אחת מעשר האפליקציות החינמיות הפופולריות ביותר בחנות האפליקציות של אפל היא אפליקציית סנאפצ'ט. ידעתם כי אפשר להשתלט על חשבון של משתמש אחר בקלות רבה מדי? בחברת אבטחת המידע ESET ערכו ניסוי על מנת לבחון את הנושא וכמובן להציג את הדרכים האפשריות למנוע השתלטות שכזו על החשבון ואיך לחזק את האבטחה.
קהל היעד של אפליקציית סנאפצ׳ט – מורכב ברובו מצעירים בני 18-24 (למרות שייתכן שרבים ממשתמשי האפליקציה הם אפילו צעירים יותר). רבים חושבים על דור ה-Z כמומחי טכנולוגיה מכיוון שהם הדור הראשון שגדל לצד הטכנולוגיה החל משנותיהם המוקדמות.
עם זאת, יש כאלה שיאמרו שהם מעגלים פינות בכל הנוגע לאבטחה – לא מגדירים אימות דו-שלבי וחולקים סיסמאות עם חברים. לכן, החלטנו לבדוק את רמת האבטחה של האפליקציה כדי לראות האם הכניסה לחשבון של אדם אחר תוכל להיעשות בקלות.
״הצצה מעבר לכתף״ או ״גניבה מעבר לכתף״, היא טכניקה באמצעותה מישהו מסתכל מעבר לכתף שלכם כדי לגנוב מידע רגיש כמו סיסמאות, קודים אישיים או קודי אישור. השיטה הפשוטה והאפקטיבית הזאת היא עדיין אחת הבעיות הגדולות בחשבונות המדיה החברתית וחשבונות אחרים, אך השאלה היא – האם אפשר להשתמש בה כדי לפרוץ לחשבון הסנאפצ׳ט שלכם? אז ככה:
אז איך זה עובד?
את הניסוי ערך ג'ייק מור, מומחה אבטחה ב-ESET:
לי אין חשבון סנאפצ׳ט, אך לחלק מחבריי דווקא כן. הייתי צריך חשבון שאוכל לבצע עליו כמה ניסויים וכמובן, אני אוהב לבקש את האישור של עמיתיי לפני שאני עושה דברים כאלה. אותה חברה, שנקרא לה ״אלה״, התעניינה מאוד בהשערה שלי, ולכן כששאלתי אותה אם אוכל לנסות ולפרוץ לחשבון הסנאפצ׳ט שלה היא נענתה בשמחה (הכול לשם מודעות הסייבר) וביקשה רק שלא אפרסם כלום מהחשבון שלה אם אכן אצליח להיכנס.
לאחר שהצעתי לה לשלם על ארוחת הצהריים שלה ומכיוון שהיא אשת שיחה מצוינת, הלכנו יחד עם כמה חברים לארוחת צוהריים בחוץ. ישבתי לצד אלה, ושנינו התעסקנו בטלפונים על אף שלקחנו חלק בשיחה. לאחרונה התקנתי את סנאפצ׳ט גם בטלפון שלי, אך עוד לא התחברתי או הגדרתי חשבון. פתחתי את האפליקציה בטלפון שלי וראיתי את מסך הכניסה הבא. במסך זה יש את הקישור האהוב על האקרים – ״שכחת את הסיסמה?״
שכחת את הסיסמה?
בחלק גדול מהמקרים, זה יהיה הכיוון הראשון אליו יפנה אדם שמנסה לפרוץ חשבון, כדי לבחון את האבטחה ודרכי כניסה אפשריות. לחצתי על ״שכחת את הסיסמה?״ והאפליקציה ביקשה ממני לבחור כיצד אני רוצה לאפס את הסיסמה שלי. האפשרויות היו ״בטלפון או במייל״. בחרתי לאפס בעזרת הטלפון, ולאחר מכן האפליקציה ביקשה את מספר הטלפון שלי.
מה מספר הטלפון שלך?
בזמן שאלה עדיין מתעסקת בטלפון שלה ליד השולחן, המשכתי להקליד את מספר הטלפון שלה וחיכיתי בקוצר רוח לרגע המתאים לגנוב את קוד האישור מעבר לכתף שלה. בזמן שהיא הסתכלה בשיחה אחרת בטלפון שלה, קוד האישור הופיע כהודעה קופצת בחלק העליון של מסך האייפון שלה, והצלחתי לקרוא בזריזות את הקוד בן שש הספרות ולזכור אותו.
הייתי בטוח שבשלב הזה היא כבר תעשה אחד ועוד אחד, אך היא פשוט התעלמה מההודעה והמשיכה בשיחה בה הייתה. למעשה, כשאמרתי לה לאחר מכן מה עשיתי, היא אמרה שהיא אפילו לא שמה לב להודעה מסנאפצ׳ט מכיוון שהיא ״מקבלת כל כך הרבה התראות ומאבדת ריכוז״.
כתבתי את קוד האישור בטלפון שלי ומיד לאחר מכן התבקשתי להוסיף סיסמה חדשה: JakeIsAwesome.1 נראה כמו בחירה מצוינת, בעיקר מכיוון שהיא תאלץ לכתוב את זה כדי לשחזר את החשבון שלה לאחר מכן. בשלב הזה, הפריצה לחשבון הייתה קלה כמו פריצה לחשבון וואטסאפ, אך לסנאפצ׳ט יש שכבת הגנה נוספת שעליי לעבור כדי להגיע לשליטה מלאה בחשבון שלה.
למרות שאותה שכבת הגנה לא ביקשה סיסמה (אולי כדי לאפשר יצירת חשבון ללא כתובת מייל ושם משתמש), אותה שכבת הגנה הייתה בסך הכל שליחת קוד אישור נוסף לאותו מספר טלפון באמצעות הודעת SMS. לא הייתי מוכן להפתעה הזאת, אך עדיין הצלחתי לראות את ההודעה שהגיעה למסך ההתראות של אלה בזמן שהיא עדיין הייתה בשיחה הקודמת. באמצעות הקוד הזה, הצלחתי להיכנס ולקבל גישה מלאה, והיא אפילו נחסמה מהטלפון שלה במהלך התהליך.
הבטחתי לה שלא אפרסם דבר ולא אצור קשר עם חבריה, אך הרעיון שניסיתי להוכיח אכן הוכח. הצלחתי לפרוץ לחשבון רק כי ידעתי את מספר הטלפון שלה והייתי במרחק הצצה מהטלפון שלה. משתמשי סנאפצ׳ט צריכים לדעת שהחשבונות שלהם יהיו בסכנה אם אחד מחבריהם ירצה לפרוץ אליו, והם אפילו יוכלו להחזיק בחשבון ככופר.
אם ניקח את זה צעד אחד קדימה, אני מאמין שניתן לבצע את המתקפה הזאת גם מרחוק, אם מהנדס חברתי מוכשר יתקשר לקורבן וישכנע אותו או אותה למסור את קודי האישור במהלך השיחה. אנחנו רואים עלייה מתמדת במתקפות מסוג זה, ואנשים צריכים לנקוט במשנה זהירות.
אם האפשרות היחידה לאמת את החשבון הייתה דרך המייל, היה כמעט בלתי-אפשרי להצליח בניסוי הזה. אם זה מה שהיה מוגדר, הייתי צריך לגרום לאלה להיכנס להודעת המייל שנשלחה אליה וגם לקישור שיהיה בתוך ההודעה, ואני מאמין שהיא לא הייתה עושה אף אחד מהם. מנגנון שחזור הסיסמה של סנאפצ׳ט – שימוש בקוד שנשלח דרך שירות הודעות לא-מוצפן שמציג את תוכן ההודעות על גבי מסך ההתראות של הטלפון – פותח וקטור התקפה שקל מאוד לנצל אותו.
כיצד תוכלו לשחזר את חשבון הסנאפצ׳ט שלכם?
למרבה הצער, במרבית המקרים לא קל לשחזר חשבון סנאפצ׳ט שנגנב. הכול תלוי בשינויים שהפורץ ביצע בחשבון. אם הפורץ שינה את הסיסמה בלבד, תוכלו לשחזר את החשבון אם תעקבו אחרי הצעדים שאותם ביצעתי כדי לפרוץ לחשבון.
עם זאת, אם הם שינו את מספר הטלפון, את כתובת המייל והוסיפו אימות דו-שלבי, כמעט ולא יישארו אפשרויות לשחזור החשבון. כמו ביתר שירותי המדיה החברתית, קשה מאוד להגיע לקשר איתן כדי לקבל עזרה ולשחזר את החשבון באמצעותם. אם אתם חושבים שחשבון הסנאפצ׳ט שלכם נפרץ, יש להם כמה עצות שימושיות להתמודדות.
כיצד תוכלו לאבטח את חשבון הסנאפצ׳ט שלכם?
• חוץ מסיסמה חזקה וייחודית (ומומלץ להגדיר אחת כזאת לכל השירותים המקוונים שאתם משתמשים בהם), וודאו שהפעלתם את
האימות הדו-שלבי בהגדרות של סנאפצ׳ט (וגם בכל אפליקציה אחרת שמאפשרת את זה). בסנאפצ׳ט, גשו להגדרות וחפשו
את האפשרות להגדרת אימות דו-שלבי. למרות שגם אימות באמצעות הודעת SMS הוא טוב, עדיף להשתמש באפליקציית
אימות כמו Microsoft Authenticator או Google Authenticator.
• הדרך העיקרית למניעת מתקפות ״הצצה מעבר לכתף״ היא להסתיר את המסך שלכם מאנשים זרים בזמן שאתם מזינים
פרטים רגישים באפליקציה או באתר אינטרנט, במיוחד במקומות ציבוריים.
• מומלץ להסתיר את התצוגה המקדימה להתראות, כך שאף תוקף לא יוכל לראות אותם כשהטלפון נעול
• ודאו שאתם מנטרים באופן פעיל את הודעות ה-SMS שאתם מקבלים בזמן שאתם משתמשים בטלפון או בטאבלט שלכם ליד
אנשים – זה בדיוק מה שהיה מונע את הצלחת המתקפה שלי על אלה.