בלאק פריידי: חג שמח להאקרים

מומחה אבטחת מידע מזהיר את הציבור הרחב ממתקפת ההאקרים שממתינים לכולנו במיוחד בתקופת מבצעי המכירות הבינלאומיים. קחו כמה טיפים.

שמעון כהן , כ"ח בחשון תש"פ

בלאק פריידיי
בלאק פריידיי
צילום: ISTOCK

ראו הוזהרתם. גלעם

טירוף המכירות של הבלאק פריידיי כבר החל במרבית המקומות ומרבית הרשתות. האם אנחנו ערוכים גם להתגונן מאיומי הסייבר הכרוכים בטירוף הזה?

על השאלה הזו משיב בראיון לערוץ 7 דוריה גלעם, ראש צוות תקיפה ומומחה לאבטחת מידע ב-2BSecure, חברת אבטחת המידע והסייבר של מטריקס.

אל מול איומי הסייבר נותן גלעם מספר טיפים לכל רוכש:

"כמעט כל אתר שבאים לרכוש ממנו מציע לשמור את פרטי האשראי אצלם לקניות הבאות. זה חוסך את ההקלדה הארוכה של פרטי כרטיס האשראי אבל זה לא בטוח עבורנו. המשמעות היא שאיפשהו הפרטים נשמרים וזה לא בטוח גם כשמדובר באתר בטוח מוכר וידוע. לא כדאי לשמור את כרטיס האשראי בתוך האתר".

האם כאשר לא מאשרים את שמירת הפרטים באתר אפשר להיות בטוחים שהם לא נשמרים במקום כלשהו בכל זאת? מדברים של גלעם עולה שהתשובה שלילית. החוק בכלל המדינות אוסר על אתרים לשמור פרטי לקוח והם מחויבים ליידע על שמירה כזו. "אם זה היה נשמר בלי אישור האתר היה יורד מהרשת".

ומה אם אנחנו מתעקשים לשמור את פרטי כרטיס האשראי? מסתבר שיש דרך למזער את הסכנה גם במקרה כזה והיא על ידי דפדפן כרום של גוגל. הדפדפן מציע לשמור את הפרטים אצלו ולא באתר המכירות, כך שההקלדה נחסכת אבל הסכנה מעט פחותה יותר.

עוד מציין גלעם: "יש אתרים שעובדים בפרוטוקול הצפנה ישן HTTP. היום רוב האתרים משתמשים באתר המעודכן HTTPS שהוא בטוח. כדי לדעת אם האתר שלנו הוא כזה או כזה, ברגע שבו מזינים את האתר בשורת הכתובת לצד כתובת האתר מופיע מנעול שאומר שהאתר מאובטח. אם לא מופיע מנעול בדרך כלל מופיעות המילים 'לא מאובטח' בעברית או באנגלית, והמשמעות היא שהפרוטוקול שהאתר עובד בו לא מאובטח וקל להאקר לפרוץ אליו. לא כדאי להזין פרטים אישיים ובטח שלא לבצע דרך אתר כזה קניות".

על תופעת האתרים המזויפים אומר גלעם כי לצד האתרים המוכרים קיימים מיליוני אתרים והרבה מאוד פרסומות המובילות לאתרים פחות מוכרים. "אחת ההמלצות שלי היא לא להיכנס לאתרים הללו, לא להתפתות להיכנס לאתרים קטנים ולא מוכרים. גם באתרים הגדולים לשים לב למוכרים, לוודא שלא מדובר במוכר מזויף ושהמוצר אמתי. אם מדובר במוצר עם 3-4 ביקורות זה מחשיד. עדיף 200 או 300 ביקורות. לוודא אמינות גם אם זה עולה לנו קצת יותר".

ולמען ההבהרה חשוב להדגיש כי גניבת הסכום שעלה המוצר שנרכש ולא סופק היא החלק הקל ביותר של ההפסד עבור מי שהשתמש באתר מזויף. ההפסד הגדול מגיע לאחר שלמעשה דרך הרכישה נפרצה הדרך עבור ההאקר שמעבר למסך להגיע אל חשבון הבנק שאותו הוא יכול לרוקן.

גלעם מציין כי היו מקרים בהם האקרים החליפו אות אחת בכתובת של אתר מוכר, וכך הלקוחות שילמו לגורם הלא נכון. עוד הוא ממליץ לראות במחירים נמוכים באופן קיצוני אלמנט מחשיד. גם בתקופות של מבצעים יש רף מחירים שלא ניתן לרדת ממנו.

"אחד הטיפים הוא שימוש בצד שלישי כמו הפיי-פל שמאבטח את הכסף ואת המוצר. אם מגיע מוצר שלא הזמנת ההתמודדות מול פיי-פל קלה יותר", אומר גלעם ומציין כי עבור חברות וגופים גדולים יותר מהאדם הפרטי "יש חברות שמציעות לפתוח חשבון צד שלישי, שבו רק לאחר שאושרה קבלת המוצר האמתי הכסף מגיע למוכר".