חברת Dell Technologies מציעה טיפים לקניות בטוחות בחודש הקניות
חודש הקניות הגדול בפתח ואיתו גם האיומים על מתקפות סייבר וניסיונות הונאה. לכן, חשוב מאוד לוודא שהשיטוט באתרים ובאפליקציה ייעשה בצורה בטוחה. מומחה מטעם החברה מסביר
ישראל דיפנס
| 09/11/2021
אבי שוורץ. צילום: יח״צ, באדיבות Dell Technologies
לאחרונה אנו שומעים הרבה על פריצות לאתרים וגניבה של מידע אישי, כגון ת.ז., טלפון וכתובות. המידע הזה לאחר מכן נמכר ב- Dark Web ולעיתים פשוט מפורסם באינטרנט. אנו שואלים את עצמנו, את מי זה מעניין, האם זה משנה שלמישהו יש את האימייל שלי? אז זהו, שזו בדיוק נקודת הפריצה הראשונה.
אחת מהמתקפות השכיחות הינן מתקפות פישינג (דיוג בעברית). המתקפה הזו מתרחשת במסות, כלומר משלוח של אלפי ומאות אלפי אימיילים בניסיון לדוג את הקורבן הבא ומטרתה לגנוב מידע רגיש על ידי התחזות למישהו אחר. אז אם להאקרים יש עלינו מספר פרטים אישיים, למשל: אימייל, כתובת וכדומה, ונניח שהם גם משערים באילו אתרים אנו נוהגים לבקר או לבצע רכישות באינטרנט, די בקלות ניתן להתחזות לאתר הקניות ולשלוח אלינו בקשה דחופה לעדכון הסיסמא, או לקבל מייל או SMS מאתר המתחזה לאתר הקניות המבקש ממני להסדיר תשלום עבור חבילה שהזמנתי. ברור שבמידה והקלדנו את פרטי כרטיס האשראי או עדכנו את הסיסמא, אלה מיד מגיעים להאקרים שעושים בהם שימוש.
אז איך מתגוננים?
-לא מוסרים פרטי אשראי במסרון. זה לא מתנהל בצורה כזו באף אתר קניות שאתם מבקרים בו.
-היכנסו לאתרי קניות מוכרים ותוודאו שכתובת האתר תקינה ולא מעוותת, לעיתים אתרים מתחזים משנים אות בכתובת כך שאם לא נבדוק פשוט לא נשים לב.
-אל תכנסו מקישורים לא בטוחים או חשודים שאתם לא מכירים את זהותם.
-היכנסו לדף הבית מהדפדן בחיפוש האתר הספציפי.
-במעבר לתשלום, שימו לב שכתובת האתר משתנה ובתחילת הכתובת רשום לא רק HTTP אלא HTTPS. כלומר secure ומוצפן.
-נכון שזה מעיק ומציק אבל ההמלצה היא לא לאפשר שמירה של פרטי כרטיס האשראי באופן אוטומטי כי מי יודע מתי יפרצו לאתר.
-לחסום אימייל עם כותרת דחופה כגון 'עדכון דחוף- אתה חייב לעדכן את הסיסמא שלך או שתחסם' וכדומה. חשוב מאוד לבדוק את המקור של האימייל הזה. מאוד יכול להיות שאותם האקרים, שמחזיקים בכתובת האי מייל שלכם ובהרגלי הצריכה שלכם, מנסים לשים ידם על הסיסמא שלכם. לחיצה על קישור מצורף תוביל אתכם לדף דומה לאתר האמיתי, אך יכול להיות שמדובר בדף מתחזה. וכך חשפתם את הסיסמא שלכם לאתר ולפורצים. ואם בעבר גם שמרתם את פרטי האשראי שלכם באותו אתר, הרי שהפורצים יכולים לחגוג על חשבונכם ואולי אף לאתר את פרטי האשראי.
-דרך נוספת לאישור עסקאות או עדכון סיסמאות היא באמצעות אימות רב-גורמי. זה אומר שלא מספיק שאתם נכנסים לאתר ומעדכנים סיסמא, האתר ישלח לכם קוד לנייד לוודא שאכן אתם זה אתם ולא מתחזים. מומלץ לאמץ את דרך הפעולה הזו שבהחלט יכולה למנוע גניבת מידע.
-רגולציית GDPR הנה רגולציית הגנת הפרטיות האירופית וחלה גם בישראל על גופים כל עוד הם פעילים באיחוד או מעבדים מידע בנוגע לאנשים הנמצאים בתחומי האיחוד. הסעיף הרלוונטי נוגע למחיקת מידע אישי שנמסר ונקרא 'הזכות להישכח'. כל גוף, המחזיק במידע אישי ואשר נדרש לעמוד בתקינה זו, מחוייב למחוק מידע של הנתונים האישיים הקשורים אלינו. אז חשוב לדעת ולהכיר, אנו יכולים לדרוש מחברות למחוק את המידע שיש להם אודותינו. יחד עם זאת, בעקבות מקרי פריצה אחרונים התגלה שגם כאשר משתמשים ביקשו למחוק מידע, הוא לא נמחק אלא הוסתר בלבד ועדיין היה קיים בשרתי החברה. הפריצה הובילה לחשיפתו. לכן, המלצה ברורה היא לנסות ככל הניתן להמעיט במסירת מידע אישי. והכלל הברור, כל מה שכתבתם באינטרנט (אם זה מידע אישי או תגובה לכתבה וכדומה), כנראה יישאר ברחבי הרשת לתמיד ויהיה קשה מאוד למחוק אותו.
המלחמה בין האקרים והארגונים היא יום יומית והשאלה היא לא האם יתקפו אותי אלא מתי. ארגונים חייבים שתהיה להם "כספת" מאובטחת מנותקת מהרשת בה המידע נשמר. כך, גם ביום שאחרי, החברה תוכל לשרוד.
מאת אבי שוורץ, מנהל מכירות לתחום ה- Data Protection ב- Dell Technologies
חודש הקניות הגדול בפתח ואיתו גם האיומים על מתקפות סייבר וניסיונות הונאה. לכן, חשוב מאוד לוודא שהשיטוט באתרים ובאפליקציה ייעשה בצורה בטוחה. מומחה מטעם החברה מסביר
אבי שוורץ. צילום: יח״צ, באדיבות Dell Technologies
לאחרונה אנו שומעים הרבה על פריצות לאתרים וגניבה של מידע אישי, כגון ת.ז., טלפון וכתובות. המידע הזה לאחר מכן נמכר ב- Dark Web ולעיתים פשוט מפורסם באינטרנט. אנו שואלים את עצמנו, את מי זה מעניין, האם זה משנה שלמישהו יש את האימייל שלי? אז זהו, שזו בדיוק נקודת הפריצה הראשונה.
אחת מהמתקפות השכיחות הינן מתקפות פישינג (דיוג בעברית). המתקפה הזו מתרחשת במסות, כלומר משלוח של אלפי ומאות אלפי אימיילים בניסיון לדוג את הקורבן הבא ומטרתה לגנוב מידע רגיש על ידי התחזות למישהו אחר. אז אם להאקרים יש עלינו מספר פרטים אישיים, למשל: אימייל, כתובת וכדומה, ונניח שהם גם משערים באילו אתרים אנו נוהגים לבקר או לבצע רכישות באינטרנט, די בקלות ניתן להתחזות לאתר הקניות ולשלוח אלינו בקשה דחופה לעדכון הסיסמא, או לקבל מייל או SMS מאתר המתחזה לאתר הקניות המבקש ממני להסדיר תשלום עבור חבילה שהזמנתי. ברור שבמידה והקלדנו את פרטי כרטיס האשראי או עדכנו את הסיסמא, אלה מיד מגיעים להאקרים שעושים בהם שימוש.
אז איך מתגוננים?
-לא מוסרים פרטי אשראי במסרון. זה לא מתנהל בצורה כזו באף אתר קניות שאתם מבקרים בו.
-היכנסו לאתרי קניות מוכרים ותוודאו שכתובת האתר תקינה ולא מעוותת, לעיתים אתרים מתחזים משנים אות בכתובת כך שאם לא נבדוק פשוט לא נשים לב.
-אל תכנסו מקישורים לא בטוחים או חשודים שאתם לא מכירים את זהותם.
-היכנסו לדף הבית מהדפדן בחיפוש האתר הספציפי.
-במעבר לתשלום, שימו לב שכתובת האתר משתנה ובתחילת הכתובת רשום לא רק HTTP אלא HTTPS. כלומר secure ומוצפן.
-נכון שזה מעיק ומציק אבל ההמלצה היא לא לאפשר שמירה של פרטי כרטיס האשראי באופן אוטומטי כי מי יודע מתי יפרצו לאתר.
-לחסום אימייל עם כותרת דחופה כגון 'עדכון דחוף- אתה חייב לעדכן את הסיסמא שלך או שתחסם' וכדומה. חשוב מאוד לבדוק את המקור של האימייל הזה. מאוד יכול להיות שאותם האקרים, שמחזיקים בכתובת האי מייל שלכם ובהרגלי הצריכה שלכם, מנסים לשים ידם על הסיסמא שלכם. לחיצה על קישור מצורף תוביל אתכם לדף דומה לאתר האמיתי, אך יכול להיות שמדובר בדף מתחזה. וכך חשפתם את הסיסמא שלכם לאתר ולפורצים. ואם בעבר גם שמרתם את פרטי האשראי שלכם באותו אתר, הרי שהפורצים יכולים לחגוג על חשבונכם ואולי אף לאתר את פרטי האשראי.
-דרך נוספת לאישור עסקאות או עדכון סיסמאות היא באמצעות אימות רב-גורמי. זה אומר שלא מספיק שאתם נכנסים לאתר ומעדכנים סיסמא, האתר ישלח לכם קוד לנייד לוודא שאכן אתם זה אתם ולא מתחזים. מומלץ לאמץ את דרך הפעולה הזו שבהחלט יכולה למנוע גניבת מידע.
-רגולציית GDPR הנה רגולציית הגנת הפרטיות האירופית וחלה גם בישראל על גופים כל עוד הם פעילים באיחוד או מעבדים מידע בנוגע לאנשים הנמצאים בתחומי האיחוד. הסעיף הרלוונטי נוגע למחיקת מידע אישי שנמסר ונקרא 'הזכות להישכח'. כל גוף, המחזיק במידע אישי ואשר נדרש לעמוד בתקינה זו, מחוייב למחוק מידע של הנתונים האישיים הקשורים אלינו. אז חשוב לדעת ולהכיר, אנו יכולים לדרוש מחברות למחוק את המידע שיש להם אודותינו. יחד עם זאת, בעקבות מקרי פריצה אחרונים התגלה שגם כאשר משתמשים ביקשו למחוק מידע, הוא לא נמחק אלא הוסתר בלבד ועדיין היה קיים בשרתי החברה. הפריצה הובילה לחשיפתו. לכן, המלצה ברורה היא לנסות ככל הניתן להמעיט במסירת מידע אישי. והכלל הברור, כל מה שכתבתם באינטרנט (אם זה מידע אישי או תגובה לכתבה וכדומה), כנראה יישאר ברחבי הרשת לתמיד ויהיה קשה מאוד למחוק אותו.
המלחמה בין האקרים והארגונים היא יום יומית והשאלה היא לא האם יתקפו אותי אלא מתי. ארגונים חייבים שתהיה להם "כספת" מאובטחת מנותקת מהרשת בה המידע נשמר. כך, גם ביום שאחרי, החברה תוכל לשרוד.
מאת אבי שוורץ, מנהל מכירות לתחום ה- Data Protection ב- Dell Technologies
