סייבר זה לא מסובך: מדריך השכל הישר שמחלקת ה-IT מקווה שלא תקראו

אנשי אבטחה אוהבים את המיסטיקה שלהם. הם מדברים בראשי תיבות, מתייחסים לפגיעויות לא ברורות וגורמים לכל דבר להישמע כאילו צריך תואר דוקטור כדי להגן על האימייל. זו ביטחון תעסוקתי דרך מורכבות. אבל הנה מה שהם לא מפרסמים: רוב מה ששומר עליך בטוח הוא פשוט באופן מביך.

מחלקת ה-IT שלך לא מגינה עליך מפני האקרים ממשלתיים מהשורה הראשונה. היא מגינה עליך מפני עצמך. מפני שימוש חוזר בסיסמאות. מפני לחיצה על קישורים באימיילים. מפני השארת הלפטופ פתוח בבתי קפה. הרוב המוחלט של הפריצות הם לא מופתי טכנולוגיה; הם עבירות הזדמנות נגד אנשים שלא עשו את הבסיס.

בואו נחתוך את המיסטיקה. הנה כל מה שבאמת צריך לדעת, מוסבר בלי ז'רגון, עם צעדים מעשיים שאפשר ליישם היום.

הסוד המלוכלך על "פריצה"

כל פעם שיש פריצת מידע גדולה, החדשות גורמות לזה להישמע כאילו נינג'ות דיגיטליים חדרו להגנות בלתי חדירות. בדרך כלל, המציאות הרבה יותר טיפשית. מישהו השתמש ב-"Password123" והסיסמה הזו כבר הודלפה לפני שלוש שנים. מישהו לחץ על קישור באימייל מ-"תמיכה טכנית" שבפועל הגיע מ-"[email protected]." הפעמון החכם של מישהו היה עם סיסמת ברירת המחדל "admin" והיה מחובר לאותה רשת כמו הלפטופ של העבודה.

דוח חקירות פריצות המידע של Verizon מראה באופן עקבי שכ-80% מהפריצות הקשורות לפריצת מחשבים כוללות אישורים גנובים או חלשים. לא ניצול zero-day. לא תוכנות זדוניות מתוחכמות. סיסמאות.

Password123 זה לא חכם. גם P@ssw0rd123 לא. ולפני שאתם נהיים יצירתיים: qwerty, 123456 ושם הכלב שלכם פלוס שנת הלידה, כולם ברשימה שהתוקפים בודקים ראשון.

80%

מהפריצות הקשורות להאקינג כוללות אישורים גנובים או חלשים, לא ניצולים מתוחכמים.

אלה בעצם חדשות טובות. זה אומר שלא צריך כלי אבטחה יקרים או תואר במדעי המחשב כדי לשפר דרמטית את ההגנה. פשוט צריך להפסיק לעשות את הדברים הטיפשים.

תקריב של מנעול זוהר על רקע דיגיטלי כהה עם דפוסי מעגלים — הרוב המוחלט של הפריצות מנצל התנהגות אנושית, לא פגיעויות טכניות. תקנו את הבסיס ותסלקו את רוב הסיכון.

מערכת הסיסמאות שלך שבורה (אבל ניתנת לתיקון)

בואו נתמודד עם הפיל בחדר. כנראה שיש לך "שיטה" לסיסמאות. אולי זו סיסמת בסיס עם וריאציות, כמו "SismaBasit1!" לאימייל ו-"SismaBasit2!" לבנק. אולי שיננת סיסמה אחת ממש טובה ואתה משתמש בה בכל מקום. שתי הגישות נוראיות.

הנה למה: כשחברה נפרצת (וזה יקרה, כי השאלה היא לא אם אלא מתי), הסיסמה שלך מגיעה למאגר נתונים שנמכר ב-dark web. תוקפים מנסים אז את הסיסמה בכל שירות אחר. אם הסיסמה "הממש טובה" שלך מגינה גם על חשבון הפורום וגם על הבנק שלך, מזל טוב, האבטחה הגרועה של הפורום פשוט סיכנה את הבנק שלך.

הפתרון האמיתי: מנהלי סיסמאות

מנהל סיסמאות מייצר סיסמאות ייחודיות ואקראיות לכל חשבון וזוכר אותן בשבילך. צריך לזכור רק סיסמה ראשית אחת (הפכו אותה למשפט סיסמה ארוך, כי "סוס נכון סוללה סיכה" הוא ידוע כמאובטח יותר מ-"Tr0ub4dor&3").

מנהלי סיסמאות טובים

1Password: החוויה הכוללת הטובה ביותר, תוכניות משפחתיות מצוינות
Bitwarden: קוד פתוח, שכבה חינמית זמינה, אבטחה מצוינת
Apple Keychain: כבר באייפון/מק שלך, מספיק טוב לרוב האנשים

"אבל מה אם מנהל הסיסמאות נפרץ?" שאלה טובה. הסיסמאות שלך מוצפנות עם הסיסמה הראשית לפני שהן עוזבות את המכשיר. גם אם תוקפים גונבים את הכספת המוצפנת, הם לא יכולים לקרוא אותה בלי הסיסמה הראשית. זה מאובטח לאין ערוך יותר משימוש חוזר בסיסמאות באתרים שונים.

בדקו אם כבר נפרצתם

לכו ל-haveibeenpwned.com עכשיו. הקלידו את כתובת האימייל שלכם. האתר הזה, שמנוהל על ידי חוקר האבטחה Troy Hunt, בודק אם האימייל שלכם הופיע בפריצות מידע ידועות. אם כן (ולרוב האנשים, כן), אתם יודעים אילו סיסמאות צריך לשנות מיד.

הדפדפן שלך מלשין עליך

גם אם לעולם לא לוחצים על קישור חשוד, הדפדפן שלכם כל הזמן מספר לאתרים יותר ממה שאתם חושבים. בואו נדבר על מה שקורה ומה באמת אפשר לעשות.

טביעת אצבע של דפדפן

עוגיות מקבלות את כל תשומת הלב, אבל הן לא הדרך היחידה לעקוב אחריכם. טביעת אצבע של דפדפן אוספת פרטים על המערכת שלכם (רזולוציית מסך, גופנים מותקנים, תוספי דפדפן, אזור זמן, הגדרות שפה) ומשלבת אותם למזהה ייחודי. גם בלי עוגיות, אתרים יכולים לעתים קרובות לזהות אתכם בדיוק של מעל 90%.

מחלקת ה-IT שלך לא מגינה עליך מפני האקרים ממשלתיים מהשורה הראשונה. היא מגינה עליך מפני עצמך.

הפתרון לא מושלם, אבל שימוש ב-Firefox עם הגנת מעקב מורחבת, או בדפדפן Brave (שחוסם טביעות אצבע כברירת מחדל), מפחית את זה משמעותית. Chrome הוא הגרוע ביותר לפרטיות. Google מרוויחה כסף מפרסום, אז הדפדפן שלה מעוצב לאפשר מעקב, לא למנוע אותו.

ספק האינטרנט רואה הכל

כל אתר שמבקרים בו מתחיל עם בקשת DNS: המחשב שלכם שואל "מה כתובת ה-IP של google.com?" כברירת מחדל, הבקשות האלה הולכות לספק האינטרנט, מה שאומר שיש לו רישום של כל אתר שביקרתם בו. הם יכולים (ומוכרים) את הנתונים האלה.

הפעלת DNS דרך HTTPS

זה מצפין את בקשות ה-DNS שלכם כך שספק האינטרנט לא יכול לרגל. לוקח 2 דקות:

Firefox: הגדרות → פרטיות ואבטחה → הפעלת DNS דרך HTTPS → בחירת Cloudflare
Chrome: הגדרות → פרטיות ואבטחה → אבטחה → שימוש ב-DNS מאובטח → בחירת ספק
ברמת המערכת: שנו את ה-DNS של הנתב ל-1.1.1.1 (Cloudflare) או 9.9.9.9 (Quad9)

ההרחבות שלך הן כנראה ריגול

הרחבת מציאת הקופונים? קוראת כל דף שמבקרים בו. סרגל הכלים ה"שימושי"? אותו דבר. להרחבות דפדפן יש גישה עצומה לנתוני הגלישה, והמודל העסקי של הרחבות חינמיות הוא לעתים קרובות מכירת הנתונים.

לכו לדף ההרחבות של הדפדפן עכשיו. לכל הרחבה, שאלו: האם אני באמת משתמש בזה? האם אני סומך על החברה שעשתה את זה? מחקו כל מה שלא צריך. לאלה שנשארות, בדקו את ההרשאות וכבו כל דבר שנראה מוגזם.

מצב גלישה בסתר לא עושה מה שחושבים

מצב גלישה בסתר מסתיר את הגלישה מבן/בת הזוג, לא מ-Google.

מצבי גלישה פרטית לא הופכים אתכם לאנונימיים. הם פשוט לא שומרים את ההיסטוריה מקומית. ספק האינטרנט, המעסיק (אם אתם ברשת שלו), והאתרים שמבקרים בהם עדיין יכולים לראות הכל. זה שימושי להתחבר לחשבונות במחשבים משותפים או לקנות מתנות הפתעה, לא לפרטיות אמיתית.

שאלת ה-VPN

VPN שימושי במצבים ספציפיים: ב-WiFi ציבורי, כשרוצים להיראות במדינה אחרת, או כשלא סומכים על ספק האינטרנט. אבל הם לא מגני פרטיות קסומים. שימוש ב-VPN פשוט אומר שסומכים על חברת ה-VPN במקום ספק האינטרנט. הרבה VPN "חינמיים" גרועים מאי שימוש ב-VPN כי הם קיימים כדי לאסוף ולמכור את הנתונים שלכם.

אם רוצים VPN, שלמו על אחד מוכר (Mullvad, ProtonVPN או IVPN הם אפשרויות טובות). אבל אל תחשבו שזה הופך אתכם לבלתי נראים. טביעת האצבע של הדפדפן, דפוסי ההתחברות וההתנהגות שלכם עדיין מזהים אתכם.

הטלפון שלך יודע יותר מדי

הטלפון שלכם הוא מכשיר המעקב האינטימי ביותר שנוצר אי פעם. הוא יודע איפה ישנים, עם מי מדברים, מה קונים ולאן הולכים כל היום. הנה איך לקחת בחזרה קצת פרטיות.

הרשאות אפליקציות יצאו משליטה

למה אפליקציית פנס צריכה גישה לאנשי הקשר? למה מחשבון צריך את המיקום? ההרשאות האלה קיימות כי מידע הוא בעל ערך, ורוב האנשים פשוט לוחצים "אפשר" בלי לחשוב.

ביקורת הרשאות (5 דקות)

iPhone: הגדרות → פרטיות ואבטחה → סקירת כל קטגוריה
Android: הגדרות → פרטיות → מנהל הרשאות → סקירת כל סוג
למיקום: רוב האפליקציות צריכות להיות "אף פעם" או "בזמן שימוש." מעט מאוד צריכות "תמיד."
למצלמה/מיקרופון: דחו אלא אם האפליקציה מובן שצריכה את זה

כבו מעקב פרסומי

גם iOS וגם Android יש להם הגדרות שמגבילות כמה אפליקציות יכולות לעקוב אחריכם למטרות פרסום. הם לא קסם, אבל הם עוזרים.

iPhone: הגדרות → פרטיות ואבטחה → מעקב → כבו "אפשר לאפליקציות לבקש לעקוב"

Android: הגדרות → פרטיות → מודעות → מחקו מזהה פרסומי (או בטלו התאמה אישית)

בדקו את היסטוריית המיקום

רוצים להירתע? Google ו-Apple מתעדות את המיקום שלכם כבר שנים. ראו מה יש להם עליכם:

Google: בקרו ב-timeline.google.com. תראו כל מקום שהייתם בו עם טלפון ה-Android או בזמן שהייתם מחוברים ל-Google.

Apple: הגדרות → פרטיות ואבטחה → שירותי מיקום → שירותי מערכת → מיקומים משמעותיים. קשה יותר לגשת אליו אבל מפורט באותה מידה.

אפשר למחוק את ההיסטוריה ולכבות מעקב עתידי. אם כדאי, זה תלוי בכם. חלק מוצאים את ציר הזמן שימושי כדי לזכור איפה חנו או איזה מסעדה אהבו. אבל לפחות תדעו שזה קיים.

אימייל: עדיין החוליה החלשה

רוב השתלטויות על חשבונות מתחילות עם אימייל. שלטו באימייל של מישהו ותוכלו לאפס סיסמאות לכל דבר אחר. פישינג יעיל באופן מביך כי הוא מנצל פסיכולוגיה אנושית, לא פגיעויות טכניות.

איך באמת לזהות פישינג

אימיילים של "נסיך ניגרי" הם ברורים. פישינג מודרני לא. תקבלו אימיילים שנראים בדיוק כאילו הם מהבנק שלכם, עם לוגואים ועיצוב נכון. הנה מה לבדוק:

כתובת שולח: "[email protected]" שונה מ-"[email protected]" או "[email protected]"
רחפו מעל קישורים: לפני לחיצה, רחפו כדי לראות את ה-URL האמיתי. אם הוא לא מוביל לאן שציפיתם, אל תלחצו
דחיפות היא דגל אדום: "החשבון שלך ייסגר תוך 24 שעות!" מעוצב לגרום לפאניקה ולדלג על אימות
כשיש ספק, לכו ישירות: אל תלחצו על קישורים באימיילים. פתחו לשונית דפדפן חדשה ולכו ישירות לאתר

כינויי אימייל: חלקו את תיבת הדואר

השתמשו בכתובות אימייל שונות למטרות שונות. אימייל הבנק שלכם לא צריך להיות אותו אחד שמשמש להרשמה לניוזלטרים אקראיים. כששירות נפרץ, תדעו בדיוק איזה אימייל נחשף, וזה לא ישפיע על החשבונות החשובים.

שירותי כינויי אימייל

SimpleLogin: צרו כינויים ללא הגבלה שמועברים לאימייל האמיתי
Firefox Relay: הגרסה של Mozilla, משתלבת עם Firefox
Apple הסתרת אימייל: מובנה ב-iCloud+, עובד חלק במכשירי Apple
כתובות פלוס: Gmail מאפשר להוסיף "+משהו" לפני ה-@. [email protected] מגיע לתיבת הדואר הרגילה

לתקשורת רגישה: אימייל מוצפן

אימייל רגיל הוא כמו גלויה: כל מי שמטפל בה יכול לקרוא אותה. לתקשורת רגישה באמת, שקלו Proton Mail. הוא מוצפן מקצה לקצה, מבוסס בשוויץ (חוקי פרטיות חזקים), ויש לו שכבה חינמית שימושית לחלוטין.

הנדסה חברתית: ההודעה הפלרטטנית שגונבת את החשבונות שלך

הנה משהו שלא מדברים עליו מספיק: הזר החמוד ששולח לכם DM באינסטגרם, סנאפצ'ט או טינדר? ייתכן שהוא מריץ תסריט ישן יותר מהאינטרנט עצמו.

חשבו על שאלות ה"היכרות" שאנשים שואלים כשמפלרטטים:

"מה שם חיית המחמד שלך? אני אוהב/ת חיות!"
"איפה גדלת?"
"מה היה הרכב הראשון שלך? בטוח יש סיפור טוב."
"באיזה רחוב גדלת?"
"מה שם הנעורים של אמא שלך? של שלי כל כך מוזר."
"באיזה בית ספר למדת?"

עכשיו הסתכלו על שאלות האבטחה לשחזור סיסמה בבנק, באימייל ובחשבונות הרשתות החברתיות שלכם. שמים לב למשהו?

השאלות הפלרטטניות האלה הן פשוטו כמשמעו התשובות לשאלות האבטחה שלכם. מישהו ש"מכיר אתכם" קוצר את המפתחות לחיים הדיגיטליים שלכם.

זו לא פרנויה. זו טכניקת הנדסה חברתית מתועדת. נוכלים יוצרים פרופילים מזויפים, בונים אמון לאורך ימים או שבועות, וחילצים באופן מקרי כל פיסת מידע שהם צריכים כדי לאפס את הסיסמאות שלכם. עד שהם עושים לכם גוסטינג, הם כבר נעלו אתכם מחוץ לחשבונות שלכם.

איך להגן על עצמכם

שקרו בשאלות אבטחה. שם הנעורים של אמא שלכם לא חייב להיות האמיתי. בחרו משהו אקראי ושמרו אותו במנהל הסיסמאות. "מה היה חיית המחמד הראשונה?" תשובה: "TurboLaser3000." בהצלחה לנחש את זה.
חשדו באינטימיות מהירה. קשרים אמיתיים לוקחים זמן. מישהו ששואל הרבה שאלות אישיות בשיחות הראשונות, במיוחד ספציפיות, אולי לא מי שהוא טוען.
חיפוש תמונה הפוך. קליק ימני על תמונת הפרופיל, חיפוש ב-Google Images. אם הפנים מופיעות באתרי תמונות סטוק או שייכות למישהו אחר, יש לכם תשובה.
שיחת וידאו לפני שיתוף. נוכלים נמנעים מוידאו. אם למישהו יש תירוצים אינסופיים למה הוא לא יכול לעשות שיחת וידאו, זה דגל אדום.

צינור הונאת הרומנטיקה

זה מתחיל עם שאלות "היכרות." אחר כך הם צריכים טובה קטנה: כרטיסי מתנה, קריפטו, כסף למקרה חירום. קצירת המידע האישי וההונאה הכספית רצות לעתים קרובות יחד. אם שיתפתם את תשובות האבטחה שלכם עם מישהו שמעולם לא פגשתם אישית, שנו את התשובות האלה עכשיו.

חדר שרתים עם שורות של נורות מהבהבות וכבלי רשת — הרשת הביתית שלכם אולי לא נראית ככה, אבל היא עדיין צריכה את אותה חשיבה אבטחתית: שנו ברירות מחדל, עדכנו firmware וחלקו את המכשירים לקבוצות.

הרשת הביתית שלך (כן, באמת)

אם סיסמת הנתב שלכם עדיין "admin," מזל טוב, פרשתם שטיח קבלת פנים לכל מי שרוצה להצטרף לרשת שלכם. רוב האנשים מגדירים את הנתב פעם אחת ולעולם לא חושבים על זה שוב. זו טעות.

שנו את סיסמת ברירת המחדל

כל נתב מגיע עם שם משתמש וסיסמה ברירת מחדל (לעתים קרובות "admin/admin" או "admin/password"). ברירות המחדל האלה מפורסמות באינטרנט. כל מי שיכול להתחבר לרשת ה-WiFi שלכם יכול לגשת ללוח הניהול של הנתב ולעשות מה שרוצה: להפנות את התעבורה שלכם, לרגל אחרי המכשירים, להשתמש בחיבור שלכם לפעילות בלתי חוקית.

היכנסו לנתב (בדרך כלל 192.168.1.1 או 192.168.0.1 בדפדפן) ושנו גם את סיסמת הניהול וגם את סיסמת ה-WiFi למשהו חזק.

עדכנו את הקושחה של הנתב

אף אחד לא עושה את זה. הנתב הוא מחשב שמריץ תוכנה, ולתוכנה יש באגים. יצרנים משחררים עדכונים לתיקון פגיעויות אבטחה. בדקו את לוח הניהול של הנתב לאפשרות עדכון קושחה והריצו אותו.

צרו רשת אורחים למכשירי IoT

הטלוויזיה החכמה, הפעמון החכם והמקרר החכם הם כולם נקודות כניסה פוטנציאליות לתוקפים. למכשירים האלה יש לעתים קרובות אבטחה נוראית ולעתים נדירות מקבלים עדכונים. חברו אותם לרשת אורחים נפרדת כדי שאם הם נפרצים, תוקפים לא יוכלו לקפוץ בקלות ללפטופ או לטלפון.

לרוב הנתבים המודרניים יש אפשרות "רשת אורחים." הפעילו אותה, תנו לה סיסמה אחרת, וחברו את כל מכשירי הבית החכם לשם.

הגישה הנכונה

אבטחה מושלמת לא קיימת. המטרה היא לא להיות בלתי ניתן לפריצה; היא לא להיות המטרה הקלה ביותר. תוקפים, כמו פורצים, הולכים על ניצחונות קלים. אם לבית שלכם יש דלת נעולה ולשכן שלכם הדלת פתוחה לרווחה, נחשו איזה בית נשדד.

הניחו פריצה

כל חברה שנותנים לה את הנתונים שלכם תיפרץ בסופו של דבר. תכננו בהתאם. השתמשו בסיסמאות ייחודיות כדי שפריצה אחת לא תגרום לאפקט דומינו. השתמשו בכרטיסי אשראי (שיש להם הגנה מפני הונאה) במקום כרטיסי חיוב לקניות אונליין. הרחיקו מידע רגיש משירותי ענן כשאפשר.

חלקו למגזרים

אל תשתמשו באותו אימייל לבנק ולפורומים. אל תקשרו את כל החשבונות יחד בשביל "נוחות." כל חיבור שיוצרים הוא נתיב פוטנציאלי לתוקפים לעבור מחשבון אחד לאחר.

הקפיאו את האשראי שלכם (ארה"ב)

זה ספציפי לאמריקאים, אבל אחד הדברים היעילים ביותר. הקפאת אשראי מונעת מכל אחד לפתוח חשבונות חדשים על שמכם. זה בחינם, לוקח 15 דקות בשלושת הלשכות (Equifax, Experian, TransUnion), ואפשר להפשיר זמנית כשצריך לבקש אשראי.

ביקורות סדירות

הגדירו תזכורת רבעונית לסקירת החשבונות. באילו שירותים עדיין משתמשים? לאילו יש גישה לנתונים? אילו אפשר למחוק? ככל שפחות שטח תקיפה יש, כך בטוחים יותר.

השורה התחתונה

שום דבר מזה לא מסובך. השתמשו במנהל סיסמאות. הפעילו אימות דו-שלבי (כתבתי על מפתחות אבטחה חומרתיים אם רוצים להתקדם). אל תלחצו על קישורים באימיילים. עדכנו את התוכנה. בדקו את ההרשאות.

הבסיס הזה ישים אתכם לפני 90% מהאנשים באינטרנט. 10% הנותרים של הפחתת הסיכון דורשים מאמץ אקספוננציאלי, ולרוב האנשים, הבסיס מספיק ויותר.

אבטחה היא לא מוצר שקונים או הגדרה חד-פעמית. זה הרגלים. אבל ההרגלים לא קשים. הם פשוט דורשים שבאמת תעשו אותם.

Google Calendar Outlook

רשימת בדיקת אבטחה אישית 0/6

התקינו מנהל סיסמאות (Bitwarden או 1Password) והעבירו את הסיסמאות השמורות
בדקו ב-haveibeenpwned.com חשבונות שנפרצו ושנו את הסיסמאות
הפעילו DNS דרך HTTPS בהגדרות הדפדפן
בדקו הרשאות אפליקציות בטלפון ובטלו גישה מיותרת
שנו את סיסמת הניהול של הנתב ועדכנו את הקושחה
הגדירו רשת אורחים למכשירי IoT

מחלקת ה-IT שלכם הם לא קוסמים. הם פשוט מגגלים דברים מהר יותר מכם. עכשיו אתם יודעים מה שהם יודעים. תשתמשו בזה.

How was this article?