שימוש הוגן: זהירות מזיופים

1. היזהרו מחיקויים

זה לא סוד שהרשת הופכת מסוכנת יותר ויותר ככל שגובר השימוש בה בקרב משתמשים פרטיים ועסקיים כאחד וגדל הפוטנציאל המסחרי של האינטרנט. בין האיומים המרכזיים שטומן בחובו השימוש בשירותי בנקאות, דואר אלקטרוני או קניות מקוונים הוא ה'פישינג' (Phishing), מושג שפירושו הצגת דף או קישור מזויף, לכאורה של אתר מוכר ואמין, בו מתבקש הגולש למסור פרטים שונים, כמו סיסמה, שם משתמש, פרטים אישיים, פרטי אשראי וכדומה, כשבעצם מדובר בתרמית, שמאפשר לנוכלים לגנוב את המידע.

בחו"ל נפלו קורבן להונאות מסוג זה משתמשים של אתר eBay, לקוחות של בנקים בינלאומיים ואחרים, אולם מי שחשב שהבעיות הללו שמורות רק לגולשים ממדינות אחרות - טועה.

אביב ראף, מתכנת ויועץ טכנולוגי בחברת הייטק גדולה, פנה אלינו בדיווח מדאיג במיוחד, שעיקרו הימצאותה של פירצת אבטחה הנפוצה באתרים ישראליים רבים. הפירצה המדוברת, שמאפשרת לנוכל להריץ קוד זדוני באתר, ובאמצעותו לקבל גישה לפרטים אישיים של המשתמש, נעזרת בעצם בשתי שיטות של הונאה. האחת היא Phishing, והשנייה היא פירצת Cross Site Scripting (בקיצור CSS או XSS).

פרצות CSS, בניגוד להונאות פישינג רגילות, שמתרחשות רק באחריותו של הגולש, מאפשרות לתוקפים לשתול מידע מזויף וקוד זדוני באתר, ובעזרתו לגנוב Cookie של גולשים, בהם מאוחסנים לרוב פרטי כניסה לאתר או מידע אישי אחר. במקרה כזה, יכול התוקף להתחזות לגולש בעת כניסה לאתרים מסוימים, לשלוח דואר אלקטרוני בשמו, או פשוט לעשות שימוש במידע שנחשף לעיניו.

הדפים המזוייפים יכולים להכיל למשל טופס להכנסת מספר כרטיס אשראי או כל שדה קלט אחר, שבו מתבקש הגולש להקליד מידע.

למרות שבחלק מהאתרים מדובר בפירצה תיאורטית בלבד, והם ערוכים למניעת אירועים דומים ברמת התשתית וברמת היישום, כל אתר שמשתמש ב-Cookie בכדי לאחסן את פרטי הגולש באופן קבוע, חשוף בעצם לפירצה גם מבחינה מעשית.

"חלק מהאתרים לא מבצעים בדיקות - ברמת השרת - של המידע המתקבל מהמשתמש, והאם זהו המידע שצריך להגיע, וכן לא מסננים תווים מיוחדים. חלק קטן מהאתרים גם לא מבצע בדיקות ברמת השרת למידע שמגיע מבחוץ (לאו דווקא מהמשתמש)", אומר ראף. בפועל, הבעיה עשויה לבוא לידי ביטוי, למשל, באתר המאפשר הקלדת מספר טלפון, אולם אינו מבצע אימות של הנתונים שהקליד הגולש, והאם אכן מדובר במספר בן תשע או עשר ספרות, כך שפורצים עלולים לנצל זאת, בכדי להריץ בעמוד קוד זדוני.

לא פירסמנו כאן את שמות האתרים מאחר והפירצה נפוצה מאוד והרשימה ארוכה ביותר. מרבית האתרים עימם שוחחנו הבהירו כי הם נוקטים במירב האמצעים בכדי להגן על הלקוח, ורובם ככולם תיקנו את הפירצה האפשרית שהתגלתה. עם זאת, אין בכך כדי להסיר אחריות גם מאיתנו, הגולשים, שמחויבים לפעול בזהירות בכל פעם שאנחנו לוחצים (או עושים Forward) על קישורים שצורפו להודעות דואר מפוקפקות, או מוסרים פרטים לאתרי מסחר.

2. זהירות: אין מתנות ללא תמורה 

sms.ac הוא אתר אמריקני המאפשר משלוח הודעות SMS ללא תשלום לחברים ברחבי העולם, הן באמצעות האינטרנט והן באמצעות הטלפון הסלולרי. האתר מופץ לאחרונה בצורה רחבת היקף בין גולשים ישראלים, שמחפשים דרכים לעקוף את דמי משלוח ה-SMS שגובים הספקים בארץ.

אך מתלונות של גולשים שהגיעו ל-ynet, נראה שמדובר בשירות בעייתי במקרה הטוב, ובתרמית נצלנית במקרה הרע. הגולש צ.ב.י. כתב לנו: "חברים רבים שלחו לי דואר אלקטרוני עם קישור לטופס הרשמה באתר, בה נכתב שהשולח מעוניין שגם אני ארשם כדי שנוכל לשלוח הודעות SMS חינם אחד לשני. אך עיון בתנאי השימוש מראה שמילוי הטופס מתיר לחברה לשלוח לנרשמים הודעות עליהן הוא יחוייב בתשלום".

גולש נוסף בשם נועם, הזהיר אף הוא באתרו מפני האתר, לאחר שקיבל כחמש הזמנות לכתובת הדואר הישנה שלו, אחת מהן מאדם שכבר אינו בקשר איתו. "ההזמנות נשלחות בשם אחד החברים, אבל מהכתובת של sms.ac", כתב. לדבריו, לאחר שמילא את הפרטים בטופס, הופתע לגלות שהוא מתבקש למסור את הסיסמה של תיבת הדואר שלו, ככל הנראה על מנת "לעבור על רשימת הכתובות שלי ולשלוח לכולם הזמנות לשירות".

על פי בדיקה, מתברר כי מדיניות הפרטיות של האתר כוללת הודעה כי החברה מעבירה את כתובות הדואר האלקטרוני של הנרשמים לשותפים עסקיים.

בכל מקרה, גם אם לא מדובר בעבירה על החוק, אלא במדיניות שיווק מפוקפקת, מומלץ תמיד להיזהר, לבדוק בשבע עינים, ולקרוא את תנאי השימוש ומדיניות הפרטיות של כל אתר או שירות מקוון, בטרם תפקידו בידי בעליו את פרטיכם האישיים. זה עלול לעלות לכם ביוקר. אין מתנה ללא תמורה ומסירת ססמאות או מידע אישי לחברות לא מוכרות למטרת קבלת הטבות צפויה להתגלות כעסקה רעה מאוד למשתמש.

3. זהירות מפתרונות קסם לדואר זבל

עם התגברות דואר זבל צצו כל מיני מיזמים עצמאיים שמינו עצמם כמייצגי הגולשים במלחמה בספאם ובדרך מקווים לעשות כמה לירות מסילוק המטרד. כמובן שאין בכך שום דבר רע - הרי אם זה לא יועיל, זה בטח לא יזיק. אז זהו, שזה עלול גם להזיק. כתבנו כאן בעבר נגד האיגוד הישראלי למאבק בדואר הזבל, גוף מיותר שעלול לגרום יותר נזק מתועלת. לאחרונה הושק אתר חדש ללוחמה בספאם בכתובת blacklist.co.il ("רשימה שחורה").

"מציקים לך? מטרידים אותך בדואר? שולחים אליך פירסומות ללא הפסקה? אנחנו החלטנו להשיב מלחמה! שלח אלינו את פרטי המטריד שלך ואנו נדאג לפרסם אותם באתר. עם כל כניסה של גולש לאתר, יופעל מנגנון שידאג לשלוח לכל רשימת הזבלנים בקשות להסרה מרשימות-התפוצה שלהם בשם אותם מוטרדים שנרשמו תחתם", נכתב באתר, "למה לך להתעצבן ולהתאמץ? תן לנו לעשות את העבודה בשבילך. ספר לחבריך על האתר, ככל שיכנסו יותר גולשים, יישלחו יותר בקשות הסרה לזבלנים, עד שהדואר שלהם ייסתם, ולא תיהיה להם ברירה, אלא להסיר את הרשומים מרשימותיהם".

במקרה הטוב, מייסדי האתר לוקים בתמימות. כל מי שקצת מעורה יודע כי תיבות דואר של זבלנים אינן 'נסתמות'. במקום להועיל ולהקל על מצוקת המשתמשים, אתר כזה עלול להוביל לתוצאה ההפוכה: ספאמרים יכולים להשתמש בו לצורך וידוא כי חלק ממאות אלפי הכתובות להן הם שולחים דואר זבל אכן פעילות ולהמשיך להפציץ אותן בספאם ביתר שאת. מאוד לא מומלץ (גל מור).