שלום, אתם החוליה החלשה

אנחנו תמיד נעשה טעויות. זה טבעה של ההוויה האנושית. הדברים נכונים במיוחד כשמדובר באבטחה. אנחנו, אלה שיושבים בקצה המקלדת, לא תמיד שמים לב לכל הפרטים –אנחנו רק רוצים לגמור עם מטלה כזו או אחרת ולהמשיך הלאה אל הדבר הבא.

חוסר הסבלנות והצורך לקבל הכל כאן, עכשיו ומיד מתחבר כמו כפפה ליד לעידן הסמארטפון. בשנים האחרונות התרגלנו לחיות תוך כדי תנועה, כשהטלפון הנייד (שהוא כבר הכל חוץ מטלפון נייד....) מתחרה לא פעם בדברים החשובים באמת כמו האזנה לילדים או לבן הזוג שלנו. אנחנו חיים בעידן של מולטיטסקינג ושל עשיית דברים במקביל ודעתנו מוסחת בקלות.

ההתנהלות הזו עלולה לעלות לנו ביוקר – ולא רק בקשר שלנו עם הסובבים אותנו. זו יכולה להיות לחיצה מקרית על דוא"ל שקיבלנו מבלי לאמת את הכתובת המדויקת או הזנת סיסמאות למערכת הבנקאות המקוונת שלנו מבלי לשים לב שאנחנו בעצם מקלידים את הנתונים באתר שמתחזה לאתר הבנק שלנו. חוסר הריכוז הזה יוצר סיכון רב עבורנו ובה בעת מייצר הזדמנות פז עבור רמאים ופושעי סייבר.

פושעי הסייבר של היום למדו לרתום את הטכנולוגיות המתקדמות ביותר לטובתם, ויש להם גישה לקהילות שיתופיות של רמאים כמוהם, שמשלבים מוחות יחדיו כדי להמציא את ההונאה הבאה. ביחד עם חוסר תשומת הלב שמאפיין אותנו כיום, כל אלו מהווים מתכון בטוח לפריצה מוצלחת למאגר הנתונים הבנקאיים שלנו.

מהלכי ההונאה הופכים ליצירתיים יותר ומתוכננים בקפידה, ככל שכנופיות הפשע מתקדמות מהונאה להונאה. הפושעים לומדים מהר מאוד איך להפוך אותנו לקורבנות שלהם. כך שלמשל, בזירת הסמארטפונים, התקפות הונאה חייבות להיות מעוצבות לעילא ולעילא ולספק חווית משתמש מעולה כדי שאנחנו, כלקוחות, לא נרגיש בתרגיל שעוד רגע יעשו לנו. במקרים הללו, אפילו קהל מתוחכם יחסית יכול ליפול קורבן לרמאות ולספק פרטי זיהוי מוכמנים, מתוך אמונה שהאפליקציה שפתח, או האתר בו הוא גולש, הוא אתר הבנק האמיתי שלו ולא חלק מהונאה מתוחכמת.

אם המשתמש הוא החוליה החלשה, המסקנה היא, שההגנה בנקודות הקצה צריכות להיות החזקה ביותר – כלומר לעצור את ההונאה בתחילתה. ולכן, כשרוב האינטראקציה היום מבוצעת מהסמארטפון, ההגנה על המכשיר הנייד היא כבר לא שאלה של יתרון -- היא הופכת לחובה של ממש. המגמה הזו, שרק תלך ותתחזק בשנים הקרובות, צריכה להוות דגל אדום, גדול וברור, עבור כולנו.

בישראל מציעים כל הבנקים אפליקציות מובייל המאפשרות גישה לחשבונות הבנק שלנו, והשירותים המקוונים המוצעים דרכן מאפשרים גם לבצע העברות כספיות מהחשבון. אם מכשיר הסמארטפון מודבק באפליקציה זדונית ונמצא בשליטתו של תוקף, פרטי הכניסה לחשבון שלנו יכולים להיגנב, כשברוב המקרים נדע על כך רק כשחשבון הבנק יתרוקן.

בגניבת הודעות SMS על ידי אפליקציה זדונית, הסמארטפון יכול מהווה מקור או חלק בהונאה שמתחילה במחשב אישי. למשל במקרים של העברה כספית לנייד, בה המכשיר הנייד הוא הנקודה בה מתקבלים קודים ב-SMS, למשיכת מזומן מכספומטים ללא צורך בכרטיס מגנטי.

חושבים שהסיכון זניח? כדאי לדעת שגם ישראל על הכוונת מוסדות פיננסיים בישראל הם יעד מעניין לתוקפים מקומיים, וגם לכאלו הפועלים מארצות אחרות, לרבות מזרח אירופה. אתריהם של בנקים ישראלים וכרטיסי אשראי ישראלים נמצאים תדיר ברשימות המטרה של סוסים טרויאנים ידועים לשמצה.

חישבו על זה - לו היה עוצר אתכם שודד ברחוב ומאיים עליכם להעביר לו את הסמארטפון או את הארנק – מה הייתם מעדיפים לאבד? ארנק או סמארטפון? אם עניתם "ארנק" סימן שהבנתם נכון.

זוהי מציאות חדשה בה המודעות שלנו לאיומים הנוגעים למכשירים האישיים הללו חייבת לעלות רמה, וכמוה גם התנהלות נכונה על מנת להגן עליהם. הנה 10 עצות פשוטות שיכולות לעזור לכם ליהנות בבטחה משירותים מקוונים בנייד בלי להוות את החוליה החלשה לתוקפים:

1. הפסיקו לחשוב כי אתם יותר מוגנים בנייד מאשר במחשב האישי שלכם. האיומים כבר מזמן זלגו גם אליו.

2. הגנו על מכשירכם בעזרת סיסמת נעילה.

3. אל תפרצו את המכשיר שלכם ואל תתקינו עליו אפליקציות שמאפשרות זאת.

4. אל תלחצו על קישורים המגיעים אליכם ב-SMS, ערכם של אלו זהה לדואר זבל שמטרתו להפילכם בפח.

5. אל תפתחו מיילים משולחים לא מזוהים בנייד. אנו פותחים מיילים בסמארטפון הרבה יותר מהר מאשר במחשב, ולא יכולים לראות בו את כתובת האתר המלאה אליו נִשַׁלח דרך קישורים במייל. הנוכלים מסתמכים על כך! היסח הדעת הוא גורם משמעותי המחליש את בטחון מכשירכם.

6. עדכנו את מערכת ההפעלה של מכשירכם ושל כל אפליקציה שימושית בכל פעם שגרסה חדשה מוצעת לכם.

7. מחקו ממכשירכם אפליקציות בהן הפסקתם להשתמש.

8. בהורדה של אפליקציות, השתמשו אך ורק בחנויות הרשמיות של גוגל, אפל ומיקרוסופט.

9. השאירו את אפשרות ההתקנה של אפליקציות מחנויות צד שלישי כבויה, וזאת על מנת להימנע מהורדה של אפליקציות מחנויות/מקורות שאינם רשמיים.

10. בכל הורדה חדשה בדקו את ההרשאות המתבקשות מכם בהתקנה. אם נראה לכם כי זו אפליקציה שאינה צריכה לעשות שימוש באפשרות לגבות כסף, או לקבל גישת אדמיניסטרטור (מנהל מערכת) אל תיתנו הרשאה כזו, ואם צריך, בטלו את התקנתה!

הכותבת היא מומחית לפשעי סייבר, ב-IBM טראסטיר