קיבלתם מייל מספוטיפיי? ייתכן שאתם בסכנה
מערך הסייבר הלאומי מזהיר מפני הונאה של שירות הסטרימינג המוזיקלי הפופולרי • על פי ההודעה, מדובר ב"הונאה מתוחכמת" שמשלבת אתר מזויף וחיבור חיצוני לאפליקציה כדי "לעקוץ את המשתמשים" • וגם: למה זה מסוכן ומה ההונאה עושה?
בעוד המדינה נערכת לחגיגות יום העצמאות, נוכלי הרשת לא נחים.אחרי גל של הודעות פישינג המתחזות לרשתות השיווק הגדולות, מערך הסייבר הלאומי מוציא היום (שני) אזהרה דחופה לגבי "עוקץ ספוטיפיי" מתוחכם במיוחד. הפעם, הנוכלים לא מנסים רק לגנוב לכם את הסיסמה - הם רוצים שתתנו להם את "המפתח" הרשמי לחשבון שלכם.
השיטה מתחילה בהודעת דוא"ל שנראית תמימה לחלוטין: חשבונית תשלום עבור מינוי הספוטיפיי שלכם. המייל כולל דרישת תשלום וקישור מקוצר שאמור להוביל אתכם לפתרון הבעיה. כדי לעקוף את מסנני הספאם של גוגל ומיקרוסופט, התוקפים משתמשים בפלטפורמות לגיטימיות ליצירת חשבוניות, מה שגורם למייל להיראות רשמי ואמין לחלוטין.
ברגע שתלחצו על הקישור, תועברו לאתר מתחזה שמדמה את ממשק ההתחברות של ספוטיפיי. אך כאן מגיע הטוויסט הטכנולוגי: בניגוד להונאות פשוטות שבהן אתם מזינים סיסמה והיא נשלחת לתוקף, כאן אתם מתבקשים לאשר גישה לאפליקציה חיצונית באמצעות פרוטוקול OAuth.
אישור הגישה הזה הוא למעשה "חתימה" על הרשאה שמאפשרת לאפליקציה זדונית לשלוט בחלקים מהחשבון שלכם מרחוק. התוקף לא צריך לדעת את הסיסמה שלכם ואפילו לא צריך שתעברו אימות דו-שלבי (MFA) – ברגע שאישרתם את האפליקציה, נתתם להם יד חופשית. זהו סוג של "הונאת הרשאות" שנחשבת לקשה יותר לזיהוי עבור משתמשים מן השורה.
מה עושים אם כבר לחצתם?
מערך הסייבר הלאומי מדגיש כי חלק מהקישורים כבר הוסרו, אך הקמפיין עדיין רץ. אם נפלתם למלכודת, אלו הצעדים שעליכם לבצע מיד:
ניהול אפליקציות:היכנסו להגדרות החשבון באתר ספוטיפיי, עברו ל-Manage Apps והסירו כל אפליקציה שאינכם מכירים.
ניתוק גורף:השתמשו באופציית Sign out everywhere כדי לנתק כל מכשיר שמחובר לחשבון שלכם.
החלפת סיסמה:למרות שהסיסמה היא לא מרכז העוקץ, מומלץ להחליף אותה ליתר ביטחון.
טיפ לזיהוי מהיר:תמיד בדקו את כתובת השולח. מיילים רשמיים מגיעים אך ורק מכתובות המסתיימות ב-spotify.com. כל כתובת אחרת, גם אם היא נראית דומה, היא דגל אדום בוהק.
מה זה בעצם OAuth?
OAuth הוא בעצם "מפתח חכם" זמני. במקום לתת לאפליקציה חיצונית את המפתח הראשי שלכם (הסיסמה), המערכת מייצרת עבורה כרטיס מגנטי שמאפשר לה לבצע פעולות מוגדרות מראש - למשל, רק לקרוא את רשימת אנשי הקשר או רק לערוך פלייליסטים. זהו הפרוטוקול שמאפשר לכם ללחוץ על כפתורים כמו "התחבר באמצעות גוגל" או "התחבר עם פייסבוק" בלי לחשוף את הסיסמה האישית שלכם לאתרים זרים.
בניגוד לפישינג רגיל שמנסה לגנוב את הסיסמה, הנוכלים מנסים לגרום לכם להנפיק להם מפתח. הם שולחים אתכם לעמוד התחברות שנראה (או אפילו באמת) רשמי, ושם קופצת בקשה תמימה לאשר לאפליקציה כלשהי גישה לחשבון.
ברגע שלחצתם על "אישור" (Allow), המערכת (למשל ספוטיפיי) מייצרת עבור התוקף Token - קוד דיגיטלי שמאפשר לו להיכנס לחשבון שלכם מרחוק, מבלי שהוא יצטרך לדעת את הסיסמה שלכם ומבלי שתקבלו התראה על "התחברות ממכשיר חדש".
הסכנה הגדולה היא ששיטה זו עוקפת אימות דו-שלבי (MFA). מכיוון שאתם אלו שאישרתם את הגישה באופן רשמי מול האתר, המערכת לא תבקש קוד ב-SMS או אישור בנייד. בנוסף, בהרבה מקרים גם אם תחליפו את הסיסמה שלכם, ה"מפתח" שבידי התוקף ימשיך לעבוד. הדרך היחידה לעצור את זה היא להיכנס להגדרות החשבון ולבטל ידנית את ההרשאה לאותה אפליקציה זדונית.
כלל הברזל:כשקופץ חלון שמבקש מכם "אישור גישה" (Allow Access), עצרו. בדקו מי האפליקציה שמבקשת את זה. אם זו לא אפליקציה שהורדתם והתקנתם בעצמכם באופן יזום - לחצו על Deny (ביטול) מיד.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו