1. עמוד הבית
  2. מחשבים ואינטרנט
  3. אונליין

וואטסאפ חושפת את המשתמשים להתקפת פישינג מתוחכמת

אנחנו מפקידים בידיה מידע רגיש באופן קבוע, אך מסתבר כי אפליקציית ההודעות של פייסבוק לא יודעת לזהות אתרים מתחזים שמנסים לגנוב את המידע שלכם
Print רן בר-זיק, TheMarker , כ"ד חשון תשע"ח 13/11/2017 18:50

pixabay אפליקציית וואטסאפ. צילום: pixabay



מה היא התקפת פישינג? בגדול, מדובר בהתקפת התחזות שנועדה למשוך מהקורבנות פרטים אישיים, החל בסיסמאות ועד פרטי כרטיסי אשראי. בדרך כלל מדובר באתרים המתחזים לאתרים אחרים. אפשר לראות את התמונה הזו בתור דוגמה:

שימו לב שלמרות שהאתר נראה אחד לאחד כמו אמזון, הכתובת לא שייכת ל-amazon.com, ומי שייכנס לאתר עלול להכניס את הסיסמה ושם המשתמש או את מספר כרטיס האשראי. תוקפים מפיצים את כתובת האתר המזויף במייל כקישור. אנשים תמימים לוחצים ומתפתים להכניס את פרטיהם.

ההתקפה הזו עדיין נפוצה, אבל כבר פחות. למה? כי משתמשים לומדים יותר ויותר להסתכל על כתובת האתר (הדומיין).

אבל הפורצים משתכללים. לפני כמה חודשים התגלה כי ניתן לנצל את שיטת שמות המתחם שהופיעו ביוניקוד על מנת לייצר שמות דומיינים כמעט זהים. הכוונה היא לשיטת קידוד שמאפשרת לנו ליצור שמות מתחם בעברית (כמו למשל איגוד-האינטרנט.org.il.) או בכל שפה אחרת.

מה הפורצים עשו?

השיטה הזו נקראת התקפת punycode. התוקפים איתרו אותיות שזהות לשפה האנגלית בשפות אחרות (כמו האות α בקירילית שדומה לאות a באנגלית), ואז הרכיבו מהאותיות האלו שמות דומיינים שונים, כמו αpple.com. הדפדפנים הציגו את הכתובת αpple.com למרות שהיא שונה לגמרי מ-apple.com וכך למעשה איפשרו פישינג.

אך לא אלמן ישראל. גוגל, יצרנית הדפדפן הפופולרי כרום, חסמה את הפרצה. אם תנסו להכנס ל-αpple.com, תגלו שהדפדפן מייד ממיר את הכתובת לכתובת "האמיתית". גם אם תעלו על הכתובת עם העכבר תגלו שה-Hover מציג את הכתובת האמיתית ולא את ייצוג היוניקוד.

כך בא לציון גואל, בערך. מסתבר שלא כל שירות הצליח לייצר הגנה נגד הבעיה הזו בצורה מספקת, כפי שראינו בשבת האחרונה ואתמול.

מי שנתן לי את ההתרעה הוא ישראל חתן, רכז המערכת של התוכנית "חי בלילה", שסיפר לי שבשבת האחרונה אזרחי ישראל הוצפו במבול של ווטסאפים בסגנון הבא:

"Have you heard this News ? British Airways is giving away 2 Free Tickets to everyone on it's anniversary, Get your Free Tickets : http://www.britisharways.com/tickets Enjoy your flight !".

הוא ביקש ממני לבדוק אם מדובר בהונאה. אבל איזה סוג של הונאה? כמובן שהכל נראה לגיטימי. כניסה פנימה הובילה לאתר של בריטיש אירוויז שהזמין אותנו להשתתף בהגרלה. כמו שדיווחה חברת האבטחה ESET ופורסם בחדשות 2, מדובר היה בעצם באתר פישינג שניסה לשכנע את הגולשים להתקין תוסף לכרום ולמסור את הפרטים שלהם ושל חבריהם למטרות נלוזות. אמנם נשמע די דומה לאתרי פישינג/ספאם נלוזים אחרים, אבל הפעם עוצמת ההתפשטות היתה גדולה מהרגיל. למה? הדומיין. שימו לב.

בפועל מדובר בהתקפה על בסיס יוניקוד: הכתובת היא לא https://www.britishairways.com, אלא כתובת יוניקוד שהיא בעצם: http://www.xn--britisharways-bbc.com/. ניתן לגלות זאת באמצעות אתר מיוחד שממיר כתובות יוניקוד לכתובות "אמיתיות" (אתם יכולים לנסות בעצמכם).

הכתובת, שזהה על פניו לכתובת של בריטיש איירוויז האמיתית, סייעה מאוד להתפשטות המתקפה הזו. כשאדם מן היישוב רואה כתובת לגיטימית, חומת ההגנה שלו תרד.

מדובר בפרצת אבטחה/פרטיות ממשית: וואטסאפ חושפת את המשתמשים שלה לסכנת פישינג כיוון שהיא לא ממירה את הכתובות שנשלחות בשירות שלה לכתובות "אמיתיות", ובכך חושפת את המשתמשים להתקפת פישינג. המשתמש הסביר לא יודע אם מדובר באתר britishairways.com או britisharways.com. ווטסאפ לא מציגה את הכתובת האמיתית אלא מותירים את הכתובת המזויפת בהודעה.

אם המשתמש לוחץ על הכתובת ועובר לכרום מעודכן מספיק, יש לו סיכוי לעלות על המתקפה, במידה והוא שם לב שה-URL השתנה בדפדפן הסלולרי שלו. אבל בפועל, אם דפדפן ברירת המחדל שלו הוא אנדרואיד מיושן או ספארי שלא עודכן, אין לו סיכוי לשים לב, וזו פרצת אבטחה משמעותית.

אז מה עושים כרגע? כמו בהרבה מקרים, עדיף לשים לב היטב לכל כתובת הנשלחת מהוואטסאפ ולהיות מודעים. דיווח נשלח לפייסבוק ב-12.11, אעדכן את תשובתם כשתתקבל.




הוסף תגובה

תגובות

אין לשלוח תגובה הכוללות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב.