הונאה כנגד מבוגרים שמתחזה לאנשי תמיכה , כשצריך לתת קרדיט אז נותנים כל הכבוד שאפליקציית בנק הפועלים חסמה את ההעברה (לפי הנאמר) אבל אם היתה מערכת אימות דו צדדי אמיתית (חומרתית) זה היה חוסם הרבה יותר דברים טוב יותר, ואילו היו בונים אתר נורמאלי והאנשים היו משתמשים בטלפוני לינוקס אז בכלל כולנו היינו מוגנים

מי ששם לב, בשנה האחרונה יש המון התקפות על אנשים מבוגרים, לאחרונה יצא לי לסייע למספר כאלה בחזרה מההתקפה,
בהתקפה מתקשרים לאנשים ממספרי VoIP מקומיים, מדברים בשפה הרוסית או העברית, מציגים את עצמם כעובדי בזק /בנק /משטרה ומציינים שיש בעיית תשתית או בעייה בחשבון, ושעל מנת לבדוק שהכל בסדר צריך להתקין אפליקציה מסויימת או לפתוח שליטה מרחוק במכשיר הסלולארי ואז לבצע לשים את המכשיר ליד הנתב בצורה הפוכה.

שוחחתי עם קולגה שמתעסק בנושא אבטחת מובייל, והוא אמר שככל הנראה מפיק לבצע factory reset, על מנת להיות בתוך שה maleware (אם הותקן ) יוסר מהמערכת , ואין צורך לבצע עידכון קושחא כי מניסונו ,בהתקפות הללו לא משתמשים במערכות כאלה.

יש לי קרובי משפחה שקיבלו שיחה בשפה העברית ללא מבטא כלל, שהיה להם את כל הפרטים האישיים (כנראה הסיפור של מפלגת הליכוד לפני מספר שנים) , הם יידעו להגיד באיזה בנק מנוהל החשבון, האמת זה לא סיפור לגלות , רוב האנשים יש להם חשבון בסניף הקרוב לביתם.

לפי הקורבן, בבדיקה שנעשתה מול הבנק, הבנק (פועלים) חסם את ניסיון ההעברת הכספים , המלצנו לקורבן להסיר את כלל אפליצקיות הניהול של הכספים והנכסים שלהם מהמכשיר, ולהגיע פיזית כל פעם, כי אם נפלתם בנושא פעם אחת, תיפלו בו בפעם נוספת. כאשר הקורבן הגיע לנקודת תמיכה (לא ברור אם הבנק או מקום בו מתקנים טלפונים) , נאמר לו שמספיק לאפס את הסיסמה בפועלים באינטרנט, מדובר בהמלצה בלתי מקצועית, ברגע שהייתה התקנה של משהוא על המכשיר , כל מה שיש על המכשיר הוא compromised, אפשר להחליף סיסמאות עד מחר, זה לא יעזור כי לתוקפף הייתה גישה שייכל להתקין keyloagger ווכל זבל אחר,  במקרים כאלה הכול אמור להיות מוסר, לכל הפחות factory reset וחזרה מגיבויי לפני ההתקפה, אין גיבויי ? שומרים מספרי טלפון, הודעות והקלטות למדיה חיצונית, בודקים אותם ע"י הכלים החביבים אליכם, חוזרים להגדרות יצרן ומחזירים את התמונות וההודעות.

אילו היו בונים אתרים כמו שצריך, ושהם היו משתמשים ברכיבי אימות חומרה, כן אני יודע שקיים passkey באנדרויד, ושבתאוריה ניתן להשתמש ברכיבי חומרה לאימות (למשל yubico) בכדי לאחסן אותם, יש בעייה כי אנשים ייבחרו להשתמש בטלפון שלהם כממפתח החומרתי שלהם, וכשזה נפגע (כמו בהתקפה הזאת) הכל נפגע שוב פעם. זה אומנם מונע גניבת מכשיר האימות בצורה דיגיטלית, אבל זה לא מפריע כשיש התקפה נגד המכשיר עצמו.

עכשיו, אילו למשל האפליקציות כמו whatsapp ואפליצקיות ניוהל החשבון הבנקאי והניהול הרפואי של האנים היו דורשות רכיב חומרתי בשביל לאמת כל פעם ? אז הבעייה היתה פתורה מלתחילה, והאמת לא באמת חייבים אפליקציות , מספיק שתבנו אתר מספיק טוב, ושם המערכת הזאת כבר קיימת המון זמן, למעשה ניתן להתחבר להרבה מאוד שירותים באמצעות באמצעות רכיבי אימות חומרתי , החל מגוגל דרך Github ואפילו בתוך ebay ! משיטוט באתרי הבנקים הגדולים לא מצאתי אפשרות שהם יוכלו להתשתמש בכרטיס חכם חומרתי לאימות (ולא הודעת SMS או תוכנות OTP למיניהם).

עכשיו האמת , אילו האנשים המבוגרים  היו משתמשים בטלפונים המריצים לינוקס, הבעייה ככל הנראה הייתה נמנעת, למה ? כי מכייון שמרבית השירותים הדיגטליים מיועדים רק לאנדרויד וiOS לא היו מותקנות האפליקציות של הבנק, והעובדה שאפליקציות השטלתות מרחוק גם לא עובדות בצורה פשוטה, כל זה היה נמנע מראש.

השתמשו בטלפון אורן !  וחלק גדול מההתקפות על הטלפונים הסלולארים פשוט לא עובדים עליהם! 

צחוק צחוק , אבל יש מצב שאם יש שימוש ב wayland ושימוש טוב יותר ב sandboxing ברמת מערכת ההפעלה גם יפתרו חלק מהבעייה בהפצות מיועדות לטלפונים סלולארים, בצורה כזאת הסיכויי יהי נמוך יותר לגניבת מידע. מדוע ? כי אם אננו גם ככה מונעים משתמש root וגישת sudo  כברירת מחדל בטלפון , אז לא כל התקפה תמיד תהיה ברמת המשתמש הנוכחי ולא כלל המערכת, ואז הוצאת מידע תהיה קשה יותר, וגם שימוש באפליקציות "מסוכנות" כמו הבנק והתיק הרפואי יהיו מוגבלות למשתמש אחר ולסביבה אחרת לחלוטין.