סמארטפון? זה מסוכן
למרות העובדה שכמעט כל ישראלי שני מחזיק בטלפון חכם, המודעות לנושא עדיין לא חלחלה. לימור קסם, מומחית להונאות סייבר מ-RSA, מסבירה איך מתמודדים עם התופעה
הגנה לישראל
| 19/05/2011
לימור קסם (צילום: יח"צ)
כמעט כל ישראלי שני מחזיק כיום בסמארטפון ויודע למקסם את הפוטנציאל שלו עם אינספור אפליקציות שהוא מוריד, אבל רק מעטים מודעים לסיכונים הגלומים בשימוש במכשיר זה כצינור ישיר לעולם הפתוח של הרשת. גם המעטים שיודעים, לרוב אינם מיישמים פתרונות אבטחה לסמארטפונים בבחינת "לי זה לא יקרה".
לבקיאים בעולם הפשע המקוון ברור כי ככל ששיעור השימוש בסמארטפונים עולה, כך עולה פופולריות פיתוחן של רושעות ספציפיות (תוכנות זדוניות) למערכות ההפעלה הסלולאריות. הן מפותחות על ידי נוכלי רשת המנסים להשיג מידע וכסף באמצעות גישה מרחוק לסמארטפון.
כאשר דנים בבעיות אבטחת מידע הקשורות לפלטפורמה סלולארית, חשוב לזכור כי הסמארטפון מאפשר חדירה אליו מהרשת במספר דרכים. הן באמצעות גלישה באינטרנט, דרכה ניתן להגיע לאתרים מפוקפקים (ישירות או בגלישה לקישור שנתקבל בהודעה כתובה), שימוש ברשתות פתוחות (WiFi) להן ניתן "להאזין" מבחוץ או הורדה של אפליקציות שמקורן יכול להיות זדוני.
גלישה מסוכנת
על אף שגלישה בנייד הפכה לפעולה יומיומית תכופה יותר מגלישה במחשב, מחקרים מוכיחים כי תודעת המשתמש בכל הנוגע לאבטחת הגישה לאינטרנט מהנייד, עדיין לא חלחלה. אחוז גדול מהמשתמשים אינו מודע לכך כי גלישה בסמארטפון דינה כגלישה במחשב וגם שם קיימים איומים ורושעות מקוונות היכולים לסכן את המכשיר. למשל, הורדה של קוד זדוני למערכת יאפשר לתוקף לבצע פעולות מסוימות מרחוק, לגרום למכשיר לחייג או לשלוח מסרון למספר בתשלום – כסף שיגיע כמובן לכיסו של התוקף.
גלישה ב-WiFi לדוגמא, מאוד פופולארית בקרב בעלי הסמארטפון בשל החיסכון שהיא מאפשרת בצריכת חבילת הגלישה החודשית. עם זאת, רשתות פתוחות מאפשרות האזנה למידע הזורם בהן. על כן, לפני העברה של מידע אישי בעת קנייה באינטרנט או גישה לחשבון הבנק, חשוב לכבות את הרשת האלחוטית הפתוחה ולגלוש דרך ספק הסלולר ברשת המאובטחת.
אפליקציות
בכל הנוגע לאבטחה והורדת אפליקציות, רבים אינם מבינים מדוע נדרשת הגנה לסמארטפון אם ממילא מורידים רק אפליקציות שנבדקו מראש. ובכן, בחנויות האפליקציות השונות ברשת, מסתתרות אפליקציות מתחזות רבות מכפי שהייתם חושבים. מפתחי אפליקציות אלה צוברים כסף על כל הורדה, גם אם הגולש הבין בשלב מסוים שלא זו האפליקציה המקורית בה חפץ.
אפליקציות מתחזות ינסו בין היתר לדמות את האפליקציה של הבנק שלכם ולכן אסור להתפתות ולהוריד אפליקציה בנקאית ממקור שאינו מאושר על ידי הבנק המקורי. אלא חשוב להגיע לאפליקציה הרשמית דרך אתר הבנק עצמו.
יש אפליקציות זדוניות הפועלות להעברת מידע פרטי, כולל שמות משתמש וסיסמאות לידי נוכלים העושים בו שימוש או מוכרים אותו לגורם אחר. הגרועות מכולן הן אפליקציות המסוגלות להעביר את הודעות הטקסט שהמשתמש מקבל לצד שלישי. אלו קיימות כיום רק במכשירים מבוססי אנדרואיד, אך עדיין ברור כי הקידמה הביאה עמה את נוכלי הרשת היישר אל תוך הכיס שלנו, תרתי משמע.
עוד בנושא אפליקציות, פעולה פופולרית בקרב רבים מבעלי הסמארטפונים היא פריצת המכשירים לשם שימוש ברשתות שונות או כדי לחסוך במחיר האפליקציות. רצוי לדעת כי פעולה זו פותחת את הדלת לצרות בלתי צפויות. מעבר לעובדה שמכשירים פרוצים לא מעדכנים גרסה בזמן ולכן לא מתעדכנים באבטחה, פריצת המכשיר מאפשרת הורדה של מגוון אפליקציות ממקורות שונים וגם כאלו שלא נבדקו על ידי החברות המחזיקות בחנויות המוסדרות ואלו יכולות להיות זדוניות. הסוג הנפוץ ביותר של קודים זדוניים לסמארטפון הוא סוס טרויאני קטן שיורד לטלפון ושולח הודעות למספרים בתשלום – כך צובר המפעיל שלו כסף על חשבונם של משתמשים שאינם מודעים כלל לקיומו.
רוצים להיות חכמים עם סמארטפון?
ראשית, החלו בהתנהלות מודעת יותר עם מכשירכם. הקצו לו סיסמת נעילה על מנת להגן על המידע, החשבונות והתמונות האישיות שהוא מכיל. בעת גלישה באינטרנט הימנעו מאתרים שלא הייתם גולשים אליהם ממחשב אישי או בעבודה והיו מודעים לעובדה שסנכרון הסמארטפון מול מחשב במשרד יכול לחשוף את הרשת כולה לסכנות אבטחה.
בידקו כל אפליקציה לפני שאתם מורידים אותה, לימדו את סוגי ההרשאות לאפליקציות השונות וכיצד כדאי להגבילן. שמרו על המכשיר שלכם מפני אובדן או גניבה ואפשרו מחיקה מרחוק של כל הנתונים במקרה של נסיונות מרובים לפתוח את המכשיר. זכרו כי 96 אחוזים מאלו המוצאים סמארטפון אבוד ינסו לראות מה הוא מכיל לפני שיחליטו להשיבו לבעליו - ורק חצי מהם יחזירו אותו בסופו של דבר.
הכותבת היא מומחית להונאות סייבר ב-RSA חטיבת אבטחת המידע של חברת EMC
כמעט כל ישראלי שני מחזיק כיום בסמארטפון ויודע למקסם את הפוטנציאל שלו עם אינספור אפליקציות שהוא מוריד, אבל רק מעטים מודעים לסיכונים הגלומים בשימוש במכשיר זה כצינור ישיר לעולם הפתוח של הרשת. גם המעטים שיודעים, לרוב אינם מיישמים פתרונות אבטחה לסמארטפונים בבחינת "לי זה לא יקרה".
לבקיאים בעולם הפשע המקוון ברור כי ככל ששיעור השימוש בסמארטפונים עולה, כך עולה פופולריות פיתוחן של רושעות ספציפיות (תוכנות זדוניות) למערכות ההפעלה הסלולאריות. הן מפותחות על ידי נוכלי רשת המנסים להשיג מידע וכסף באמצעות גישה מרחוק לסמארטפון.
כאשר דנים בבעיות אבטחת מידע הקשורות לפלטפורמה סלולארית, חשוב לזכור כי הסמארטפון מאפשר חדירה אליו מהרשת במספר דרכים. הן באמצעות גלישה באינטרנט, דרכה ניתן להגיע לאתרים מפוקפקים (ישירות או בגלישה לקישור שנתקבל בהודעה כתובה), שימוש ברשתות פתוחות (WiFi) להן ניתן "להאזין" מבחוץ או הורדה של אפליקציות שמקורן יכול להיות זדוני.
גלישה מסוכנת
על אף שגלישה בנייד הפכה לפעולה יומיומית תכופה יותר מגלישה במחשב, מחקרים מוכיחים כי תודעת המשתמש בכל הנוגע לאבטחת הגישה לאינטרנט מהנייד, עדיין לא חלחלה. אחוז גדול מהמשתמשים אינו מודע לכך כי גלישה בסמארטפון דינה כגלישה במחשב וגם שם קיימים איומים ורושעות מקוונות היכולים לסכן את המכשיר. למשל, הורדה של קוד זדוני למערכת יאפשר לתוקף לבצע פעולות מסוימות מרחוק, לגרום למכשיר לחייג או לשלוח מסרון למספר בתשלום – כסף שיגיע כמובן לכיסו של התוקף.
גלישה ב-WiFi לדוגמא, מאוד פופולארית בקרב בעלי הסמארטפון בשל החיסכון שהיא מאפשרת בצריכת חבילת הגלישה החודשית. עם זאת, רשתות פתוחות מאפשרות האזנה למידע הזורם בהן. על כן, לפני העברה של מידע אישי בעת קנייה באינטרנט או גישה לחשבון הבנק, חשוב לכבות את הרשת האלחוטית הפתוחה ולגלוש דרך ספק הסלולר ברשת המאובטחת.
אפליקציות
בכל הנוגע לאבטחה והורדת אפליקציות, רבים אינם מבינים מדוע נדרשת הגנה לסמארטפון אם ממילא מורידים רק אפליקציות שנבדקו מראש. ובכן, בחנויות האפליקציות השונות ברשת, מסתתרות אפליקציות מתחזות רבות מכפי שהייתם חושבים. מפתחי אפליקציות אלה צוברים כסף על כל הורדה, גם אם הגולש הבין בשלב מסוים שלא זו האפליקציה המקורית בה חפץ.
אפליקציות מתחזות ינסו בין היתר לדמות את האפליקציה של הבנק שלכם ולכן אסור להתפתות ולהוריד אפליקציה בנקאית ממקור שאינו מאושר על ידי הבנק המקורי. אלא חשוב להגיע לאפליקציה הרשמית דרך אתר הבנק עצמו.
יש אפליקציות זדוניות הפועלות להעברת מידע פרטי, כולל שמות משתמש וסיסמאות לידי נוכלים העושים בו שימוש או מוכרים אותו לגורם אחר. הגרועות מכולן הן אפליקציות המסוגלות להעביר את הודעות הטקסט שהמשתמש מקבל לצד שלישי. אלו קיימות כיום רק במכשירים מבוססי אנדרואיד, אך עדיין ברור כי הקידמה הביאה עמה את נוכלי הרשת היישר אל תוך הכיס שלנו, תרתי משמע.
עוד בנושא אפליקציות, פעולה פופולרית בקרב רבים מבעלי הסמארטפונים היא פריצת המכשירים לשם שימוש ברשתות שונות או כדי לחסוך במחיר האפליקציות. רצוי לדעת כי פעולה זו פותחת את הדלת לצרות בלתי צפויות. מעבר לעובדה שמכשירים פרוצים לא מעדכנים גרסה בזמן ולכן לא מתעדכנים באבטחה, פריצת המכשיר מאפשרת הורדה של מגוון אפליקציות ממקורות שונים וגם כאלו שלא נבדקו על ידי החברות המחזיקות בחנויות המוסדרות ואלו יכולות להיות זדוניות. הסוג הנפוץ ביותר של קודים זדוניים לסמארטפון הוא סוס טרויאני קטן שיורד לטלפון ושולח הודעות למספרים בתשלום – כך צובר המפעיל שלו כסף על חשבונם של משתמשים שאינם מודעים כלל לקיומו.
רוצים להיות חכמים עם סמארטפון?
ראשית, החלו בהתנהלות מודעת יותר עם מכשירכם. הקצו לו סיסמת נעילה על מנת להגן על המידע, החשבונות והתמונות האישיות שהוא מכיל. בעת גלישה באינטרנט הימנעו מאתרים שלא הייתם גולשים אליהם ממחשב אישי או בעבודה והיו מודעים לעובדה שסנכרון הסמארטפון מול מחשב במשרד יכול לחשוף את הרשת כולה לסכנות אבטחה.
בידקו כל אפליקציה לפני שאתם מורידים אותה, לימדו את סוגי ההרשאות לאפליקציות השונות וכיצד כדאי להגבילן. שמרו על המכשיר שלכם מפני אובדן או גניבה ואפשרו מחיקה מרחוק של כל הנתונים במקרה של נסיונות מרובים לפתוח את המכשיר. זכרו כי 96 אחוזים מאלו המוצאים סמארטפון אבוד ינסו לראות מה הוא מכיל לפני שיחליטו להשיבו לבעליו - ורק חצי מהם יחזירו אותו בסופו של דבר.
הכותבת היא מומחית להונאות סייבר ב-RSA חטיבת אבטחת המידע של חברת EMC
