יום שישי, 9 בספטמבר 2022

היזהרו לנפשותיכם שלא תהיה לכם יותר גישה לבלוג ולחשבון המייל שלכם


כמו בהגדה, "ואפילו כולנו חכמים, כולנו נבונים, כולנו יודעים את התורה, מצווה עלינו" למנוע עוקץ השתלטות על חבלוגים שלנו ואין זו אגדה.

נפוץ ומומלץ להוסיף לחשבונות הבלוגים שלנו כתובת מייל חלופית כדי שנוכל לשחזר אותם במידה והחשבון ייפרץ או במקרה של שכיחת הסיסמה. אבל הרמאים עשויים לעקוץ אתכם דווקא דרך חשבון השיחזור ו... תשכחו מהבלוג שלכם. הם מתבססים על כך שפתאים אינטרנטיים תמימים אינם מתים אלא מתחלפים.

ומעשה שהיה שלשום כך היה. על פי רוב אני נכנס לחשבון השחזור שלי (שבו גם מתנהלת פעילות מייל רגילה שאינה קשורה לבלוג) דרך המחשב. אבל עקב נפילת רשת האינטרנט לשעות אחדות, פניתי להתחבר לחשבון זה דרך רשת האינטרנט של ספק הטלפון הנייד שלי. אבל להפתעתי הופיעה תיבה שעלי לעדכן את הסיסמה ובהמשך קישור להתחלת התהליך. בלחיצה על הקישור התקבלה תיבה שעלי להכניס שוב את שם המשתמש ובהמשך את הסיסמה החדשה.

ובכן, למזלו הרע של אלוהי העוקץ, נזכרתי שבמשך יותר מ- 15 שנה מאז שפתחתי את החשבון - אף פעם לא נתבקשתי לעדכן את הסיסמה. וגם בחשבונות שבהם מתבקשים לעידכון סיסמה תקופתי - נדרש לספק רק את הסיסמה הישנה ואת הסיסמה החדשה (פעמיים) וזהו, שום פרט נוסף אינו נדרש - לא שם משתמש (הרי כבר סיפקתם את זה בכניסה לחשבון), לא להקליד מספר טלפון (כי מספר הטלפון לאימות נוסף כבר מוגדר בחשבון שלכם אם רציתם בזאת). כמובן לא לספק מספר תעודת זהות, לא מספר חשבון בנק, לא כרטיס אשראי ולא נעליים. אוף, כולם יודעים את זה ובכל זאת יש הנופלים בפח.

אז זה היה חשוד בעיניי ולכן יצאתי מייד מתיבת הכניסה לחשבון שהופיעה בטלפון הנייד. המתנתי כמה שעות, עד שחזר שירות האינטרנט WiFi (הפסקה אזורית אגב) וכשנכנסתי לחשבון השחזור שלי דרך המחשב - הפלא ופלא, לא הופיעה הדרישה לעידכון סיסמה. מסקנה - זה היה ניסיון להשתלט על חשבון המייל ודרכו על שלושת הבלוגים שלי.

צירוף מיקרים או לא, אתמול קיבלתי גם שתי הודעות דרך תיבת המסרים בשול השמאלי של אתר פרפרים. אבל לתדהמתי הן לא הופיעו בחשבון המייל של פרפרים, אלא בחשבון המייל החלופי שסיפקתי לשחזור האתר, אם וכאשר חלילה ייפרץ. חשבון השחזור הזה (השונה מחשבון השחזור של הבלוגים הפרטיים שלי) אמור להיות חסוי לעיניי הציבור ובוודאי שלא להפוך לחשבון ברירת המחדל לקבלת הודעות מתיבת המסרים של אתר פרפרים. 

על כן מיד ננקטו האמצעים האבטחתיים הדרושים (שגם הם כמובן מאיליו ישארו חסויים בפני הציבור). 

בהמשך לרשומה הקודמת כאן, אני רוצה להעיר גם בקשר לדרישה לאשר עוגיות (COOKIES) בעת כניסה לאתרים רבים (אפילו בכניסה לקריאה בבלוגים בוורדפרס). ובכן, אני ממליץ שלא לאשר אוטומטית ולסגור את הבקשה בסימן ה-X הקטן המצורף לאחת הפינות שלה. במרבית המיקרים תוכלו להמשיך לגלוש באתר ללא אישור עוגיות. אפילו בכניסה דיגיטלית לחשבונות הבנק שלי אינני מאשר עוגיות בכניסה לאתר הבנק.  ולידיעה, לא צריך אישור עוגיות כזה כדי להיכנס ולנהל את החשבון בפועל. אז לשם מה אנחנו צריכים להתנדב ולאפשר לאתרים לרגל אחרינו, ממחשבינו ומטלפונינו ללא סיבה?

3 תגובות: