מאמר זה ב-SecurityFocus מדבר על סוגיית פישינג ושימושיות (וכיצד הדרך בה אנו גולשים הופכת אותנו לפגיעים לפישינג) (תודה לקולקטיב על ההפניה). המאמר מפנה למאמר אקדמי (תמיד טוב להפנות למאמר אקדמי) שמציג מחקר שנעשה על הנושא.
הטענה המרכזית שעולה מהמאמר היא שפישינג עובד כי הגולשים לא נעזרים באמצעי האבטחה העומדים לרשותם, בין אם כי הם בכלל לא מתייחסים אליהם או כי הם לא יודעים כיצד לפרש אותם. עוד עולה מהמחקר כי אתר פישינג טוב, בעל ויזואליזציה טובה, מטעה רוב מכריע של המשתמשים (זה על רגל אחת. עדיף לקרוא את המקור, או את הכתבה).
אלא שבמאמר ובכתבה חסר משהו מהותי להבנת תופעת הפישינג. פישינג הנו סוג של הנדסה חברתית. אנשים לא נכנסים לקישורי פישינג בגלל שהם נחמדים או יפים, אלא בגלל שמופיע בהם איום על המשתמש (משהו כמו אם לא תכנס לקישור החשבון שלך יינעל, לא נהיה אחראים לגניבות מהחשבון וכדומה). כשמשתמש מגיע לאתר פישינג הוא כבר מגיע עם חרדה מסוימת. הוא יודע שעכשיו הוא צריך לפי הכללים שאמרו לו, אחרת מצבו לא יהיה טוב. האתר יכול להיות אתר פישינג גרוע ועדיין אנשים יפלו בפח, כי הם בלחץ.
ועכשיו השאלה היא איך פותרים את בעיית הפישינג. הדפדפן הראשון לנסות לעשות משהו בנדון (כמו תמיד) הוא opera שעשה פעולה מתבקשת. בשורת ה-URL מוצג לך (בעת השימוש ב-SSL) שם החברה שהאתר רשום על שמה.
(שימו לב שניתן לראות את כתובת האתר, ההצפנה (המנעול עם הכיתוב עליו) ושם החברה)
אלא שזה לא מספיק ולכן אציג פתרון משלי לבעיית הפישינג. עליי לציין כי את הפתרון ניסיתי לפתח בשיתוף עם אחי וסטודנט שלו, במסגרת פרויקט סיום הלימודים.
הקו המנחה אותי במחשבה על פתרון פישינג הוא שהטעות המרכזית עליה נבנים מנגנוני האבטחה היא המשתמש (כן, המשתמש הוא הטעות). כל פתרונות הפישינג עוסקים בשאלה כיצד נמנע מהתוקפים לתקוף מחד וכיצד נאפשר למשתמשים לזהות מתקפה מאידך. זו טעות לצפות מהמשתמש לזהות מתקפה, בייחוד כשאין בכך צורך.
לשיטתי הפתרון לפישינג מאוד פשוט - בואו רק נזהה מה אנו מצפים מהמשתמש ונכתוב תוכנית שתעשה את זה. בפועל זה ייראה כך:
- אנו מצפים שהמשתמש יזהה את האתר אליו הוא נכנס; נכתוב תוכנית שתזהה אתרים על פי גרפיקה וטקסט, בדומה לחווית המשתמש.
- אנו מצפים כי המשתמש, לאחר שזיהה את האתר, יאמת את זהותו; התוכנית שלנו, לאחר שנדמה לה שהיא יודעת באיזה אתר מדובר, תבדוק את ה-Certificate, אל מול Certificate ידוע (כמובן שניתן להוסיף עוד נתונים כמו URL, IP וכדומה).
- אנו מצפים כי המשתמש ידווח לאתר האמיתי כשהוא מזהה אי התאמה בין השניים; התוכנית תעשה זאת.
הנה פתרון פשוט שמדלג מעל משוכת המשתמש. זה לא יפתור מתקפות פישינג מורכבות הבנויות מדפים פשוטים הקופצים מלפני דפים אמיתיים, אך גם זה פתיר.
כדי להבין פישינג צריך להבין מהי הנדסה חברתית. מומלץ לקרוא את The Art of Deception של קווין מיטניק או את לראות הסרט על לכידתו - Takedown
פתרון שמחכה ליזם. מאיפה יגיע הכסף? מלקוחות פיננסיים שישלמו כדי להיות מוגנים. הפתרון צריך להיות משולב בתוך Toolbar נפוץ, כמו זה של Google.
בבלוג זה
בכל הבלוגים
