rssyoutubefg

בכל דקה נגנבים או נאבדים בעולם 113 טלפונים ניידים, 1 מכל 10 מחשבים נפגע מווירוס מדי חודש (עוד לפני שמכניסים לסטטיסטיקה את נפגעי תוכנות הכופר), ו-29% מהמקרים של אובדן מידע קרו ממש בטעות בלחיצת כפתור או בהפלה כואבת על הרצפה. למרות זאת, 30% מהאנשים בעולם לא טורחים לגבות. מזל שיש יום גיבוי בינלאומי כדי להזכיר לנו עד כמה זה פשוט וחשוב!

אז איך אתם חוגגים את יום הגיבוי הבינלאומי שנערך מדי שנה ב-31 במרץ? כבר יש לכם תכניות? הנה לכם כבר תכנית אחת – לבדוק שהמידע האישי שלכם במחשב, בטלפון או בטאבלט אכן מגובה ומוגן היטב. זה אמנם אמור להיות מובן מאליו שהמידע נשמר בבטחה וכי תמיד ישנה יכולת לשחזר אותו מתוך הגיבוי, ובכל זאת עבור רבים מהאנשים בעולם כפי שמסתבר זה לא משהו טריוויאלי. הו, איזה מזל שיש יום גיבוי בינלאומי כדי להזכיר לנו עד כמה זה פשוט וחשוב לגבות!

יש הרבה סכנות שם בחוץ, שאורבות למידע האישי שלכם – מפגיעה בחומרה דרך איומי סייבר ועד אובדן המחשב או טעויות משתמש. תוסיפו לכך איום נוסף שהתפתח בשנים האחרונות שמציב את המידע שלכם בסיכון רציני – תוכנות כופר ארורות וזדוניות. כפי שאתם כבר בטח יכולים לדקלם מהכותרות ומהחדשות סוג זה של תוכנות מצפינות את הקבצים שלכם במחשב או בטלפון ולמעשה לוקחות אותם כבני ערובה עד שאתם, הקורבנות חסרי הישע תשלמו בין מאות לאלפי שקלים, בתקווה לקבל את מפתח ההצפנה המיוחל (שהעבריינים לא תמיד אכן שולחים לאחר התשלום). האיום הזה מתפשט בגלים עצומים ברחבי העולם וגורם נזק רציני לכולם, מהאנשים הפרטיים ועד לעסקים ולארגונים ממשלתיים. כל כאב הראש הזה יכול להימנע מכם אם תהיו סמוכים ובטוחים שהמידע שלכם מגובה כמו שצריך.

אל תעשו מחר מה שאתם יכולים לעשות היום – ועוד במיוחד כשמדובר ביום הגיבוי הבינלאומי! אל תכירו בחשיבות הגיבוי רק כשזה כבר יהיה מאוחר מדיי, וכן, מחר זה כבר נחשב מאוחר...

רבות הדרכים לגבות, רובן ממש פשוטות וזולות כאשר מחירי ענני אחסון או כוננים חיצוניים רק הולכים ויורדים. כמובן שיש גם שירותי גיבוי חינמיים למכביר ברשת. מצאו לכם את הדרך הנוחה ביותר לגבות ותוכלו לישון בשקט בלילה!

1. קטן ושובב: דיסק-און-קי
העבודה שאתם צריכים להגיש, התמונות מהסופ"ש הרומנטי עם בני הזוג, השירים שאתם שומעים בעת ריצה בפארק, או בקיצור כל קובץ אחר שנחשב עבורכם לרב חשיבות ונמצא במחשב שלכם. כל שעליכם לעשות הוא לחבר דיסק-און-קי ולהעתיק הכול לשם בלחיצת כפתור. זה אופן הגיבוי הכי זול ופשוט לגיבוי מידע, ויש היום דיסק און-קיאים בגודל של פחות מאצבע קיט-קט עם נפח של למעלה מ-64 ג'יגה בייט.
מצד שני, לדברים קטנים יש נטייה ללכת לאיבוד, במיוחד אם אתם נמנים על האנשים המפוזרים שלא מוצאים כלום אף פעם. חוץ מזה, מספר הפעמים שניתן לשכתב על דיסק און-קי את הנתונים מוטל בספק, כך שאולי לא מומלץ לבנות עליו ככלי גיבוי לטווח ארוך. מעבר לזה, הוא אינו מאפשר לכם להגדיר גיבוי אוטומטי או לגבות מכשירים ניידים, כמו הסמארטפון או הטאבלט שלכם, שאינם תומכים ב- USB. זה יכול קצת להיות מסורבל להעביר את הקבצים למחשב עם כבל ומשם לדיסק און-קי. יש כיום דיסק און-קיאים שמותאמים לטלפונים ניידים אבל שטח האחסון שלהם דיי קטן, והם כל כך פיציים ועדינים שלא בטוח במיוחד לגבות עליהם. אבל היי, לשיקולכם!

2. צא בחוץ: כונן אחסון חיצוני
כונן אחסון חיצוני הוא הביג דדי של הדיסק-און-קי. תוכלו למצוא בשוק מבחר מגוון של נפחי אחסון גדולים שיאפשרו לכם לגבות את כל הכונן הקשיח של המחשב אל כונן החיצוני. המחירים של הכוננים רק יורדים ויורדים. אם אתם מכירים מישהו שיש לו יומולדת ביום הגיבוי הבינלאומי – זו יכולה להיות אחלה מתנת יומולדת!
אבל היי, יש קאטץ' (הרי חייב להיות, נכון?) כונן אחסון חיצוני חשוף בדיוק לאותם איומים שעלולים לגרום לאובדן החומר החשוב מלכתחילה – דוגמת נפילות מתח או תוכנות זדוניות שמוחקות ומצפינות קבצים. אז מה עושים בנידון? אחרי שאתם מגבים בכונן חיצוני נתקו אותו מהמחשב. זה קריטי במיוחד בימים אלו של תוכנות כופר, כי אם הגיבוי מחובר למחשב בזמן שתוכנת כופר עושה בו את זממה, היא תצפין גם את הכונן.

3. מעונן חלקית: גיבוי בענן ציבורי
שמעתם את הביטוי "מחשוב ענן" בכל מיני הקשרים? זה לא מושג כזה מפחיד ששמור רק למביני עניין ולגיקים טכנולוגיים. ענן פשוט מספק לכם שירות גיבוי דרך האינטרנט, להבדיל אלפי הבדלות מתוכנה שמותקנת על המחשב. קיימות שפע אופציות חינמיות לאחסון הקבצים בענן – כאשר לרוב יש מגבלה של נפח אחסון. כמה שמות מובילים: דרופבוקס, iCloud וגוגל דרייב.
לא חסרים יתרונות לשירותי גיבוי ענניים - אופציה לגיבוי אוטומטי, תמיכה במגוון של מערכות הפעלה, אפשר לגשת אל המידע מכל מקום ומכל מכשיר - מחשב, סמארטפון, טאבלט או נגיד הסמארט וואטץ'. בהרבה מקרים השירות חינמי עד לנפח זיכרון מסוים.
אבל, איך אפשר בלי קאטץ'? קודם כל, אתם חייבים להיות מחוברים לאינטרנט כדי לבצע גיבוי. חוץ מזה, השרתים של החברות המספקות את השירות לא חסינים מפני פריצות או בעיות אבטחה אחרות והמידע שלכם עלול לדלוף במקרים כאלה. דבר נוסף: החברות אינן מבטיחות שהן ימשיכו את השירות החינמי לנצח, וייתכן שבעתיד הן יתחילו לדרוש תשלום על כל נפח אחסון.
עכשיו בתקופת הכופר, כבר קרה שהקבצים הוצפנו לא רק במחשב, אלא גם בשירות הענן שהיה מסונכרן באותה העת אל המחשב. קחו זאת לתשומת לבכם!

4. שטח פרטי: ענן פרטי
ענן פרטי עשוי להיות הגיבוי האידיאלי בשבילכם. זהו למעשה כונן אחסון קשיח שמחובר לרשת הביתית שלכם ומאפשר להתחבר אליו מכל מקום שתרצו. במקום שהקבצים שלכם ישבו בשרתים של חברה כלשהי, הם נשמרים על השרת שלכם שנמצא אצלכם בבית.
כמו כן, הענן הפרטי מאפשר ביצוע של גיבוי אוטומטי, חיבור ממגוון גדול של מכשירים וממגוון גדול של מערכות הפעלה. אתם גם לא צריכים לסמוך על רמת האבטחה של חברות אחרות ואין לכם הגבלה על נפח האחסון.
אבל היי, חייב להיות חסרון: המחיר של ענן פרטי עלול לנסוק לכמה אלפי שקלים. יש מצב טוב שעם השנים הענף יהיה תחרותי יותר והמחיר של ענן פרטי יוזל באופן משמעותי.

5. אולד פשן: הדפסה
אל תצחקו. או שקודם תצחקו ואז תחשבו על זה ברצינות – עם כל החדשנות הטכנולוגית הדפסה היא עדיין הדרך הטובה ביותר לשמור מסמכים יקרי ערך כמו תמונות, חוזים, מסמכים וכדומה. אנחנו כאן ב-ESET מכירים כמה משרדים שנפגעו מתוכנת כופר ובזכות כך שהם הדפיסו חלק גדול מהחומר וסידרו יפה בקלסרים, היה להם הרבה יותר קל לשחזר את המידע החשוב.
נכון, אחרי שמדפיסים אי אפשר ממש לערוך את החומר וזה לא הכי ידידותי לסביבה, אבל ההאקרים לא יכולים לשים יד על חומרים מודפסים או להצפין אותם. רק שלא יידעו איפה אתם גרים...

ועכשיו קצת "אל תעשה"
אף פעם לא טרחתם לגבות ובזכות הכתבה הזאת נפל לכם אסימון? אתם דווקא מגבים מדי פעם, אבל לא יודעים אם אתם עושים את זה נכון? הנה כמה דברים שממש לא כדאי לכם לעשות בזמן שאתם מגבים קבצים:
ביצוע רק גיבוי אחד – דיי נו, אל תהיו קמצנים. גיבוי אחד זה כבר משהו, זה יותר מלא לעשות גיבוי בכלל, אבל אל תתעצלו, קחו עוד כמה דקות ועשו עוד גיבוי. מה יקרה אם הגיבוי הראשון ייכשל? לא חבל? הא?
כונן הגיבוי מחובר כל הזמן למחשב – סיימתם לגבות לכונן חיצוני או לדיסק און-קי? מרגע שסיימתם את העניינים שלכם תנקו את הגיבוי מהמחשב. גם כוננים חיצוניים חשופים לאיומים כל עוד הם מחוברים למחשב. אם תבוא תוכנת כופר להצפין את הקבצים במחשב היא לא תפסח על הכונן המחובר אליו.
גיביתי פעם אחת וזהו, הכול סגור מבחינתי – גם אם ביצעתם גיבוי של המידע, ייתכן שדווקא בשעת הכושר, כשתצטרכו לשחזר, יתחוור לכם שמשהו בכלל השתבש בזמן הגיבוי ושהוא לא תקין. על כן, אל תתעצלו גם בקטע הזה – תיכנסו מדי פעם לשאול לשלומם של הקבצים ששמורים על הגיבוי כדי לוודא שהם תקינים והכול OK.

כבר עשיתם פאנלים? ניקיתם מאחורי המקרר? שאבתם את כל האבק מהשטיחים? יופי, אתם כמעט מוכנים לליל הסדר. רק כמעט, כי שכחתם לנקות את המחשב! חברת ESET מעניקה לכם 10 טיפים חגיגיים ופשוטים איך לקרצף ולמרק את המחשב מן היסוד

אנחנו כל כך טורחים ועמלים לקראת חגי ישראל ובמיוחד עם בוא חג הפסח לנקות כל פינה אפלה ומאובקת בבית, אבל תמיד שוכחים לנקות במקום לא פחות חשוב מאשר מתחת לספה או מאחורי המקרר – המחשב. הכוונה אינה לעבור עם סמרטוט מתחת למקלדת או להעביר "וויש" על המסך, אלא לנקות ממש בתוך המחשב, אתם יודעים, בין כל הקבצים והיישומים. ניקוי יסודי יגרום אפילו למחשב שהכי לא סוחב לפעול כמו חדש, כך שתוכלו להתגאות שכאילו "קניתם" מחשב חדש לכבוד החג. מומחי ESET הביאו לנו כמה טיפים טובים מאוד למסדר הניקיון הממוחשב:

1. רוצים לראות קסם? – בלי לשאול הרבה שאלות עשו את הפעולות הבאות – סגרו את כל התוכנות הפתוחות על המחשב, לחצו במקלדת על כפתור עם אייקון חלונות ביחד עם מקש R, תיפתח חלונית ה-RUN. כתבו בה את מילת הפלא - %temp% ולחצו על מקש ה-ENTER. תגיעו לתיקיית הקבצים הזמניים שבה שמורים אצלכם מלא, מלא, מלא קבצים שהפכו משום מה מזמניים לקבועים כי הם שוכבים בתיקייה מאז יציאת מצרים בערך ומעמיסים על פעולת המחשב. סמנו את כל הקבצים והתיקיות ולחצו על DELETE. הופ, התיקייה ריקה ונקייה!

2. תגידו, יש לכם בכלל אנטי וירוס מעודכן? – הרבה אנשים חושבים שהמחשב שלהם מוגן, אבל טעות גדולה בידם. בדקו מתי בוצע עדכון הגרסה האחרון של האנטי וירוס ועל כל מקרה, עשו שוב עדכון! אם אין לכם אנטי וירוס בכלל, אז דחוף להתקין. מומלץ לא להתקמצן ולהתקין אנטי וירוס איכותי בתשלום ולא משהו חינמי מהרשת שמגן באופן חלקי מאוד. אגב, לפי סקרים שבוצעו בשנים האחרונות על ידי מכון גיאוקרטוגרפיה עולה כי יותר ויותר ישראלים מפנימים את חשיבותו של אנטי וירוס שאינו חינמי.

3. עדכונים, עדכונים, עדכונים – זה הזמן לוודא שכל עדכוני מערכת ההפעלה, הדפדפנים ותוכנות כמו פלאש וג'אווה סקריפט הם העדכונים האחרונים ביותר. מדובר בבדיקה קריטית על מנת להגן על המחשב מפני איומים שונים.

4. גיבוי מלא של חומרי המחשב – נכון שכל הזמן אתם אומרים – מחר אני אגבה, שבוע הבא אני אגבה, ל"ג בעומר הבא אני אגבה? אז זהו, שפסח הגיע, ואם כבר אתם מסדרים את המחשב אז תהיו רציניים בעניין – גבו את כל מה שיש על המחשב בהתקן חיצוני ותתחילו את החג רגועים. בכללי, רצוי להקפיד על גיבוי על בסיס שבועי.

5. ניקוי שולחן העבודה – גם אתם נמנים עם האנשים ששומרים מיליון קיצורי דרך וקבצים על שולחן העבודה? זה בסדר, אתם בחברה טובה, אבל נכון שלוקח למחשב מלא זמן לעלות כל פעם שאתם מדליקים אותו? הגיע הזמן לעשות סדר – קיצורים וקבצים לא חשובים לפח המחזור, קבצים חשובים לתיקיות הייעודיות במחשב. ראו איזה פלא – המחשב עולה פתאום הרבה יותר מהר!

6. קסם מספר 2 – גשו אל "המחשב שלי" לחצו על properties, ואז על Advanced system settings. בחלון שייפתח בחרו תחת טאב Advanced -> Performance ב-settings. כאן אתם מוזמנים להוריד וי מהמון אופציות גראפיות שמעמיסות על פעולת המערכת ועל הזיכרון של המחשב.

7. מתלבשים על תיקיית ההורדות – זוהי תיקייה מבולגנת לחלוטין כמעט בכל מחשב ביתי, וגם במחשבים עסקיים. כל מה שאתם מורידים ברשת – תמונות, סרטונים, קבצי וורד, אקסל, קבצי הפעלה של תוכנות ושלל תופינים מתנקז לשם ולרוב לא עובר אל התיקיות הרלוונטיות במחשב, או שבמקום להיות מועבר רק מועתק ולמעשה יש כך במחשב שני עותקים של אותו קובץ – גם בתיקיית ההורדות וגם בתיקיה בה נשמר הקובץ פעם נוספת. אז זה הזמן לעשות סדר, ממש כמו בארון הבגדים או בארון המטבח – לאן הולך הקובץ הזה, הוא כבר שמור במקום אחר במחשב? למחוק. אין יותר צורך בקובץ בכלל? למחוק. אין לכם מושג מה הקובץ הזה עושה כאן? למחוק.

8. מתלבשים על התוכנות במחשב – ועכשיו נעבור לסוגיה כואבת אחרת – כשאתם לוחצים על התחל ועוברים על רשימת התוכנות המותקנות במחשב אתם לא יודעים איפה היא מתחילה ואיפה היא נגמרת? אתם לא באמת צריכים את כל מה שמותקן במחשב? יאללה, לכו ב"מחשב שלי" לגזרת הסרת התוכנות על מנת לבצע הסרה מסודרת ועברו תוכנה-תוכנה, אל תפסחו על אחת! פסח הוא הזמן האחרון לפסוח! יתפנה לכם מקום, יתפנו משאבי מערכת, ויהיה לכם קל יותר למצוא את התוכנות שאתם באמת משתמשים בהן על בסיס יומיומי.

9. קרצוף הדיסק הקשיח – אם עוד אין לכם על המחשב אז הורידו את תוכנת ccleaner – מדובר בעובדת ניקיון נפלאה שתנקה מהמחשב קבצים זמניים, תאיץ את פעולת הדפדפן וכן את פעולת מערכת ההפעלה, במיוחד כאשר אין כמעט מקום על הדיסק הקשיח והזיכרון הוירטואלי מקרטע. התוכנה גם מאפשרת לשלוט ביד רמה על התוכנות המופעלות אוטומטית עם עליית המחשב.

10. ולסיום בואו נאחה את הדיסק – לא תוכלו להתחמק מהפעולה הזאת, גם אם אתם מתכחשים לה, גם אם היא לוקחת זמן ואין לכם חשק, אתם חייבים אותה לעצמכם ולמחשב שלכם – לכו אל התחל, חפשו את ה-disk defragment ולחצו על, איך לא, defragment. כלי מאחה הדיסק יבריש את הזיכרון של המחשב בדיסק הקשיח ויחבר בין כל שברי הנתונים. הפעולה הזו אגב לא מעבירה או משנה מיקום של קבצים, למקרה שחששתם. בסך הכול מדובר בפעולה ש"מחליקה" את העיבוד. נכון, זה ייקח זמן, אבל זה שווה את זה!

אנחנו נתקלים בזה כל הזמן – הודעות מסתוריות מהבנק שטוענות שאנחנו צריכים לעדכן סיסמה, או הודעות SMS שמבשרות לנו על זכיה ענקית בלוטו. כל ההונאות האלו מכונות "הנדסה חברתית" ומטרתן היא לגרום לכם לעשות את מה שההאקר רוצה שתעשו. איך מזהים ונמנעים מהונאות כאלה?

הונאות "הנדסה חברתית" הן חלק כמעט בלתי נפרד מכל הונאות האינטרנט הנפוצות בימינו. המטרה שלהן היא לגרום לכם לסמוך על התוקף מספיק על מעת להיענות לדרישותיו – בין אם הוא רוצה שתתנו לו את הסיסמה שלכם, תפתחו ותתקינו קובץ כלשהו או שתשתפו איתו פרטים סודיים אחרים.

למעשה, האקרים משתמשים בהונאות הנדסה חברתית על מנת לתקוף את החוליה החלשה ביותר בשרשרת האבטחה – הגורם האנושי – ובכך לעקוף מנגנוני הגנה מתקדמים יותר.

אז מה זה בכלל "הנדסה חברתית"?

המונח "הנדסה חברתית", במובן הרחב ביותר שלו, מתייחס לניצול של תכונות פסיכולוגיות אצל האדם כדי לגרום לו להיענות לבקשות התוקף. במילים אחרות – המטרה של הנדסה חברתית היא לגרום לאחרים לעשות דברים בניגוד לרצונם, או בניגוד לשכל הישר. אך הרבה פעמים, התוקף נשמע משכנע מספיק כדי לגרום לקורבן שלו לשתף פעולה.

בהקשר של הונאות מקוונות, הנדסה חברתית מתוארת בתור טקטיקות שלא מתבססות על טכנולוגיה שבעזרתן האקרים משתמשים כדי לבצע הונאות, לאסוף מידע או להשיג גישה למחשבים של הקורבנות שלהם. הנדסה חברתית מסתמכת על יחסי אנוש והיא מנסה לגרום לכם לסמוך על התוקף עד כדי כך שלא תחשדו בו לפני שתמסרו לו את הפרטים הפרטיים ביותר שלכם.

הודעות פישינג, שיחות טלפון מ"נציגי תמיכה" מתחזים ואפילו הפצה של התקני USB נגועים בווירוסים "בחינם" הם סוגים נפוצים של הונאות הנדסה חברתית. הונאות כאלה קיימת גם ברשתות חברתיות כמו פייסבוק וליקדאין, שם התוקפים עלולים ליצור איתכם קשר ולנסות לרכוש את אמונכם – לעיתים במשך חודשים ארוכים של התכתבויות – לפני שהסיבה האמיתית ליצירת הקשר נחשפת.

הנדסה חברתית והעולם האמיתי

הנדסה חברתית אינה מוגבלת לאינטרנט בלבד. למעשה כל הונאה שהמטרה שלה היא השגת מידע אישי או סודי יכולה להיחשב כהנדסה חברתית.

זה כולל הונאות כמוTailgating שהיא התגנבות אחרי אנשים לתוך בנייני משרדים או אזורים מאובטחים, תוך התחזות לשליח או מנקה. במקרה מפורסם אחד הצליח חוקר אבטחה להתגנב בצורה חשאית למשרדים של חברה טכנולוגית גדולה ולגנוב מידע עסקי רב. למזלה של אותה חברה המטרה שלו הייתה להעלות את המודעות לנושא האבטחה, כך שלא נגרם שום נזק ממשי.

לאחרונה פושע אחד מבריטניה אפילו הצליח לברוח מהכלא תוך שימוש בטקטיקות של הנדסה חברתית. באמצעות סמארטפון שהוברח אליו לתא, הוא יצר תיבת דואר אלקטרוני מזויפת באמצעותה הוא התחזה לנציג בית המשפט ושלח הנחיות עבור השחרור שלו בערבות לצוות בית הסוהר. אותו עציר שוחרר בעקבות אותה הודעת דואר אלקטרוני אך מאוחר יותר, כשנגלתה ההונאה, הסגיר את עצמו שוב.

הנדסה החברתית היא כלי נשק יעיל מאוד בארסנל של פושעי הרשת, והם משתמשים בו בעיקר כדי לגנוב פרטים אישיים וסיסמאות, לדביק את הקורבנות שלהם בתכנות זדוניות או לגרום להם לשלם על כל מיני שירותים או מוצרים מומצאים. בנוסף, הנדסה חברתית היא עבודה קלה יחסית. קל יותר "לעבוד" על מישהו ולגרום לו לתת לכם את הסיסמה שלו מרצונו, מאשר להשקיע כסף ומאמץ מלפרוץ, לדוגמה, לתיבת האימייל שלו.

חמישה דברים שכדאי לדעת על הנדסה חברתית:

1. לא הונאות סייבר בלבד

הנדסה חברתית היא אחת מההונאות הוותיקות ביותר והיא לא מוגבלת לעולם האינטרנט בלבד. למעשה, נוכלים השתמשו בהנדסה חברתית בעולם "האמיתי" משחר ההיסטוריה תוך התחזות לכבאים, טכנאים, רופאים או מגידי עתידות במטרה להשיג מידע אישי או סודי שלאחר מכן שימש אותם כדי להשיג דברים חומריים יותר - כמו כסף.

2. האיכות ההונאות משתנה

איכות מתקפות ההנדסה החברתית משתנה מאוד ממתקפה אחת לאחרת. הרבה מההונאות נראות חובבניות במיוחד, עם שפה משובשת, סיפורים שסותרים את עצמם ומידע מבלבל. אבל לעיתים אנחנו עדים גם למתקפות הנראות אוטנטיות לחלוטין שמשתמשות בשפה תקינה, חומרים גרפיים איכותיים ואתרים מתחזים שלא היו מביישים חברות אמיתיות.

סביר להניח שכבר נתקלתם בכמה מההונאות האלה בעצמכם: החל מהודעות אימייל מפוקפקות מ"פליט ניגרי" כלשהו או הודעות שטוענות שזכיתם בסכומי כסף דימיוניים בהגרלת הלוטו של מדינה אחרת. קיימות אינספור דוגמאות לשימוש בהנדסה חברתית בהונאות סייבר.

3. גם מדינות עושות את זה

ריגול מקוון משחק תפקיד חשוב במאמצי הסייבר של מעצמות כמו רוסיה, ארה"ב, סין ומדינות נוספות, ואפילו הן משלבות טקטיקות של הנדסה חברתית כחלק ממתקפות סייבר מתוחכמות ורחבות יותר. בהרבה מהמקרים "איש המטרה" יהיה אדם בעל דרגה בכירה בגוף המותקף, כך שתהיה לו גישה למידע רגיש או מסווג.

דוגמה לכך התרחשה ממש לאחרונה במתקפת סייבר נגד תחנות כוח באוקראינה שבוצעה, לכאורה, על ידי רוסיה. המתקפה כללה הדבקה של מערכות המחשוב בתחנת הכוח בתוכנה זדונית מתקדמת ביותר, אך את הפרצה הראשונית למערכת השיגו התוקפים באמצעות קובץ זדוני שצורף להודעת דואר אלקטרוני תמימה למראה שנשלחה לעובדים בכירים בתחנה.

4. לא תקבלו אזהרות

הדבר המדאיג ביותר לגבי המתקפות הוא שאין שום סימן מובהק שיגיד לכם שאתם תחת מתקפה. אין הודעה שדורשת מכם לשלם (כמו בתוכנות כופר) או פרסומת מפחידה שרוצה שתורידו אפליקציה או תוכנה כלשהי. רוב הזמן, הפושעים מאחורי המתקפה גונבים את המידע שלכם ונעלמים, וייתכן שלעולם לא תדעו על כך.

5. הנדסה חברתית נגד ארגוני ענק

התקפות הנדסה חברתית משפיעות על כולנו, אבל יותר ויותר מתקפות מכוונות בימים אלה כלפי חברות וארגונים מהמגזר העסקי.

עיקר מתקפות ההנדסה החברתית במגזר העסקי בוחרות במנהלים בכירים בתור יעד המתקפה. מבחינת התוקפים מנהלים הם "מכרה זהב" – אם הם נופלים בהונאה, המידע שאתה יכול להשיג באמצעותם הוא בעל ערך רב יותר מאשר עובדים זוטרים בחברה.

איך נמנעים?

צריך לזכור שמטרת הונאות ההנדסה החברתית היא קודם כל לזכות באמונכם, אז הפושעים שמאחורי אותן הונאות יעשו הכל כדי לגרום לה להיראות אמינה ככל האפשר. אבל ישנם כמה כללים שיעזרו לכם להימנע מההונאות:

1. בנקים, חברות האשראי, רשתות חברתיות ושירותים מקוונים אחרים לעולם לא יבקשו מכם "לעדכן פרטים" או "לאפס סיסמה" בהודעת דואר אלקטרוני. אז מומלץ להתעלם מכאלו הודעות. אם אתם רוצים להיות בטוחים, צרו קשר עם שירות הלקוחות של השירות שכביכול פנה אליכם – אך אל תלחצו על אף קישור ואל תתקשרו לאף מספר טלפון, שמופיעים במייל עצמו.

2. הודעות שהן "טובות מכדי להיות אמיתיות" – כמו זכיה בלוטו, אדם שמבקש להעביר דרככם סכום גדול של כסף ממדינה זרה ואפילו מישהו שמציע לכם לקנות רכב במחיר נמוך באופן מחשיד ממחירי השוק – הן ברוב המקרים הונאות ויש להפעיל את השכל הישר לפני שעונים על הודעות בעלי אופי כזה או דומה.

3. מומלץ להשתמש בתוכנות לסינון דואר זבל. תוכנות כאלה יכולות למנוע מהודעות כאלה מלהגיע לתיבת הדואר הנכנס שלכם מלכתחילה, וכך להגן עליכם מההונאה.

4. היזהרו מ"הצעות חברות" של אנשים שאינכם מכירים ברשתות החברתיות, במיוחד אם אין לכם אף חבר או מכר משותף. אנשים רבים נפלו קורבן לנוכלים שפיתחו איתם קשרי ידידות ארוכים ברשת - עד שבשלב כלשהו נחשף העוקץ כשאותם אנשים ביקשו מהם תמיכה כספית.

5. הגנו על המחשב שלכם באמצעות תוכנת אבטחה וודאו שמערכת ההפעלה שלכם מעודכנת. זכרו, לאחר שהתקופים זכו באמונכם באמצעות הנדסה חברתית, הם עלולים לנסות להדביק אתכם בתוכנה זדונית כזו או אחרת. לכן חשוב להקפיד להגן על המחשב עם התוכנות המתאימות.

האם מצלמות האבטחה עומדות לתקוף את הטלוויזיה שלכם? והרי התחזית לאיומים הבולטים בשנת 2016

כמו בסיומה של כל שנה אזרחית, זה הזמן לסיכומים של השנה החולפת ותחזיות לשנה הבאה בתחום אבטחת המידע והנוזקות.

בכל שנה מתגלים איומים חדשים לגמרי, אך ב-2016 אנו צופים מגמות חדשות המנצלות את הטכנולוגיות שאנחנו אוהבים, מתלהבים ומשתמשים בהם על בסיס יומי כדי להוציא לפועל התקפות סייבר חדשניות, מתוחכמות וזדוניות מאי פעם. בין אם אלו תוכנות הכופר הצפויות להגיע לסמארטפונים שלנו ועד נוזקות הרשת המאיימות על הג'אדגטים של הבית החכם, איומי הסייבר החדשים הולכים להפתיע ולכן חשוב להכיר את האיומים הבולטים לשנה הקרובה.

תוכנות הכופר בעליה

תוכנות כופר הפכו בשנתיים האחרונות לנוזקות הפופולאריות ביותר בעולם וגם בישראל, למרות שהן קיימות כבר משנת 2005. תוכנת הכופר המצליחה הראשונה,CryptoLocker, הופיעה בספטמבר 2013 וזכתה להצלחה רבה בקרב עבריינים אינטרנטיים. עם הערכות של חצי מיליארד דולר בכספי כופר ששולמו ברחבי העולם עד היום, היא גרמה לרוב ארגוני הפשיעה שעוסקים בפיתוח והפצת נוזקות להפנות לשם את מירב משאבי הפיתוח שלהם.

מאז שהתשתית של CryptoLockerנסגרה ע"י רשויות אכיפת החוק ב 2014, צץ מספר אדיר של תוכנות כופר שונות עם דרכים שונות להדבקת מחשבים ורשתות, הצפנת הקבצים או נעילת הגישה למחשב והעברת תשלום הכופר, כאשר המפורסמת והנפוצה ביותר בישראל הייתה CTB Locker.

כיום ידוע לנו על קרוב ל- 50 משפחות של תוכנות כופר, כאשר לכל משפחה אלפי ווריאנטים, מה שהופך את תוכנות הכופר לסוג הנוזקות שתופס את הנתח הגדול ביותר בתחום.

במהלך החודש שעבר נחשפנו לפעמים הראשונות בהם התבצעו התקפות באמצעות תוכנות כופר שבהן העבריינים היו ישראלים. כל התכתובות מולם היו בעברית צחה ובבירור ללא שימוש ב Google Translate. גם כאן קיימת סכנה לחברות ישראליות, שעד היום בדרך כלל נדרשו מהן סכומי כופר סטנדרטיים. אם נראה עליה בהתקפות ע"י ישראלים על חברות ישראליות, כנראה שגם סכומי הכופר יעלו בהתאם, כאשר התוקפים ידעו טוב יותר מה הנזק הפוטנציאלי באובדן המידע.

אני מאמין שההכנסה הישירה שתוכנות הכופר מאפשרות לעבריינים, בניגוד לנוזקות אחרות שרובן דורשות מכירה של מידע לגורם שלישי, תמשיך להוות הגורם המכריע בהתחזקות של תוכנות הכופר בתור האיום הנפוץ ביותר בתחום הנוזקות.

תוכנות הכופר יתחזקו בפלטפורמות נוספות

בנוסף למספר העצום של תוכנות הכופר עבור Windows, החלו להופיע בשנה האחרונה גם פיתוחים עבור מערכות הפעלה פופולריות נוספות כמו אנדרואיד, OSX, ולינוקס.

רק לפני חודשיים הדגמתי בערוץ היוטיוב שלנו הדבקה של מכשיר אנדרואיד בתוכנת כופר כאשר המפתחים של הנוזקה מצאו דרך יצירתית למניעת הגישה למכשיר בשונה מהצפנה של הקבצים.

סוג חדש של נוזקת כופר עבור מערכות לינוקס שהתגלה בתחילת נובמבר, מכוון לפגוע בעיקר בשרתים שמחזיקים אתרי אינטרנט, כאשר הוא מצפין את תוכן האתר ודורש עבורו כופר.

סביר להניח שבשנת 2016 נראה סוגים חדשים נוספים של תוכנות כופר למערכות הפעלה שאינן Windows, ובעיקר עליה משמעותית בהתקפות כופר על שרתיWeb מסוג Apache בפלטפורמת CentOS, שהיא התצורה הנפוצה ביותר עבור אתרי אינטרנט ישראלים.

רשתות ה- Botnet מגיעות ופוגעת בטכנולוגיית ה- IOT

רשתות Botnet גם הן לא דבר חדש, ורובן עדיין מיועדות בעיקר להדבקה של שרתים עם יכולת עיבוד ותשתית אינטרנט מהירה, ובעדיפות שניה הדבקה של מחשבים אישיים, וזאת בכדי להשתמש ביכולת העיבוד ורוחב פס האינטרנט של רשתות נגועות כדי לתקוף שירותים בנקאיים, לבצע התקפות DDOS, לשלוח דואר זבל ועבור Bitcoin mining.

לפני כשנה התגלתה ערכת פריצה בשם Spike וזה היה המקרה הראשון בו הותקפו מכשירים שהשתמשו בטכנולוגיית ה- IOT.

לפני כחודשיים בלבד גילו חוקרי חברת Incapsula הישראלית רשת Botnet שהדביקה מצלמות אבטחה חכמות והשתמשה בהן כדי לבצע התקפות DDOS.

למרות שמדובר בעיקר ב"מכשירים טיפשים" בעלי יכולת עיבוד נמוכה מאוד, כמו מצלמות אבטחה, טלוויזיות חכמות, מקררים חכמים וכו'. מכשירים אלו בדרך כלל מותקנים עם סיסמת ברירת מחדל פשוטה או ללא סיסמה כלל, עובדים ב portברירת המחדל ולא מתוחזקים עם עדכוני firmware. הרוב המכריע של מכשירי IOT מבוסס על גרסאות מינימליסטיות של Linux, וברגע שמתגלות פרצות חדשות עבור הפלטפורמה, ניתן להניח שהן יעבדו בהצלחה על מעל ל- 90% מהמכשירים שהן יתקפו.

לכן אנחנו מאמינים שנראה השנה עליה משמעותית ברשתות Botnet שידביקו את המכשירים המשתמשים בטכנולוגיית IOT, ביחד עם העלייה של כמות המכשירים שמקושרים לאינטרנט, ובשלב הראשון בעיקר מצלמות אבטחה, שהערכות גסות אומדות את מספרן בכ- 250 מיליון מצלמות המחוברות לאינטרנט והן מהוות כר פעולה נוח עבור עבריינים אינטרנטיים.

פישינג - עדיין השיטה הנפוצה ביותר לגניבת מידע

למרות שהתקפות פישינג דרך הודעות אימייל מתחזות הן בין ההתקפות הוותיקות בתחום הסייבר, כאשר הראשונות החלו לפני כ- 15 שנה, הן עדיין מתגלות כיעילות ביותר בגניבת פרטי גישה לחשבונות אימייל, רשתות חברתיות בנקים וחברות אשראי.

גם מרבית ההתקפות של תוכנות כופר שראינו בשנים האחרונות הגיעו דרך אימייל עם קובץ נגוע מצורף שהתחזה לפקס, חשבונית או תעודת משלוח, או עם קישור לאתר אינטרנט שדרכו מתבצעת ההתקפה.

הודעות אימייל עם כתובת שולח שמתחזה לחברה לגיטימית, לוגו של החברה וקישור מזויף לדף הכניסה לפרופיל, שנועד לגנוב את פרטי המשתמש הם עדיין הכלים המועדפים ע"י העבריינים האינטרנטיים, ולמרות שאין בהם חידוש הם עדיין מוכיחים את עצמם כיעילים ביותר. כמובן שכיום קיימות גם דרכים אחרות לשליחת הודעות פישינג כמו רשתות חברתיות והודעות SMS.

אני מאמין שבשנת 2016 תמשך מגמת העלייה בהתקפות Spear Phishing, התקפות ממוקדות כנגד אנשים מסוימים או חברות מסוימות, שבאות בעקבות מחקר מקדים של התוקפים, שמשתמשים במידע אישי שהצליחו לגלות על החברה או עובדים בה וכך להפוך את המייל לאמין יותר.

כנראה שלא נשמע על רוב ההתקפות מסוג זה בתקשורת, בעקבות החשש של חברות שפרסום על פריצה לרשת שלהן תפגע במוניטין ובמכירות שלהן.

לסיכום

בניגוד לסיכומי שנה, תחזיות לשנה הבאה הן תמיד סובייקטיביות וכמובן שגם כאן התחזיות שלי מושפעות בעיקר מהניסיון מהעבודה שלנו ב- ESET עם הלקוחות והמשווקים שלנו בישראל.

בימים שבהם האקרים, עבריינים אינטרנטיים, האקטיביסטים, רשויות אכיפה וממשלות משתמשים באותן הפרצות והכלים, והקוד שלהן מופץ בצורה חופשיה יותר, אנחנו נראה המשך של התפוצצות בכמות הנוזקות והאיומים החדשים בתחום הסייבר, וחשוב שנדע להיות זהירים ומודעים לסכנות בתחום גם בבית וגם במשרד.

הלך לגמרי על אתר הבגידות "אשלי מדיסון". רק שנה חלפה מאז שהאקרים הפיצו ברשת פרטים אישיים של מיליוני משתמשים באתר וכבר מנהליו מסתבכים שוב והפעם עם זיוף של פרופילים נשיים. במקרה הזה מדובר בהונאה שמטרתה ליצור אשליה שיש באתר שפע של נשים שצמאות לבגוד, לטובת הגולשים הגבריים, שהתכתבו בתמים עם "פאמבוטים" – תוכנות צ'ט אוטומטיות.

לרוב ההונאות באתרי ההיכרויות גרועות בהרבה - בשנים האחרונות הן הפכו לעסק מכניס למדי לפושעי הסייבר - ככל שרמת הפופולאריות של אתרי ההיכרויות עולה, כך אנחנו עדים לעליה במספר ובהיקף ההונאות נגד הגולשים באתרים אלו.
אתרי היכרויות יכולים להיות מקום נפלא להכיר אנשים חדשים אבל הגולשים באתרים ובאפליקציות חווים גם את הצד הפחות נעים של האינטרנט – הונאות מקוונות שכל מטרתן היא להוציא מהם כספים במרמה או מידע אישי (כמו בהנדסה חברתית)
ניתן למצוא פרופילים של מתחזים - המתיימרים להיות האביר על הסוס הלבן או האישה מהאגדות – בכל אחד מאותם אתרים ואפילו מחלקת ההונאות ב- FBI הזהירה את הגולשים שמרבית הקורבנות בהונאות באתרי היכרויות הם אנשים מבוגרים או אפילו נכים, אשר נבחרים עלי יד המתחזים כ"מטרה קלה".

הכנו לכם כמה טיפים שימושיים, שישמרו עליכם בטוחים בזמן החיפוש אחר החצי השני:

1.אל תנדבו יותר מדי מידע
המתחזים באתרי ההיכרויות מיטיבים לדעת שכדי לרכוש את אמונכם עליהם לנסות לנהל אתכם מערכת יחסים ארוכה, שיכולה להימשך שבועות או אפילו חודשים על מנת להוציא מכם עוד ועוד מידע. במשך זמן כה ארוך אתם עלולים, מבלי לשים לכך לב, לספק על עצמכם יותר מידע ממה שהתכוונתם.
ברור שבזמן החיפוש אחר אהבה אתם תצטרכו לספר על עצמכם ועל התחביבים שלכם, אבל שימו לב לא לתת מידע כגון מספר טלפון, כתובת מגורים או כל מידע אחר שיכול להוביל אליכם באופן ישיר לפני שאתם בטוחים לגמרי שהאדם בצד השני הוא ישר. שימו לב שלפעמים הצד השני ינדב על עצמו פרטים בנדיבות, אבל גם פתיחות רבה מדיי צריכה לעורר בכם חשד שכן ייתכן שזו עוד דרך לגרום לכם לספר על עצמכם יותר.

2.עשו עבודת תחקיר
לאחר שפתחתם במערכת יחסים וירטואלית באתר היכרויות מומלץ לנסות ולהשיג מידע על אותו אדם ממקור נוסף כמו פייסבוק, לינקדין וכדומה ולנסות לאמת את המידע שהוא נתן על עצמו ולבדוק, מול תמונות אחרות, אם אכן מדובר באותו אדם.
שימו לב במיוחד כשמדובר באנשים יפים "מדיי". אנשים מאחורי פרופילים מזויפים יכולים להשתמש בתמונות של דוגמנים או דוגמניות שהם מצאו באינטרנט כדי למשוך את הקורבנות שלהם אליהם. אתם יכולים לנסות לעשות 'חיפוש לפי תמונה' בגוגל כדי לראות אם התמונה שמופיעה בפרופיל לקוחה ממקום אחר כלשהו ברשת.

3.אז מה אם תהיו קצת חופרים?
באתרי היכרויות, במיוחד אם המטרה שלכם היא חיפוש אהבה ולא סטוץ', חשוב להיות סבלניים ולוותר על ספונטניות. אם עברו רק דקות ספורות לאחר שנרשמתם לשירות הכרויות מקוון כלשהו וכבר קיבלתם הודעות מלאות בהצהרות אהבה – תתחילו לחשוד. אל תתביישו לשאול שאלות, גם אם לעיתים יראה לכם שאתם "חופרים"
.
4.אל תקבלו קבצים מזרים
קיימות הרבה מאוד וריאציות של הונאות באתרי הכרויות, אחת מהנפוצות ביניהן היא הונאה שבה המתחזה כביכול שולח לכם תמונה שלו, אך למעשה מדובר בווירוס – קוד זדוני שאוסף מידע מהמחשב שלכם. אל תיפלו בפח, אם יש להם תמונה בקשו מהם להעלות אותה לעמוד הפרופיל שלהם במקום לשלוח אותה ישירות אליכם.

5.בחיים, אבל בחיים, אל תשלחו כסף לאנשים שפגשתם באתרי הכרויות
ישנם הרבה סימנים שיכולים להגיד לכם שמאחורי המאהב או המאהבת שלכם עומדת הונאה – פרופיל ללא תמונות וללא שום תחומי עניין צריך להעלות מיד חשד. פרופילים של אנשים שטוענים שהם חיים במדינה אחרת צריכים לעורר חשד גדול יותר, אך הקש האחרון הוא כאשר הם מבקשים כסף. לעולם אל תשלחו כסף לאדם כזה שאינכם מכירים, אל תאמינו לסיפורים שאדם כזה יספר לכם וצרו מיד קשר עם הנהלת האתר ואפילו עם המשטרה.

מכיסתו"חים בביקורות ועד שימוש בחומרי החברה בעבודה חדשה. עובדים חסרי מצפון יכולים להעמיד את החברה בפני סיכון אבטחת מידע רציני, ולמרבה הפלא יש המון עובדים כאלה. חברת ESET מביאה את הדרכים העיקריות שבהן זה קורה:

1. ביקורות אבטחה – בסקר שנערך לאחרונה על ידי חברת Firemon 28% מאנשי ה-IT הודו כי רימו בביקורת אבטחה של החברה רק כדי לעבור אותה. מצב זה הורע במהלך השנים – בחמש השנים האחרונות חלה עלייה של 6% במרמים. זה לא משתווה כמובן לגניבת מידע, אבל זה חוסר אתיקה שיכול להוביל לפריצות אבטחה גדולות בארגון.

2. שיתוף סיסמאות בין עובדים – במשוער אחד מכל חמישה עובדים משתף את פרטי ההתחברות עם חברי צוות אחרים. כך עולה מסקר שנעשה על ידי חברת SailPoint. לאחרונה כיכב בחדשות עובד לשעבר של חברת כוח אדם שפתח עסק מתחרה ועשה שימוש נרחב במסד נתוני החברה. אמנם ההרשאות שלו בוטלו, אבל הוא הצליח לגשת למערכות החברה באמצעות סיסמא של עמית שעבד במקום. השבוע הוא הורשע בבית המשפט בהונאת מחשב ובניצול לרעה.

3. מכירת סיסמאות לגורמים חיצוניים – בעוד ששיתוף סיסמא עם קולגה נמצא בתחום אפור, מכירת סיסמאות היא כבר עניין אחר לגמרי. מפתיע מספר העובדים הרב שמוכן לעשות זאת. באותו סקר שנערך על ידי חברת SailPoint, אחד מכל שבעה עובדים הודה שהוא מוכן למכור את הסיסמה שלו לגורם צד שלישי, חלקם עבור סכום קטן כמו 150 דולר בלבד.

4. גישה למקומות רגישים בחברה - סקר שנערך בקרב 2,000 עובדים על ידי חברת LogRhythm מגלה כי כמעט רבע מהנשאלים הודו כי השיגו גישה או לקחו מידע סודי ממקום העבודה. אחד מכל עשרה אמר שהוא עושה זאת באופן קבוע ו-94% מבין אלו שעשו את המעשה סיפרו כי מעולם לא נתפסו.

5. שימוש במידע מהעבודה הקודמת בג'וב החדש – המקרה שבו עובד שעבד בחברת הגיוס הוציא מידע רב ממעסיקו הקודם על ידי סיסמה של קולגה אינו בודד.מידע רב נגנב על ידי עובדים לא מוסריים במיוחד. בסקר שנערך על די חברת Ponemon מטעם סימנטק, כמחצית מהעובדים (!) שהחליפו מקום עבודה הביאו אתם קניין רוחני ממקום העבודה הקוד, ו-40% אמרו שהשתמשו במידע במקום העבודה החדש.

6. רציונל אתי – יש הרבה סיבות לגיטימיות מבחינת עובדים לקחת נתונים ארגוניים ממעסיקים בהווה או בעבר. מהמחקר של Ponemon עולות למשל סיבות כמו: אמונה שזה אינו פוגע בחברה, העובד אינו מקבל רווח כלכלי ישיר מהעניין ולכן לא מדובר בגניבה, והעובדה הפשוטה ביותר כי החברה אינה אוכפת מדיניות כלשהי לגבי שימוש במידע שלה ולכן הכול כשר מבחינת העובדים.

7. מפתחים רבים מאמינים שקוד המקור הוא שלהם – ההיגיון הגדול ביותר הוא כאשר לאדם שלוקח את הנתונים יש יד ביצירה שלו. כמחצית מהעובדים חושבים שיש להם זכות קניין רוחני אם הם השתתפו בפיתוח המוצר. לדוגמה, 44% מהמפתחים מאמינים כי הם צריכים לקבל זכות על שימוש חוזר בקוד המקור במקום העבודה הבא שלהם.

8. מכירות נתונים ארגוניים – הנתונים המביכים ביותר נוגעים למספר העובדים שמוכנים למכור את המידע של החברה. חברת Clearswift ערכה סקר ממנו עולה שיותר משליש מהעובדים ימכרו מידע של החברה שלהם עבור המחיר הנכון. עבור אחד מכל חמישה עובדים המחיר הנכון הוא עלות ארוחה זוגית במסעדה יוקרתית...

למרות כל מה שאומרים עליהן, סיסמאות הן עדיין הדרך האפקטיבית ביותר להגן על החשבונות המקוונים שלכם מפני האקרים או חטטנים אחרים. אבל איך תיצרו סיסמה מורכבת שבאמת תגן עליכם בעת הצורך, ובלי שתתקשו לזכור אותה?

אם אתם עוקבים אחר מדורי הטכנולוגיה, ודאי נתקלתם בפרסום 25 הסיסמאות הנפוצות בעולם לשנת 2015. כמו בשנים עברו, גם השנה גילינו שגולשים רבים עדיין משתמשים בסיסמאות כמו 123456 או ב- "password" כדי להגן על החשבונות שלהם.

מיותר (אולי) לציין שסיסמאות מעין אלה לא יחזיקו מעמד אף לא דקה, ואפילו לא צריך להיות "האקר" על מנת לפרוץ אותן. (קיימים כלים אוטומטיים שעושים את זה בשניות). אבל מצד שני, בחירה של סיסמאות מורכבות יותר גורמת לנו ללחוץ על "שכחתי את הסיסמה שלי" לעיתים קרובות מדיי.

כדי לעזור לכם להתמודד עם הסוגיה, הכנו לכם 3 טיפים שיעזרו לכם ליצור סיסמה מורכבת וקשה לפיצוח, אך שיהיה לכם ממש קל לזכור!

מתמטיקה פשוטה

אחת הדרכים ליצור סיסמה חזקה היא ליצור מעין תרגיל פשוט בחשבון רק שבמקום ספרות בלבד נשלב בו גם מילים ואותיות גדולת, קטנות וסימנים. לדוגמה Six+fOur=10היא סיסמה לא רעה. ניתן להשתמש בשיטה זו כדי ליצור סיסמאות מורכבות אפילו יותר כמו 5MillioN/2=2.5m.

משפט עם משמעות (נסתרת)

דרך נוספת היא להשתמש בביטוי שיש לו משמעות שרק אתם יודעים. הביטוי שבוחרים חייב להכיל את כל האלמנטים של סיסמה חזקה, אבל המשמעות שלו אמורה לעזור לכם לזכור אותו. במשפט כזה אתם יכולים להשתמש בפרטים אישיים (אבל רצוי לא סודיים) או פרטים מעולם התוכן שלכם. למשל MetallicALove 2rock היא סיסמת ביטוי חזקה מאוד שלא יהיה למעריצי מטאליקה קשה לזכור. שבסיסמה הזו כללתי גם רווח – מה שהופך את הסיסמה למורכבת וחזקה ביותר.

ראשי תיבות

את הטיפ הזה יאהבו בעיקר אנשי הצבא, שנוטים לקחת כל כמה מילים ולהפוך אותן לראשי תיבות. (עכשיו ברצינות איזה מין קיצור זה קפלס"ט?!).

אז בשיטה הזו אנחנו לוקחים משפט ארוך ומורכב יחסית והופכים אותו לראשי תיבות – שייתנו לנו סיסמה שלכל אחד אחר תיראה אקראית לחלוטין. למשל המשפט my house is on 24 Arlozerov street Tel Aviv 90210 יכול לתת לנו את הסיסמה הבאה mHio24asTLV90210– שהיא סיסמה חזקה למדיי שלא תיפרץ בקלות.

עוד כמה דברים שצריך לזכור לגבי סיסמאות:

מטרת הדוגמאות שנתנו כאן היא לתת לכם רעיונות איך ליצור סיסמאות מורכבות שקל לזכור. יכולות להיות המון שיטות אחרות, אבל מה שחשוב לזכור זה את העקרונות:

1. סיסמה חזקה תכיל שילוב אקראי של אותיות, ספרות וסימנים, ורצוי שתכיל לפחות 8 תווים.

2. הקפידו להשתמש בסיסמה ייחודית לכל חשבון וחשבון. האקרים יודעים שאנחנו מתעצלים לבחור סיסמאות ייחודיות, ופריצה לחשבון אחד מסכנת את כל החשבונות האחרים בעלי סיסמה זהה.

3. כל סיסמה יכולה להיפרץ! כן, גם הסיסמאות החזקות ביותר עלולות, בסופו של דבר, להיפרץ לכן מומלץ לרענן את הסיסמאות אחת לתקופה.

בימים שבהם מאות מיליוני שמות משתמש וסיסמאות של משתמשים רוסיים נסחרים ברשת, כדאי לכם מאוד לארגן אימות כפול או "אימות דו שלבי" לכל חשבונות הפייסבוק, גוגל, טוויטר שלכם. זה פשוט, זה לא ייקח לכם יותר מכמה דקות וזה ייתן לכם אקסטרה הגנה. המדריך השלם בנושא

לפני מספר ימים דווח כי 272.3 מיליון שמות משתמש וסיסמאות של חשבונות דואר אלקטרוני ואתרים נפרצו ונסחרו בעולם התחתון ברוסיה. רוב החשבונות השתייכו ל-Mail.ru (שירות הדוא"ל הפופולרי ביותר ברוסיה), וחלקם לגוגל, יאהו ומיקרוסופט. פורסם ברויטרס כי מדובר באחת מגניבות מידע הגדולות ביותר שנחשפו מאז מתקפות הסייבר שפגעו בבנקים בארה"ב לפני שנתיים. ההאקר שסחר בפרטים התרברב על הישגיו בפורומים של פושעי סייבר רוסיים.

דיווחים כאלה ממחישים לנו עד כמה הסיסמאות ה"רגילות" כבר אינן מספקות כדי להגן על החיים הדיגיטליים שלנו. בשנים האחרונות אנחנו רואים כי יותר ויותר שירותים מקוונים ( טוויטר, פייסבוק, גוגל ועוד) מאפשרים למשתמשים שלהם לא להתעצל ולהרחיב את אבטחת החשבון שלהם בעזרת שיטת אימות כפול, או כפי שהוא מכונה גם "אימות דו-שלבי". השיטה הזו מעניקה לגולשים שכבת הגנה נוספת על החשבונות האישיים שלהם בדיוק מפני מקרים כמו זה שפורסם בימים האחרונים (גניבת סיסמאות, פריצות, ניסיונות "דיוג").

מה זה אימות כפול?

לא מדובר במשהו מסובך במיוחד: מלבד לסיסמה הרגילה שלכם, מנגנון האימות הכפול יבקש מכם להקליד קוד אימות חד פעמי שבדרך כלל נשלח אליכם בהודעת טקסט לטלפון או נוצר על ידי אפליקציה ייעודית. הווה אומר, אם עד היום כאשר רציתם להיכנס לחשבון הג'ימייל שלכם נדרשתם להזין רק עם מנגנון האימות הכפול תתבקשו לעבור שלב אבטחה נוסף – הזנת קוד האימות שנשלח אליכם לנייד – לפני שתוכלו להתחבר לחשבון שלכם.

נכון, זה עלול להיראות, לפחות בהתחלה, ככאב ראש. כאילו לא דיי בכך שצריך לזכור כמה סיסמאות בראש (וגם על זה רוב האנשים לא מקפידים ומקלידים אותה סיסמה בכל השירותים המקוונים), עכשיו אנחנו עוד צריכים להזין קוד נוסף שקיבלנו ב-SMS. בסך הכול רצינו להתחבר לחשבון הפייסבוק להציץ בתמונות שחבר שלנו העלה, מה העניין? אבל זה בדיוק מה שאסור להקל בו ראש - שימוש במנגנון אימות דו-שלבי כזה יכול להיות ההבדל בשבילכם בין להפוך לקורבן לבין להיות מוגן, אז למה לא בעצם?

גוגל, טוויטר, פייסבוק Dropboxו- לינקדאין הם רק חלק קטן מהשירותים המקוונים שממליצים לגולשים שלהם לעבור לשיטת האימות הכפול כמנגנון אבטחה אופציונלי נוסף. אל תחשבו שזה קרה להן סתם כך. לינקדאין וטוויטר הוסיפו את האופציה רק לאחר כמה מתקפות סייבר רציניות, שגרמו לדליפה של כמה מיליוני סיסמאות מתוך השרתים שלהן.

זה לא היה קורה אם...

שימוש במנגנון אימות כפול מגביר משמעותית את רמת האבטחה של המשתמש לעומת שימוש במנגנון הסיסמה הבודדת המקובל היום. המון מתקפות הסייבר לא היו צולחות אם יותר אנשים היו מקפידים על אימות דו שלבי. ללא קוד האימות ההאקר אינו יכול להיכנס לחשבונות הקורבנות, אפילו אם היו ברשותו הסיסמאות.

איך מפעילים את האימות הכפול?

רבים מהשירותים המקוונים כבר מציעים לעבור למנגנון אימות כפול. בדרך כלל תמצאו את הרישום והפעלת המנגנון תחת 'הגדרות פרטיות' או 'אבטחה', וברוב המקרים האתר גם ילווה אתכם בתהליך הרישום והפעלת השירות בצורה די קלה וברורה.

אז להפעיל אימות כזה בכל אתר?

זה לא מחייב להשתמש במנגנון האימות באתרים שאינם מכילים מידע אישי או רגיש אודותיכם, אך המצב הוא שונה כשמדובר באתרים כמו רשתות חברתיות בהן אתם נחשבים למשתמשים פעילים או באתרי אחסון מידע.

אני בטוח מוגן עכשיו?

האימות הכפול מוסיף לך שכבת אבטחה נוספת שהופכת אותך למטרה הרבה פחות קלה בעיני ההאקרים. עם זאת, זה לא אומר שאתה חסין, קיימות הונאות אינטרנט שונות שעלולות לגרום לך להוריד אפליקציות או תוכנות מזויפות המתחזות לאפליקציות אמיתיות ובכך לעקוף את מנגנוני האימות.

מה שכן, אם כבר הפעלת את שירות האימות ולפתע אתה מקבל SMS עם קוד הכניסה לשירות, מבלי שניסת להיכנס לחשבון שלך, אתה מיד תוכל לדעת שמישהו מנסה להיכנס לחשבון שלך ותוכל להחליף את הסיסמא מבלי שהמידע שלך עמד בסיכון.

כאשר מדברים על מזיקים Malware (קיצור ל Malicious software) מתכוונים בדרך כלל לשלושה סוגי איומים: וירוסים, תולעים וסוסים טרויאניים. נוסף להם, המחשב לעיתים ניזוק מתוכנות ריגול שאוספות מידע חשוב ומאפשרות להשתמש בו למטרות זדוניות. שאר המזיקים למיניהן, כגון פרסומות קופצות, בעיקר מציקים למשתמש וצורכים מזמנו היקר על-ידי כך שהוא נדרש לטפל בהם ולהסירם מהמחשב.

1. וירוס - תוכנה המסוגלת לשכפל את עצמה ולפגוע בחלקים שונים במחשב (מסמכים ותוכנות).
תוכנת הוירוס בנויה משורות קוד, שהן למעשה הוראות למחשב, באמצעותן הוירוס מתוכנן להעתיק את עצמו לתוכניות אחרות או ממחשב למחשב דרך אמצעי הקלט/פלט של המחשבים (דיסקט או קובץ המורדים מאתר אינטרנט, קבצים המצורפים לתוכנת הדוא"ל ודרכים נוספות .(אופי הפעילות דומה ביותר לפעולה של וירוס ביולוגי (הוירוס חודר לתאי הגוף ומבצע שינוי בהוראות הכתובות בקוד הגנטי שלו), ומכאן הדמיון בשם.
קיימים סוגים שונים של וירוס: Bomb Virus הם וירוסים שמתוכננים לבצע פעולה מסוימת בתאריך מסוים, וייתכן ויהיו "רדומים" במחשב עד שסדרת פעולות מסוימות שמבצע המשתמש "יחיו" אותם ויפעילו אותם. הוירוסים הללו מסוגלים לתקוף את הזיכרון, למחוק קבצים ולהפיץ את עצמם באמצעות רשימות התפוצה של הדואר האלקטרוני. סוג נוסף הוא וירוס מאקרו Marco Virus שנכתב בשפת מאקרו של מעבדי התמלילים, גיליונות אלקטרונים ואפליקציות נוספות הניתנות להרחבה או לאוטומציה ע"י פיתוח של מאקרואים. בצורה זו הווירוס לא תלוי בסביבת עבודה כזו או אחרת. זהו וירוס פופולארי משום שהוא פועל במעבדי התמלילים ותוקף ברגע שמריצים אותו.
וירוס ים פולימורפיים הם וירוסים המסוגלים לשנות עצמם עם כל שכפול, עובדה שמקשה על הזיהוי שלהם אם ברשותינו מנגנוני הגנה מבוססים חתימות בלבד. כאן בא לידי ביטוי חשיבותו של מנגנון פרו-אקטיבי (Heuristic) שלא תלוי בעדכוני חתימות ויודע לזהות וירוסים על-פי דפוסי התנהגות.

2. Ad-Ware – תוכנה שלאחר שהתקינה את עצמה, תציג פרסומות קופצות ובאנרים בפני המשתמש בעת הגלישה. לרוב מדובר ביישומים האוספים בסתר מידע סטטיסטי עבור פרסומאים באינטרנט על פעולות המחשב. כמו כן Ad-ware עשוי גם להציג פרסומות בצורת חלון קופץ Popup, לשנות את דף הבית של הדפדפן ולהוסיף סרגלי כלים ללא יכולת לשנות זאת.

3. סוס טרויאני - סוס טרויאני אינו וירוס, אלא תוכנת מחשב מזיקה שאמורה לבצע משהו מסוים אך בפועל מבצעת משהו אחר (מקור השם בסיפור המיתולוגי על הסוס הטרויאני במלחמת טרויה). כל תוכנה זדונית אשר מסתמכת להפעלתה על תמימות המשתמש ונכונותו להתקינה מרצון היא למעשה סוס טרויאני. תוכנה זו מנטרת את כל פעילות המערכת החל מאתרים בהם ביקר הגולש וכלה בצילומי מסך ושולחת את כל המידע הרגיש לשרת חיצוני מרכזי. סוס טרויאני יישלח לרוב באמצעות הדואר האלקטרוני או יחדור למחשב דרך האינטרנט במסווה של משחק מחשב או כתוכנה יעילה.

4. תולעת - תוכנה המשכפלת את עצמה ומצוידת במנגנון משלה כדי להפיץ את עצמה באופן אוטומטי ברשת ללא עזרת המשתמש.

5. Spyware - רוגלה - הכוונה לתוכנת ריגול שנועדה לאסוף מידע רלוונטי מהמחשב שלך (פרטים אישיים, היסטוריית אתרים בהם ביקרת, סיסמאות וכו'), שנשלח למחשב אחר שאוסף את המידע, ומאפשר למפעילים שלו לנצל אותו לכוונות זדוניות .

6. Backdoors - כלי האקינג נסתר השתול במחשב ומאפשר גישה אליו ושליטה בו ברמה מסוימת.

7. Key Loggers - תוכנה זו תייצר קובץ שישמור בתוכו כל תו אותו יקיש המשתמש לפי הסדר הכולל גם סיסמאות, מספרי אשראי ושאר מידע רגיש.

8. Phishing - התקפות של "דייג סיסמאות", המתבצעות דרך דואר אלקטרוני המפנה לאתרים המתחזים לאתרים המקוריים, ומאפשרות לגנוב כסף וזהויות של גולשים באינטרנט.

9. Rootkit - תוכנה או קבוצה של פקודות אשר יכולות להסתיר תהליכים פעילים ולהחביא כל עקבות של חדירה למערכת, דבר המאפשר להכניס לבסיס המערכת וירוסים ללא ידיעת המשתמש. השימושים הנעשים ב-Root Kit הם הסוואת קבצים, חיבורי רשת, כתובות בזיכרון או רישומים ב-Registry של תוכנות אחרות. חשוב לציין כי כלים שמשולבים עם Root Kit הם זדוניים לרוב אך במקור ה - Root Kit היא טכנולוגיה אשר פותחה ליישומים לגיטימיים – היא יכולה לשמש למטרות טובות או הרסניות.

10. Spam - דואר זבל שנשלח באופן המוני, בדרך כלל מדובר בפרסומות. בחלק מהמקרים הדואר מכיל מזיקים שונים. הדואר ההמוני שמציף את שרתי הדואר והתיבות יוצר בארגון תעבורה גבוהה של משאבים ו"תופס" את רוחב הפס לאינטרנט.

ימי הסיילים המיוחדים של סוף השנה הפכו לשבועות שלמים של חגיגת קניות ברשת, אך גם ההאקרים מחכים לימים אלה בציפייה. רגע לפני שאתם שולפים את כרטיס האשראי, הנה כמה מלכודות מהן צריך להימנע בדרך לדיל המושלם.

זוהי כבר מסורת ארוכת שנים שלקראת חג המולד וראש השנה האזרחית יוצאות רשתות השיווק הגדולות בשלל מבצעים והנחות. הודות לרשת האינטרנט, אנחנו לא צריכים לבקר בחו"ל על מנת ליהנות מהמבצעים, ואנחנו יכולים לרכוש במהירות ובקלות בלי לקום מהספה.

לצערנו, גם האקרים ונוכלי רשת אחרים מזהים את הפוטנציאל הרב שיש בימי הסיילים המיוחדים, ומנסים לשלשל לכיסם עוד כמה דולרים על חשבוננו. לכן כדאי להכיר את המלכודות הנפוצות ביותר שפושעי הרשת ינסו להציב לכם בדרך לדיל המושלם:

1. אתרים מתחזים – אחת הדרכים הנפוצות ביותר של האקרים להשיג את פרטי האשראי שלכם, היא לגרום לכם לשלוח להם אותם בעצמכם. כדי לגרום לכם לעשות את זה הם מקימים אתרים מתחזים הנראים זהים לחלוטין לאתרי קניות מוכרים כמו איביי, אמזון, אלי אקספרס ועוד.

לרוב, את הסימן הבולט לכך שמדובר באתר מתחזה תמצאו בשורת הכתובת. אתרים מתחזים יכולים להעתיק את העיצוב של האתר כמעט לחלוטין, אבל הם לא יכולים להשתמש בכתובת המדויקת של אותו אתר. כדי לגרום לכם להאמין שאתם גולשים באתר הרשימי, הם מנסים להשתמש בשמות דומים עם שינויים קלים. דוגמה לכך יכולה להיות e-bay במקום ebay או ammazon במקום amazon.

על מנת לוודא שאתם לא נוחתים באתר מתחזה כלשהו, תמיד העדיפו לגלוש לאתרי הקניות על ידי כך שתקלידו את כתובת האתר ישירות בשורת הכתובת בדפדפן שלכם, ולעולם אל תגלשו אליהם באמצעות לחיצה על קישורים בהודעות דואר אלקטרוני או פרסומות ברשתות החברתיות.

2. הונאות פישינג – שימו לב להודעות שאתם מקבלים לתיבת הדואר האלקטרוני שלכם, במיוחד בתקופה זו של השנה. פושעי הרשת ינסו לשלוח לכם הודעות המתחזות לשירותים לגיטימיים כמו PayPal, שירותי משלוחים בינלאומיים ואפילו חברת האשראי שלכם.

ההודעות האלה מכילות קישורים זדוניים שעלולים להוביל אתכם לאתרים מתחזים או שהם עלולים להדביק את המחשב שלכם בתוכנה זדונית, אך לרוב מטרתן של הונאות הפישינג היא להשיג סיסמאות לשירותים פופולאריים כמו פייסבוק, PayPal ועוד.

3. מתנות לא צפויות – אחת מההונאות המפורסמות ביותר שהתרחשה במהלך ה-Cyber Monday הייתה מתנה על סך 1000 דולר לאתר הקניות Best Buy. הגולשים שהתפתו ללחוץ על הקישור נתבקשו להזין פרטים כמו שם מלא, גיל, כתובת מגורים, כתובת דואר אלקטרוני, מספר טלפון ועוד. אז אמנם פרטי כרטיס האשראי של הקורבנות לא נגנבו בהונאה הספציפית הזו, אבל גם הפרטים האישיים שלכם הם בעלי ערך רב לפושעים.

offer

למרות שמדובר בימי קניות אטרקטיביים למדי, לא צפוי שחברות כלשהן יחלקו את הסחורה שלהן בחינם או לחילופין יתנו מתנות בשווי אלפי דולרים, לכן מומלץ להתייחס להצעות כאלה בחשדנות.

4. פרסומות וקופונים מזויפים – גולשים רבים, שמקווים לנצל את ימי השופינג המיוחדים, תרים ברשת אחר ה"דיל המושלם". פושעי הסייבר יודעים זאת ומפיצים ברשת פרסומות וקופונים מזויפים על מנת לגרום לכם להקליק מבלי לחשוב יותר מדיי. בדומה להונאת Best Buy אותם הקישורים כמעט תמיד יובילו אתכם למילוי סקרים, בהם תידרשו להזין פרטים אישיים, אך הם עלולים הוביל אתכם גם לאתרים זדוניים שידביקו את המחשב שלכם בווירוסים, תוכנות ריגול או תוכנות זדוניות אחרות.

מומלץ להתייחס להצעות כאלה בחשדנות ולהימנע מלחיצה על הקישורים, במיוחד אם אינכם יודעים מהו מקור הפרסומת או הקופון. כמו כן, מומלץ לוודא שעל המחשב מותקנת תוכנת אנטי וירוס מעודכנת שתאתר את ניסיון ההדבקה ותמנע אותה במעוד מועד.

במקרה שחייתם לאחרונה במערה והצלחתם להימנע מלהיות מופגזים בסטטוסים ברשתות החברתיות או מכותרות חדשות על פוקימון גו, אתם יכולים להפסיק לקרוא עכשיו. אבל אם אתם אחד או אחת ממיליוני האנשים ברחבי העולם שהורידו את המשחק הסלולרי מבוסס המיקום ובעל המציאות הרבודה לטלפון הנייד, יש לחברת אבטחת המידע ESET חמישה טיפים בשבילכם איך לשחק בפוקימון גו בבטחה.

1. הורידו את האפליקציה רק מחנויות רשמיות של אפליקציות – שם בחוץ מסתובבות להן מלאן גרסאות של תוכנות זדוניות שמתחזות לפוקימון גו והן עושות זאת בהצלחה רבה. אפליקציות רבות מהן מנסות להשיג מידע אישי או להשתמש בהנדסה חברתית על מנת להונות אתכם לרכוש מוצרים שונים או להשיג את פרטי כרטיס האשראי שלכם לטובת רכישת מוצרים נלווים לאפליקציית פוקימון גו, שכמובן אינם אמיתיים. אפליקציות אחרות מנסות לרגל אחריכם מכל מיני סיבות לא מלבבות. אז אל תסטו מדרך הישר – להוריד רק מחנויות האפליקציות של גוגל ואפל, ובחרו באפליקציה עם הכי הרבה הורדות מאשר בכל אפליקציה אחרת. גם לחנויות עצמן מצליחות לעתים להסתנן אפליקציות מתחזות. זה מטורף שוק הזיוף הזה סביב האפליקציה! אל תתפתו להוריד אפליקציה אחרת בגלל שההורדה של האפליקציה הרשמית לוקחת מלא זמן בשל מספר רב של הורדות שלה במקביל על ידי אנשים ברחבי העולם.

2. אל תתחברו לאפליקציה באמצעות גוגל – קושי נוסף שנגרם על ידי המון הורדות בו זמנית של האפליקציה הוא שאנשים לא מצליחים לפעמים להיכנס אליה ישירות דרך האתר של פוקימון, אז המפתחים של המשחק הוסיפו את היכולת להיכנס באמצעות חשבון הגוגל שלכם. הבעייתיות עם זה היא כי בגרסת אפל הראשונית, למשל, זה העניק לאפליקציה כמות הרשאות עצומה של גישה לחשבון הגוגל של המשתמשים. בגרסה האחרונה הנושא תוקן וכמות ההרשאות לחשבון הגוגל ירדה, אבל תמיד חיבור לאפליקציה כלשהי באמצעות חשבון משני בגוגל, אפל או פייסבוק מגיע בעסקת חבילה עם שיקולי פרטיות שעליכם לשקול אם אתם מסכימים להם. בקיצור, לא מומלץ – תתמודדו עם העומס ותתחברו לאפליקציה ישירות דרך האתר של המשחק. וגם, אל תאפשרו לאפליקציה הרשאה לאנשי הקשר שלכם אם היא מבקשת, בשביל מה היא צריכה?

3. הביאו אתכם חבר והישארו במקומות ציבוריים – כבר פורסמו בתקשורת סיפורים על ילדים קטנים ששוטטו ביערות והלכו לאיבוד, על אנשים שנפלו מצוק, על אנשים שמצאו גופות בנהרות, על אנשים שכמעט נפלו לבאר ועוד סיפורי אימים. מדובר במקומות שאנשים לא אמורים להגיע אליהם בזמן משחק באפליקציה. ילדים שמשחקים באפליקציה צריכים להיות מלווים באדם מבוגר אחראי וגם למבוגרים המשחקים מומלץ להביא אתם חבר, שגם הוא, רצוי שיהיה, מבוגר אחראי.

4. הביאו אתכם סוללה נוספת – משחק הפוקימון גו הוא זולל סוללה רציני. בנוסף, השיטוט הספונטני עשוי להוביל אתכם למקומות שאולי לא תדעו איך לחזור מהם, וזה עשוי להציב אתכם במצב בעייתי אם הסוללה כבר נגמרת ואתם נותרים בלי זמינות בטלפון הנייד. על כן זה רעיון מצוין להביא אתכם לטיול סוללה רזרבית (וכמה גם כמה חטיפים, מים וכסף עבור דמי נסיעה במונית או באוטובוס) במקרה של מצב חירום.

5. הפעילו את ההיגיון הבריא – עד כמה שהמשחק ממכר ואתם מאוד רוצים לתפוס כמה שיותר פוקימונים בסביבה, עדיין עשו לעצמכם טובה ואל תשחקו תוך כדי נסיעה, בזמן שאתם חוצים את הכביש מבלי לבדוק תנועת כלי רכב, או כשאתם משוטטים בחצרות פרטיות של בתי אנשים זרים. מפלצות וירטואליות לא שוות פגיעה בחייכם או בשלמות הגוף שלכם, או מעצר על ידי המשטרה. אז אל תתנו להתרגשות מן המשחק לפתות אתכם להיסחף למעשה שתתחרטו עליו אחר כך.

בסך הכול המשחק גורם לאנשים לצאת מהבית ומעודד אותם לבצע פעילות גופנית, שזה אחלה של דבר. עם קצת זהירות, תוכלו ליהנות מהאפליקציה עם כמה שפחות סיכונים.

מהחברות בעולם אינן מאובטחות בצורה מלאה כנגד מתקפות סייבר, זאת למרות העלייה המשמעותית בתוכנות זדוניות ובאיומי כופר ברחבי העולם. 50 מהעונים לסקר שערך ארגון PWC מודים שהם איבדו למעלה מ-5 מיליון דולר כתוצאה מפגיעת סייבר בהם. אחוז החברות שנפגעו מפשעי אינטרנט ומדווחות על הפסדים של למעלה ממיליון דולר הוכפל מאז שנת 2014

פושעי הסייבר ממציאים את עצמם בכל יום מחדש ומעבדות ESET מנתחות את צעדיהם ולומדות את התנהגותם. בעוד שחלקם מכוונים את פועלם לעבר משתמשים ביתיים, אחרים מתמקדים בתקיפה של עולם העסקים. על פי מחקר שערך ארגון PWC לפחות שליש מהחברות בעולם נפגעו מתוכנות זדוניות וממתקפות סייבר ב-24 בחודשים האחרונים. מסקר שערך Global Economic Crime Survey עולה שרק 37% מהחברות מאובטחות בצורה מלאה נגד מתקפות סייבר, זאת למרות ש-61% מהמנכ"לים אמרו שהם מודאגים מפגיעת סייבר.

אבטחת הארגון דורשת ניהול ותמיכה עבור תחומים מרכזיים. האתגר לעולם אינו נגמר וצוות ה-IT צריך להגן בכל החזיתות מפני תוכנות זדוניות שיכולות לחדור לרשת. הנה 5 האיומים הנפוצים ביותר העומדים בפני חברות:

1.אימיילים נגועים

האימייל הוא עורק תקשורת מרכזי בין עובדים, לקוחות ספקים ושירותים שונים. מידע רב גם משותף באמצעותו בחברה. חשבונות המייל של העובדים חשופים לחדירה של תוכנות זדוניות. אחד מהאיומים האחרונים הוא Win32/Bayrob שמתחפש לקופון של אמזון. בתוך פחות מחודש זה הפך לאיום הנפוץ ביותר במדינות כמו ארגנטינה, צ'ילה, קולומביה ומקסיקו.
נוסף לכך, תוכנות זדוניות חודרות דרך קבצים שמצורפים למיילים. כך חדרה תוכנת הכופרCTB-Locker לפני שנה למחשבים בחברות רבות והצפינה מידע ארגוני יקר בתמורה לתשלום עבור שחרורו.

על מנת להגן על חשבונות המייל של החברה יש צורך לא רק בפתרונות אבטחה לנקודות קצה שמאתרים קבצים זדוניים. יש להגן גם על שרת הדואר ולבצע סינון קפדני לפני שקבצים כאלה מגיעים לתיבת הדואר הנכנס של העובדים. גם על העובדים להגביר את ערנותם ולא לפתוח מיילים ממקורות לא מזוהים.

2.התקנים חיצוניים שיכולים להעלים קבצים

השימוש בדיסק און קיס וסוגים אחרים של התקנים חיצוניים הוא גם גורם שכיח להתפשטות של תוכנות זדוניות ברשת הארגון. השיטה הנפוצה שבה התקן חיצוני נגוע יכול לפגוע במחשב היא בהפיכת כל הקבצים והתיקיות בו ללינקים. חשוב בכל חברה לנהל מדיניות ברורה בכל הנוגע להתקנים חיצוניים, גם כדי למנוע אפשרות לגניבת מידע. הכי מומלץ לחסום גישה שלהם למחשבים.

3.פרצות אבטחה

ניצול נקודות תורפה בתוכנות היא דרך נוספת של תוכנה זדונית להתפשט, בעיקר דרך יישומים משרדיים, דפדפנים ואתרי אינטרנט. זה לרוב קורה כאשר עובדים מבצעים עדכון ליישום רגיש. לפני כמה ימים פורסם על ידי ESET מחקר על נקודות תורפה שדווחו במערכת ההפעלה של מיקרוסופט. מדובר במערכת שהיא הנפוצה במיוחד בעולם ובמיוחד בעולם העסקי. מהדו"ח עלה כי בדפדפן האקספלורר יש הרבה פרצות בהתקנה שדרכן קוד זדוני מאפשר לפורץ לשלוט במערכת מרחוק. כדאי מאוד ששרת האינטרנט של החברה יהיה מוגן על ידי תוכנות אבטחה שיש להן שירות חוסם.

4.תוכנות כופר

תוכנות כופר הן כיום האיום המרכזי אתו מתמודדים עסקים קטנים וגדולים כאחד ברחבי העולם. פגיעה של תוכנה כזו יכולה לחשוף הרבה נקודות תורפה של הארגון. מידע ארגוני רב יכול להילקח כערובה בתמורה לתשלום שדורש ההאקר החוטף. כל חברה שמעוניינת ליישם מדיניות אבטחה פרואקטיבית תנסה להימנע מכל סוג של זיהום כזה, אך אם זה בכל זאת קורה, כלי שחזור הם בעלי חשיבות גדולה. הדרך הטובה ביותר למזער את הנזק היא לדאוג לגיבוי על בסיס קבוע של המידע של החברה, כך שהיא תשוב לפעול באופן תקין בזמן המהיר ביותר.

5.טלפונים ניידים לא מוגנים

גם דרך הטלפונים הניידים של העובדים עלולים לחדור מזיקים אל מחשבי החברה. חברות רבות מאבטחות את המחשבים שלהן, אבל לא מתקינות תוכנת אבטחה בטלפונים הניידים של העובדים. אותם מכשירים לרוב מסונכרנים עם המייל בעבודה ועם קבצים שונים, והם יכולים לסלול דרך אל הדלפה של המידע היקר של החברה ולחדירה של תוכנות זדוניות אל מחשבים ואל קבצים אסטרטגיים. חשוב להתקין תוכנות אבטחה על כל מכשירי הטלפון של החברה.

בכל פעם שבית עסק מתעניין באמצעי האבטחה שהוא יכול להטמיע, תמיד עולות שלוש אפשרויות: אנטי-וירוס בנקודות קצה ובשרתים, כדי לזהות ולהסיר איומים רבים ככל האפשר; גיבויים, כדי לוודא שיהיה ניתן לשחזר את כל המידע שייעלם בתקרית כמו מתקפת כופרה; והצפנה ברמת המכשיר כדי למנוע ממידע מסווג להגיע לתוקפים.
עם זאת, אלו לא האופציות היחידות הזמינות לעסקים.

הבעיה עם סיסמאות

אחת מהאפשרויות האלה, שזמינה כיום לכל דורש, עדיין לא קיבלה את תשומת הלב שמגיעה לה, אך למרות זאת היא הופכת לחיונית באופן הולך וגובר. היא מוכרת בשם "אימות דו-שלבי" (Two-factor authentication – 2FA), והיא מהווה פתרון אידאלי לסיוע בהגנה על מספר גדול של שירותים מקוונים, במידה וסיסמאות הגישה לעסק נשמרות כהלכה.

בואו נשים את זה על השולחן – לא משנה כמה פעמים ננסה להדגיש את החשיבות ביצירת סיסמאות חזקות, רוב המשתמשים יוכלו לזכור רק חלק קטן מהן (ויבחרו בסיסמאות קלות לזכירה).
מסיבה זו חשוב לשלב שכבת אבטחה חדשה, וזו הנקודה בה האימות הדו-שלבי נכנס למשחק. בעוד שאנשים פרטיים משתמשים בו לעיתים קרובות יותר ובקצב הולך ועולה, הוא עדיין אמצעי אבטחה שנמצא בשימוש דל בעולם העסקים.
למעשה, על פי דו"ח הבטיחות האחרון של ESET, רק 11% מהעסקים בדרום אמריקה הטמיעו אימות דו שלבי.

אף אחד לא רוצה שחשבונות הדואר האלקטרוני האישי, הרשתות החברתיות או ספריות המשחקים שלו יאוחסנו על פלטפורמות הפצה קיימות אשר אפשר לגשת אליהן ללא הרשאה. מסיבה זו, אנחנו רואים עלייה יציבה בשיעור השימוש באימות דו-שלבי ע"י משתמשי קצה, והבחירה הפופולרית ביותר להתקן הזיהוי המשני הוא ההתקן הנייד.
עם זאת, בעולם העסקים רוב המשתמשים שמתחברים לרשת העסקית באמצעות VPN, או ניגשים לחשבונות הדואר האלקטרוני שלהם מרחוק, עדיין עושים זאת רק באמצעות שימוש בשם משתמש וסיסמא. במשך שנים רבות, אמצעי בטיחות זה הוכח כלא-יעיל כשהוא עומד בפני עצמו, וזה נובע בעיקר מחוסר יכולתם של משתמשים לנהל את סיסמאותיהם.

אם כך, כשגישה בלתי מורשית למידע עסקי מסווג היא קלה כמו המתנה למשתמש שייגש לרשת העסקית מרחוק, או לדואר האלקטרוני העסקי באמצעות חיבור לא מאובטח, המשמעות היא שמשהו נעשה באופן שגוי, וחמור מכך – שהאמצעים הרלוונטיים למניעת הגישה הבלתי-מורשית הזו לא הוטמעו.

ברוך הבא, אימות דו-שלבי

שימוש בפריט מידע יחיד כדי לאמת גישה למערכת הוא אמצעי פרקטי מאוד, אך לא הבטוח ביותר. כדי למנוע גניבת או הדלפת מידע, פותחו יישומים המספקים אימות דו-שלבי. יישומים אלה הם קלים לשימוש, ומוסיפים שכבת הגנה נוספת המונעת את דליפתן או גניבתן של סיסמאות גישה, שמגיעות ממידע רגיש שנגנב או מגישה בלתי מורשית לרשת הפנימית של החברה.

אך למרות קלות השימוש בהם, עסקים מעטים מאוד הטמיעו אימות דו-שלבי. ככל הנראה, אחת מהסיבות העיקריות לכך היא חוסר המודעות לאמצעי אבטחה זה, אותה צריך לפתור באמצעות קמפיין מודעות, זאת כדי להיות מתואמים עם הרגולציות הכלליות להגנת מידע (GDPR - General Data Protection Regulation) שחוקקו לאחרונה ע"י האיחוד האירופי. למרבה המזל, הן לא משפיעות רק על עסקים באזור זה, אלה גם על אלו שמאחסנים את המידע על משתמשיהם באיחוד האירופי.

ישנם הבדלים רבים בין מערכות שבהן הוטמע פתרון אימות דו-שלבי, אך בדרך כלל משתמשים בהודעת SMS אוטומטית או באפליקציה שיוצרת קודי גישה. ברגע שהסיסמא הוכנסה, המערכת תבקש את הקוד הזה, ובמקרים מסוימים ישנה אפליקציה (נפרדת מהדפדפן) המשמשת להכנסת הקוד.

מערכות אימות דו-שלבי המשולבות במערכת הסיסמאות המסורתית הן בטוחות בהרבה משימוש בסיסמאות גישה בלבד. רבות מההתקפות שנחשפו לציבור בזמן האחרון (ראה/י Have I been Pwned?) היו יכולות להימנע במידה ומערכות אימות דו-שלבי היו קיימות. גם אם התוקפים הצליחו להדביק מחשב ולגנוב סיסמא, הם לא היו יכולים לגשת לחשבון הקשור אליה, מכיוון שקוד הגישה לא יהיה ברשותם.
למרות זאת, שיעור ההטמעה של אמצעי אבטחה זה נותר נמוך.

מה העלות של הטמעת אימות דו-שלבי עבור עסקים?

ממש כמו רבים מפתרונות האנטי-וירוס הזמינים, ישנן הצעות רבות ותמיד יש משהו שיתאים לתקציב. למרות זאת, במקום לחשוב על העלות של הטמעת פתרון אימות דו-שלבי, מה שאנחנו באמת צריכים לחשוב עליו הוא העלות של אי-הטמעת פתרון אימות דו-שלבי.

כדאי מאוד להטמיע מערכות אלה אם אתם רוצים שחשבונות אחסון המידע של העסק יישארו בטוחים. אימות דו-שלבי מקשה (אך לא מונע לגמרי) גישה לא מורשית מצד גורם שלישי לכל סוגי השירותים, למשל – Outlook Web Access.

אין צורך להטמיע אימות דו-שלבי בכל החשבונות שיש להם הרשאות מנהל, רק אלו שמאוחסן בהם מידע מסווג, כדי להימנע מגניבה ומהאפשרות לקנסות מנהליים. זכרו שמערכת זו, למרות שאינה מושלמת, מציעה שכבת אבטחה נוספת שרבים מהפושעים אפילו לא מנסים לעבור. מסיבה זו, יש סיכוי רב יותר שעסק שלא מטמיע אימות דו-שלבי יהיה קורבן להתקפה לעומת עסק שכן מטמיע.

ללא קשר לגודל העסק שלך, אימות דו-שלבי הוא שכבת אבטחה שצריכה להילקח בחשבון, במיוחד עבור משאבים משותפים ועבור עובדים שניגשים לרשתות העסק מרחוק.
פתרון אימות דו-שלבי שמוטמע כהלכה יכול גם להגדיל את שיעור העבודה מרחוק ולאבטח את פרופילי העובדים בזמן שאינם בעבודה, ובכך יגביר את היעילות ויצמצם את הסיכונים.

כשמדובר באחסון מידע סודי של החברה ו/או בגיבוי שלו, שאלות שונות עולות באשר למיקום שבו יתבצע אחסון זה. חברות מסוימות בוחרות לנהל את הכול בעצמן, ומספקות גישה מרחוק, כך שעובדיהן יכולים לגשת למידע בכל רגע נתון שהם זקוקים לו.
חברות אחרות, לעומת זאת, אימצו את הענן ואת כל היתרונות שלו, כמו העלות הנמוכה של בחירת חברות שהוקדשו במיוחד למשימות אלו וזמינות המידע, ללא תלות במקום שבו הוא עשוי להיות (כל עוד יש לנו חיבור לאינטרנט, כמובן).
אבל כאשר אנו מדברים על אלמנט האבטחה של החלטות אלה, הדברים הופכים קצת יותר מסובכים, כך שיותר חברות מסרבות לאחסן מידע סודי מחוץ לחברה. וזאת למרות הצמיחה העצומה בין חברות בכל רחבי העולם שהתחילו להשתמש בשירותים כמו Google Drive ו- Dropbox בשנים האחרונות.

אחסון בענן: כן או לא?

כאשר עומדת בפנינו ההחלטה מה לבחור מבין מהפתרונות השונים, עלינו לשאול את עצמנו שאלות שונות, אשר אחת החשובות שבהן היא כנראה: האם אני יכול להציע רמה גבוהה יותר של אבטחה מזו של חברות חיצוניות אלה בכל הנוגע להגנה על נתונים אלה?
זוהי נקודה חשובה מאוד, בהתחשב בכך שרוב החברות אשר מחויבות להציע שירותים אלו נוטות להחזיק אמצעים טובים כדי למנוע מהנתונים של המשתמשים שלהם להיות בסכנה.
עם זאת, הבעיה העיקרית היא לא מה האבטחה שהם מיישמים על השרתים שלהם. הרוב המכריע של גניבת המידע מתרחשת עקב מדיניות ירודה על בקרת גישה וניהול של אישורים על ידי משתמשים.

אמצעי אבטחה נוספים

אין טעם לשכור את שירות האחסון הענן הטוב והמאובטח ביותר, אם משתמשים אשר יקבלו גישה למשאבים אלה ישתמשו בסיסמאות שקל לנחש או שכבר שימשו לשירותים אחרים שנפרצו. חשוב לנקוט באמצעים נוספים, אם השירות שאנחנו הולכים להשתמש בו מאפשר אימות דו-שלבי (2FA), זה יהיה הרבה יותר בטוח.
בנוסף, לא משנה כמה מאובטח השירות שאנו מנויים אליו, זה אף לא יהיה "יותר מידי" אם הנתונים המאוחסנים בתוך ומחוץ לחברה שלנו יהיו מוצפנים. בדרך זו, במקרה של תקרית שבה התוקפים מצליחים לקבל גישה למידע זה, לא יהיה להם קל לגשת למידע, ובכך למזער את ההשפעה של חדירה.
לבסוף, אנחנו חייבים להיות זהירים לגבי מי יכול לגשת למידע, ומה הם יכולים לעשות עם זה. אם נתנו לכל העובדים שלנו גישה למידע סודי, ואותו מידע יוכל לדלוף החוצה באמצעים אחרים, לא היינו משיגים כמעט כלום.
כדי למנוע זאת, אנו צריכים לאמץ כלים למניעת דליפות נתונים, באמצעות יישומים המזהים כאשר משתמשים מסוימים ללא הרשאות מנסים לגשת לסוג מסוים של מידע חסוי או כאשר הוא נשלח מחוץ לחברה באמצעים לא מורשים.

עמידה בתקנים

חשוב לקחת בחשבון כי הרבה חברות לא חושב על זה עד שיהיה מאוחר מדי והן יתחילו לקבל קנסות על אי עמידה בתקנים. תלוי איפה המשרדים הראשיים של החברה שלנו שבו הלקוחות והספקים ממוקמים, נצטרך לציית לחקיקה בתוקף ולאמץ סדרה שלמה של צעדים.
לדוגמה, אם החברה עושה עסקים עם משתמשים באזור האיחוד האירופי, אנחנו צריכים להתאים את מערכות האחסון וניהול הנתונים שלנו על פי GDPR, אשר יהפוך חובה מה-25 במאי 2018. עובדה זו מעלה נושאים חדשים, שאחד מהם הוא האם שירותי אחסון כמו Google Drive ו Dropbox עומדים בתקני הרגולציה.
החברות המנהלות שירותי אחסון מודעות לצורך לעמוד בכל הדרישות הנוגעות לניהול המידע המאוחסן על ידי המשתמשים בשרתים. מסיבה זו, הן לא בזבזו זמן לאמץ את כל הצעדים הדרושים כדי להביא את עצמן להיות מעודכנות.
נכון להיום, הן Google והן Dropbox מצייתות לא רק לתקנות שהוטלו על ידי התוצר המקומי הגולמי, אלא גם להסכם Privacy Shield, הסכם שנחתם בין המדינות החברות באיחוד האירופי וארצות הברית.

ניתן לומר כי השימוש בשיתוף קבצים ופתרונות אחסון בענן מאובטח כל עוד הוא עומד בשורה של נורמות ותקנות בינלאומיות, ועלינו גם ליישם מדיניות אבטחה נוספת.
עם זאת, אסור לנו להיות רשלניים לגבי אבטחת המידע המאוחסן בתוך החברה ומחוצה לה, וגם לא לסמוך על כך שמדובר באחריות של מישהו אחר. אנחנו צריכים ליישם את כל אמצעי האבטחה הנוספים העומדים לרשותנו כדי להגן על המידע שלנו באופן הטוב ביותר.

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2017, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום