מיטל (מיי) ברוקס-קמפלר, יועצת ומרצה לאבטחת מידע ורגולציה. מייסדת ובעלים של חברת Helena המתמחה בייעוץ ובהובלת פרויקטים של הגברת מודעות לאבטחת מידע. מייסדת קהילת Think Safe Cyber בפייסבוק ומחברת הספר "בטוחים אונליין – המדריך המלא להגנה עצמית ברשת"
בשבועיים האחרונים רץ וירוס חדש בפייסבוק: "זה נראה כמוך". זו הודעה שקיבלתי כבר עשרות פעמים.
"כי כל אחד שפתח והכניס את הפרטים הפיץ אותו לכל אנשי הקשר שלו".
המטרה היא בעצם לגנוב מידע.
"בשלב הזה מה שהם עשו זה לגנוב שם משתמש וסיסמה לפייסבוק ואז להפיץ לעוד מיליון אנשים. גם מערך הסייבר הוציא על זה הודעה. ההערכה היא שזה ישמש להתקפה עתידית. לא מצאו כאן איזה קוד זדוני, אבל זה לא אומר שבעוד שבוע זה לא יקרה".
זה וירוס שעובד על הפחדה.
"נכון. מה רואים עליי? למה יש אימוג'י של לב שבור? מה גילו שאני לא יודעת?".
זה באמת מטריד. קשה לא להיכנס ולבדוק.
"ברור. אלה רגשות אנושיים, על זה הם בונים. וזה עובד. בהרצאות אני מבקשת ממישהו: אפשר רגע את הטלפון? אתה יכול לפתוח אותו רגע? ואז אני אומרת: למה נתת לי את הטלפון? 'כי אני סומך עלייך'. למה? הרגע הסברתי לך למה לא לסמוך על אף אחד. זה בסדר, אנחנו סומכים על אנשים, גם אני כזאת. אבל הייתי רוצה שנהיה טיפה יותר חשדניים".
באבטחת מידע וסייבר משתמשים במושג "הנדסה חברתית". אלה הטריקים שמתמרנים אנשים לפעולות.
"נכון. זו אמנות המניפולציה. בהקשר הזה מדברים על כל מניפולציה שעושה האקר כדי לגרום לאדם אחר לעשות משהו שהוא לא אמור לעשות: ללחוץ על לינק, לתת את הסיסמה, להעביר מידע".
זו הטכניקה שבה בעצם משתמשים בדיוג, פישינג – ההונאות שמפתות אותך להיכנס לאתר מזויף ולתת את הפרטים שלך.
"כן. עכשיו היה פישינג עם אדידס: 'אדידס מחלקת 3,000 זוגות נעליים – לחצו כאן'. או 'זכית בזה וזה'. אתרים מתחזים שנראים סופר-משכנעים".
באילו עוד דרכים עושים את זה?
"שיחות טלפון. 'שלום, מדברת מיטל ממרכז ההונאות של ויזה כאל, ראיתי שחייבו היום את כרטיס האשראי שלך ב-5,000 דולר בניו יורק. אתה בארץ? אל תדאג, בוא נבטל את הכרטיס'. ואז אני נותנת לך את השם המלא, את תעודת הזהות, את הכתובת – את הכל מצאתי באינטרנט, זה לא קשה. ואני נותנת לך את הספרות הראשונות, נגיד 4580. 'אתה יכול להשלים את הספרות?'. עכשיו, 4580 זה כל הוויזה בארץ. לא אמרתי כלום, נתתי מידע שהוא גלוי. עם מספיק שיחות כאלה אגיע למספיק כרטיס אשראי".
הדוגמה הכי מפורסמת של פישינג היא העוקץ הניגרי. איך יכול להיות שב-2020 אני עדיין מקבל הודעות מנסיכים עשירים שזקוקים לעזרה ומעורכי דין שמבטיחים לי צוואה סודית?
"כי זה עובד. הם פשוט השתכללו בזה נורא: מקליטים לך הודעות קוליות, שולחים הודעה ספציפית אליך. לחברה שלי שלח מייל מישהו שהתחזה לעורך דין אמיתי בארה"ב. לקחו את הזהות שלו. אם מחר בבוקר מישהו מחליט להתחזות אליך, מה הבעיה? יש תמונות שלך ברשת, אני יכולה לייצר פרופיל שנראה כמוך".
זה קורה לא מעט ברשתות חברתיות ובמיוחד בטינדר.
"בטינדר זה עוד ניחא. תחשוב שאני מתחזה אליך ומכפישה את המעסיק שלך. זה הרבה יותר חמור".
הפישינג אולי הכי שכיח היום זה מיילים מפייפאל.
"הבוקר טיפלתי בשניים כאלה. האינדיקציה היחידה הייתה הפנייה 'Dear Costumer'. פייפאל מכירים אותי, הם לא יקראו לי 'לקוחה יקרה', הם יקראו לי 'מיי היקרה'. כשאני רואה 'לקוחה יקרה', כל הנורות האדומות נדלקות".
מה עוד מדליק נורה?
"כתובת השולח. שם זה היה Service at PayPal. כשאתה מסתכל בכתובת המלאה – זה לא פייפאל. אבל בשם אני יכולה לשים מה שאני רוצה".
ואת הכתובת אראה רק אם אבדוק את הפרטים, מה שרובנו לא עושים. אנחנו רואים "פייפאל" וחושבים "אוקיי, זה פייפאל".
"וגם אם תלחץ על הקישור תגיע לעמוד שנראה בול כמו פייפאל. אבל הוא לא".
פישינג היום זה גם סמישינג, דיוג במסרונים. ראינו את זה בתחילת משבר הקורונה עם הודעות מזויפות על מענקים מביטוח לאומי.
"וביטוח לאומי גם שלחו את ההודעה האמיתית שלהם עם לינק מקוצר, אז זו בכלל הייתה בעיה. כשהלינק מקוצר, אתה לא יודע לאן הוא מוביל בלי לחקור אותו".
"כשמשפחה מפרסמת תמונות מחופשה בחו"ל וחוזרת לבית שנפרץ – היא מבינה את הקשר? כמה פעמים שמעת את הסיפור 'חזרו מהחתונה לבית פרוץ'? בטח, כי שבוע לפני החתונה העליתם 'עוד שבוע חתונה', ויומיים לפני, ובאותו יום. אז חוזרים הביתה, והבית מרוקן"
מה צריך לגרום לי לחשוד מלכתחילה במייל או ב-SMS?
"כל הודעה שמניעה אותך לפעולה: מבקשים שתלחץ על קישור, שתמלא פרטים, שתוריד קובץ. אלה אינדיקטורים. אני לא לוחצת על אף קישור, אף פעם. קיבלתי 'הצעה מיוחדת' מאמזון? אני נכנסת לאתר ומחפשת אותה. קיבלתי הודעה שהמשלוח בדרך? אני בודקת באתר. לא דרך הקישור".
אנחנו בנובמבר, אחרי יום הרווקים, רגע לפני בלאק פריידי. הולכות להיות הרבה הודעות כאלה.
"בלי סוף. אנשים לא מכירים את הפישינג שאחרי הקניות. זה התחיל לפני שנה-שנתיים, מיילים של 'עקוב אחרי ההזמנה'. אם הזמנתי דברים בבלאק פריידיי ואני מקבלת מייל כזה – אני אלחץ. יש גם מסרונים שמתחזים לדואר ישראל. לפני שבוע נתקלתי בכזה שהתחזה לדואר על הזמנה אמיתית. זה נראה אחד לאחד האתר של הדואר, עם 'לחץ כאן לתשלום מכס כדי לשחרר את החבילה'".
האקרים שולחים מיילים ומסרונים כאלה בלי לדעת אם בכלל הזמנתי משהו.
"ברור. הם אומרים: בלאק פריידיי, הסיכויים שתזמין גבוהים. אם אתה בארה"ב, הסיכוי שלא תזמין מאמזון מאוד נמוך. מה אכפת לי לנסות? מה עולה לי לשלוח חצי מיליון מיילים?".
איך עוד נימנע מפישינג בבלאק פריידי?
"קודם כל, אם נדמה לי שההצעה טובה מכדי להיות אמיתית – להיכנס לאתר ולחפש אותה. דבר שני: לשים לב לאילו אתרים אנחנו גולשים. לפני כמה זמן פנתה אליי מישהי שקנתה נעלי ספורט לבן שלה. האתר נראה סבבה, קצת סימנים מחשידים אבל בלי אקדח מעשן. גיליתי שהדומיין הוא של חברה מהונג קונג. אמרתי לה: זה נראה חשוד, תבטלי את העסקה. אחרי שהיא ביטלה, בעל האתר התחיל לשלוח לה הודעות איום, כי כביכול הוציאו לה את המשלוח והוא בדרך. עד שבסוף הוא עשה טעות ונתן לה מספר חשבון להעביר את הכסף תוך 24 שעות – וזה היה בבנק ישראלי. התקשרתי למנהל אבטחת המידע של הבנק, העברתי את הפרטים, עשו בדיקה וזה הגיע לתלונה במשטרה".
לשמור את פרטי האשראי בדפדפן זה בטוח?
"אני מהחוטאים שעושים את זה. גם כשהפרטים בגוגל, אני צריכה להכניס CVV. זה משהו שאף אחד אחר לא אמור לדעת".
נקודת ההנחה שלי היא שאם מישהו החליט לפרוץ – הוא יפרוץ לפנטגון פרצו. אבל אני רוצה לעכב אותו".
גנבו לך פעם מידע?
"לפני שנתיים קיבלתי הודעה שכרטיס האשראי שלי נחסם כי הוא בשימוש במוזמביק. מה עושה אשת סייבר היסטרית כשהיא רואה מייל כזה? יושבת חצי שעה ומנתחת למה זה פישינג. אמרתי לעצמי 'פישינג מהמם, קנו דומיין, מה עשו שם, זה מטורף'. ואז עלה לי רעיון: אולי אתקשר לבנק ואשאל? וזה היה אמיתי. חצי שעה הנחתי שעובדים עליי, ובסוף התקשרתי לבנק ובאמת הייתה פריצה לאיזה מאגר נתונים. היו לי גם סיסמאות שדלפו, כשפרצו ל-Canva. אבל זה לא באמת מעניין אותי, כי לא באמת גנבו לי את הסיסמה".
למה?
"כי אני מזדהה עם פייסבוק וגוגל בכל דבר שאפשר, והסיסמאות שלי שם הן מהגיהינום. אלה סיסמאות שכמעט אי אפשר לזכור, ואני גם מחליפה אותן פעם בשלושה חודשים".
והחיבור דרך פייסבוק וגוגל לא מאפשר גישה לפרטים נוספים?
"לא. זה לא כמו לחבר אפליקציה לפייסבוק. זה פרוטוקול נטו לזיהוי".
מה דעתך על שירותים לניהול סיסמאות?
"לי קשה עם זה, כי בסוף זו נקודת כשל בודדת. אם מנהל הסיסמאות נפרץ אז הכל במקום אחד. זה כבר קרה ל-OneLogin ול-LastPass".
זה גם יכול לקרות לגוגל ולפייסבוק.
"אז אני גם משתמשת באימות דו-שלבי, כך שבכל פעם שמישהו מתחבר ממכשיר חדש אני מקבלת התראה. זה קריטי בכל מקום שאפשר: פייסבוק, ג'ימייל, ווטסאפ, אינסטגרם, אאוטלוק. ולדברים חשובים: לקופת חולים, לבנק. ולא להתייחס לווטסאפ של 'שלחתי לך קוד בטעות, אתה יכול להעביר לי?'. ככה אנשים מאבדים גישה לווטסאפ".
עוד פישינג. אבל הצד השני של ניסיונות הפישינג האלה זה שאננות. כשאני כל יומיים מקבל אזהרה מפישינג, אני נהיה אדיש לחלוטין ולא מתייחס לאף אזהרה ברצינות.
"זאת אחת הבעיות הכי קשות של תעשיית הסייבר בעולם, 'זאב זאב'. אנחנו אומרים 'יפרצו לכם, יפרצו לכם', ואז אף אחד כבר לא מקשיב לנו, ובצדק. אני אומרת את זה כמי שחטאה בזה ולפעמים עדיין חוטאת בזה. אבל אני אישית מסתכלת על כל מייל כחשוד. זה שאני פרנואידית לא אומר שלא רודפים אחריי. בקהילת Think Safe Cyber בפייסבוק אנחנו נותנים פתרונות. המיילים והמסרונים שרצים בקבוצות ווטסאפ עולים קבוע לקהילה ומקבלים תשובות מאנשי סייבר".
"הורים חושבים שאם הם התקינו אפליקציית בקרת הורים אז הם עשו את חובתם. למה כשילד יוצא למסיבה אנחנו שואלים 'לאן אתה הולך?' ו'עם מי תהיה?', וכשהוא נכנס לחדר ועושה מסיבה בזום אנחנו לא שואלים? זה העולם שלהם. זה כבר לא מסיבות דיסקו בבית ספר עם במבה"
זה בכלל אפשרי לאבטח באופן מוחלט את המידע שלנו? הרי פרצו לבני גנץ לטלפון, מה הבעיה לפרוץ לשלי?
"נקודת ההנחה שלי, גם כמנהלת אבטחת מידע וגם כאדם פרטי, היא שאם מישהו החליט לפרוץ – הוא יפרוץ. הרי גם לפנטגון פרצו. אבל אני רוצה לעכב אותו".
אבל אולי צריך להשלים עם זה שאיבדנו את השליטה? יש כל כך הרבה מידע שמוחזק עליי בארגונים ממשלתיים ובחברות מסחריות. אם פורצים לאחד מהם זה לא בידיים שלי, אני חסר אונים.
"אבל אתה בוחר מה לשים שם. כשאני מעלה פוסט לפייסבוק, הם לא לקחו לי את המידע – אני נתתי להם. ברגע שהצטלמתי בעירום בנייד, רוצה או לא – זה בטלפון, ב-iCloud, ב-Google Photos. המון אנשים לא חושבים על זה. הייתה לי תיקייה שלמה של צילומי מסך שנקראה 'דברים שלא היו אמורים לעלות לפייסבוק': מסוגיות רפואיות ועד דברים הכי טיפשיים, כמו 'הילד שלי בן תשע ועדיין מרטיב במיטה'. תחשוב שהילד הזה עובר בריונות רשת והחברים שלו מוצאים את זה בפייסבוק. וזה קורה.
"יש לי אחייניות בנות 12 ו-14. לפעמים אני רואה דברים שהן מפרסמות ואומרת להן: בשבילי, בשביל הדודה ההיסטרית שלכן, תורידו את זה. כי הן לא חושבות קדימה. הן לא חושבות מה יקרה בעוד שבע שנים, כשהן יבואו להתראיין למקום עבודה, או בעוד 20 שנה כשהן ילכו לפוליטיקה".
או שהן פשוט גדלות בתרבות שהאקסהיביציוניזם ברשתות הוא חלק ממנה, וזה גם יהיה העולם שהן יחיו בו כמבוגרות כי כולם יהיו כמוהן.
"אבל אנחנו עוד לא שם. גם אני באינסטגרם, גם אני בטוויטר, אבל אני לא חיה שם כמוהן. אני לא אשתף כל דבר. אני לא חייבת לספר מה קורה בזוגיות שלי, במשפחה שלי. אני יכולה לבחור".
אבל אולי זה כבר שיח שנע בין אנכרוניזם לקרב מאסף. הפנמנו שאנחנו כבר לא יכולים להגן על הפרטיות שלנו, ולהרבה אנשים זה נוח: נוח להם שגוגל מציע בדיוק את מה שהם מחפשים, נוח שהבאנרים הפרסומיים מתאימים להם.
"אבל יש הבדל בין מה שיודעות עליי פייסבוק וגוגל לבין מה שיודע עליי כל אדם שמחפש אותי".
אנחנו צריכים להניח שהמידע שלנו, כל מה שאנחנו מעלים לרשת, פגיע?
"מה שעולה לרשת נשאר ברשת ואנחנו צריכים לזכור את זה. זה שיח שאני לא שומעת מספיק בבתי ספר. להגיד לילדים: תחשבו מה אתם מעלים".
לבת שלי יש סמארטפון. לתת לילד טלפון טיפש זה לסרס אותו
לילדים שלך יש טלפונים?
"רק לגדולה, בת 11".
סמארטפון או טלפון טיפש?
"סמארטפון. אני ממש נגד טלפון טיפש, בעיניי זה לסרס את הילדים. זה כמו לומר לילד לא להשתמש בחשמל כי זה מסוכן. אי אפשר. זה לא לתת להם את הכלים של המאה ה-21. ילד עד גיל תשע לא חוצה כביש לבד, אבל כל הורה מבלבל לילדים שלו את המוח מגיל שנתיים: הנה האיש האדום, נחכה לאיש הירוק. למה? כדי להכין אותם לעתיד".
אז את לא נחרדת מילדים שמחוברים למסכים.
"בכובע שלי כאשת סייבר לא מעניין אותי זמן מסך, מעניין אותי מה הם עושים שם. מעניין אותי שילד עד גיל 13 לא נמצא בטיקטוק, שזו ממש אפליקציית ריגול של הממשל הסיני".
ברור שהוא נמצא, לא?
"גיל 13 זו ההגדרה של טיקטוק ושל אינסטגרם, זה הוגדר בחוק האמריקאי, כי מתחת לזה שיקול הדעת של הילדים לא מספיק טוב. אם אני רוצה לאפשר לבת שלי אינסטגרם, זה אומר שאני צריכה לפתוח לה חשבון ג'ימייל שמזהה אותה כבת 13. זה אומר שאני לא יכולה לשלוט על התכנים. כשמישהי גולשת למשל ביוטיוב כשהיא מזדהה כבת 13, התכנים שיוטיוב יראה לה יהיו מותאמים לגיל 13 ומעלה. זה מדרון".
אז הבת שלך לא בטיקטוק ואינסטגרם?
"טיקטוק היא דווקא לא רוצה, אבל יש לי המון חיכוכים איתה על אינסטגרם".
מה עושים כשלכל החברות שלה יש ורק לה אין?
"צריך להסביר לכולם. בגלל זה אני עושה הרצאות בהתנדבות בבתי ספר".
לילדים או להורים?
"גם וגם, אבל ההורים לא מגיעים. אני לא יודעת אם זה מפחד, מחשש שאין מה לעשות וזה העולם של הילדים, מזה שאין כוח".
חשבתי שההורים יותר חרדים מהילדים.
"גם אני. יש הורים שבאים ומתעניינים, אבל הרוב לא".
"אנשים לא מכירים את הפישינג שאחרי הקניות, מיילים של 'עקוב אחרי ההזמנה'. אם הזמנתי דברים בבלאק פריידיי ואני מקבלת מייל כזה – אני אלחץ. יש גם מסרונים שמתחזים לדואר ישראל. לפני שבוע נתקלתי בכזה עם 'לחץ כאן לתשלום מכס כדי לשחרר את החבילה'. זה נראה אחד לאחד האתר של הדואר"
איך משכנעים ילדים בני 10 לא להיות בטיקטוק?
"אני מסבירה להם את הסכנות, ואני אומרת להם: רוצים להיות בטיקטוק? סבבה. אבל לא מצטלמים עם חולצת בית ספר, לא עם השם המלא. שלא ידעו מי אני".
אבל כל העניין זה שיידעו מי אני.
"תלוי מה אתה עושה שם. יש לבת שלי חברה טובה עם 4,000 עוקבים בטיקטוק, אבל היא מזדהה בלי שם משפחה ולא אומרת מאיפה היא. זה בעקבות הדרכה שעשינו במושב. הורים צריכים להיות מודעים לזה ולהסביר לילדים את הסכנות. למה הבת שלי לא רוצה טיקטוק? היו את כל אתגרי הרשת: ג'ונתן גלינדו, מומו, לוויתן כחול. זה מתחיל מדברים קטנים: תפרסם באינסטגרם, תגנוב להורים מאה שקל מהארנק, תחרוט על הגוף לוויתן כחול – תקפוץ מקומה שלישית. ותעלה תמונה, ואז משתמשים בתמונה כדי לסחוט אותך. הבת שלי שמעה את זה בקבוצת נוער שלה וזה הפחיד אותה. היא אמרה לי: 'רק רציתי להגיד לך תודה שלא אפשרת לי טיקטוק'. אז אם הם מחליטים להשתמש שלפחות ידעו מה הסכנה".
מאיזה גיל צריך לפתח את המודעות הזאת?
"גג כיתה א'. ילדים בגיל הזה כבר נמצאים בצ'אטים בפורטנייט, במיינקראפט, מדברים בדיסקורד (שירות צ'אטים של גיימרים – נ"ש). בדיסקורד יש ברדק, אין שום פיקוח".
מה את חושבת על אפליקציות בקרת הורים?
"אני מתקינה אפליקציות אצל הבת שלי כדי לבדוק אותן, אז התקנתי אפליקציה שטוענת שהיא יודעת להגיד להורה מה מצב הרוח של הילד. והיא, פופציקית בת 11, אמרה לי: אם הורה צריך אפליקציה שתגיד לו מה מצב הרוח של הילד אז יש לו בעיה מאוד קשה. צודקת.
"הבעיה היא שהורים חושבים שאם הם התקינו אפליקציה ומגבילים שימוש אז הם עשו את החובה שלהם. למה כשילד יוצא למסיבה אנחנו שואלים 'לאן אתה הולך?', 'עם מי תהיה?', וכשהוא נכנס לחדר, סוגר את הדלת ועושה מסיבה בזום אנחנו לא שואלים? זה העולם שלהם, והתפקיד שלנו הוא להבין את זה. זה כבר לא מסיבות דיסקו בבית ספר עם במבה".
אבל כמתבגר אתה לא רוצה שההורים ידעו כל דבר שאתה עושה. אם ילדה בת 15 שגבר זר מתחיל איתה ברשת לא רוצה שאמא שלה תדע – היא לא תדע.
"ברור. אבל אם דיברת איתה מאז שהייתה בכיתה א', אז בגיל 15 היא כבר מבינה את האחריות".
מה הסכנה בהיבט של אבטחת מידע?
"החשיפה. היכולת של אדם להגיע אליהם ולהשתמש בזה. אלו אותן סכנות שהיו תמיד, רק הרבה יותר מוקצן".
אבל החשיפה והנראות היא לפעמים לב העניין ברשתות החברתיות.
"נכון, ואני לא נגד זה כל עוד עושים את זה באופן מודע. מדברים עם הילדים על הסכנות, מה זה אומר כשמישהו מתחיל להתכתב איתך. ש'בן 16 מתל אביב' לא אומר שהוא לא בן 50".
אנחנו מדברים על ילדים, אבל אני מוטרד מהונאת קשישים. אלה אנשים שאין להם גישה ומודעות טכנולוגית כמו של צעירים, והיום – במיוחד בקורונה – הם מאוד תלויים בטכנולוגיה: קניות, תרופות, תור לרופא, וידאו צ'אט עם המשפחה. איך עוזרים להם להתגונן?
"גם איתם צריך לדבר. החמים שלי הם אנשים בני 66 ו-70, ודיברנו על זה בגלל שהם נעקצו. תיכננו טיסה לחו"ל וחיפשנו דירה ב-Airbnb. באיזשהו שלב הם עברו להתכתב עם בעל הדירה בג'ימייל, כי הוא אמר להם שזה יהיה יותר זול לא דרך האפליקציה. רק יום למחרת גיליתי את זה, אחרי שכבר הועברה מקדמה. זה היה פרופיל מזויף. דיווחתי ל-Airbnb והם סגרו אותו. אבל אתה צריך רק אחד שייפול. אלף פאונד בשביל שבוע עבודה זה לא רע".
איך עוזרים לאנשים מבוגרים לזהות פישינג?
"אם קיבלת מייל ממקור שאתה לא מכיר – אל תיכנס. אם אתה לא בטוח – שלח אליי, אני אבדוק לך. יש מייל מהבנק? כנס לאתר של הבנק, הרי ההודעה תהיה גם שם, או שתתקשר. אני לא אומרת 'תגדירו גיבויים'. רק בואו ותבקשו עזרה".
קל יותר לבקש ממך את הסיסמה מאשר לפרוץ לך לחשבון
באילו עוד מקרים אנחנו חושפים את עצמנו לסכנות באופן יזום ולא מודע?
"למשל, כשמשפחה מפרסמת תמונות מחופשה בחו"ל וחוזרת לבית שנפרץ – היא מבינה את הקשר? כמה פעמים שמעת את הסיפור 'חזרו מהחתונה לבית פרוץ'? בטח, כי שבוע לפני החתונה העליתם 'עוד שבוע חתונה', ויומיים לפני, ובאותו יום. אז חוזרים הביתה, והבית מרוקן".
איפה עוד זה קורה?
"פינטרסט. זה אחד המקומות הכי מסוכנים שיש. אתה רואה שם בדיוק מה מעניין אותי. תוקף חברתי חכם יכול לנצל את זה. נניח שהוא רואה שאני אוספת דברים על מזקקות בסקוטלנד, אז הוא יזמין אותי לערב טעימות וויסקי".
זה לא נורא כל כך. אולי אם זה גורם למישהו להציע לי דברים שמתאימים לי אז זה בסדר?
"אבל אם החלטתי נניח שאני רוצה לצאת איתך, אני אוספת עליך מידע מראש ומייצרת פרופיל שלא תוכל לעמוד בפניו. זה בדיוק מה שרואים ב'המתחזים'. מצד אחד אני אומרת 'זה מטורף', אבל כאשת מקצוע אני יודעת שכל כך קל לאסוף עליך מידע בלי להיות האקר. כבר אמרו שקל יותר לבקש ממך את הסיסמה מאשר לפרוץ לך לחשבון. ג'ימי קימל עשה על זה סרטון, אנשים פשוט נתנו את הסיסמה. זה קל".
אנשים נוטים לנדב מידע?
"אם אני נורא נחמדה ומחייכת ואני לא האקר מפחיד עם הודי שחור".
זה המקרה הקלאסי של יוזרים מזויפים עם תמונות של בחורות אטרקטיביות.
"ברור".
איך אנשים עדיין נופלים בזה?
"כי זה מחמיא לנו לאגו. זה נורא כיף כשמישהו נורא חתיך מתחיל איתי באינסטגרם. השחקן סם היואן מ'זרה' פרסם בטוויטר שאנשים יוצרים פרופילים שלו, שהוא לכאורה מתחיל עם בחורות ומגייס כסף לצדקה".
Yes afraid so. There are many. Always look for the blue tick! Report and block.X https://t.co/XqlgpU7gA5
ולפעמים ההתקשרויות האלו מגיעות ל-Sextortion, סחיטה מינית. איך זה עובד?
"נניח שראיתי אותך בטינדר והתחלנו להתכתב. אנחנו יוצרים מערכת יחסים, לפעמים אפילו שיחות טלפון. אבל לא נפגשים. אני יכולה לשלוח לך תמונה, שבעצם הורדתי מהאינטרנט או שהיא דיפ פייק. אני מבקשת תמונה שלך. ועכשיו אני מתחילה לאיים עליך: אשלח לכל הבכירים בעבודה שלך, אוציא את זה בתקשורת. זה ממוקד, אישי, מביא לאובדן כסף וגם להתאבדויות".
מה הפתרון?
"פשוט לא לשלוח תמונות כאלה. אם לא נפגשתי איתך בחיים האמיתיים לא אשלח לך תמונת עירום".
אבל זה יכול לקרות גם בין בני זוג. מישהו ששלח לחבר שלו, או זוג שנפרד.
"פורנו נקמה. זה קיים משנות ה-80, היום זה רק הרבה יותר זמין".
ולפעמים יש פשוט חשבונות שנפרצים כמו שקרה לסלבס בחו"ל, או הטלפון שנגנב לשרון פרי. אנחנו נמצאים בעולם שבו אנשים לא יכולים להצטלם בעירום אפילו בשביל עצמם?
"צריך לחשוב כשעושים את זה. אני קוראת לזה 'מבחן אבא'. תמונה שיש לי בעיה שאבא שלי יראה, שיש לי בעיה שתופיע מחר בבוקר ב-mako, אני לא מצלמת. לא 'לא מעלה', לא 'לא שולחת' – לא מצלמת. אם צילמתי תמונה, אני צריכה להניח שמתישהו היא יכולה להיות בחוץ".
אפילו ביני לבין הטלפון שלי כבר אין פרטיות.
"נכון. אבל אנשים מעלים תמונות כאלה בלי לחשוב. בכל פורום דיאטה או תזונה נכונה שראיתי יש נשים שמעלות תמונות בחזייה ותחתונים 'לפני' ו'אחרי'. אם את סבבה עם תמונה שלך בחזייה ותחתונים באינטרנט – לכי על זה. אבל אם לא – לפחות תצלמי מהצוואר ומטה. אני רואה בקבוצה של מאה אלף נשים סודות, סיפורי בגידות. תגידי, לא יכול להיות שאני מכירה את בעלך? מישהו אמר פעם שקבוצות פייסבוק סגורות הן לא באמת סגורות".
דיברנו על סקסטורשן ממוקד, אבל הוא יכול להיות גם אקראי ופיקטיבי. מיילים של סחיטה, כשבעצם אין מאחוריהם שום דבר.
"סקסטורשן עובד על זה המון. 'צילמתי אותך צופה בסרטונים מסוימים ואפרסם את זה אם לא תשלם'".
וגם אם לא עשיתי כלום, זה מספיק בשביל לגרום לי לפקפק.
"כן. וואלה, אולי באמת צילמו אותי?".
איך מתגוננים מפני זה?
"כיסוי מצלמה, זה עולה גרושים. המצלמה שלי בלפטופ תמיד מכוסה, אז גם אם מישהו יפעיל את המצלמה לא יקרה כלום".
האם אפשר טכנולוגית לצלם ולהאזין לי מהטלפון? ברור. בדקה
עוד התקפה מאוד פופולרית היא Ransomware, תוכנת כופרה.
"פעם, כשארגוני פשיעה רצו לעשות כסף, הם חטפו את היקרים לנו והחזיקו אותם תמורת כופר. היום מצאו דבר הרבה יותר קל: בואו נחטוף את המידע. אני לוחצת במייל על קובץ והוא מצפין לי את המחשב. יש שתי צורות של כופרה. אחת – שרק מצפינים לי את המידע תמורת כסף, ואז הכל שאלה של עד כמה המידע הזה חשוב לי, האם יש לי גיבוי, כמה זמן אני יכולה לחיות בלעדיו עד לשחזור. האופציה השנייה היא שגם לקחו את המידע ומאיימים להדליף אותו. ולכל אחד יש את המידע שחשוב לו: מידע עסקי, תמונות. אם מישהו לוקח לי את התמונות שלי מהטיול האחרון עם אמא שלי זיכרונה לברכה, מה אני אעשה?".
תהיי מוכנה לשלם כל סכום תמורתן.
"כל סכום".
איך מתגוננים?
"הדבר הכי טוב שאני יכולה לעשות נגד כופרה – וגם נגד פריצות לג'ימייל למשל, שאנשים מעלים אליו את התמונות שלהם – זה לגבות את המידע שלי. ואז, אם המחשב חוטף אירוע כופרה זה מעצבן נורא, אבל אין נזק ארוך טווח. אני אצטרך לפרמט את המחשב ולהביא את ההארדיסק ולהעלות הכל מחדש אבל לא קרה כלום".
הארדיסק? ענן זה לא מספיק?
"אני מגבה גם וגם. אם מחר בבוקר גוגל נסגרת, יש לי גם עותק פיזי משלי של כל התמונות שהעליתי. זה פרנואידי, אבל אני לא יכולה לשחזר את התמונות האלה. לא יכולה לשחזר את החתונה, לא יכולה להחזיר את אמא שלי לחיים".
אנטי וירוס זה משהו שעדיין רלוונטי?
"אני משתמשת באנטי וירוס המובנה של מיקרוסופט. הוא מצוין לדברים הסטנדרטיים. לא אשקיע כסף באנטי וירוס מעבר לזה".
ובטלפון?
"אין לי. זה מוריד את הסיכון ממאה אחוז ל-95".
כאייפוניסט אני מרגיש בטוח. בצדק?
"כבר לא. זה היה כשאייפון היה פחות נפוץ, היום כבר יש וירוסים. לא המון כמו באנדרואיד, אבל יש".
עוד סכנה של אבטחת מידע הן אפליקציות זיהוי פנים שפותחו לכאורה בשביל לגנוב לנו את הפרטים, או את הפנים. היה רעש סביב Faceapp, אבל מה הבעיה בעצם? קודם כל, כל אחד יכול להשתמש בתמונה שלי אם היא מופיעה ברשתות חברתיות, אז זה בכלל לא משנה אם אני משתמש באפליקציה בעצמי. ושנית – אוקיי, משתמשים בזה כדי ללמוד זיהוי פנים. מה הסכנה?
"לי היה קצת קשה עם ההיסטריה. יותר מטריד אותי אילו פרטים נתתי להם עליי. רציתי להתקין אפליקציית פנס חדשה, והיא ביקשה גישה לאנשי הקשר שלי. למה פנס צריך אנשי קשר?".
אבל לפעמים אין ברירה. פייסאפ למשל לא רלוונטית בלי גישה לתמונות או מצלמה.
"נכון. הבעיה היא ההרשאות הנוספות. וגם הגישה למצלמה – אולי היא מפעילה את המצלמה בלי שאני יודעת?".
אני לא רוצה להפחיד אף אחד מקוראינו, אבל הרי מי שרוצה יכול להפעיל את המצלמה והמיקרופון שלי גם אם אכבה את כל ההרשאות, נכון?
"נכון".
אז אין לי פרטיות. אני יכול להיות לבד באמבטיה עם הטלפון לידי, לדבר על הסוד הכי גדול שלי, ומישהו יכול להקשיב ולצלם.
"כן. אבל איך זה שונה מימי הקג"ב?".
קודם כל, כי זה הרבה יותר קל.
"האם זה אפשרי טכנולוגית? ברור. בדקה. השאלה היא אם האדם הוא כזה מעניין שירצו להאזין לו".
אבל לכל אחד יכול להיות משהו פרטי שהוא מסתיר. לא צריך להיות ראש הממשלה ולהחזיק סודות מדינה. זה יכול להיות מישהו שבוגד בבת הזוג שלו, או מישהו בארון.
"אם מישהו יחליט להוציא אותו מהארון זה יכול לקרות. או כמו עם 'אשלי מדיסון' (אתר בגידות לאנשים נשואים – נ"ש), מישהו מחליט שהשירות לא מוסרי ורוצה לפרסם את כל מי ששם. צריך לחשוב לפני שנכנסים לאפליקציות כאלה, תלוי מה יש לי להפסיד".
המסקנה העגומה היא שאין לנו שום סיכוי לשמור על הפרטיות.
"אני חושבת שהמסקנה היא שאנחנו צריכים להבין שמה שנעלה ברשת יהיה ברשת. מה שאנחנו מעלים זה בידיים שלנו".