שבוע הגנת הסייבר: מערך הסייבר הלאומי פרסם לציבור את קמפיין "קחו דקה ל..."
מאת:
מערכת Telecom News, 21.10.20, 16:15
מערך הסייבר הלאומי מעודד קריאה, למעשה, של פחות מדקה, של 5 טיפים לכל נושא בתחום אבטחת המידע: הגנת דוא"ל, רענון הגיבויים, הגנה על המידע בזמן עבודה מהבית, ושמירה על חשבון הווטסאפ, וגם 8 טיפים ללמידה על סכנות ברשת - לזיהוי הודעות דיוג (פישינג), והמלצות בסיסיות להגנה על החשבון ברשתות החברתיות והגנה על חשבונות אישיים.
בעקבות משבר הקורונה, שהביא עימו גידול בשימוש באמצעים דיגיטליים והמעבר לעבודה מרחוק, התעצמה גם החשיפה של הציבור הרחב למתקפות סייבר. במסגרת שבוע הגנת הסייבר, שיצוין בישראל בשבוע הבא, 25 עד 29 באוקטובר 2020, יציע מערך הסייבר הלאומי, בשיתוף כ-120 חברות, משרדי ממשלה, ורשויות מקומיות, מגוון פעילויות מקוונות, שמטרתן להניע את הציבור הרחב ליישם צעדים פשוטים לחיזוק ההגנה על המידע האישי ולצמצם בכך את החשיפה למתקפות סייבר.
במרכז המבצעי של מערך הסייבר הלאומי, אליו ניתן להגיע בחיוג חירום חינם 119, התקבלו בשנה האחרונה (ספטמבר 2019 עד ספטמבר 2020) כ-10,000 דיווחים על אירועי סייבר, שרבים מהם הגיעו מאזרחים, שדיווחו על פריצה לרשתות החברתיות, לנתב ולמצלמות הביתיות, לחשבונות הדוא"ל הפרטיים, על הודעות סחיטה ועוד.
כדי להגביר את ההגנה של כל אחד, יצא המערך בשבוע הבא בקמפיין נרחב, שקורא לאזרחים "לקחת דקה" כדי לחזק את ההגנה על המידע האישי שלהם. במסגרת זו יוצעו מדריכים וטיפים קלים ליישום, בנושאים שונים.
להלן כבר כעת טיפים קלים ליישום:
קחו דקה להגן על הדוא"ל:
1.
בחרו ספק מוכר - בחרו ספק שירות דואר אלקטרוני מוכר המספק יכולות אבטחה כגון אימות דו שלבי, אמצעי לסינון דואר זבל, התרעות במקרה של גישה לא מורשית וכו
'.
2.
היו חשדניים - אם קיבלתם הודעה המכילה תוכן חשוד או משולח לא מוכר, אין ללחוץ על קישורים או לפתוח צרופות. חשוב לבחון: האם הנכם מצפים לקבל הודעה זו? מי השולח
?
3.
צמצמו את השימוש ברשתות ציבוריות - דוגמת רשת
WiFi בבית קפה, בעת גישה לדואר אלקטרוני. יש להעדיף שימוש בחיבור ישיר, דוגמת גלישה דרך ספק הסלולר.
4.
הימנעו מכניסה לחשבון הדואר האלקטרוני ממחשבים ציבוריים - כגון באינטרנט-קפה, ספריות ציבוריות וכו'. אם בכל זאת נאלצתם לעשות זאת, הקפידו להתנתק מהשירות בסיום השימוש ולמחוק את היסטוריית הדפדפן
.
5.
הפרידו תיבות דוא"ל בין דוא"ל אישי לדו"אל המשמש לצרכי עבודה
.
קחו דקה לרענן גיבויים:
גיבויים הם הדרך שלכם לשחזר את המידע במידת הצורך:
1.
ודאו כי כלל המכשירים ברשותכם מגובים -
מחשב נייח ונייד, סמארטפון וטאבלט
.
2.
בצעו גיבויים במספר ערוצים במקביל- התקן או כונן חיצוני
/DOK /ענן וכו'.
3.
במקרה של גיבוי לענן - ודאו כי שירות הגיבוי מספק הצפנה של הנתונים ואימות דו-שלבי. בסיום ביצוע גיבוי לענן חשוב לזכור להתנתק מהשירות
.
4.
גיבוי אוטומטי- רוב פתרונות הגיבוי מאפשרים להגדיר לוח זמנים לגיבוי אוטומטי, על כן ודאו כי הגיבויים במכשירכם מבוצעים באופן סדיר
.
5.
גיבוי לפני מסירה לתיקון- לפני מסירת מכשירכם לתיקון, בצעו גיבוי מקיף למכשיר לפני המסירה
.
קחו דקה ללמוד על סכנות ברשת:
כיצד תוכלו לזהות במהירות הודעת דיוג?
"חשבונך יחסם בתוך 24 שעות" - מי מאיתנו לא יגיב במהירות להודעה שכזו
?
הנדסה חברתית מנצלת את העובדה, שבני אדם עשויים ליפול למניפולציות פסיכולוגיות, לחוסר ריכוז ואף לטעויות. תקיפה באמצעות ניצול החולשה האנושית מאפשרת לתוקף מעקף של חלק ממערכות ההגנה או כולן, בעלות קטנה ובסיכון נמוך.
ביכולתכם לזהות ולעצור את תקיפת הפישינג
, כדי להגן על עצמכם, על הנכסים, החשבונות ועל מקום העבודה שלכם. פישינג עלול להגיע כקישור לאתר מתחזה, כהודעת דוא"ל, כהודעת טקסט, בווטסאפ ובצורות אחרות
.
דוגמאות להונאות דיוג:
1. קבלת דואר אלקטרוני מזויף הנראה כאילו נשלח מצוות התמיכה, שמבקש להיכנס לקישור ולהזין בו את שם המשתמש והסיסמה
.
2. קבלת דואר אלקטרוני מזויף הנראה כאילו נשלח מחברה לגיטימית למשל
Paypal , אמזון, חברת אשראי, בנק וכו', שמבקש להיכנס לקישור ולהזין בו את שם המשתמש והסיסמה. לעיתים המשתמש אף יתבקש להזין פרטים נוספים, לכאורה, לצורך אימות נוסף ו"בטוח", כדוגמת פרטי אשראי, מספר טלפון, כתובת מגורים, שאלות אבטחה ועוד
.
3. פרסומת באתר אינטרנט המציגה הצעה אטרקטיבית (לרוב מפוקפקת) המובילה לאתר זדוני או מתחזה
.
4. הודעת אזהרת אבטחה המתריעה לכאורה על פריצת אבטחה ומציעה לנתקף להחליף סיסמה בקישור שנשלח
.
5. הודעת טקסט "סמישינג" - שליחת הודעת פישינג באמצעות
SMS או
WhatsApp עם קישור לאתר או להורדת אפליקציה
.
8 טיפים לזיהוי הודעות דיוג:
1. בדקו את כתובת הדואר האלקטרוני של השולח. אם אתם רגילים לקבל הודעות מארגון מסוים, והפעם קיבלתם את ההודעה מגורם אישי, כמו
@gmail.com ייתכן שמדובר בתוקף פוטנציאלי
.
2. שימו לב לדואר אלקטרוני הכולל ביטויים לא שגרתיים - שגיאות כתיב וניסוח שאינו קולח. ברוב מקומות העבודה בודקים בקפידה דוא"ל המיועד לתפוצה רחבה לפני שהם שולחים אותו
.
3. אם לארגון מאובטח (כגון בנק) קיים צורך ליצור מכם קשר, הוא אמור לדעת את השם והפרטים שלכם. בנוסף, בדקו האם ציפיתם לקבל דואר אלקטרוני מגורם זה
.
4. היו חשדנים כלפי דואר אלקטרוני הכולל קריאות לביצוע פעולות מידיות או ניסיונות ליצירת מצב של דחיפות - זו טכניקה נפוצה הנועדה לגרום לאנשים לפעול תחת לחץ כדי לגרום להם לבצע טעות
.
5. יש להפעיל שיקול דעת לגבי צרופות וקישורים שהגיעו מגורם לא-מוכר, או אף מגורם מוכר אך באופן בלתי צפוי - אם ההודעה מנסה לשכנע את הנמען להסיר מנגנון אבטחה מסוים, אין לבצע זאת ללא היוועצות בגורם רלוונטי
.
6. אם נשלח קישור המציע לכם לבצע פעולה כלשהי באתר המוכר לכם, גשו לאתר ולא דרך הקישור באופן ישיר - דרך כתובת ה
URL-
7. היו חשדנים כלפי קבצים מצורפים - פתחו רק את הצרופות ממקור או מכתובת הדואר אלקטרוני של שולח, שציפיתם לו. במידה ואינכם בטוחים, צרו קשר עם השולח באמצעי תקשורת אחר כגון טלפון, מסרון, הודעת וואטסאפ וכד'
.
8. הודעות המכילות הבטחות או הצהרות בלתי סבירות הן בד"כ כאלו - לא סבירות ומזויפות (כגון הבטחה לזכייה במוצר נחשק)
.
קחו דקה להגן על המידע בזמן עבודה מהבית:
הצעדים שכדאי לבצע כדי לעבוד בצורה בטוחה מהבית:
1.
הפרדת תיבות דוא"ל- הפרידו בין הדוא"ל האישי לדוא"ל העבודה והפעילו אימות דו שלבי בכל חשבון המאפשר זאת
.
2.
אנטי וירוס וחומת אש - ודאו כי על מחשבכם מותקן לכל הפחות אנטי וירוס וחומת אש
.
3.
עדכוני תוכנה - הגדירו למחשב עדכוני תוכנה אוטומטיים
.
4.
השתמשו ברשת אלחוטית מאובטחת בלבד- כזו המאובטחת בסיסמה. בנוסף ודאו כי הנתב הביתי שלכם מאובטח.
5.
גיבויים - הקפידו על ביצוע גיבויים לכל המידע האגור במחשבכם. כך, שבמקרה של פריצה או השבתה של המחשב, ניתן יהיה לשחזר את המידע. מומלץ לבצע את הגיבוי במספר מקומות במקביל כמו התקן חיצוני נייד ובענן
.
קחו דקה לשמור על חשבון הווטסאפ שלכם:
כך תחזקו את ההגנה על הווטסאפ האישי ב-5 צעדים פשוטים לביצוע:
1.
אימות דו שלבי - צרו בחשבונכם אימות דו שלבי המורכב מקוד
PIN בן 6 ספרות כאמצעי בטיחות נוסף. היכנסו להגדרות
> חשבון
> אימות דו-שלבי
> הפעל
.
2.
הורדת קבצים - הגדירו אילו קבצים תרצו, שהאפליקציה תוריד למכשירכם באופן אוטומטי. כנסו להגדרות
> שימוש בנתונים ואחסון
> הורדת מדיה אוטומטית
.
3.
אל תמסרו את הקוד שלכם - זכרו, אף פעם אפליקציה לא תבקש את קוד האימות של מישהו אחר דרככם, משמע, גם אם בן דוד שלך מבקש ממך את קוד האימות "שלו", שהגיע אליך - זה חשוד ובוודאות מדובר בקוד האישי שלך
!
4.
התנתקות בעת סיום השימוש ב-- WhatsApp Web בצעו התנתקות ישירות מעמוד החשבון. ודאו מדיי פעם האם השארתם את החשבון
Whatsapp web פתוח
.
5.
הגדרות פרטיות - הגדירו על פי העדפותיכם מי יוכל לראות את תמונת הפרופיל שלכם/מתי נראיתם לאחרונה/כל מידע אודותיכם - כולם, אנשי קשר בלבד או אף אחד. עשו זאת דרך כניסה להגדרות
> פרטיות
> מי יכול לראות את הפרטים האישיים שלי
.
קחו רגע להגן על החשבון ברשתות החברתיות:
למי יש גישה לנתונים שלך? כאן תמצאו המלצות שמטרתן לצמצם במספר צעדים פשוטים ומהירים את סיכוני הסייבר ברשתות החברתיות.
רשתות חברתיות ותוכנות להעברת מסרים מאפשרות לנו ביום יום לתקשר, לפרסם, לעדכן ולשתף את הציבור בנעשה ועוד. לצד היתרונות טמונות גם סכנות. שכן, רשתות חברתיות משמשות לרוב את העובדים באופן פרטי, והשימוש בהן לעיתים אינו מוגדר במדיניות או במערכות ההגנה הארגוניות, הן יכולות לשמש כווקטור כניסה של נוזקות לרשת הארגונית, או כאמצעי להנעת עובדים לביצוע פעולות בדרך של הנדסה חברתית
.
המלצות בסיסיות:
- הגדירו אימות דו שלבי (2FA) בכל חשבון המאפשר זאת.
- אל תמסרו קוד אימות שהגיע אליכם - מדובר בקוד שלכם.
- רצוי להימנע משימוש באותה הסיסמה לשירותים וחשבונות שונים ברשת.
- זכרו תמיד שסיסמאותיכם אישיות ואין לשתף אותן עם אף גורם.
- ניתן להשתמש בתוכנה או אפליקציה לניהול סיסמאות, שתסייע לכם ותשמור לכם על הסיסמאות במקום אחד.
- בדקו את ההרשאות, שנתתם לאפליקציה, והגדירו אפשרויות שחזור וגיבוי.
- בדקו לעיתים קרובות את רשימת החברים שלכם. שמרו על "חברויות" רק עם אנשים, שאתם מכירים וסומכים עליהם.
- זכרו שכל ה"חברים" שלכם יכולים לראות כל מידע על פעילותיכם, חייכם האישיים או חייכם המקצועיים, שאתם מפרסמים ומשתפים.
- בדקו, שמשפחותיכם וחבריכם נוקטים באמצעי זהירות דומים בחשבונותיהם. הגדרות הפרטיות והשיתוף שלהם, יכולות לחשוף את נתוניכם האישיים.
- השתמשו בהגדרות דפדפן מאובטחות במידת האפשר, ופקחו על היסטוריית הפעילות באפליקציה שלכם כדי להבטיח שאתם מזהים את כל נקודות הגישה מהן חשבונכם מחובר.
- זכרו, שגם בעת הגבלת שיתוף המידע מצפייה ציבורית לצפייה פרטית, לשירות עדיין יש גישה לנתונים שלכם ועלול לשתף אותם עם צדדים שלישיים.
- העדיפו להשתמש בסיסמה ארוכה המורכבת מביטוי/משפט, שלבו בה אותיות גדולות וקטנות, מספרים וסימנים מיוחדים .!#$@
- ברגע שאתם לוחצים על מודעה המופיעה בפוסט ממקור לא ידוע, זה עלול להוביל אתכם לאתר מתחזה. שימו לב על מה אתם לוחצים ובדקו תמיד אם אותו פוסט הוא אכן ממקור מוכר.
קחו דקה להזדהות חזקה - כך תגנו על החשבונות האישיים:
המכשיר נגנב? פרצו לחשבון? שימוש בהזדהות חזקה יכול למנוע גישה למכשירים ולמידע.
מהי הזדהות חזקה ולמה זה חשוב?
איך ניתן להקשות על פריצה לחשבונות האישיים? תהליך של אימות ב-2 שלבים או באמצעות 3 גורמים יהווה הזדהות חזקה. שימוש במספר אמצעים כמו סיסמה וטביעת אצבע יקשה על פריצה לחשבונות ויהוו מחסום נוסף.
בדיוק כמו שבכדי למשוך כסף מהבנק או לצאת מהארץ אנו נדרשים להזדהות בעזרת אמצעי זיהוי - כרטיס אשראי, דרכון - כך גם במרחב האינטרנט, שירותים מקוונים ואפליקציות רבות יבקשו מאתנו להזדהות כדי להשתמש בשירותיהם. תהליך ההזדהות הבסיסי מורכב לרוב משם משתמש וסיסמה - כיום קל יחסית לגורמים זדוניים לפרוץ מנגנון זה ולכן יעילותו בהגנה עליך ועל המידע שלך נמוכה
.
לעומתו, בתהליך הזדהות חזקה, ניתן להשתמש במספר מזהים אישיים שונים (
2 ויותר) כדי להוכיח את זהות המשתמש. בהקבלה, כדי למשוך כסף מכספומט המשתמש נדרש גם לכרטיס האשראי הפיזי (עליו מוטבע "שם המשתמש" - מספר תעודת הזהות) ובנוסף נדרש להקיש קוד סודי
.
ככל שהמידע עליו רוצים להגן רגיש יותר, כך חשוב להשתמש לפחות ב-2 מזהים אישיים, ובדגש על שימוש במזהים הנחשבים "חזקים" יותר מבחינה אבטחתית המוגנים יחסית יותר מפני פריצות ע"י האקרים. נכון, שימוש במספר מזהים לצורך הזדהות עלול לקחת עוד דקה מזמנך, אבל יכול לחסוך לך הרבה כאב ראש בהמשך.
בנוסף, ברוב האפליקציות יש צורך להגדיר ו"לבזבז" את הדקה הזו בהתחברות הראשונה ממכשיר חדש. אך בזכות דקה זו ניתן למנוע מצבים העלולים לעלות לכם ביוקר, כמו גניבת מידע, גניבת זהות, או אף גניבת כסף.
סוגי אמצעים לביצוע הזדהות חזקה
אילו אמצעים עומדים לרשותנו כדי לאמת את הזהות שלנו
?
- ידע- משהו שידוע לך כמו סיסמה, קוד, דפוס נעילת מסך.
- החזקה או בעלות - משהו שיש רק לך כמו תעודה חכמה המכילה שבב עם מידע אישי או מכשיר נייד המאפשר לקבל קוד חד פעמי ישירות אליו.
- תכונה פיזית - מאפיינים ביומטריים כמו טביעת אצבע, זיהוי פנים או זיהוי קולי.
אז מה כדאי לעשות?
להגדיר הזדהות חזקה - אימות בעזרת מספר אמצעים - בכל אחד מהאפליקציות והחשבונות שברשותך המאפשרים זאת
.
איך כדאי לבחור אמצעי זיהוי?
- הדירוג של האמצעים מהחלש לחזק הוא: סיסמה אישית > קוד ב-SMS > תעודה חכמה או אפליקציית אימות על גבי המכשיר הנייד< מזהה ביומטרי כמו טביעת אצבע, זיהוי פנים או זיהוי קולי.
- עדיף לבצע שילוב של אמצעים שונים זה מזה. למשל, אימות דו שלבי המוכר לכם הוא זיהוי ב-2 שלבים ע"י סיסמה בשלב ראשון וזיהוי נוסף בשלב שני. למשל, המזהה הראשון: שם משתמש וסיסמה אישית, המזהה השני: מזהה ביומטרי (טביעת אצבע) או אפליקציית אימות/הודעת טקסט או כרטיס/תעודה חכמה.
- שימוש ב-3 אמצעים מכונה לרוב "אימות רב-גורמי .(MFA) למשל, המזהה הראשון: שם משתמש וסיסמה אישית, המזהים השני והשלישי: אפליקציית אימות/הודעת טקסט + מזהה ביומטרי (טביעת אצבע/זיהוי פנים).
איך לבצע אימות דו שלבי בחשבונות?
ביצוע אימות דו שלבי בווטסאפ
ביצוע אימות דו שלבי ברשתות החברתיות