אפשר גם וגם

מיכאל האפרתי Michael Haephrati

לפני מספר חודשים נחשפה פעילות ה"האקר הסעודי" והיקפה, אשר התבטאה בין השאר בגנבת פרטי אזרחים ישראלים לרבות מספרי כרטיסי אשראי שלהם ומספרי תעודות זהות, וכן פרטי חשבונות מייל ואינטרנט שונים שהם מחזיקים (שם משתמש וסיסמה). פעילות ההאקר הסעודי וחבורתו לא נפסקה וניתן לקרוא עליה ולהתעדכן בבלוג הבא.

אחד הכשלים שנחשפים מהפרשה נוגע לעובדה שפרטי מידע רגישים כגון מספרי כרטיסי אשראי ותעודות זהות, נשמרים על ידי אתרים רבים, ויש בכך פירצה הקוראת לגנב.

ביום ראשון האחרון הודיע משרד המשפטים כי הוא בכוונתו לאסור על אתרי אינטרנט לאסוף מספרי זהות של משתמשים ללא הצדקה ממשית. משמעות הדבר היא שאתרים יעברו להשתמש במספר לקוח שהם ייצרו לכל לקוח ולקוח. מספר הלקוח ישמש כמזהה חד ערכי לכל אחד מלקוחות האתר באופן שיאפשר להבדיל בין לקוחות הנושאים, לדוגמה, את אותו שם, וכך משה כהן מתל אביב הנושא מספר לקוח X יזוהה כלקוח שונה ממשה כהן מתל אביב הנושא מספר…

View original post 428 מילים נוספות

כמה קל לגבות (ולגנוב) הודעות סמס

הודעות טקסט (סמס) הפכו להיות חלק מחיינו ותופסים מקום הולך וגדל בדרך ההתקשרות בין אנשים. עם זאת, בשונה מהודעות מייל, כמה מכם שומרים הודעות סמס שנשלחו או התקבלו? מסיבה לא ברורה התרגלנו שהודעות הסמס נמחקות לאחר פרק זמן ואובדות לנצח בסל המיחזור של המרחב הקיברנטי.

מי שמשתמש בITunes ומחזיק במכשיר IPhone אולי יופתע לגלות עד כמה קל לשלוף את תוכן הודעות הסמס מהמחשב שלו.

אחרי חיבור המכשיר למחשב, מתבצע סינכרון, ולמרות שאין כל חיווי לכך בתוכנת ITunes שלכאורה מסנכרנת רק קבצי מדיה, הרי שמאותו רגע המידע הרגיש שמור כבר בתיקיה הבאה:

c:\users\שם המשתמש שלך\appdata\roaming\apple computer\Mobilesync\backup\תיקיה זמנית

עכשיו נסביר מה זה מה:

"שם המשתמש שלך", השם דרכו עשית לוג אין לWindows.

תיקיה זמנית, תיקיה בעלת שם אקראי שנוצרת על ידי ITunes. לכל מכשיר אייפון תיווצר תיקיה נפרדת.

אם תפתחו תיקיה זו תראו קבצים מוזרים למראה…

Image

אולם הקובץ בו נשמרות כל תכתובות הסמס, הנו קובץ ייחודי בעל שם אחיד לכולם.

שם הקובץ: 3d0d7e5fb2ce288813306e4d4636395e047a3d28 .

כן. פשוט וקליט…

נפתח את הקובץ ונראה משהו כזה:

Image

אולם בעזרת ידע או כלים מתאימים ניתן לשלוף כל הודעה, כולל הודעות שנשלחו או התקבלו, מאז שהמכשיר היה בשימוש.

רק לדוגמה, ניתן לטעון קובץ זה לאתר הבא, ולהמיר אותו לפורמט קריא כמו PDF או אקסל.

גם המרה לפורמט HTML אפשרית בקלות. לדוגמה:

<html><head><meta http-equiv="content-type" content="text/html; charset=UTF-8"></head><body>
<table border='0'><tr style='font-weight: bold'><td>Date</td><td>Number</td><td>Sent</td><td>Text</td></tr>
<tr><td>'2011-09-12 03:03:00'</td><td>'07777'</td><td></td><td>'בהתאם להחלטת משרד התקשורת, חסימת זיהוי מספר הפלאפון (קבועה או חד פעמית) אינה חלה בעת התקשרות לשירותי חירום ציבוריים'</td></tr>
<tr><td>'2011-09-12
אשר יוצג כך:
כמה פשוט…
ואין מדובר בתצוגת ההודעות כפי שהיא מופיעה בטלפון הנייד שלכם (רק ההודעות האחרונות) אלא כל ההודעות מיומו הראשון של המכשיר.
והרי לכם סיבה נוספת להגן על המחשב שלכם.

ההצפנה שגם הFBI לא יכול לפרוץ

האירועים האחרונים יצרו בהלה רבה ואולי השכיחו מאיתנו את העובדה ששום מבצר לא נכבש. שום חומה לא הופלה. שום הגנה רצינית לא איבדה את תוקפה ואת תקפותה. בסך הכל מדובר בהאקרים – קאקרים שמנצלים טעויות של בעלי אתרים, וכפי שכבר כתבתי על כך, הדבר דומה לאדם שמשאיר את דלת ביתו פתוחה, ועוד מדליק את האור, והפורץ רואה ונכנס…

אבני היסוד של אמצעי אבטחת המידע הנמצאים בשימוש כיום עדיין מבטיחים בחלק מהמקרים הגנה בלתי ניתנת לפריצה לבמקרים אחרים הגנה שידרשו שנות אדם רבות על מנת לפרוץ, בוודאי שלא משאבים שמצויים ברשותו של 0xomar וחבורתו, גם אם יתאגדו וירתמו אלפי מחשבים לטובת פריצה אחת. גם אז, הצפנה אסימטרית מבוססת RSA עם מפתח מספיק גדול או הצפנה סימטרית מבוססת AES256 לא תיפרץ.

וכאן אני רוצה להציג כלי פשוט וחופשי. TrueCrypt הנה תוכנה הניתנת להורדת באתר: TrueCrypt.org.

הרעיון הוא כזה: נניח שיש לכם תיקיה ובה קבצים אותם אינכם רוצים שאיש יראה. ניתן ליצור קובץ שלמעשה יכיל בתוכו כונן וירטואלי מוצפן. כונן זה יכול להשמר על פני מחיצה שלמה (מה שפחות מומלץ) או בקובץ. הסיבה לכך שעדיף לשמור את הכונן הוירטואלי בקובץ ולא בpartition היא שקל יותר להעביר כונן וירטואלי כזה ממקום למקום, לעומת הצפנת partition שלא ניתנת להעתקה בקלות והיא נשארת מוצמדת להתקן עליו היא נוצרה, בין אם זה disk on key או כונן / דיסק אחר. אם יוכנס דיסק כזה למחשב, תופיע הודעה שיש לפרמט את ההתקן, מה שעלול לגרום בטעות לפירמוט ולאבדן המידע. לעומת זאת, יצירת כונן וירטואלי בתוך קובץ טומנת בחובה אפשרויות רבות. הדוגמה הפשוטה ביותר היא לתת לקובץ שם שלא יסגיר את היותו מוצפן. לדוגמה: letter100.doc. מסמך זה ניתן לצירוף להודעות מייל, העלאה לשרת אכסון קבצים, וכל פעולה אחרת, אולם כל עוד לא חשפתם את היותו כונן וירטואלי מוצפן של True Crypt, וכל עוד לא חשפתם לאיש את הסיסמה, לא ניתן יהיה לפתוח אותו ואת תכולתו. לגבי התכולה, התכולה יכולה להיות כל מה שנשמר בכונן או התקן, קרי: קבצים מכל סוג שהוא, תמונות, מסמכים, תוכנות, תיקיות. הכל נשמר והכל מוצפן בקובץ אחד. לשם כך, בוחרים באופציה: Create Volume

או אז מופיע הWizard הבא:

בשלב הבא קובעים את שיטת ההצפנה, את הסיסמה אשר מהווה בסיס ליצירת מפתח אקראי ארוך בהרבה, על בסיס תנועות העכבר בזמן יצירתה. ככל שתניעו את העכבר זמן רב יותר, הסיסמה תהיה חזקה יותר, שכן אלמנט האקראיות יהיה בעל משקל גדול יותר (וכאן המקום לציין כי במחשבים אין דבר כזה "אקראי", אלא שאיפה להתקרב עד כמה שאפשר לאקראיות).

TrueCrypt אף הוסיפו פיצ'ר שמזכיר מזוודה עם מחיצה כפולה. אם תפס אתכם ההאקר הסעודי באישון לילה והצמיד אקדח לרכה, תוכלו לומר: בסדר בסדר, הנה הסיסמה, והוא יכניס אותה ותיפתח מחיצה שהכנתם מבעוד מועד. במחיצה זו ניתן לשים קבצים לא סודיים. ההגבלה היחידה היא שברגע שיצרתם מנגנון זה, אין אפשרות לשנות דבר במחיצה הלא סודית, על מנת שלא לפגוע בתכולת הביטים שיוצרים את המחיצה הסודית.

לצורך המאמר, יצרתי ציור שנראה כך:

ושמרתי אותו תחת השם : SecretDrawing.jpg.

עכשיו יצרתי מסמך טקסט בשם SecretText.txt שמכיל שורה אחת והיא:

"זהו הסוד שלי"

עכשיו, יצרתי כונן וירטואלי שכדי לפתוח אותו יש להכניס את הסיסמה הבאה: 1234567890abcdefghi

לא סיסמה גאונית, אבל זו כאמור הדגמה בלבד. למעשה, TrueCrypt עצמו יתריע על היות הסיסמה קצרה מדי:

הכונן שמור בקובץ ששמו: letter100.doc.

אם נפתח את הקובץ, נראה דבר כזה:

אולם אם אגרור קובץ זה אל חלון TrueCrypt

אז אבחר באופציה Mount, יופיע המסך הבא:

עכשיו אכניס את הסיסמה, והכונן הוירטואלי ייפתח.

וב"מחשב שלי" יופיע כונן חדש – N.

בתוך הכונן, ראו זה פלא, שני הקבצים…

עכשיו, שימו לב, תוכנת TrueCrypt היא פרוייקט קוד פתוח. כל האקר יכול לאתר את קוד המקור המלא, ועדיין, כשזוכרים שלא מספיק להצפין, ולא מספיק לבחור סיסמה חזקה, צריך גם לעשות זאת נכון (לדוגמה: לא לשמור את הסיסמה בגוף הקובץ המוצפן, ולא להשאיר "דלתות אחוריות" באפליקציות הצפנה, או בכלל לא לשמור כלום hard coded), וזו רק דוגמה לאיך לעשות זאת נכון במינימום השקעה ומינימום ידע.

בכתבה הבאה מתואר נסיון של הFBI  לפתוח הצפנה של דיסק שהוצפן בTrueCrypt ללא הצלחה. הסיבה, הדרך היחידה לפרוץ הצפנה מבוססת AES הנה "לנחש" את הסיסמה וככל שסיסמה זו ארוכה דיו, יהיה צורך באלפי שנים על מנת לנסות את כל הקומבינציות עד לאיתור הסיסמה הנכונה. דרך אחרת לפריצה מבוססת על סיסמאות נפוצות, מילים מהמילון וצירופים כאלה ואחרים, ושיטה זו (Dictionary) נוסתה על ידי צוות הFBI במהלך 5 חודשים אולם ללא הצלחה, זאת משום שאם הסיסמה הנה צירוף חסר משמעות של אותיות וסימנים מיוחדים, גם לשיטה זו אין סיכוי. ניתן לקרוא על בחירת סיסמאות במאמר הבא בו המלצתי למשל לעשות שימוש בתווים בלתי קריאים כחלק מהסיסמה.

להורדת הקובץ המוצפן: www.haephrati.com/letter100.doc

גל של פריצות. הזהרתי! אז הזהרתי…

זה זמן לא מועט שאני מנסה להתחקות אחרי התופעה שכונתה "ההאקר הסעודי" ולמעשה מדובר בקבוצה הכוללת את : מוחמד, עומד חביב (שכפי שפורסם הוא אכן ממקסיקו, ובמקור: איחוד האמירויות), מוחמד האינדונזי, איברהים (סעודיה), מוחמד מסעודיה, עבדאללה (סעודיה) ואדם נוסף מהרשת הפלסטינאית שהגעתי אליו בדרך לא דרך ושמו רעיד.

אתמול שלחתי התרעות לכל העולם ואחותו על שתי פריצות מתוכננות. האחת לשרתי אל-על והשניה לבורסה בתל אביב.

פניתי לאנשים באל על אותם הכרתי מקשרי עבודה מהעבר. פניתי למשטרת ישראל. צייצתי בטוויטר. מה לא.

לא ממש עזר לי…

היום אני מבקש להתריע שלפי ה"חפרפרת", היעד הבא הוא בנק בשם Alfabank.

בנוסף, עומדת להתבצע התקפה על אתר בשם Witza.net על מנת להגיע לבסיס נתונים באתר זה. הם מזכירים אדם בשם Jesse Labrocco המכונה Omniscient.

גם הפעם הועברו הודעות לנוגעים בדבר.

מיכאל האפרתי

haephrati@gmail.com

(תודה לחפרפרת Perfect Beat על המידע)

 

איך סגרתי להאקר הסעודי את החשבון

ההאקר הסעודי שכינויו 0xOmar, התראיין מספר פעמים לכלי תקשורת ישראלים, על פי רוב, בדרך של החלפת שאלות ותשובות דרך כתובת המייל שמשמשת אותו: 0xOmar@mail.ru. כך למשל ראיון ב-Ynet, ראיון באתר Gawker ותרגום שלו פורסם ב- Rotter, או ראיון עם כתב The Marker , כולם נעשו דרך המייל.

אני מצטער להודיע שבפעם הבאה שכלי תקשורת כזה או אחר ירצה לקיים ראיון עם 0xOmar, (ומן הסתם בהיעדר אפשרות לקבוע עם הבחור בבית קפה…), הוא יגלה שכתובת המייל ששימשה את ההאקר להפצת ההודעות השונות ובכלל לקיום קשריו עם העולם החיצון, לרבות קיום ראיונות מסוג זה, אינה קיימת עוד.

הבוקר הבאתי לסגירתה.

ב-5.12 לא התעצלתי ושלחתי מכתב תלונה. שלחתי עותק למחלקת ה-PR של החברה וגם לכתובת abuse@mail.ru. בכל נושא של הטרדה, חשד לעבירה או לשימוש לא חוקי / תקין, ניתן וצריך לפנות לabuse@ של ספק השירות.

חברת mail.ru, אשר כתובתה :

Mail.Ru Inc.

5F, 47-2-2, Leningradsky prospect

Moscow, 125167,

RUSSIAN FEDERATION|

רשומה באיי הבתולה הבריטיים (איך לא?).  היא מתהדרת ב-1833 עובדים, 9000 שרתים, וכמעט 29 מיליון כניסות בחודש. מנכ"ל החברה, Matthew Hammond, ניתן להשגה בטלפון  00-971-4434-8422 (באיחוד האמירויות ?!), או במייל: ir@corp.mail.ru.

וכך כתבתי…

From: Michael Haephrati
Sent: Thursday, January 05, 2012 9:05 PM
To: 'pr@corp.mail.ru'
Cc: 'abuse@mail.ru'
Subject: 0xOmar

Dear Mail.ru,

A Saudi hacker, named 0xOmar, is using a "mail.ru" email address to conduct illegal activity, including stealing hundred thousand of credit card numbers from databases, taking advantage of security vulnerability in these web sites.

See: http://www.ynetnews.com/articles/0,7340,L-4171932,00.html

http://www.capitalfm.co.ke/news/2012/01/saudi-hacker-publishes-israeli-credit-card-details-online/

He is using the following mail box:

0xOmar@mail.ru

Please advise.

Thanks,

Michael Haephrati

Israel

 התגובה האוטומטית, לא איחרה לבוא… פתחו לי תלונה מספר:  Ticket#2012010521061577.

—–Original Message—–
From: Support Mail.ru [mailto:support@corp.mail.ru]
Sent: Thursday, January 05, 2012 9:08 PM
To: Michael
Subject: [Ticket#2012010521061577] 0xOmar

*** Это письмо сформировано автоматически, отвечать на него не нужно ***

Ваша заявка «0xOmar» получена.

Дата: 05.01.2012 23:08.

Ей присвоен номер 2012010521061577. Просьба при ответах не изменять тему письма и присвоенный заявке номер.

В ближайшее время мы свяжемся с Вами.

Обработка Вашей заявки может занять до 5 дней.

Спасибо за понимание.

——————————–

С уважением,

Cлужба поддержки почтовой системы Mail.ru

***This message was created automatically by mail-delivery software. Do not reply to this message.***

You request was received at 05.01.2012 23:08.  It was assigned the following ID: «0xOmar»

Please, do not change the subject and your request ID in your replies to this message.

It takes up to 5 days to process your request. We will contact you as soon as possible.

Thank you!

——————————–

Sincerely,

mail support service

Mail.ru

והבוקר הגיעה התשובה – החשבון נסגר!

הודעה על סגירת חשבון המייל של ההאקר הסעודי, בתגובה לפניית מיכאל האפרתי

הודעה על סגירת חשבון המייל של ההאקר הסעודי, בתגובה לפניית מיכאל האפרתי

לא הסתפקתי בכך ועשיתי מה שנקרא "וידוא הריגה". שלחתי מייל לידידינו עם הצעה לקיים ראיון…

מייל להאקר הסעודי - רק ליתר בטחון

עשיתי וידוא הריגה - רק ליתר בטחון...

ואכן החשבון לא קיים יותר…

התגובה - אין אפשרות להעביר מייל לחשבון זה

התגובה - אין אפשרות להעביר מייל לחשבון זה

לידיעת מי שמעוניין לפתוח חשבון מייל בMail.ru, זה דף הרישום. ברם למי שעשוי לחשוב (כמוני) שעכשיו, כשהכתובת התפנתה, למה לא לתפוס עליה בעלות, אענה שמאחר והחשבון נחסם, לא ניתן לפתוח כתובת מייל בשם זה. ניסיתי…

אם עומר לא יכול לקבל את הכתובת הזו, אף אחד לא יכול...

אם עומר לא יכול לקבל את הכתובת הזו, אף אחד לא יכול...

כפי שאתם רואים, הופיעה רשימה של שמות חליפיים.

אם בכל זאת ירצה עומר להמשיך להשתמש בשירותי המייל של הספק הרוסי Mail.ru, מן הסתם תופענה לו רשימת השמות שהופיע לי כשניסיתי, ואולי כדאי לשים עין על רשימה זו למקרה שהוא יבחר באחד השְמות בפעם הבאה שיעשה שָמות…

אני לא משלה את עצמי… בזמן שכתבתי מאמר זה הוא יכל להספיק לפתוח תיבה חדשה, ומן הסתם גם עשה זאת כשגילה שהמייל שלו חתום, ועם זאת, נקודת המוצא שלי הייתה אותם ראיונות שהוא העניק באמצעות המייל, לאחר שפרסם כתובת זו לצד הצהרותיו. אין זה דבר שבשגרה שכלי תקשורת מקיימים ראיון במדיום זה, משום שקשה לאמת את זהות המרואיין. מכאן שאם עכשיו יפתח כתובת חדשה,  יהיה לו קשה יותר לטעון שזה באמת הוא (כל אחד יכול לפתוח כתובת בשם 0xOmar@gmail.com וכד') ולקבל במה להפצת המסרים שלו ומידע כזה או אחר.

מיכאל האפרתי

haephrati@gmail.com

איך מתודת Two Factor Authenrication יכלה למנוע שימוש לא מורשה בכרטיסי אשראי

(פוסט זה נבחר ל"נבחרי השבוע 6.1.2012 בNewsGeek).

פרשת גניבת מספרי כרטיסי האשראי יצרה בהלה רבה והותירה רבים בתחושה של היעדר ביטחון בדבר שעד כה נחשב בטוח, והוא רכישה מקוונת בכרטיס אשראי.

חקירה מעמיקה יותר העלתה שהמחדל היה במספר אתרים אשר בניגוד לכל הכללים והנהלים, שמרו מספרי כרטיסי אשראי מלאים בצירוף פרטים מזהים נוספים באופן לא מוצפן ולא מאובטח. ההאקרים אינם ממש האקרים אלא עוברי אורח שעברו באתרים אלה. ראו אור ודלת פתוחה (בעוד שאיש אינו בבית), ופשוט נכנסו ולקחו. לא צריך מומחיות מיוחדת על מנת לעשות את מה שהם עשו.

הבעיתיות באופן הרכישה המקוונת כיום

על מנת להציע פתרון לבעיה, יש לתת את הדעת לאופן שבו מתבצעות רכישות באינטרנט. כיום, וברוב החנויות או האתרים, די בכרטיס אשראי תקף על פרטיו (מספר, תוקף ו-3 ספרות מאחור) על מנת לבצע רכישה. כאן טמונה הבעיה. נכון שלו נמנעו אותם אתרים מלהחזיק מספרי כרטיס אשראי של לקוחות, או דאגו להצפין אותם בהצפנה העומדת בתקן, לא ניתן היה להשיג את פרטיהם, ברם אם יתבצע מעבר לאימות מורכב יותר, לא תהיה כלל פירצה הקוראת לגנב.

מתודת Two Factor Authenticaiton

Two Factor Authentication – אימות באמצעות שני אופנים, הנו מושג באבטחת מידע שפירושו אימות אשר מתבצע על ידי שני אמצעים, האחד, פיסי (או בג'רגון המקצועי – Something you have), והשני, מידע (או something you know).

עכשיו, קחו מושג זה צעד קדימה ובהנחה שאופן ביצוע רכישות מקוונות ישתנה ויתבסס על צורת אימות זו, והנה ונגנב מספר כרטיס האשראי שלך, הרי שהמספר נופל תחת הקטגוריה – something you know, בעוד שהמרכיב הנוסף, שהנו פיסי, לא יהיה בידי ההאקר, ומכאן שלא יגרם כל נזק.

מתיאוריה לפרקטיקה

הפרקטיקה הנדרשת כאן יכולה להתממש בדרך כל אביזר שכל בעל כרטיס יקבל. האביזר יציג מספר אקראי אשר יאומת על ידי אתר הרכישה כאותנטי, וללא הקלדת מספר זה (המשתנה בכל לחיצה על כפתור ההפעלה של האביזר) לא ניתן יהיה לבצע רכישה. למרות שחברות אשראי, במיוחד ביפן, נותנות לכל לקוח אביזר כזה, והשימוש בשיטה זו הפך שם לסטנדרט, יש שיטות נוספות ליישום המתודה. למשל, קבלת מסרון ובו מספר בן 4 ספרות, שונה בכל פעם. מאחורי שיטה זו עומד הרעיון שמספר הכרטיס הוא המידע שידוע (something you know), בעוד שמכשיר הטלפון והימצאותו ברשות המשתמש הנו (something you have).

כיוונים נוספים

ניתן לפתח שיטות נוספות על בסיס השילוב בין פרטי כרטיס לכתובת IP או מידע חד ערכי המשוייך למחשב נייד או טלפון נייד, ברמה של MAC Address או HardwareID המיוצר באופן אחר, ועל ידי כך להבטיח הגנה מקסימלית נגד שימוש לא מורשה בכרטיס אשראי.

מאות אלפי פרטי כרטיסי אשראי ישראלים נגנבו על ידי האקרים סעודים – מה עושים?

אנשי חברות האשראי, מומחי אבטחת מידע, בנק ישראל ושאר הציבור בהלם לאחר שפרטים מלאים של אלפי כרטיסי אשראי נגנבו על ידי האקרים סעודיים ופורסמו.

במאמר זה אנסה להסביר כיצד להגן את פרטי כרטיס האשראי ולמנוע דליפת פרטיו.

עד כה נחשב שימוש בכרטיס אשראי באתר אינטרנט כדבר בטוח, ויתרה מכך, אם היו לציבור חששות בתחילת עידן הרכישות המקוונות, הרי שחששות אלה התפוגגו עם השנים ויותר ויותר אנשים הצטרפו למעגל הרוכשים במה שנקרא "עיסקה במסמך חסר", כלומר עיסקה שבה בעל הכרטיס אינו נדרש להציג את הכרטיס הפיסי או לחתום על שובר רכישה.

למעשה, יותר ויותר עסקאות הנן במסמך חסר ונשאלת השאלה כיצד נשמרים ומוגנים פרטי כרטיסים אלה. התשובה המתבקשת, לאור החדשות האחרונות היא… לא כל כך טוב. לפי מבחן התוצאה, אם מספרם של כל כך הרבה כרטיסים דלף, משהו פגום בתהליך.

גם בעולם הלא מקוון ניתן לשים לב להבדלים בין בתי העסק שנותנים לך קבלה בה מופיע מספר הכרטיס שלך במלואו (ויש כאלה), לעומת אלה שבקבלה, רוב הספרות מופיעות ככוכביות ורק 4 הספרות האחרונות מופיעות. באינטרנט יש רמות שונות של אבטחה אשר בראש ובראשונה נקבעות על ידי החותמת של האתר.

אתר מאובטח

אתר מאובטח יתחיל בhttps, ואלה המאובטחים עוד יותר יופיע על סרטיפ ירוק. ניתן ללחוץ על הסרטיפיקט ולקבל את פרטיו:

טיפ: גם אתר לא מאובטח עלול להתחזות ככזה. אחת הדרכים לבדוק היא כזו: אם הכתובת היא https://website.com ותכנסו לhttp://website.com אתר מאובטח יפנה אתכם לhttps, בעוד שאתר לא מאובטח, יעלה באופן שהקלדתם (https או https).

אז לפני הכל, לא מוסרים פרטי כרטיס לאתר שאינו מתחיל בhttps וכולל חתימה מאומתת (להבדיל מחתימה שפג תוקפה או שהגורם שהנפיק אותה אינו מוכר). אחד הספקים המוכרים והמהימנים הוא VeriSign, חברה שנרכשה על ידי Symantec.

עכשיו, כדי להציע דרך פשוטה יחסית ועם זאת יעילה לאמוד את הסיכון לפני הקלדת פרטי כרטיס האשראי שלך באתר של חנות מקוונת, אני ממליץ לבדוק את הדברים הבאים:

איזה פרטים נשמרים בביקורים הבאים שלך

נכון שהפריצה המסוכנת ביותר תהיה לבסיס הנתונים של מפעיל האתר, שם שמורים פרטי כרטיסי האשראי במלואם, אולם סכנה נוספת הנה פריצה לחשבונות של משתמשים באתרים אלה. במקרה כזה, הקראקר יהיה חשוף פחות או יותר למה שאתה נחשף אליו כשאתה נכנס עם שם משתמש וסיסמה לגיטימים. אז מה מופיע כשאתה נכנס לפרטי החשבון, ובמיוחד העמודה finance או payment options, וכד'? האם באפשרותך לראות את פרטי כרטיס האשראי בו השתמשת, או שכרטיס זה מופיע בצורה חלקית (למשל כינוי או 4 ספרות אחרונות)? אם הכרטיס מופיע באופן חלקי, יהיה קשה יותר לקראקר להשיג את פרטיו.

האם אתה נדרש להקליד פרט כלשהו לפני רכישה, גם כשפרטי הכרטיס שמורים

באבטחת מידע נעשה שימוש בעקרון לפיו על מנת לפתוח דלת, עליך לספק מידע משני מקורות שונים. למשל משהו שיש לך (לדוגמה: התקן אבטחה פיסי), ומשהו שאתה יודע (לדוגמה: סיסמת כניסה). כאשר למרות שפרטי כרטיס האשראי שמורים, אתה מתבקש להקליד את 3 הספרות שמאחור, קרוב לוודאי שספרות אלה אינן שמורות בבסיס הנתונים של האתר, אלא מאומתות בדרך של אלגוריתם (סודי שידוע רק לקומץ עובדי חברות האשראי הגדולות) שמאמת את 3 הספרות מול מספר הכרטיס כולו.

מי ספק שירותי הסליקה של האתר

אתרי רכישות מקוונות, אינם פועלים ישירות מול חברות האשראי (ויזה, מסטרכרט, וכד'), אלא נעזרות בשירותי חברות שמספקות שירותים אלה. ברוב המקרים פרטי כרטיס האשראי לא נשמרות בחנות אלא אצל אותו ספק, וטוב שכך. בדרך כלל, ברגע הרכישה, אתה מועבר לדף מאובטח של ספק הסליקה, ורואה את השם והלוגו שלו, או Powered By. לדוגמה: PayPal.

השתמש בעצמך בשירותי PayPal או דומה

ברגע שאתה מחזיק חשבון בPayPal, אינך צריך למסור את פרטי כרטיס האשראי שלך בחלק גדול מהרכישות, כל עוד בית העסק מאפשר רכישה דרך PayPal. באופן זה מתווספת שכבת הגנה נוספת, ובמהלך הרכישה אתה מופנה לאתר PayPal, עושה לוג אין, ומאשר את הרכישה (מבלי להכניס את פרטי כרטיס האשראי), וPayPal מאשרים את העיסקה ומחזירים אותך לבית העסק. לאחרונה החלה חברת PayPal לפעול בישראל והיא מאפשרת גם לישראלים בעלי חשבון בנק ישראלי להחזיק חשבון ולבצע תשלומים.

כרטיס אשראי חד פעמי

לזהירים במיוחד, קיימים שירותים המנפיקים מספר כרטיס לשימוש חד פעמי. לאחר שימוש זה הכרטיס חדל מלהיות פעיל.

היזהרו מהוראות קבע למיניהם

במצב רגיל, תתבקשו להכניס מחדש לפחות חלק מפרטי כרטיס האשראי ברכישה חוזרת באתר. יש חריג אחד והוא חיוב מתמשך. הוראת קבע. כאשר נתתם אישור לחיוב כזה, בית העסק מחזיק את פרטי הכרטיס המלאים וכך גדל הסיכון שאתם לוקחים. לכן ההמלצה היא: לא לחתום על הוראות קבע בכרטיס אשראי ולבצע את התשלום הקבוע, ידנית, חודש בחודשו.

איזה מידע ניתן לשלוף מהמחשב שלך

כתבתי על כך במאמרים אחרים. בכל גלישה או מילוי טופס כזה או אחר, נשמרים במחשב פרטים שניתנים לשליפה בעתיד. על פי רוב לא יכלול מידע זה מספרי כרטיס אשראי, אולם כן יכלול מידע אישי אחר כמו מספר תעודת זהות, כתובת, טלפון וסיסמאות שהודלקו לאתרים השונים. בנוסף עשויים להישמר פרטי חשבון בנק ולפחות חלק מפרטי הגישה לבנקאות באיננרנט.

כיצד למנוע? להשתמש בפיירוול חזק הכולל אנטי וירוס, ולהריץ סריקה מלאה (זו שאורכת שעות) באופן תדיר.

קיימת דרך לבדוק איזה מידע שמור במחשב. מידע זה נשמר בדרך קבע באזור בשם Protected Storage. ישנם כלים המציגים מידע זה. לדוגמה הכלי הבא. ניתן לחפש "Protected Storage Viewer" על מנת למצוא כלים נוספים. על מנת למנוע שמירת מידע זה, יש להשיב בשלילה על השאלה המופיעה "האם לשמור את ה… ". הודעה זו מופיעה בכל עת שנרשמים לאתר חדש או מקלידים סיסמה בפעם הראשונה. זה אמנם נוח, אבל פחות בטוח.

היזהרו מפישינג

פישינג הנו כינוי לתרגיל מלוכלך שבו מבקשים מציעים לכם עזרה או מתריעים על בעיה אותה אתם צריכים לפתור, כאשר למעשה, גונבים לכם מידע באמתלה כזו או אחרת. לדוגמה, הודעה על כך שהגישה לבנקאות באינטרנט נחסמה וכדי לבטל את החסימה יש להכנס ללינק הבא.

קל לזהות אתרים אלה, והסימן הראשון הוא שהכתובת אליה אתם מופנים שונה מזו של מי שכביכול פונה אליכם. לדוגמה, אתם מקבלים מייל מבנק לאומי וגם על הלינק שמופיע בגוף המייל כתוב: leumi.co.il אולם זו אחיזת עיניים. כאשר עולה הדף, תראו שהכתובת שונה לחלוטין. על פי רוב, כלל לא בישראל. לעיתים, ישקיע ההאקר וירכוש דומיין בעל משמעות כמו banksecurityservice אולם גם אז, אין ליפול בפח. שם הדומיין צריך להופיע במלואו בסוף הכתובות לפני כל דבר שמופיע לאחריה.

לדוגמה:

https://xxxxxxxx.leumi.co.il/yyyyyyyyy

בסדר

http://leumi.co.il.xxxxxxxx/yyyyyyy

לא בסדר

הסיבה: ה"xxxxx" יכול להיות כל דומיין וניתן להוסיף כל דבר לפני שם הדומיין אולם לא אחריו. ה"yyyy" הוא שם הדף או הקוד שמורץ באותו רגע.

וכמובן, אם הכתובת לא מתחילה בhttps ירוק, אל תתנו אמון באתר.

אתרי הפישינג בנויים על ידי דף מזוייף שמפנה את המידע שאתם מקלידים להאקר, אולם שאר הדפים והלינקים מועתקים אחד לאחד מהאתר האמיתי של הבנק, לכן אם לחצתם על about us, והגעתם לדף האמיתי של הבנק או חברת האשראי, זה עדיין לא אומר שהאתר אינו מזוייף.

דרך נוספת לעלות על אתרים כאלה: הכניסו מידע כיד הדמיון הטובה ותראה כמה בקלות מידע זה מתקבל ללא עוררין. ראו למשל את המאמר הבא.

כמה קשה לנחש מספר כרטיס אשראי

סוגיה נוספת, לכאורה פחות רלוונטית, נוגעת למבנה כרטיס האשראי. בשנת 1998 פיתחתי מערכת דירוג אשראי, והשתתפתי במספר פיילוטים עם חברות האשראי בישראל. בלי להכנס לפרטים חסויים, ניתן לומר שלהאקר שידועים 4 הספרות האחרונות של כרטיס אשראי, סוג הכרטיס ופרטים נוספים, יכול מהר יחסית לנחש את מספר הכרטיס. 8 הספרות הראשונות הן פונקציה של סוג הכרטיס (למשל: 4 שייך לויזה), מדינה, סוג הכרטיס ושם הבנק. למעשה, קיים בסיס נתונים פחות או יותר זמין לכל בשם Bin Database בו ניתן לשייך את הספרות הראשונות לפרטים אודות הכרטיס ולהפך (כלומר אם האקר מכוון לכרטיסים ישראלים, יש לו פחות קומבינציות לבדוק). נוסף לכך מנגנון ספרת ביקורת שנועדה למנוע הונאה וזיופים אולם במקרה הזה (של "הינדוס הפוך") פועלת לטובתם משום שהיא מצמצמת עוד יותר את המספרים האפשריים שמשלימים למספר ש-4 הספרות האחרונות שלו נתונות. במאמר מוסגר, ניתן למעשה לייצר מספר כרטיס אשראי שכלל אינו קיים תוך שימוש באלגוריתמים שזמינים באינטרנט, כולל הסוד השמור מכל – והוא הלוגיקה מאחורי 3 הספרות בגב הכרטיס. אני מעריך שמי שמחפש מאד, ימצא גם את הדרך להפיק ספרות אלה בצורה לוגית.

איזה פרטים באמת נגנבו

כאן המקום לתת מידע ספציפי יותר אודות ההאקר, ששמו 0xOmar, והאתר בו פורסם הלינק להורדת פרטי כרטיסי האשראי. מדובר בקובץ מכווץ בפורמט zip אשר הועלה לשירות העלאת קבצים בשם Multiupload. השירות הסיר את הקובץ בטענה (המוצדקת כמובן) שהקובץ מפר את תקנות האתר.

זו הכתובת של הקובץ שהוסר: http://www.multiupload.com/OM1S9YLZKV

לסיכום

על אף תקפות העצות במאמר זה, אין דרך למנוע דליפת פרטי כרטיסי אשראי ולמרות זאת כל אחד מוגן כל עוד הוא בודק את דף החשבון באופן קבוע ומתריע על כל עיסקה לא מזוהה. במקרה כזה, החשבון יזוכה, וחברות האשראי נותנות אחריות מלאה על כל שימוש בלתי מורשה בכרטיס.