פרופילים ובוטים בטוויטר ובפייסבוק מאיימים על הפרטיות שלכם

סיפור על פרופיל פיקטיבי שהתגלה לאחרונה יכול ללמד את כולנו על הסכנות בהנדסה חברתית שנועדה לחלץ מאיתנו מידע רגיש
כיתוב: WEB

אני חושב שמשתמשים פיקטיביים או 'מתחזים' זו קללה שמלווה את הרשת מראשיתה. עוד בימים העליזים של ה-mIRC, היה נפוץ של שימוש בפרופיל תחת שם בדוי למטרות נלוזות שונות: מהתקפה על משתמש אחר ועד הטרדות מיניות. לא מעט פדופילים ושרצים אחרים שנמצאים ברשת מנסים להסתתר תחת מעטה האנונימיות כדי להזיק ולהציק. בדרך כלל אנחנו משתדלים לחנך את הילדים הקטנים שלנו. אבל הסכנה היא לא רק מצד פדופילים ולא רק לילדים. מקרה שהתרחש לא מזמן בטוויטר יכול ללמד אותנו איך אפשר להשתמש בשיטות של הנדסה חברתית על מנת לקחת מכל משתמש מידע באמצעות שימוש בפרופילים מזויפים ולתת להם מראית עין של אותנטיות. במאמר הזה אני אספר על המקרה שהתרחש בטוויטר ואיך בדיוק אפשר לעלות על המשתמש המזויף (מלבד שימוש בהגיון בריא). לא מדובר פה במאמר טכני מורכב (או טכני בכלל) אבל לפי דעתי זה מספיק חשוב.

משתמשים פיקטיביים האלו מתחלקים לשני סוגים עיקריים: בוטים פרסומיים שמטרתם לגרום לכם לאשר את הצעת החברות שלהם ואז לשתף על הקיר שלכם/בקבוצות תוכן פרסומי. הסוג השני הוא בעייתי יותר – הוא משתמש שעומד מאחוריו אדם אמיתי ומטרתו להזיק לכם או להשיג עליכם מידע פרטי. הבוטים האלו נפוצים בעיקר ברשת פייסבוק ומשתמשים מתחזים שעומדים מאחוריהם אנשים אמיתיים המתחזים למשתמשים אחרים מהסיבות שלהם. משתמש פיקטיבי כזה גילתה הצייצנית nettaleshem@. לא מזמן היא הבחינה במשתמשת בשם adifogel שהיתה פעילה בטוויטר. המשתמשת הזו לא היתה תמימה אלא היתה משתמשת מתחזה. למרות שאם הסתכלנו על הפרופיל שלה היינו רואים שהוא עשיר בתמונות רבות. באופן עקרוני, שימוש בתמונות נוטה להנמיך את חומות ההגנה שלו. הרי תמונות הן דבר שכביכול מראה יותר מכל על אדם אמיתי שעומד מאחורי החשבון.

חשבון טוויטר מזויף
חשבון טוויטר מזויף

אבל נטע חשדה. מה שעורר את החשד הראשוני הוא התנהגות מוזרה של המשתמש. כאן צריך שכל בריא. למשל, אם מדובר בבחורה צעירה ונאה שפונה אלי, אני צריך להיות אידיוט בשביל להניח שהיא משתוקקת לדבר עם גבר נשוי בן 40 עם ארבעה ילדים שגר בפתח תקווה. במקרה של המשתמש הפיקטיבי הזה, מדובר היתה בהתנהגות מוזרה. נטע אמרה שמדובר היה ב״בחורה מאוד צעירה במראה שלה וגם משחקת תפקיד של לוליטה. ואת העובדה שיש לה רק תמונות. רק שלוש. משהו שם הרגיש כמו מלכודת שהונחה. ואז היא פתחה סהרה והתחילה להעלות תמונות של כמה רוצים אותה ומה היו עושים לה. אף בחורה, במיוחד צעירה, לא היתה מפרסמת דברים כאלה.״

כמובן נשאלת השאלה במה זה מזיק. הרי מדובר בפרופיל שלא ביקש שום דבר, לא פרסם ציוצים מסחריים. ופה לב המאמר הזה – משתמשים פיקטיביים מקבלים את כוחם בעצם הפעילות הממושכת שלהם. אם אתם עוקבים אחר מישהו והוא נמצא בפיד שלכם מספיק זמן, חומות החשד יקטנו. אם יש משתמש שבתחילה אישרתם אותו והוא מגיב לכם ׳בקטנה׳. ייתכן שמהר מאוד תשכחו שהוא עורר חשד וייתכן שכשהוא יבקש פרט מידע כלשהו, תתנו לו אותו. נטע עצמה הסבירה לי ש:
״הסיכוי שבחורה, בעיקר צעירה, תיצור חברות עם "בחורה" בגילה שהיא מתירנית ושובבה ו"עושה מה בראש שלה" גבוה משתתחבר לגבר עם יותר מדי זמן פנוי. יכול להיות שגם בה יש צד שובב, והיא גם קצת רוצה להיות כמו הבחורה המשוחררת הזאת, שנדמה שיש לה גם המון חברות כמוה (כולן פיקטיביות). ככה עם הזמן היא תרגיש בנוח, גם אם לא להעלות לפיד, לשלוח תמונות חושפניות בדיאם, בשביל הצחוקים. חברה, לא?״.

כלומר מדובר בוקטור התקפה של ׳הנדסה חברתית׳. במקרה זה פרופיל פיקטיבי שנועד ליצור אמון ועם הזמן לבקש (ולקבל) תמונות שאולי השולחת לא היתה שולחת אם היא היתה יודעת באמת מי עומד מאחורי הפרופיל. זו הסיבה שכדאי לבדוק היטב אחרי מי עוקבים בטוויטר, או את מי מצרפים כ׳חבר׳ פייסבוק ועם מי מקיימים אינטראקציה כלשהי. זה לא אומר שצריכים להיות פרנואידים, אבל כן צריך לבחון מעט ואם יש משהו שמעורר חשד אפשר לבדוק. איך בודקים? מאוד קל – לוקחים את תמונת הפרופיל ומכניסים ל-Google images. בואו ונדגים עם התמונה שלי:

במקרה הזה – אם אני לא מוצא תוצאה, אז זה מעולה. סביר להניח שהתמונה אותנטית. גוגל כל כך השתפרו, שהם מצליחים לנחש גם תמונות חלקיות. אז גזירה של התמונה לעתים לא תסייע.

זה בדיוק מה שנטע עשתה במקרה של הפרופיל המזויף שהיא גילתה. במקרה הזה היא הגיע לאלבום באתר פורנו-רך שהכיל את כל התמונות של הפרופיל. זה אומר כמובן שמי שיצר את הפרופיל המזויף לקח את כל התמונות משם. היא דיווחה על כך בטוויטר והתוקף סגר בבהילות את הפרופיל, או לפחות חלק מהפרופילים שלו (הנה פרופיל אחד שנותר פתוח).

אז למה אני מפרסם? מודעות. הרבה אנשים לאו דווקא מודעים לסכנות הפרופילים המזויפים לאנשים בוגרים. אנחנו רגילים להזהיר את הילדים בנוגע לפדופילים, אבל גם כדאי שנזהר בעצמנו. במיוחד אם אנו חולקים מידע רגיש ברשת. נכון, יש אנשים שפותחים פרופיל פיקטיבי לצרכים לגיטימיים ולא תמיד צריכים להיות פרנואידים, אבל כדאי לשים לב.

פוסטים נוספים שכדאי לקרוא

תמונה של הבית הלבן עם מחשוב ענן וטקסט: FEDRAMP
פתרונות ומאמרים על פיתוח אינטרנט

FedRAMP & FIPS מבוא למתחילים

פרק מיוחד, לצד הקלטה של פרק של עושים תוכנה על אחת התקינות החשובות ביותר עבור חברות שסביר להניח שלא הכרתם

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד