וירוס או מתיחה: איך יודעים להבדיל?

כולנו למדנו להכיר ולהוקיר את תרומתו חסרת התקדים של הדואר האלקטרוני למפת האיומים על המידע האישי שלנו ועל שלומנו הנפשי. וירוסים, טרויאנים ודואר זבל, הפכו לחלק בלתי נפרד מנוף חיינו. מדי פעם מגיעות אלינו גם בקשות לתרומה, הצעות עסקיות מביל גייטס, מכתבי שרשרת שונים, או העותק המי יודע כמה של העוקץ הניגרי.

אבל ישנו עוד תחום אחד של הטרדות-דואר שזוכה לתשומת לב מעטה יחסית. לכאורה, הוא לא מספיק מסוכן כדי שחברות האבטחה יקדישו לו תשומת לב ממשית, אבל הוא מטריד ומזיק ועלול גם להיות מסוכן. קוראים לזה "מתיחות וירוסים" (Virus Hoaxes) או פשוט "Hoaxes".

הרעיון, כשלעצמו, פשוט למדי. מדי פעם נפוץ ברשת וירוס מרושע כזה או אחר, ורובנו מקבלים

 אזהרות מפניו ומתוך אזרחות טובה גם מפיצים אותן הלאה. חלק מהאזהרות הללו הן אמיתיות. אחרות בדויות ומופרכות לחלוטין.

זה לא שונה בהרבה ממכתבי השרשרת של פעם, מהעידן הטרום-אינטרנטי, למעט כמובן העובדה הפשוטה שלא צריך לצלם עותקים ולבייל מעטפות. והקלות הבלתי נסבלת של הפצת שמועות בדואר אלקטרוני, עשויה להפוך את המתיחות הללו בעצמן מקור לא אכזב לאיומי אבטחה.

רוב ה-Hoaxes הן משעשעות ולא מסוכנות. אחדות מהן מתוחכמות להפתיע, משלבות מוטיבים וטכניקות שנשאלו מז'אנר האגדות האורבניות, ממכתבי השרשרת, משיטות ההנדסה-החברתית (Social Engineering) החביבות על ההאקרים וכותבי הוירוסים. הומור? הלצה בלתי מזיקה? כבר לא בטוח.

נקח כדוגמה את הווירוס המדומה Good Times, ש"תקף" לראשונה ב-1994. ציטוט מתוך

ההודעה (בתרגום חופשי):

"ה-FCC פרסם אזהרה ביום רביעי האחרון... אודות וירוס חסר תקדים במידת הנזק שהוא יכול לגרום. וירוסים ידועים כמו Stoned, Airwolf ומיכלאנג'לו מחווירים לעומת הוירוס החדש הזה. מה שהופך אותו למחריד כל-כך, לפי ה-FCC, זה שהוא מסוגל להפיץ את עצמו בדואר אלקטרוני דרך ה-InterNet ולהדביק אותך ברגע שתקליק על ההודעה...

אם יש למחשב דיסק קשיח, קרוב לוודאי שהוא ייהרס. המעבד ייכנס ללולאה בינארית אינסופית, ואם הוא ירוץ יותר מדי זמן גם הוא ייהרס. למרבה הצער, רוב המשתמשים לא יבחינו בזה עד שיהיה מאוחר מדי".

זוהי דוגמה מוקדמת ופרימיטיבית יחסית, שנעזרה בבורות שאפיינה את ימיו הראשונים של האינטרנט המסחרי. האיות "InterNet", כמו גם ההתייחסות ל-FCC - גוף שעוסק בתקשורת אבל לא ממש קשור לאבטחה -

היו אולי מעוררים בנו חשד לו קיבלנו את ההודעה הזו היום.

אבל ב-1994, השימוש בכמה מונחים שנשמעים טכניים הספיק כדי למכור את הלוקש לגולשים (וגם לעיתונאים) רבים ברחבי העולם. זה, אגב, למרות שחלפו עוד חמש שנים עד להופעת הווירוס הראשון שידע באמת להדביק מחשבים אוטומטית ברגע שהקליקו עליו.

רוצה להשתתף בניסוי

במתיחה המאוחרת יותר (מרץ 2001) שנודעה בשם "A Virtual Card for you". הניסוח כבר יותר מתוחכם וזו אולי הסיבה לכך שהיא מתגלגלת עד היום במגוון גירסאות בכל שפה אפשרית. ציטוט מאחת הגירסאות:

"אזהרה דחופה!

אנא קרא את ההודעה הזו בזהירות והעבר אותה לכל מי שאתה מכיר! שלח אותה לכל האנשים ברשימת הכתובות שלך. עדיף לקבל 25 הודעות כאלה מאשר להיפגע!

נתגלה וירוס חדש שמיקרוסופט (www.microsoft.com) ומקפי (www.mcafee.com) אישרו שהוא

 הוירוס ההרסני ביותר מעולם! הוירוס הזה נתגלה אתמול על-ידי McAfee ואין עדיין חיסון עבורו... הוא פועל בצורה הבאה: ברגע שהוא מדביק את המחשב שלך, הוא שולח את עצמו לכל האנשים ברשימת הכתובות שלך עם הכותרת 'A virtual Card for You'. אם אתה מקבל הודעה עם הכותרת הזו, מחק אותה מייד!".

הטענה כי מדובר בווירוס "ההרסני ביותר מעולם" היא מסימני ההיכר של Hoaxes. גם ציון מקורות בלתי-קשורים (מיקרוסופט במקרה זה) עשוי להעיד על כך שמדובר במתיחה. אבל מי יכול לעמוד בפני הטיעון המנצח הזה: עדיף לקבל 25 הודעות מאשר להידבק.

האבולוציה של המתיחה

וירוסי מחשב קיימים כבר קרוב ל-20 שנה, ומרגע שהיה דואר אלקטרוני הם השתמשו גם בו כדי להתפשט. הגל הספציפי של הוירוסים עליו רכב Virtual Card, נוצר שנתיים קודם להופעתו, עם הוירוס Melissa.

Melissa, וממשיכיו לאורך 1999 ו-2000 (MyPic, Christmas Virus, Love Bug, New Love, וכמה וירוסים פחות ידועים) חוללו שינוי מהותי באקולוגיה של הדואר האלקטרוני בגלל שיטת הדבקה חדשה: הם לא סמכו על תמימותו של המשתמש, אלא ניצלו פירצה ב-Outlook 2000 שאפשרה להם להדביק את המחשב שלו גם בלי שפתח את הודעת הדואר והריץ את הקובץ.

Melissa, מכל מקום, היה זה שנחרט בתודעה למרות שהנזק המעשי שגרם היה קטן. הוא לא עשה

 שום דבר מלבד להפיץ את עצמו לנמענים מתוך ספר הכתובות של הנדבק.

היפוכונדריה של טכנופובים

כמובן שכמו בכל מתיחה, שמועה או מיתוס אורבני, שילוב של עובדות ושמות מוכרים מקנה לסיפור יותר אמינות. דוגמא מאלפת למדי סיפקה המתיחה אודות Wobbler, שנפוצה לקראת סוף 2001. ציטוט מההודעה:

"אזהרה! אם אתה מקבל הודעת דואר עם קובץ בשם California, אל תפתח אותו! הקובץ מכיל את הוירוס Wobbler. המידע פורסם אתמול על-ידי IBM. חברת AOL הודיעה שזהו וירוס מסוכן מאד, גרוע יותר מ-Melissa, ושאין לו שום תרופה. מישהו חולני מאד, הצליח להשתמש בתכונת הרה-פורמט של Norton Utilities, שמאפשרת לו למחוק את כל המידע על הדיסק הקשיח... הוא משמיד מחשבי מקינטוש ותואמי IBM. זהו וירוס חדש וקטלני, ולא הרבה אנשים יודעים עליו".

גרוע יותר ממליסה? אין שום תרופה? מדביק גם PC וגם מקינטוש? וממתי IBM או AOL הן סמכות בעניין וירוסים? לא צריך להיות ידען גדול כדי להבין שמדובר בבדיחה. אבל מתיחת Wobbler הפילה בפח רבים, גם משתמשי מחשב אינטליגנטיים ומנוסים יחסית. גם אנשים שיודעים שאף אחד לא משתמש בביטוי "תואם IBM" כבר שנים.

זה כמו ההיפוכונדר שמשכנע את עצמו שהיתוש שעקץ אותו לפני רגע היה בעצם נחש - אם תופסים אותך לא מוכן, אתה תגייס כל שביב טכנופוביה שקיים בך כדי להתמודד עם המצב.

מלבד כל היסודות הקלאסיים של Hoax מהשורה, למתיחה על Wobbler היה צד אחד מתוחכם יותר. אחד מווירוסי המאקרו שתקפו בשנת 2001 (JS/VBS.LostSoul.Worm), הגיע בדוא"ל המצורף לקובץ בשם Wobbler.txt.vbe. מי ששמע על הווירוס האמיתי, עשוי היה בהחלט לזכור את השם ולהשתכנע שגם האזהרה הזו אמיתית. זו אולי הסיבה לכך ש-Wobbler היה אחד מחמשת ה-Hoaxes הנפוצים של כל הזמנים.

במתיחה אחרת, שתקפה במאי 2002, התרגיל היה מתוחכם עוד יותר. מיליונים ברחבי העולם קיבלו אז בדואר האלקטרוני את האזהרה החמורה מפני הוירוס SULFNBK. ההודעה אמרה שהוא מדביק מחשבים במהירות כזו, שרוב הסיכויים שכבר נדבקנו - עליכם לחפש במחשב שלכם את הקובץ SULFNBK.EXE, נאמר בהודעה. אם מצאתם, תמחקו אותו מייד.

כולם מצאו את הקובץ בתיקיית C:/windows/command במחשב שלהם, ורבים מיהרו למחוק אותו. אבל זה לא קרה מפני שנדבקו בוירוס אלא משום ש- SULFNBK.EXEהוא קובץ מערכת של Windows. במקרה הזה, המתיחה גרמה לנזק אמיתי לגמרי.

אם מתיחה יכולה לגרום לך להתגונן מפני איום שלא באמת קיים, אז מדוע שלא תעשה ההפך - תגרום לכם להתעלם מפני איום אמיתי?

כך קרה במקרה Jdbgmgr. במקור, מדובר בתולעת אמיתית לגמרי שנפוצה בהודעות דואר אלקטרוני החל מאמצע 2002. במהלך 2003, החלו להופיע הודעות אזהרה שהנחו כיצד להתגונן מפניה, רק שהן היו מזוייפות והציעו פתרון שגורם יותר נזק מתועלת.

תרמית אחרת קשורה ל"וירוס בן-לאדן", שנפוץ לקראת סוף 2004. באוגוסט השנה, הופצה שוב הודעה שמזהירה מפניו - בעצם הודעת האזהרה המקורית והאמיתית, שמישהו ערך בה שינויים. האזהרה נראית אמיתית, והווירוס המדובר אמיתי, אבל חלק מההסברים והעצות אינם נכונים. דוגמא להודעה כזו אפשר לראות כאן.

כך שהגבול בין המתיחות לוירוסים הולך ומטשטש, וה-Hoaxes הופכים מסוכנים בעצמם.

תופעת ה-Virus Hoaxes נולדה, ככל הנראה, כהומור-גיקים, אבל קשה להתעלם מהתרומה המצטברת שלה לשכלול של הוירוסים עצמם. חלק מהמתיחות - כמו הרעיון של הדבקה אוטומטית בדואר אלקטרוני - נתגלו בדיעבד כנבואות שהגשימו את עצמן.

הז'אנר הזה גם תרם הרבה להתפתחות טכניקות ה-Social Engineering, שמנצלות חולשות אנושיות במקום פרצות אבטחה. וירוסים כמו NetSky, Sober, Sircam, MyDoom, Beagle ורבים אחרים, מפיצים את עצמם בעזרת הגולשים, בהודעות מתוחכמות יותר או פחות שמנסות להיראות אמיתיות.

וכמובן שהשילוב בין האזהרות והאזהרות-שכנגד יוצר כאוס אחד גדול. תחשבו למשל על האזהרה של ה-FBI מפני ההודעה המזוייפת שנשלחה בשמה. אזהרה אמיתית מפני אזהרה מזוייפת, שכוללת וירוס אמיתי (Sober.K), מיחזור של הודעה ווירוס (Sober.C) דומים מלפני שנתיים. כאב ראש גדול.

מתוך כ-150 מתיחות מתועדות שנפוצו ברשת בשנים האחרונות, כ-50 קשורות לווירוסים ואיומי

 אבטחה שונים, וקל יחסית למצוא מידע שמתייחס אליהן כדי לזהותן ולהתעלם מהן.

הדבר הראשון לעשות כשאתם מקבלים הודעה חשודה על וירוס, הוא להריץ חיפוש על הכותרת שלה - ברוב המקרים תקבלו תריסר לינקים בהם המילה "Hoax" תקפוץ מייד לעין. אבל מכיוון שהיום כדאי לנהוג במשנה זהירות, מומלץ להצליב את המידע עם אתר נוסף אחד לפחות.

המקורות הטובים ביותר הם האתרים של מפתחי האנטי-וירוס. כולם מציעים היום מאגרי מידע מפורטים על וירוסים ועל Hoaxes. נוחים במיוחד המאגרים של סימנטק ו-McAfee (בגלל שהם מאפשרים לחפש לפי שם, בלי שעליכם לנחש מראש אם מדובר בווירוס אמיתי או לא).

• HoaxBusters 
  
• VMyths.com
  

• Hoax News (הפסיק להתעדכן)
  

• מקור חשוב נוסף, במקרה של שמועות ומתיחות-וירוסים מקומיות או כאלה שתורגמו לעברית הוא האתר לא רלוונטי של חנן כהן.