כך אפשר לפרוץ בקלות ל-PayPal שלכם
מאת: מערכת Telecom News, 1.2.22, 16:53

חוקר ערך ניסוי על הסמארטפון של גורו של אבטחת מחשבים, והצליח במשימה בקלות. איך זה קורה ומה צריך לדעת כדי להתגונן מפני מתקפה פשוטה אך מאוד אפקטיבית.

גייק מור, חברת אבטחת המידע ESET: "באמצעות האמנות הפשוטה של 'הצצה מעבר לכתף' ניתן לפרוץ בקלות לחשבון הפייפאל שלכם, ואתם עלולים לאבד סכומי כסף משמעותיים.

מתקפות הנדסה חברתית הופכות לפופולריות יותר ויותר, וכנופיות עבריינים משתמשות בהן בקצב הולך וגדל. כדי להציג את הרעיון, לא בחרתי לתקוף אדם אקראי - רציתי לבחון את ההשערה שלי באופן מלא על אדם, שאמור לזהות מה מתרחש, במיוחד כשיש כסף בתמונה. לכן, בחרתי למקד את המתקפה בחבר (שכרגע נקרא לו דייב), שנמצא בתעשיית האבטחה במשך יותר מ-20 שנים. למעשה, דייב הוא גורו של אבטחת מחשבים, ומעט מאוד מתקפות או תרמיות מצליחות לחלוף מול עיניו מבלי שהוא יבחין בכך. מושלם.
 

מתחילים בניסוי

לפני זמן קצר, ארגנתי מפגש עם דייב ועוד כמה חברים, אותם ראיתי רק מספר פעמים במהלך השנה וחצי האחרונות. שאלתי את דייב אם הוא ירצה לשחק תפקיד מכריע בפריצה קטנה. בשם המודעות לאבטחת סייבר ושיפור היכולת למניעת תרמיות, הוא הסכים, שאני אבצע כל פעולה בחשבון שלו כל עוד אני אשלם על ארוחת הצהריים. אבל, הוא לא ציין באיזה חשבון בנק אני צריך להשתמש כדי לשלם!

בזמן שישבנו במסעדה, דייב הניח את הטלפון שלו על השולחן ודיבר עם חלק מאיתנו. אני הבאתי איתי את המחשב הנייד שלי, ובזמן שהוא דיבר פתחתי את האתר של פייפאל וניגשתי ישירות לחלק האהוב על כל האקר - דף ״שכחתי סיסמה״.

עמוד שכחתי סיסמה:
אני מכיר את כתובת המייל האישית של דייב ותיארתי לעצמי, שהוא משתמש בה גם עבור חשבון הפייפאל שלו. במתקפה אמיתית, ההאקר יצטרך לדעת את כתובת המייל של המטרה, אך כיום ניתן למצוא את כתובת המייל של מרבית האנשים באמצעות כמה חיפושים בודדים. גוגל, לינקדאין ואפילו אינסטגרם - כולם עשויים להראות את כתובת המייל שלכם, שהיא כל מה שנדרש כדי לבצע את המתקפה הזו על כל אחד ממשתמשי פייפאל.
 
בדיקת בטיחות זריזה:
לאחר מכן, פייפאל מבקשת לבצע ״בדיקת בטיחות קצרה״ באמצעות מגוון אפשרויות. במחקר שלי גיליתי, שחלק מהאפשרויות הן הודעת SMS, הודעת מייל, שיחת טלפון, אפליקציית אימות ואפילו הודעת וואטסאפ! לחלק מהאנשים אפילו יש אפשרות לבצע את בדיקת האבטחה באמצעות שאלות אבטחה, שאותן הגידרו, ככל הנראה, עם הפתיחה של החשבון לפני לא מעט שנים.

התשובות לשאלות האלה עשויות להיות קלות מאוד, ממש כמו במקרה של החשבון שלי. בכלל לא ידעתי שהן עדיין קיימות, ולא מצאתי את האפשרות לבטל את חלק מהאמצעים לבדיקת הבטיחות בשום מקום בהגדרות. אנו חוזרים לדייב ולאמצעי הבדיקה היחידי שהוצע לו - הודעת SMS, שבה אנו נתמקד עכשיו.

בזמן שדייב עוד דיבר עם חבריו לעבודה בחדר הפגישות, לחצתי על כפתור ״הבא״, ששלח קוד בן 6 ספרות לטלפון שלו באותו הרגע ממש.

תמונת הקשת הקוד:  
התכופפתי מעט לכיוון הטלפון של דייב ולחצתי פעמיים על המסך שלו כדי להדליק אותו -מבלי שישים לב. מכיוון שלא ביטל את האפשרות לתצוגה מקדימה של הודעות במסך הנעילה של הטלפון שלו, הצלחתי לראות את הקוד ללא בעיה ולהזין אותו בתוך שדה קוד האימות באתר. זה כל מה שהייתי צריך כדי להיכנס לחשבון שלו! פייפאל ביקשו ממני לבחור סיסמה חדשה לחשבון שלו, ואני שיניתי את הסיסמה לסיסמה, שמחולל הסיסמאות שלי יצר עבורי.

הנה אני, מביט במסך הראשי של חשבון הפייפאל של דייב ובכל הכרטיסים המקושרים לחשבון שלו. הרגשתי ממש כאילו פרצתי לבנק! הסתכלתי בכל האפשרויות וכרטיסי האשראי המחוברים. בקלות רבה, הייתי יכול לקשר חשבון בנק או כרטיס אשראי חדש לחשבון ואפילו לראות פרטים אישיים כמו כתובת הבית שלו. הייתי יכול לשנות את כתובת המייל של החשבון שלו, את כתובת הבית ואת השם, אך כדי לבדוק שהמתקפה אכן הצליחה לחצתי על ״העבר כסף״.

למרות שהייתה לי האפשרות להעביר סכום מקסימלי של 10,000 פאונד (והאמת שהתפתיתי וכתבתי את הסכום הזה), בחרתי לשלוח רק 10 פאונד אל חשבון הפייפאל שלי. זכרו שהוא אישר לי לעשות את זה ושהבטחתי לו להחזיר כל סכום כסף, שיועבר מהחשבון שלו!  
ברגע שלחצתי על ״העבר כסף כעת״, דייב קיבל הודעת מייל לטלפון שלו, שאישרה שהכסף הועבר מהחשבון שלו. כשראה את זה בשעון החכם שלו, הוא עצר במקום. בשלב הזה, אני כבר הייתי בבית. העברתי את הכסף ושאלתי אותו אם אוכל לקנות לו ארוחת צהרים. היה אפשר לראות על הפרצוף שלו שהוא אינו מרוצה.

אז, כדי לסכם, במצב הזה הייתי יכול לשלוח 10,000 פאונד לכל אחד מ-300 מיליון חשבונות הפייפאל הקיימים בעולם, רק בזכות זה, שראיתי את הקוד בטלפון של מישהו. זה לא נשמע לי הגיוני, ואני חושב שאנשים צריכים להיזהר מפני המתקפה הפשוטה הזאת. הגדר אותה צריך לעבור כדי לקבל שליטה על חשבון אחר היא פשוט נמוכה מדי, במיוחד בהשוואה לאלו של שירותי בנקאות מקוונים אחרים, אך ניתן ליצור נזק משמעותי עם השליטה הזאת.

אולי תחשבו שכל מה שדייב היה צריך לעשות זה לכבות את התצוגה המקדימה להתראות בטלפון שלו. אך, כפי שהראיתי במתקפת ״SnapHack״ שלי, עדיין אפשר לקרוא הודעות כאלו בזמן שהקורבנות משתמשים בטלפון שלהם כרגיל. למשל, בזמן התכתבות. במרבית המקרים הם לא מודעים לשיטת הפעולה, שבה התוקף נוקט, ופשוט מתעלמים מההתראות והאזהרות. כשביצעתי את אותו הניסוי על טלפון אנדרואיד, ראיתי שהתצוגה המקדימה להודעות מופעלת כברירת מחדל, והקוד עצמו אף הודגש כך שיכולתי לראות אותו בקלות רבה יותר.
 

אובדן טלפון

כל זה גרם לי לחשוב על טלפונים שנגנבו. מכיוון שמרבית הטלפונים כוללים הצפנה חזקה, בעבר חשבתי שטלפונים חכמים לא שווים הרבה בשוק השחור כל עוד לא ביצעו מתקפת הנדסה חברתית כדי להשיג את סיסמת האיפוס של אפל או גוגל.

אך עכשיו, אני חושב, שהטלפון של כל אחד מאיתנו נמצא בסכנה, אם התוקף יודע את כתובת המייל של האדם ממנו הוא גנב את הטלפון. הצצה חטופה מעבר לכתף או חיפוש מהיר באינטרנט יוכלו להשיג את המידע הזה במהירות רבה, ויחד עם המידע שאני גיליתי, ניתן ליצור נזק רב.
 

שאלות אבטחה

פייפאל עדיין מציעה את אפשרות שאלות האבטחה, ולא מצאתי דרך כיצד לבטל אותן, אלא רק לשנות את התשובות להן. בדף הגדרות האבטחה של פייפאל נכתב ״עבור הבטיחות שלכם, אנא בחרו 2 שאלות אבטחה. כך נוכל לאמת שאלו באמת אתם אם אי פעם יתעורר ספק״. אך במקרים רבים קל מאוד לעקוף את השאלות האלה, במיוחד בעולם ההנדסה החברתית.

אם נוסיף על כך את העובדה, שחלק גדול מהמידע, שנוגע לתשובות האלו, שותף על ידינו ברשתות חברתיות, זה נראה ממש מוזר, שהאפשרות הזאת כאמצעי לקבלת גישה לאפליקציית כספים.
 

אז, למה זה כל כך קל?

בנקים משקיעים מאמצים רבים כדי להקשות על האקרים לנצל את המערכות שלהם ומעדכנים את התוכנות שלהם מדי פעם בפעם ללא ידיעתנו כדי לשמור על אבטחת החשבונות שלנו. אך אם אנו משתמשים בפייפאל כאמצעי תשלום המשויך לשירותים שונים ומקושר באופן קבוע לכרטיסי האשראי ולחשבונות הבנק שלנו, האם זה לא הופך אותו לחוליה החלשה?

אני לא רוצה להטיל אשמה על פייפאל. במקום זאת, אני חושב, שישנן טכניקות מניעה רבות בהן תוכלו להשתמש כבר עכשיו כדי שאותו הסיפור לא יקרה לכם. זו לא אשמתה של פייפאל בשום צורה, אבל זו אכן דרך עקיפה נוספת, שבה פושעים ישתמשו כדי לפרוץ לחשבון ועלינו להיות מודעים אליה תמיד".
 

כיצד אפשר להגן על החשבון והכסף שלנו, טיפים מהמומחים של חברת אבטחת המידע ESET ישראל:

• אל תסתמכו על אימות רב-שלבי באמצעות SMS,
• לעולם אל תתעלמו מקוד אישור. אם אתם מקבלים קוד אישור, שלא ציפיתם, כנראה קורה משהו שאתם צריכים לחקור,
• אל תשאירו את הטלפון ללא השגחה לעולם,
• הסתירו תצוגה מקדימה של כל אפליקציות המסרים ושל התראות מאפליקציות אחרות,
• אם הטלפון שלכם אבד או נגנב, צרו קשר עם ספק שירותי הטלפון כדי לנעול את כרטיס ה-SIM מיידית. לאחר מכן השתמשו באפשרות ״אתר את המכשיר״ של אפל וגוגל כדי לאתר את המכשיר ולהכריז עליו כמכשיר שאבד,
• השתמשו בכתובת מייל נפרדת עבור פייפאל - כתובת שאחרים לא יוכלו לנחש,
• כבו את שאלות האבטחה או שנו את התשובות להם לסיסמאות אקראיות, שלא קשורות לשאלות שנשאלו, ואחסנו את התשובות האלה במנהל הסיסמאות שלכם.