק וכרטיסי אשראי ניתן למצוא במחקר שפורסם באחרונה על מחירים של מידע הנמכר בדארקנט (רשת אפלה). החוקרים שסרקו אתרים שונים שמציעים למכירה מוצרים גנובים, מספרים שמחירו של כרטיס אשראי משוכפל, בצירוף הקוד הסודי, נמכר בסביבות 25 דולר. פרטי גישה לחשבון בנק שיש בו לפחות 2,000 דולר, נמכרים תמורת 65 דולר. לעומת זאת, פרטי חשבון פייסבוק מאומת נמכרים במחיר של 125 דולר.

ביל גייטסצילום: Arnd Wiegmann/רויטרס

הסיבה לפערים במחירים היא פשוטה. קשה מאוד להרוויח כסף משימוש בכרטיס אשראי גנוב. אפשר ללכת לכספומט ולמשוך כסף, ואז לעבור לכספומט אחר ולמשוך עוד פעם כסף, אבל במקרה כזה הכרטיס כנראה ייחסם. לחילופין, ניתן להשתמש בכרטיס להזמין מוצרים שונים באתרי e-commerce  שאינם דורשים פרטי הזדהות נוספים (כגון תעודת זהות), אבל אז נוצרת בעיה. הרי זה לא חכם להזמין את המוצר הביתה אז לאן תבקש לשלוח את הפריט?

כמו כן, לא ניתן לבצע רכישות בסכומים גדולים. בעלי הכרטיס יקבלו הודעה ויחסמו אותו. החסימה תתרחש גם במקרה גם שבו הפושעים יבצעו מספר רכישות גדול בפרק זמן קצר (מערכות זיהוי הונאה של חברות כרטיסי האשראי בנויות במטרה לאתר דפוסים כאלו).

הוצאת כספים מחשבון הבנק מסובכת אף יותר, שכן בנקים מבקשים מהמשתמשים לשנות את הססמאות כל כמה חודשים. בנוסף, בהנחה שהפורץ נכנס לחשבון ומזהה שם כסף שניתן להעבירו בלי לעבור דרך בנקאי (כמו שבירת תוכניות חיסכון) – מה הלאה? צריך לבצע העברה בנקאית לחשבון שהוקם במיוחד לטובת הגניבה (אחרת יהיה קל מאוד לזהות את הגנב).

גם כאן קיימות מגבלות על סכומי כסף שניתן להעביר ועל תדירות ההעברה. חלק מהחשבונות דורשים אישור טלפוני של בעל החשבון או הזדהות באמצעי אחר (sms) - מה שמקשה מאוד על ביצוע הגניבה.    

אילון מאסקצילום: JOE SKIPPER/רויטרס

מה שווה במדיה חברתית?

גישה לחשבונות מדיה חברתית של משתמשים אמיתיים ולא של בוטים יכולה להיות רווחית מאוד עבור פושעים. קודם כל, חשבונות אלה משמשים היום ״מפתח״ להרבה אתרים ושירותים אינטרנטיים. אנשים רבים משתמשים בחשבון שלהם כחלק מתהליך ההרשמה והאימות לאתרים אחרים. 

כלומר, מי ששולט בחשבון שלנו יכול להיכנס דרכו לחשבונות אחרים. בנוסף, ניתן להשתמש בחשבון מדיה חברתית כדי לבצע הונאות מורכבות של social engineering. לדוגמה, ניתן להשתלט על חשבון ולשלוח ממנו בקשות שונות לאנשי הקשר. בקשות אלה יזכו למענה בסבירות גבוהה יותר מסתם מייל בסגנון ״אני נסיך ניגרי וזקוק לעזרה להוציא כספים שקיבלתי בירושה״.

איום נוסף הינו שימוש בחשבון הפרוץ להפצת תעמולה או פייק ניוז. איום נוסף, והמשמעותי ביותר, הוא שימוש בחשבונות של אנשים בעלי פרופיל גבוהה במיוחד (סלבריטאים, פוליטיקאים או מנכל"ים של חברות מובילות) על מנת לבצע מניפולציות על שוקי המניות ודרכן לגרוף הון רב. לדוגמה, תוקף שהשיג גישה לחשבון של מנכ"ל של חברה מוכרת יכול לרכוש בחסר (״שורט״) כמות גדולה של מניות ואז לצייץ מאותו חשבון שהחברה חוותה איזו קטסטרופה. הידיעה תפיל בוודאות את מחיר המניה והתוקף יגרוף לכיסו ממון רב.

באותו אופן ניתן לקנות שורט על כל השוק ולצייץ מחשבון של פוליטיקאי על פיגוע גדול או קיצוץ בתקציב - שיפיל את כל הבורסה. הידיעות הפיקטיביות יופרכו בזמן קצר אבל זה כבר יהיה מאוחר מדי. התוקפים יוכלו למכור בזריזות את הפוזיציה שבידם וללכת הביתה כשכיסיהם תפוחים.  

משתמשים יוכלו לשלם עבור פיצ'רים נוספים שישדרגו את חווית השימוש שלהם בטוויטרצילום: Kacper Pempel/רויטרס

בתוך כך, הפצת ספאם, פורנו או דברי שטנה באמצעות החשבון שלכם יכולה להוביל לחסימה זמנית או תמידית של החשבון. הדבר יכול להוות מכה כלכלית קשה למשפיעני רשת שמתפרנסים מפרסום תכנים ברשתות.

מה ניתן לעשות על מנת להתגונן?

כפי שהפריצה לטוויטר הראתה, גורמים חיצוניים יכולים להשיג גישה לכל חשבון במדיה החברתית, בלי קשר לכמה טוב מבטח אותו בעל החשבון. ועדיין: זו אחריות של כל מי שמשתמש במדיה כזו (במיוחד אנשים בעלי פרופיל גבוה) לנקוט באמצעי זהירות הנדרשים, ובהם שימוש בסיסמה ייחודית, הפעלת 2fa (אימות דו-שלבי בעזרת המכשיר הנייד) ובחינה של כל האפליקציות המחוברות לחשבון מפעם לפעם.

עבדכם הנאמן בדק פעם בלינקדאין וגילה כי מעל ל-80 אפליקציות חיצוניות מחוברות לחשבוני. בטוויטר המספר עמד על 61 (רוצים לבדוק כמה אצלכם? לכו ל״חשבון״, ״יישומים וחיבורים״ ושם מופיעה רשימה של כל האפליקציות שמחוברות כרגע לחשבון שלכם). למה זה רע? כי חלק מהאפליקציות והאתרים האלו לא מתוחזקים ברמה גבוהה, ייתכן אפילו שחלקם סתם נועדו למטרת השגת גישה לחשבון שלכם. כדאי מדי פעם לעבור על הרשימה הזו ולבטל גישה לאפליקציות חיצוניות שאתם כבר לא משתמשים בהן.

בידקו גם אלו מכשירים מחוברים לחשבון שלכם. מן הסתם יש ליותר ממכשיר אחד גישה לחשבונכם, אך סביר להניח שגם למכשיר הסלולרי הישן או ללפטופ שסתם זרוק איפשהו יש עדיין גישה לחשבונכם. מומלץ כמובן לאפשר רק למכשירים שבהם אתם עושים שימוש כעת להתחבר לחשבון.

וכמובן: אף פעם, אבל אף פעם, אל תתנו למישהו את פרטי ההזדהות שלכם. זה יכול להביא לכך שהפרטים האלו יגיעו לידי תוקפים שישתמשו בהם להיכנס לחשבון וליצור סיסמה חדשה שתנעל את המשתמש הלגיטימי בחוץ ותאפשר להם להשתולל עם החשבון שלכם. זה קרה לאובמה, בייל גייטס וזה יכול לקרות גם לכם, אז תיזהרו ותשמרו על פרטי ההזדהות של חשבונות המדיה החברתית שלכם - הם שווים הרבה לפושעי סייבר, ואם הם יפלו לידיים הלא נכונות הדבר יכול לגרום לכם למבוכה רבה.

יותם גוטמן

יותם גוטמן | תעשיית הסייבר - מבט מפנים

אני בוגר קורס חובלים של חיל הים, עבדתי בתעשיות הביטחוניות ובחברות Homeland Security ומודיעין עד שהגעתי לעולם הסייבר לפני כ-7 שנים. עבדתי בכמה סטארט-אפים בתחום בתפקידי שיווק, ייעצתי לחברות וכיום אני מנהל השיווק בישראל של חברת SentinelOne. הקמתי ואני מנהל את קהילת אנשי השיווק בסייבר שמונה יותר מ -300 אנשי ונשות מקצוע מיותר מ-170 חברות. 

הבלוג ישמש כמיקרוסקופ למתבונן מבחוץ אל תוך תעשיית הסייבר (שבינינו, סובלת ממיסטיפיקציה מוגזמת). הבלוג יעסוק בנושא התעסוקה וקריירה בעולם הסייבר, ויתמקד בטרנדים עסקיים, גלובליים ומקומיים שמעצבים את התעשייה ומשפיעים על העובדים.

בלוג זה הוא המשך לבלוג קודם של יותם גוטמן ב-TheMarker. לטורים בבלוג הקודם לחצו כאן

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker