פתחתם את הדפדפן שלכם, או לשונית חדשה בתוכו, וקיבלתם הודעה על עדכון תוכנה. התגובה הראשונית והאוטומטית של רובכם היתה כנראה ללחוץ "עדכן" ולאשר את מה-שזה-לא-יהיה שצריך עדכון. ברכותינו - התקנתם לעצמכם רושעה (תוכנה זדונית) על המחשב, ואין לכם אפילו את מי להאשים מלבד את עצמכם.

פישינג דמוי עדכון ג'אווה
נראה בדיוק כמו עדכון Java. האתר שהוצג ל-ד'

עד הזמן האחרון היינו רגילים לכך שתוכנות זדוניות הגיעו למחשבים שלנו בעיקר על ידי ספאם - בין אם הוא הגיע במייל ובין אם בפייסבוק, ובשני המקרים מחברים ממש-טובים מהגלגול הקודם שלא דיברנו איתם שנים ופתאום חשוב להם שנקרא איזה מסמך חשוד. אך דרכי הפריצה לא נעצרו במקום והשתכללו יחד עם הרגלי השימוש שלנו ברשת. אנחנו מדברים, כמובן, על תוספי הדפדפנים.

"יש שלושה סוגים של תוכנה שאתה מוריד והיא מציעה לך להתקין משהוא", אומר שי בליצבלאו, מנכ"ל מגלן טכנולוגיות הגנת מידע. שניים מהסוגים נמצאים בסביבה כבר שנים - סרגלי הכלים המעצבנים והתוספים - כלומר, תוכנות שנצמדות לדפדפן ומנצלות אותו כדי לגשת למחשב. אך המילה האחרונה בתחום היא ההרחבות: בדומה לתוספים, גם הן צמודות לדפדפן, אך אינן בעלות יכולות משלהן, אלא תלויות לחלוטין בדפדפן, ולכן מסוגלות לגשת רק למה שאתם עושים בדפדפן, ולא ביתר חלקי המחשב (כן, עוד יש במחשב תוכנות אחרות מלבד זו שמביאה אתכם למייל, לפייסבוק וליוטיוב).

אמנות הפיתוי

אז איך יכולות ההרחבות - אותן תוכנות קטנטנות שיושבות בתוך הדפדפן ובסך הכל משנות מעט את מה שאתם יכולים לעשות באתרים שאתם גולשים אליהם - לאיום גדול לא פחות מווירוסים של ממש, שיושבים עמוק בתוך המחשב?

התשובה נתונה באמנות הפיתוי, כפי שגילה הגולש ד'. לאחרונה הוא נתקל לא פעם בעת פתיחת לשונית בכרום בהודעה לפיה נגן הווידאו שלו אינו מעודכן. ההודעה נראתה בדיוק כמו הודעה אמיתית של הדפדפן, ולכן לא היסס ד' ולחץ על כפתור ההורדה. אך אז הודיע לו כרום כי ההורדה נחסמה מכיוון שהיא חשודה כנוזקה (תוכנה הגורמת נזק). כתוצאה חזר ד' לאחור והתבונן לעומק בהודעה, מה שחשף כי היא לא הגיעה מהדפדפן, אלא מאתר חשוד שנפתח מעצמו ועוצב להיראות כמו הודעה מגוגל.

בהזדמנות אחרת, קיבל ד' הודעה בדפדפן עם המלצה להתקנת תוכנת הורדות לא מוכרת. הדבר שלכד את תשומת ליבו היה העיצוב: ההמלצה היתה מעוצבת בדיוק כמו הודעת בקשת העדכון של אחת התוכנות הנפוצות בעולם, אך אם היה לוחץ עליה כפי שהוא רגיל ללחוץ על אותה הודעת עדכון - היה מתקין רושעה על המחשב.

בדיקת NEXTER העלתה כי ד' התקין השנה תוסף דפדפן שמטרתו לאפשר בחירה מרובה של חברים בפייסבוק, בעיקר לצורך שליחת הזמנות. אך אותו תוסף ניצל את יכולתו לפתוח אתרים בדפדפן הכרום והציג לד' דפים שניסו לפתות אותו להוריד תוכנות זדוניות שיחדרו לו עמוק יותר לתוך המחשב. במלים אחרות, התוסף החינמי הכניס למפתחו כסף על ידי מכירת גישה למחשב שלו, בעיקר (אם כי לא רק) לגורמים מפוקפקים.

"בדרך כלל, הפעולה הראשונה של כל תוכנה משלושת הסוגים האלה נראית לגיטימית", אומר בליצבלאו, ומדגיש כי התוכנות הזדוניות "תופסות טרמפ" על "משהוא שאתה רוצה, כמו תוכנה שמתנה את ההפעלה בהסכמה לעוד משהוא. אבל אנשים צריכים לדעת שזה פותח ערוץ תקשורת ישיר נוסף למחשב שלהם".

"זה לגיטימי, כי אתה הסכמת"

אמיר כרמי (צילום: עופר וקנין, TheMarker)
אמיר כרמי | צילום: עופר וקנין, TheMarker

"השיטה היא לא חדשה", מציין אמיר כרמי, מנהל התמיכה הטכנית בחברת קומסקיור, נציגת חברת תוכנות האבטחה ESET בישראל. "תחום התוכנות המתחזות קיים כבר כ-15 שנה, אבל בשנה האחרונה אנחנו רואים 'חוטפי דפדפנים' - תוכנות שמשנות את דף הבית ואת תוצאות החיפוש או הפרסומות ויכולות גם להקפיץ דפים נוספים עם פרסומות ואתרי פישינג (דיג - אתרים המתחזים לאתרים אחרים, כמו בשתי הדוגמאות במקרה של ד') או פופ-אפים שנפתחים בלי קשר לכלום. התופעה נמשכת, כמו שאמרתי, הרבה זמן, אבל בשבועות האחרונים אנחנו רואים וריאציות מאוד עקשניות שמתחזות לתוספי כרום מוכרים, כמו חוסם פרסומות או ג'ימייל".

לא כל הרחבה כזו, שמנצלת את העובדה שהמשתמש העניק לה גישה לגלישה שלו לטובת מפתחה, עושה זאת באופן מזיק: "חלק מההרחבות נועדו לנתוני שיווק, כמו סרגל רדיו שמכר את נתוני המשתמשים לחברת כרטיסי אשראי ואיפשר לה להציג לגולשים פרסומות מותאמות מאוד בזמן הגלישה. זה לגיטימי, כי אתה הסכמת", מבהיר בליצבלאו. אך הוא מדגיש כי היכולת הזו בעייתית עד כדי כך שגוגל ויאהו חסמו אותה כבר מספר פעמים, מה שגרם הפסדי ענק לשתי חברות ישראליות מובילות בתחום ההרחבות מסוג סרלגי כלים - בבילון וקונדואיט.

אז מה אפשר לעשות? קודם כל, אומרים שני המומחים, לא מתקינים הרחבות, לפחות לא ללא הבחנה, כפי שעושים גולשים רבים. "אני ממליץ קודם כל לא להתקין תוספים שמגיעים דרך אתרים או תוכנות, אלא רק דרך החנות הרשמית של הדפדפן" אומר כרמי. "שם יש גם הגנה של קהילה, בדמות ביקורות שאפשר לראות אם תוסף קיבל ביקורות שאומרות שהוא עושה את מה שהוא מתיימר לעשות". בליצבלאו מוסיף כי "אם בכל זאת (הגולש) התקין, רוב התוכנות האלה חתומות, אז אפשר להסתכל בחתימה, ללחוץ על הקישור ולבדוק שהחתימה מגיעה מגוף ידוע כמו VeriSign, אפל, מיקרוסופט וכדומה".

טיפ שלישי שנותנים השניים הוא להסתמך על הגנה של תוכנת אנטיוירוס טובה: "אם יש על המחשב אנטיוירוס, אתה יכול להגדיר לו לחסום תקשורת יוצאת של אפליקציות", נותן בליצבלאו טיפ למתקדמים. משתמשים בסיסיים יותר ישמחו לשמוע שלטענת כרמי, "התוכנה שלנו הכי מחמירה בתחום הזה", וחוסמת מייד כל תוכנה חשודה. כדי ללמד גם את הגולשים לזהות תוכנות ואתרים חשודים, מציין כרמי כי בימים אלה מתקיים בעמוד הפייסבוק של ESET ישראל משחק לזיהוי מזימות פישינג.

הכי חשוב, לדעת שניהם, להיות מודעים לעובדה שהדרכים בהן חודרות תוכנות זדוניות למחשבינו הולכות ומשתכללות, ודורשות מאיתנו לשים לב לנורות אדומות: תוכנות שלא עושות מה שהן טוענות (למשל: אחרי התקנת הרחבה לפייסבוק אינכם מרגישים שינוי בתפקוד פייסבוק), כאלו שמבטיחות דברים בלתי אפשריים (לדווח לכם על מקומות חניה פנויים בלי להסביר איך היא יודעת), כאלו שההתקנה שלהן כוללת סעיפים מיותרים המסומנים ב-V כברירת מחדל (בדרך כלל הן מנסות להתקין תוכנה שעל כל התקנה שלה הן מקבלות כסף) וכדומה.