ד' פתח את המייל שלו – ונדהם. ניתן היה להבחין מיד, כי מישהו בחש בו. בעוד הוא בוחן את המסמכים ששונו ומעיין במכתב שיצא כביכול מטעמו מהמייל שלו אל מוסד פיננסי, קיבל ד' שיחת טלפון. "מדברים מהבנק. העברת כעת 50,000 שקל לחשבון אחר?" ד' הבין שמישהו השתלט לו על המייל, נכנס להתכתבויות שלו, מצא בין השאר קישורים לבנק ולגורמים אחרים שהוא בקשר עימם – וניצל את המידע שאסף.
בעידן הדיגיטלי אירועי סייבר כדוגמת "פישינג" או מתקפות כופר הפכו לעניין שבשגרה, אבל הנזק שלהם עלול להיות עצום. מתברר שבאמצעות מספר פעולות פשוטות ניתן לצמצם באופן משמעותי את סיכויי הפגיעה ולהגן על הנכסים הדיגיטליים האישיים.
על רקע אירועי הסייבר האחרונים, החל מכניסת האקרים לנתוני בתי חולים וחברות ביטוח ועד לניסיונות תקיפה של אתרים ממשלתיים ואף להט"ביים, הכין מערך הסייבר הלאומי מדריך מקיף בכל הקשור להגנה על הסמארטפון, המחשב האישי, הרשתות החברתיות, המצלמות הביתיות ואמצעי התשלום.
המערך המיוחד מעמיד לרשות אזרחים וארגונים חמ"ל הפועל 24/7, ואליו יכול לפנות כל מי שחווה אירוע סייבר בחיוג ישיר 119. לחמ"ל מגיעות בכל יום עשרות עד מאות פניות של אזרחים על אירוע סייבר שמקבלים מענה ראשוני בהתאם לחומרת האירוע. כך, למשל, היה גבר בן 40 חרד, לאחר שניהל קשרים רומנטיים עם גבר אחר ובאחד הימים קיבל הודעה, כי "נדווח לאשתך את כל הידוע לנו". במקרה הזה היה כבר מאוחר לאיש להתגונן מפני הדלפת המידע האישי שלו, אולם בעקבות המקרה הספיק חברו ליצור קשר עם מומחה להגנת סייבר – והטלפון והמחשב האישיים זכו מיד להגנה.
דנה תורן, מנהלת החמ"ל במערך הסייבר הלאומי, מציינת: "פונים אלינו עשרות אנשים ביום, למשל, לאחר שחשבון הפייסבוק שלהם ננעל, הוואטסאפ שלהם נגנב או נחסם על ידי האקרים או שהזינו את הפרטים האישיים שלהם בקישורים בהודעות פישינג. חלק מהתפקיד של האנליסטים בחמ"ל הוא להרגיע, לתת מענה ראשוני, להסביר למדווח מה קרה וכיצד ניתן להימנע מזה להבא, ולעיתים גם כיצד לשחזר את המידע או הגישה לחשבון. הרבה פעמים באמצעות צעדים פשוטים ומהירים, ניתן להקשיח את ההגדרות ולהגן טוב יותר על האפליקציות ועל המידע האישי".
במערך הסייבר הלאומי ממליצים להקפיד על חמישה כללי ברזל, שמצמצמים משמעותית את הסיכוי להיפגע מפני תקיפה:
1. עדכוני תוכנה - כשבטלפון הנייד או במחשב מופיעה הודעה לבצע עדכון גרסה או תוכנה, מומלץ לאשר את העדכון בהקדם. העדכון מכיל לרוב תיקוני אבטחה, שמעלים את רמת ההגנה.
2. סיסמאות שונות וחזקות בשירותים השונים – למשל סיסמה אחת לדוא"ל ואחרת לפייסבוק. חשוב במיוחד לחבר סיסמה ייחודית לדוא"ל של מקום העבודה, ולהימנע משימוש בדוא"ל העבודה להזדהות באתרים. סיסמה חזקה תהיה באורך של 10 תווים ומעלה, עם שילוב של מספרים, אותיות גדולות וקטנות ותווים מיוחדים. ברור ששם פרטי ושם משפחה פלוס שנת לידה הם בחירה רעה מאוד לסיסמה. רצוי סיסמה מסובכת, כמו hfdyi4576g, שאותה איש לא ינחש.
3. אימות דו־שלבי – לצד הסיסמה מומלץ להגדיר אימות נוסף, כגון קוד שנשלח במסרון או זיהוי ביומטרי בכל אתר או אפליקציה המאפשרים זאת.
4. נעילת הטלפון והמחשב הנייד – באמצעות סיסמה או באמצעות זיהוי ביומטרי. למשל: נעילת הטלפון עם צילום של הפנים של בעליו.
5. ביצוע גיבויים – גיבוי המידע במחשב או בטלפון האישי באופן אוטומטי, גם בכונן חיצוני וגם בענן. גיבוי יעזור במיוחד במקרים שבהם התרחשה תקיפה שנעלה את המכשיר או אפילו סתם במקרה של תקלה.
לצד כללים אלו, קיימות פעולות ייחודיות ליישומונים ולאתרים פופולריים:
טיפים להגנה על חשבון ה־WhatsApp
במערך הסייבר הלאומי התקבלו בשנה האחרונה אלפי דיווחים על חטיפה של חשבון ה־WhatsApp. לרוב מדובר באנשים שמסרו קוד אימות להאקר, שהתחזה למישהו מרשימת אנשי הקשר שלהם. כדי להגן על החשבון מומלץ:
1. הגדרת אימות דו־שלבי - קוד ייחודי ואישי מלבד זה שמקבלים במסרון. ניתן להגדירו ביישומון באמצעות כניסה לתפריט הגדרות > חשבון > אימות דו־שלבי > הפעל, ולקבוע את הקוד.
2. שמירה על הקוד האישי - קוד האימות של WhatsApp הוא אישי ואין לשתפו עם אף גורם, לרבות חברים או משפחה. ייתכן שגם חשבונם נפרץ.
3. חסימת הוספה לקבוצות - חסימת האפשרות שגורמים, אשר אינם שמורים ברשימת אנשי הקשר של בעל החשבון, יוסיפו אותו לקבוצות WhatsApp, על ידי כניסה ל־הגדרות > חשבון > פרטיות > קבוצות > אנשי הקשר שלי.
טיפים להגנה על רשתות חברתיות
מתחילת השנה כ־37% מהדיווחים שהתקבלו במערך הסייבר, היו דיווחים על פריצה לרשתות חברתיות. לרוב פריצה כזאת נועדה לגרום לבעל העמוד או הפרופיל לבצע פעולות שיסייעו לפורץ בהשגת מטרותיו, כדוגמת תשלום כופר. ניתן להגן על הרשתות החברתיות באמצעות מספר פעולות פשוטות:
1. אימות נוסף לסיסמה - ברוב האפליקציות אפשרות זו מופיעה בהגדרות > סיסמאות ואבטחה > אימות דו־שלבי > הפעל.
2. חברים - מומלץ לאשר רק אנשים שמכירים וסומכים עליהם, ולבדוק לעיתים קרובות את רשימת החברים.
3. הרשאות - בדקו את ההרשאות שנתתם עבור האפליקציה והגדירו אפשרויות שחזור וגיבוי.
4. הזנת פרטי הזדהות בדפים המתחזים לדפי תמיכה ושירות רשמיים של פייסבוק - שיטה של עמודים המתחזים לפייסבוק או לשירות התמיכה של פייסבוק, המתריעים כי "חשבונך יושבת", נחשבים לפופולריים בקרב האקרים. מדובר בעמודים מתחזים, המשתמשים בסימני זיהוי, צבעוניות ושמות, כך שהמשתמשים ישייכו אותם בטעות לפייסבוק וימסרו מידע רגיש. חשוב להדגיש, שאין למסור פרטים מזהים לפני שבדקתם כי אכן מדובר בעמוד לגיטימי. אם עולה חשד להתחזות, יש לדווח מיד לפייסבוק.
טיפים לביצוע רכישות באינטרנט ולזיהוי אתרים מתחזים
במיוחד לקראת ימי קניות, עולה מספר אתרי האינטרנט שמתחזים לאתרי קניות לגיטימיים, אך משמשים למטרות זדוניות. לרוב מתאפיינים אתרים אלה בהצעות מפתות המגיעות בדוא"ל, במסרונים או ברשתות החברתיות, ולכן חשוב לוודא את מהימנותם טרם ביצוע הרכישה.
1. כתובת האתר - יש לוודא שהכתובת בדפדפן מתחילה עם https, לצד סמליל של מנעול סגור וללא שגיאות כתיב.
2. הגעה ישירה לאתר ולא באמצעות קישורים - מומלץ להגיע לאתר באמצעות חיפוש בלתי תלוי, ולא באמצעות פרסומות או קישורים המופצים בהודעות שונות.
3. רשת Wi-Fi ציבורית - מומלץ להימנע מביצוע רכישות בעת חיבור לרשת Wi-Fi ציבורית.
4. תקן PCI dss - תקן זה של חברות האשראי מופיע לרוב לפני הכנסת פרטי התשלום, ונחשב לעמידת האתר בתקני אבטחה לשמירת פרטי הכרטיס.
5. ניסיונות פישינג - בדרך כלל הודעות דיוג נשלחות באמצעות כתובת דוא"ל פרטית ולא באמצעות כתובת החברה, ולעיתים תוכן ההודעה או נושא ההודעה גם יכיל שגיאות כתיב.
טיפים לשמירה על חשבון הבנק וכרטיסי האשראי
במקרה של דלף כרטיסי אשראי, לבנקים ולחברות האשראי יש מנגנונים לאבטח את הכסף שנגנב. עם זאת, ישנן מספר פעולות שניתן לבצע לחיזוק רמת ההגנה:
1. מעקב שוטף אחר הפעולות בחשבון - יש לשים לב לפעולות חשודות שאינן מוכרות בחשבון הבנק או בפירוט האשראי.
2. קוד אימות - כיום חברות האשראי מאפשרות בחירת קוד אימות לביצוע עסקאות. ניתן לשנות את הקוד למספר שקל יותר לזכור. חשוב לא לשמור את המספר בסמוך לכרטיס.
3. שמירת כרטיס האשראי בדפדפן - אין לשמור את פרטי האשראי בדפדפן, ואף מומלץ להסיר את פרטי החשבון מרשימת הסיסמאות השמורות בו.
4. ביטול הכרטיס במקרה הצורך – אם קיים חשד שפרטי האשראי הגיעו לידיים הלא נכונות, יש לבטל את הכרטיס מיד דרך חברת האשראי או הבנק, או להשהותו באופן זמני. אם זוהתה פעילות חריגה בחשבון, יש לעדכן את הבנק בדחיפות.
5. אין מה לדאוג - חוק שירותי תשלום מגן על לקוחות שנפלו קורבן לפישינג ברשת, וקובע שנותן שירותי התשלום יישא באחריות ובתשלום מבלי שהלקוח ייפגע.
בבנק לאומי הדגישו, כי הבנק נערך להתראות מהתקפות "פישינג", ואף קבע הנחיות ללקוחותיו להתגוננות מהתקפות סייבר. "הבנק לעולם לא ישלח אימייל או מסרון לעדכון פרטים אישיים, כגון שם משתמש, פרטי חשבון או כרטיס אשראי. מי שיקבל הודעה כזאת - זה לא אנחנו", אומרים בבנק.
בהנחיה ללקוחות מודגש, כי אין למסור קוד אימות שקיבל לקוח לגורם אחר, גם אם הוא מציג את עצמו כ"נציג של הבנק", וכמו כן "אם לחצתם על הקישור, שימו לב לכתובת האתר שאליו הופניתם". יש להשוות עם הכתובת שמופיעה על כל מסמך של הבנק ובאתר. "אם יש לכם ספק, היכנסו ישירות לאתר הבנק דרך האתר או האפליקציה ולא דרך הקישור", מוסיפים בלאומי.
טיפים להגנה על הפרטיות במצלמות ביתיות
לאחרונה התקבלו במערך דיווחים על האקרים שהצליחו לחדור למצלמות האבטחה הביתיות של אזרחים, תוך שימוש בסיסמאות ברירת מחדל של יצרן המצלמות, אשר לא הוחלפו בזמן התקנתן. פריצה כזו ניתן למנוע בקלות באמצעות שתי פעולות:
1. סיסמאות - כל מצלמה מגיעה עם סיסמת ברירת מחדל שהגדיר היצרן. כדאי לבקש ממתקין המצלמה להגדיר סיסמה ייחודית. אם מבצעים התקנה עצמית, כדאי לעקוב אחר הוראות היצרן להחלפת סיסמת ברירת המחדל.
2. הגדרות בסיס - לאחר כל טיפול ושדרוג המצלמות על ידי טכנאי, יש לוודא כי הגדרות הבסיס לא שונו.
בכל מקרה, בעת חשד לאירוע סייבר או לקבלת המלצות הגנה נוספות, חייגו למערך הסייבר הלאומי בחיוג חינם 119.
שירותים דיגיטליים ממשלתיים מאובטחים לטובת הציבור
ברשות התקשוב הממשלתי, שבמערך הדיגיטל הלאומי במשרד הכלכלה, רואים באבטחת המידע ובהגנה בסייבר תנאי בסיס לפיתוח שירותים דיגיטליים ממשלתיים, לכן משקיעה הרשות בתחום זה משאבים רבים, טכנולוגיים ואנושיים, תוך שימוש בשיטות הגנה ואבטחה מהמתקדמות בעולם, במטרה לשמור על סודיות ופרטיות המידע של תושבי ישראל ושל משרדי הממשלה ויחידות הסמך.
הכניסה לאזור האישי הממשלתי בפרט ולצריכת שירותים דיגיטליים בכלל מתבצעת באמצעות מערכת ההזדהות הלאומית. הזדהות זו שוות ערך להזדהות מול נותן שירות בלשכת השירות המשרדית. השימוש בצורת הזדהות כזו חוסכת לאזרח ולעסק את ההגעה ללשכות השירות ומאפשרת לצרוך שירותים ולבצע פעולות אישיות מרחוק. בתקופת הקורונה עלה השימוש בשירות באופן משמעותי, ורק הדגיש את הצורך בו.
מדובר במערכת שפועלת בהתאם לאמות מידה בינלאומיות, המאפשרות לאזרח להירשם באופן מאובטח ובהתאם לקריטריונים מחמירים בהיבטי פרטיות והגנה בסייבר ולקבל שירות מרחוק. האזור האישי הממשלתי מרכז את כל המידע הרלוונטי עבור האזרחים והעסקים מכלל משרדי הממשלה בהתאמה אישית, ומאפשר להתעדכן בקלות בהודעות ובעדכונים הנשלחים ממשרדי הממשלה, בהיסטוריית התשלומים האישית, בסטטוס הטיפול בבקשות מול הממשלה ובטפסים שהוגשו על ידם. ניתן גם לבצע פעולות מול משרדי הממשלה בלחיצת כפתור.
ברשות התקשוב הממשלתי ציינו, כי "במסגרת הגנת הסייבר על האזור האישי מבוצעות בדיקות חסינות וסקרי אבטחת מידע בכל עת, באופן שוטף, במטרה להגן על התשתיות הקריטיות שבאחריותנו וכדי למזער את סיכוני אבטחת המידע. כלל השירותים מוגנים ברמת אבטחה גבוהה ביותר, ובכלל זה עמידה בכל תקני אבטחת המידע של מכון התקינה הבינלאומית".
עוד מציינים ברשות התקשוב, כי "יחידת ממשל זמין ברשות התקשוב הממשלתי מבצעת אבטחת מידע והגנה בסייבר במספר רבדים ומעגלי אבטחה, וזאת כדי להבטיח שהמערכות מוגנות היטב מפני חדירה, גישה לא מורשית או פגיעה, וכדי להבטיח את הגנת המידע של התושבים ויכולתם לצרוך שירותים דיגיטליים ממשלתיים מאובטחים".
