הבנת הפרצה: כיצד המידע שלכם נשאב מפייסבוק?
הפרצה המדוברת אינה תוצאה של וירוס או תוכנה זדונית שהותקנה על המחשב שלכם, אלא ניצול מתוחכם של האופן שבו דפדפני אינטרנט ופלטפורמות חברתיות מתקשרים זה עם זה. המתקפה התבססה על שילוב של שתי טכניקות ותיקות בעולם הסייבר: מתקפת CSRF ושימוש ב-IFRAME. כדי להבין את חומרת המצב, חשוב לפרק כל אחד מהמרכיבים הללו.
מהי מתקפת CSRF (Cross-Site Request Forgery)?
דמיינו שאתם נמצאים בבנק שלכם, ולאחר שאישרתם את זהותכם, הפקיד מכיר אתכם ומוכן לבצע כל הוראה שתתנו לו. כעת, דמיינו שמישהו מצליח לגרום לכם, מבלי שתשימו לב, לצעוק הוראה לבצע העברה בנקאית. מכיוון שהפקיד מזהה את הקול שלכם (כלומר, אתם מחוברים לחשבון), הוא יבצע את ההוראה. זוהי, בפשטות, המהות של מתקפת CSRF, או “זיוף בקשה חוצת אתרים”.
במתקפה זו, התוקף מנצל את העובדה שהדפדפן שלכם שומר “עוגיות” (Cookies) המאשרות שאתם מחוברים לחשבון מסוים (כמו פייסבוק). כאשר אתם גולשים לאתר זדוני, הוא יכול להכיל קוד נסתר ששולח בקשה לפייסבוק “בשמכם”. מכיוון שהדפדפן שולח אוטומטית את עוגיות האימות יחד עם הבקשה, פייסבוק חושבת שהבקשה לגיטימית והגיעה מכם, ומבצעת את הפעולה המבוקשת, למשל, חיפוש מידע.
תפקיד ה-IFRAME במתקפה
IFRAME הוא תג HTML המאפשר להציג דף אינטרנט אחד בתוך דף אינטרנט אחר, כמו “חלון בתוך חלון”. במקרה של הפרצה בפייסבוק, אתרים תוקפים הטמיעו IFRAME נסתר (בגודל של פיקסל בודד, למשל) בתוך הדפים שלהם. ה-IFRAME הזה טען חלק ספציפי מפייסבוק, כמו למשל את עמוד החיפוש הפנימי של הרשת החברתית.
השילוב של שתי הטכניקות היה קטלני: המשתמש גלש לאתר התוקף, האתר טען ברקע חלון נסתר של פייסבוק, ומיד לאחר מכן השתמש במתקפת CSRF כדי להורות לאותו חלון לבצע חיפושים ספציפיים. מכיוון שהכל קרה בתוך דף של פייסבוק שהמשתמש היה מחובר אליו, החיפוש הצליח, והאתר התוקף יכול היה לקרוא את התוצאות שהוצגו בתוך ה-IFRAME הנסתר.
שלב אחר שלב: כך פעלה המתקפה
- התחברות: המשתמש מתחבר לחשבון הפייסבוק שלו כרגיל.
- גלישה: המשתמש מבקר באתר אינטרנט תמים למראה, אשר מכיל קוד זדוני, או באתר זדוני ייעודי.
- הטמעה נסתרת: האתר טוען ברקע IFRAME בלתי נראה, המפנה לכתובת URL של פונקציית החיפוש של פייסבוק.
- ביצוע הפעולה: באמצעות סקריפט, האתר התוקף שולח בקשת חיפוש (CSRF) בתוך ה-IFRAME. לדוגמה: “חברים שלי שגרים בתל אביב” או “חברים שלי שעשו לייק לעמוד X”.
- קבלת תוצאות: פייסבוק, שמזהה את המשתמש כמחובר, מעבדת את החיפוש ומחזירה את התוצאות בתוך ה-IFRAME.
- שאיבת המידע: האתר התוקף קורא את תוכן ה-IFRAME וגונב את רשימת החברים, הלייקים או כל מידע אחר שהחיפוש הניב.
איזה מידע אישי היה בסכנה?
היופי, או ליתר דיוק, הסכנה במתקפה הזו היא הגמישות שלה. התוקפים לא היו מוגבלים לסוג מידע אחד, אלא יכלו לבצע מגוון רחב של חיפושים ולדלות מידע רב ערך. המידע שניתן היה להשיג כלל, בין היתר, פרטים אישיים פומביים, רשימות חברים, לייקים שהמשתמש ביצע, קבוצות בהן הוא חבר, ואף לבצע חיפושים מורכבים יותר לפי חיתוכים שונים כמו דת, מקום עבודה או תחומי עניין.
חשוב להבין שהמידע הזה, גם אם חלקו מוגדר כ”פומבי”, הופך למסוכן הרבה יותר כאשר הוא נאסף באופן מרוכז. תוקפים יכולים להשתמש בו כדי לבנות פרופילים מפורטים על קורבנות פוטנציאליים, מה שסולל את הדרך למתקפות מתוחכמות יותר כמו הנדסה חברתית, דיוג ממוקד (Spear Phishing) ואפילו גניבת זהות. לדוגמה, תוקף שמגלה שאתם אוהדים קבוצת כדורגל מסוימת, יכול לשלוח לכם מייל דיוג עם “מבצע מיוחד על כרטיסים” שנראה אמין במיוחד.
| סוג המידע | סיכון פוטנציאלי |
|---|---|
| רשימת חברים | יצירת קשר עם חברים בשמכם (התחזות), הבנת הרשת החברתית שלכם למטרות ריגול עסקי או אישי. |
| לייקים ותחומי עניין | בניית פרופיל פסיכולוגי, התאמה אישית של מתקפות דיוג, פרסום ממוקד זדוני. |
| מידע פומבי (מקום עבודה, עיר מגורים) | אימות פרטים במתקפות הנדסה חברתית, גניבת זהות, איומים פיזיים. |
| חברות בקבוצות | הבנת השתייכות פוליטית, דתית או חברתית, והפצת מידע כוזב או תעמולה ממוקדת. |
האם פייסבוק היא היחידה? מבט רחב על פגיעויות דפדפן
חשוב להדגיש כי פרצה זו אינה ייחודית לפייסבוק. הבעיה הבסיסית נעוצה במודל האבטחה של דפדפני האינטרנט, שמתקשה לעיתים להפריד באופן הרמטי בין אתרים שונים הפתוחים במקביל. מדיניות “אותו מקור” (Same-Origin Policy), שאמורה למנוע מאתר א’ לגשת למידע מאתר ב’, ניתנת לעקיפה באמצעות טכניקות מתוחכמות. פייסבוק, בהיותה מאגר עצום של מידע אישי ורגיש, מהווה יעד אטרקטיבי במיוחד עבור תוקפים המחפשים לנצל חולשות מסוג זה.
הפתרון ארוך הטווח דורש שיתוף פעולה בין מפתחי הדפדפנים (כמו גוגל, מוזילה ואפל) לבין מפתחי האתרים הגדולים. על הדפדפנים להקשיח את ההגנות ולאכוף הפרדה טובה יותר בין אתרים, ועל האתרים ליישם מנגנוני הגנה ספציפיים נגד מתקפות CSRF, כמו שימוש בטוקנים (Tokens) ייחודיים לכל פעולה. פייסבוק, מצדה, פעלה לסגירת הפרצה הספציפית הזו, אך המירוץ בין התוקפים למגנים נמשך כל הזמן.
צעדים מעשיים להגנה: מה אתם יכולים לעשות עכשיו?
בעוד שהאחריות העיקרית לתיקון פרצות כאלה מוטלת על ענקיות הטכנולוגיה, גם לנו כמשתמשים יש כוח רב ויכולת לצמצם משמעותית את הסיכונים. אימוץ הרגלי גלישה נכונים ושימוש מושכל בהגדרות האבטחה יכולים לעשות את כל ההבדל. הנה מספר צעדים שכל אחד יכול וצריך ליישם.
הגדרות פרטיות ואבטחה בפייסבוק
- בדיקת הרשאות לאפליקציות: היכנסו להגדרות החשבון שלכם, תחת “אפליקציות ואתרים”, ועברו על רשימת השירותים המקושרים לחשבונכם. הסירו כל אפליקציה שאינכם מזהים או שאינה בשימוש.
- הפעלת אימות דו-שלבי (2FA): זהו אחד מכלי האבטחה החשובים ביותר. גם אם מישהו ישיג את הסיסמה שלכם, הוא לא יוכל להתחבר לחשבון ללא קוד נוסף שיישלח לטלפון שלכם.
- הגבלת חשיפת מידע: עברו על הגדרות הפרטיות של הפרופיל. הגדירו מי יכול לראות את רשימת החברים שלכם, את הפוסטים שלכם ואת המידע האישי שלכם. ככל שפחות מידע חשוף לציבור, כך קטן משטח התקיפה.
- התראות על התחברות: הפעילו התראות שיישלחו אליכם במייל או בהודעה בכל פעם שמתבצעת התחברות לחשבונכם ממכשיר או דפדפן לא מוכרים.
הרגלי גלישה בטוחים
הגנה טובה מתחילה במודעות. שימו לב היכן אתם גולשים ובאילו קישורים אתם לוחצים. הימנעו מכניסה לאתרים מפוקפקים והיזהרו מהודעות דואר אלקטרוני או הודעות ברשתות חברתיות המציעות הצעות מפתות או דורשות מכם לפעול בדחיפות. בנוסף, הקפידו להתנתק מחשבונות חשובים (פייסבוק, ג’ימייל, בנק) בסיום השימוש, במיוחד במחשבים ציבוריים.
ניהול סיסמאות חכם
ההמלצות הישנות על סיסמאות עדיין תקפות, אך כדאי לחזק אותן. במקום להשתמש בסיסמאות פשוטות או בסכמה דומה לכל האתרים, אמצו את הכללים הבאים:
- ייחודיות: השתמשו בסיסמה שונה וחזקה לכל שירות. פרצה באתר אחד לא אמורה לסכן את כל החשבונות האחרים שלכם.
- אורך ומורכבות: צרו סיסמאות ארוכות (לפחות 12-16 תווים) המשלבות אותיות גדולות וקטנות, מספרים וסמלים.
- מנהל סיסמאות: מכיוון שבלתי אפשרי לזכור עשרות סיסמאות מורכבות, השתמשו במנהל סיסמאות. זהו כלי שיוצר ומאחסן עבורכם את כל הסיסמאות בצורה מוצפנת ובטוחה.
- הימנעות מסיסמאות ברירת מחדל: אם קיבלתם סיסמה זמנית או סיסמת ברירת מחדל לשירות כלשהו, שנו אותה מיד.
הגנה על העסק: כיצד ארגונים יכולים למזער את הסיכון?
האיום אינו מוגבל למשתמשים פרטיים. עובד שחשבון הפייסבוק שלו נפרץ עלול להפוך מבלי דעת לנקודת תורפה באבטחת הארגון כולו. מידע שנגנב מפרופיל אישי יכול לשמש לתקיפת החברה שבה הוא עובד. לכן, על כל עסק לנקוט בצעדים פרואקטיביים כדי להגן על נכסיו הדיגיטליים ועל עובדיו. כחברת מחשוב מובילה, אנו בגלובל נטוורקס רואים חשיבות עליונה ביישום אסטרטגיית הגנה רב-שכבתית.
מדיניות והדרכת עובדים
החוליה האנושית היא לרוב החלשה ביותר בשרשרת האבטחה. יש להשקיע בהדרכות תקופתיות לעובדים על איומי סייבר עדכניים, כגון דיוג, הנדסה חברתית וגלישה בטוחה. יש לקבוע מדיניות ברורה לגבי שימוש ברשתות חברתיות במקום העבודה ובמחשבי החברה, ולהדגיש את החשיבות של הפרדה בין חשבונות אישיים ומקצועיים.
פתרונות אבטחת מידע מתקדמים
הסתמכות על אנטי-וירוס בסיסי אינה מספיקה עוד. ארגונים מודרניים זקוקים לחבילת הגנה מקיפה הכוללת:
- הגנת נקודות קצה (EDR): פתרונות מתקדמים המנטרים התנהגות חשודה במחשבי העובדים ויודעים לזהות ולחסום איומים מתוחכמים.
- סינון תעבורת אינטרנט (Web Gateway): שירותים החוסמים גישה לאתרים זדוניים ידועים וסורקים קבצים לפני שהם מגיעים למחשב המשתמש.
- אבטחת דואר אלקטרוני: מערכות המסננות הודעות דיוג, קבצים מצורפים מסוכנים וקישורים זדוניים.
החשיבות של שותף IT מקצועי
עבור עסקים רבים, ניהול עצמאי של מערך אבטחת מידע הוא משימה מורכבת ויקרה. כאן נכנס לתמונה התפקיד של שותף IT אמין ומנוסה. חברת גלובל נטוורקס מספקת שירותי מחשוב לעסקים המשלבים מומחיות טכנולוגית עמוקה עם הבנה של הצרכים העסקיים. אנו מציעים סקרי אבטחה, ניטור רציף, תגובה לאירועים וליווי שוטף, המאפשרים לכם להתמקד בליבת העסק שלכם בידיעה שהסביבה הדיגיטלית שלכם מוגנת. כמו כן, המעבר לשירותי ענן לעסקים מאובטחים יכול לספק שכבת הגנה נוספת, על ידי ריכוז המידע והאבטחה בסביבה מנוהלת ומבוקרת.
