מכל עבר אנחנו שומעים שהאקרים טורקים רוצים לגנוב לנו את הססמאות, לפרוץ לנו לאימייל, לחייב לנו את חשבונות הבנק ולהפיל את אתרי העיריות. לצערנו, הכל אמיתי. ישראל נמצאת תחת מתקפה דיגיטלית קשה מאוד ועדות לכך הם אתרים כמו אתר עיריית תל אביב ששכב מת במשך שבועות. לא רק אתר העירייה נפרץ, גם האתר של הומלס וכשזה קרה ססמאות ואימיילים של משתמשים נלקחו ממנו והופצו בין האקרים טורקים אחרים. מה זה אומר? איך אפשר להגן על עצמנו ומה לעשות אם כבר פרצו לנו לחשבונות? בואו נראה.
איך המתקפות האלה מתחילות?
לכל אחד מאתנו יש מספר חשבונות מקוונים. יש לנו חשבון אימייל בג’ימייל, יש לנו את הססמאות שלנו לכניסה לאתר הבנק כדי שנראה מה קורה עם החשבונות, חלק מאתנו משתמשים באתרים כמו paypal כדי לבצע קניות. אם תחשבו על זה בטוח שיש לכם חשבונות לחמישה אתרים לפחות - הפורום המועדף אליכם, אמזון, אתרים כמו הומלס, zap אולי? העובדה שיש לכם כל כך הרבה חשבונות היא לא הבעיה, הבעיה היא הדרך בה אתם נכנסים לחשבונות האלו.
רוב המשתמשים בוחרים באותה הססמה לכל האתרים. זה הרבה יותר נוח וקל, לא מתבלבלים ולמי יש כוח בכלל לזכור ססמאות שונות לאתרים שונים? הבעיה היא שאם האקר טורקי בעל יכולות בינוניות ביותר נפל במקרה על האימייל והססמה שלכם כשנכנס לחשבון שלכם בהומלס, הרי שהוא ינסה מיד את מזלו ויכנס לכל אתר גדול אחר שאולי יש לכם חשבון בו - והוא יתחיל עם האימייל שלכם. למה? מאוד פשוט. נגיד שיש לכם כמה ססמאות אבל אותו האקר הצליח לאתר את הססמה של האימייל. הרי שעכשיו הוא יכול לפנות לכל אתר בו יש לכם חשבון ולבקש לאחזר את הססמה. הססמה החדשה תשלח לתיבת האימייל שלכם ונחשו מי ממתין לה?
אז מה עושים? האם יש דרך להתגונן מהאנשים הנוראיים האלו? כן, יש דרך והיא דורשת מכם לפעול, ממש עכשיו.
איך להגן על עצמכם מפריצות?
הדבר הראשון שאתם צריכים לעשות הוא סדר - עליכם ולבדוק לאילו אתרים אתם נכנסים דרך קבע. עשו רשימה ודאגו לשים את האתרים הרגישים ראשונים ברשימה הזו. מהם אתרים רגישים?
• האימייל שלכם.
• אתר הבנק.
• אתר כרטיסי אשראי.
• כל אתר שמכיל פרטי אשראי שלכם (paypal, אמזון וכדומה).
• אחריהם רשמו את כל שאר האתרים שאתם נכנסים אליהם הרבה: פורומים, חשבון הטוויטר שלכם, פייסבוק, הבלוג שלכם - כל אתר שאתם נכנסים אליו ומתבקשים להכניס ססמה.
• כעת, כשיש לכם את הרשימה הזו הכנסו לכל אחד מהאתרים האלו ושנו את הססמה שלכם והפעם תנו לכל אתר ססמה חזקה אחרת. זה חשוב, אז אני מדגיש: זה לא מספיק ליצור ססמה חזקה אחת. אתם רוצים ליצור ססמאות שונות, לפחות לאתרים החשובים. זה אולי מעצבן, אבל הרבה יותר מעצבן יהיה לגלות שחייבו לכם את כרטיס האשראי, או שבצעו עסקאות בחשבון הבנק שלכם או שחשפו פרטים אישיים במיוחד לגביכם ולגבי הילדים שלכם.
איך יוצרים ססמאות חזקות שקל לזכור?
• חוץ מיצירה של מספר ססמאות, חשוב ליצור כמובן ססמאות חזקות. מהי ססמה חזקה? אידיאלית זו ססמה של לפחות 10 תווים שכוללת אותיות, מספרים וסימנים מיוחדים. למשל e8sd@(w[~. נראה מפחיד? תהיו בטוחים שאם זו הססמה שלכם אף אחד לא יצליח לפרוץ אותה, לפחות לא מבלי לבזבז כמה ימים של ניסיון ובמקרה של המתקפה שיש על ישראל כרגע, אותו האקר יעבור הלאה לנסות לפרוץ למישהו אחר.
• אם הססמה הזו נראית לכם מסובכת מדי ואתם רוצים לבחור ססמה חזקה אבל אחת שיש סיכוי שתזכרו יש דרך לעשות זאת. ראשית, אל תשתמשו בתאריכים. זה הדבר הכי מטופש שאפשר לעשות. תאריכי לידה קלים לאיתור ורבים משתמשים בהם. אל תשתמשו במספרים עוקבים ואל תשתמשו בשמות של בני משפחה. אתם כן יכולים לעשות שילוב של שמות ומספרים וגם להוסיף אותיות גדולות וקטנות באנגלית. דרך אחת ליצור ססמה חזקה היא לבנות אותה מציטוט אהוב. איך עושים את זה?
• איך הציטוטים האוהבים עלי הוא “אין לפחד אלא מהפחד עצמו, הפחד הוא קטול הבינה”. איך הופכים את זה לססמה? לוקחים את האותיות הראשונות של כל אחת מן המילים במקרה הזה: אלאמעההקה או אם זה באנגלית I must not fear Fear is the mind-killer מה שאומר שהססמה שלנו תהייה ImnfFitmk. הססמה שקבלתם היא די מורכבת ואף אחד לעולם לא יעלה עליה והכי חשוב - לכם יהיה מאוד קל לזכור אותה.
• רוצים טריק נוסף? הנה משהו שעובד לדוברי שתי שפות. כוונו את המקלדת לשפה האנגלית וכתבו את שם הרחוב שלכם כאשר אתם מקלידים את השם בעברית. מבולבלים? הנה דוגמה. אם אתם גרים ברחוב אלנבי עברו לשפה האנגלית והקישו את האותיות אלף למד נון בית יוד. זה יצא tkbch לרוב זה קצר מדי לססמה ולכן אתם יכולים להוסיף את מספר הרחוב והבית. אם אתם גרים באלנבי 43 דירה 5 אז אתם יכולים ליצור את הססמה tkbch435 או 5tkbch43 נחמד לא?
• בצורה הזו אפשר ליצור מספר ססמאות מאוד חזקות לאתרים השונים בהם אתם משתמשים.
מה עושים אם גיליתם שפרצו לכם לחשבון?
• אם פרצו לכם לחשבון האימייל המצב די קשה. אם אתם בג’ימייל יש דבר אחד חשוב שאתם רוצים לעשות כמה שיותר מהר. בעמוד הראשי של ג’ימייל גללו מטה את שתגיעו לשורה שאומרת: Last account activity: 0 minutes ago at this IP. מיד אחריה יש מספר ואז קישור בשם details. לחצו עליו ותעברו לעמוד שיראה לכם את כל הכניסות שנעשו לחשבון שלכם מכתובות IP (מחשבים) שונים. כעת לחצו על הכפתור העליון עליו כתוב sign out all other sessions. בצורה הזו אתם מנתקים כל מחשב אחר שמחובר לחשבון שלכם. יכול להיות שיש מחשבים אחרים שלכם שמחוברים לחשבון - המחשב בעבודה, או המחשב הנייד או האייפון שלכם. זה בסדר, תוכלו לחזור ולהתחבר אחר כך.
• השלב הבא הוא ללכת ל-settings של ג’ימייל ולשנות מייד את הססמה. אי אפשר לדעת אם ההאקר הטורקי לא חשף כבר ססמאות אחרות שיש לכם באימייל אבל מה שבטוח הוא שהוא לא יוכל לחזור. כעת קחו חצי דקה ושנו את הססמאות בכל האתרים שלכם.
• מיד לאחר שוידאתם שכל הססמאות שונו בדקו את כרטיס האשראי שלכם או כל אתר קניות אחר ובדקו שלא נעשו פעולות על החשבון שלכם בזמן שלא שמתם לב. אם נעשתה פעולה כלשהי, צרו קשר מיד עם מנהלי האתר ודווחו על הפריצה שנעשתה לחשבון שלכם.
מה חשוב לא לעשות בעתיד?
• אל תשתמשו באותה הססמה למספר אתרים! למקרה שזה לא היה ברור.
• הדבר השני שחשוב לעשות הוא להשתמש בדפדפן מאובטח וטוב, כמו safari או firefox או Chrom. אחד מהדברים שהדפדפנים האלו עושים הוא לעזור לכם להבחין אם האתר שאתם נכנסים אליו הוא אתר מקורי. למה זה טוב? ובכן, אחד הדרכים בהם האקרים גונבים ססמאות, היא בעזרת בניית אתר שנראה דומה מאוד לאתר המקורי אבל הוא לא. למשל אתם יכולים לקבל אימייל מהבנק שלכם ובו אתם מתבקשים ללחוץ על הקישור שמופיע באימייל, להכנס לחשבון שלכם ולשנות ססמה או לבצע פעולה אחרת.
• אתם תלחצו על הקישור, תכנסו לאתר הבנק, תקלידו את הססמה שלכם… וכולם לא יקרה. מה קרה? הקלדתם את הפרטים שלכם בשדות הנכונים ובאותו הרגע אלו נשלחו אל ההאקר שעכשיו יודע איך להכנס לחשבון בנק שלכם.
• איך הדפדפנים המאובטחים עוזרים לכם לזהות אתר מזויף? פשוט מאוד. בשורת הכתובת הדפדפנים האלו מציגים סימנים ברורים שמורים על כך שהאתר הוא אתר מקורי. אם אתם רואים את הסימנים האלו אתם יכולים להיות רגועים. אם אתם נכנסים לאתר והוא לא מציג את הסימונים האלו תתחילו לחשוד.
• אותו הדבר יכול לקרות בפייסבוק. אתם תקבלו הודעה ל”משהו מגניב שאתם חייבים לראות” ואחרי שתלחצו על הקישור פתאום תגלו שאתם מחוץ לפייסבוק ותתבקשו להקליד את הססמאות מחדש. ברגע שתעשו את זה אתם תעבירו את כל הפרטים שלכם להאקרים.
לסיכום
• קל מאוד לטעות וליפול לידיהם של האקרים. מה שחשוב הוא להיות עם היד על הדופק. לשנות את הססמאות, לדאוג שיהיו לכם ססמאות חזקות ולהקפיד לשנות את הססמאות האלו מדי כמה חודשים. בנוסף, היו ערניים. אל תלחצו על כל קישור. אם הבנק שולח לכם אימייל תרימו טלפון ובדקו אם הם אכן שלחו את האימייל - ברוב המקרים הם לא יעשו את זה. הבנקים בארץ לא שולחים אימיילים כאלו אלא במקרים נדירים (בהם לא נתקלתי עד היום). אם אתם לא בטוחים מאיפה נשלח האימייל או למה קבלתם את ההודעה אל תלחצו על כלום. אם זה ממש חשוב אתם תקבלו אימייל נוסף - האקרים לא טורחים להציק יותר מידי לאותו בן אדם, זה פשוט לא שווה להם את הזמן.
• ותזכרו. האינטרנט הוא כמו העולם האמיתי. יש בו הרבה דברים נהדרים והמון טוב, אבל כמו שאתם דואגים לנעול את הדלת היטב לפני שאתם הולכים לישון או כשאתם יוצאים מהבית - כך גם תדאגו לעשות עם החשבונות המקוונים.