נמשך גל הודעות הסחיטה המינית במיילים של ישראלים
מאת:
מערכת Telecom News, 23.4.20, 11:30
"אנו יודעים את הסיסמה שלך" - ההאקרים מצרפים למייל הסחיטה את הסיסמאות האמיתיות של המותקפים ומאיימים. איך זה קורה, איך זה נראה? איך בודקים אם אכן הסיסמא דלפה ומה צריך לעשות?
בחברת אבטחת המידע
ESET התקבלו דיווחים על הודעות סחיטה מינית (בשפה המקצועית:
(Sextortion, שמצאו דרכן לתיבות מייל של ישראלים רבים. בפועל, מדובר בשיטת מצליח, שלמרבה הצער עובדת. המכשיר לא באמת נפרץ ואין לאף אחד סרטון המתעד אתכם
.
"יש לי את הסיסמה שלך" – הודעת סחיטה מינית:
"אבל אוי ואבוי הוא יודע את הסיסמה שלי!"
כאשר מותקף מקבל מייל ובו מנסים לסחוט אותו, זה עלול להיות מאוד מבהיל. אבל מה קורה כאשר בראש המייל הוא כבר רואה, שהתוקף צירף גם סיסמה אמיתית שלו בה הוא משתמש בחשבון אחד או יותר? זה עלול להיות מאוד מלחיץ.
איך זה קורה ומה זה :Credential Stuffing
פושעים מנצלים חולשות אבטחה במערכות ושירותים כדי להשיג גישה למאגרי נתונים כמו שמות משתמש וסיסמאות. מאגרי מידע גנובים אל, לרב נסחרים ב-
dark web ומגיעים לידיים נוספות.
זה לא אומר, שפרצו למותקף את החשבון, אלא, שפרטי ההתחברות שלו דלפו באחת מהדליפות הרבות המתרחשות בתדירות הולכת וגוברת בשנים האחרונות.
באמצעות המידע שהשיגו, תוקפים יכולים לעשות מספר דברים:
- ממש לנסות להיכנס עם הפרטים שהשיגו לשירותים אחרים, כמו שדווח בשבוע שעבר שקרה לכ-500,000 משתמשים בתוכנת זום לשיחות ועידה מרובות משתתפים. במידה והצליחו, השיגו גישה לתוכן נוסף והעלו את פוטנציאל הפגיעה.
- להשתמש בנתונים בשיטת מצליח, ולהפיץ הודעת איום בסחיטה מינית לכמה שיותר אנשים, כאשר הם משתמשים בסיסמה בגוף המייל כדי לזרוע חשש ואימה גדולים יותר אצל המותקף.
החברה מציעים מספר דרכים להתגוננות:
דרך ההתגוננות היא פשוטה ודורשת הקפדה בסיסית על אבטחת המידע והסיסמאות:
- ראשית יש להשתמש בסיסמאות שונות עבור שירותים שונים. במידה והסיסמה דלפה, לא יוכלו לעשות בה שימוש לטובת כניסה לשירותים נוספים.
- ניתן להשתמש בתוכנות לניהול סיסמאות המאפשרות לייצר סיסמאות ייחודיות ודורשות מהמשתמש לזכור רק סיסמה אחת בכניסה לתוכנת הניהול.
- באמצעות שימוש באימות דו-שלבי יש צורך לספק בנוסף לסיסמה גם קוד הנשלח באמצעות SMS. כך, גם אם לתוקף יש את שם המשתמש והסיסמה שלך, ללא הקוד, לא ניתן יהיה להיכנס לחשבון שלך.
- האתר haveibeenpwned.com מרכז רשימת דליפות מידע, ובו ניתן לבדוק האם פרטי ההתחברות שלכם לאתר מסוים דלפו. יש להזין את כתובת המייל בשדה החיפוש ואז תקבלו פירוט במידה ומידע שלכם דלף. במידה וכן, אין צורך להילחץ, מומלץ לשנות את הסיסמה באתרים שדלפו.
עדכון 23.8.20: לכתבה על גל סחיטה מינית חדש - כאן.