מי גנב את הזהות שלי?

[ב26.12.2011 יערך ערב 12 דקות מספר 4 בו ידברו רבים וטובים כולל עפרה ריזנפלד, שרית בן שמחון, נועה מנהיים, שי פוקס, ארנה קזין ואנוכי. אני ארצה על גניבת זהות. כאן תוכלו למצוא את הטקסט של ההרצאה (והמצגת), אבל אני אשמח אם תגיעו בכל מקרה; בפני קוראי הבלוג הקבועים אני מתנצל מראש על השטחיות של הפוסט]

0.
מי גנב את הזהות שלי? אולי התרחיש הנוראי ביותר שאדם יכול לעבור בימים אלה הוא גניבת זהות, באחד-עשרה הדקות וחמישים השניות הקרובות [בהן אדבר כמאה מילים לדקה, לא יותר] אדבר על הסוגיה של מה זה בכלל גניבת זהות, כיצד מבצעים את זה, איך אפשר להמנע מזה ואיך אפשר לקבל את הזהות שלך בחזרה. אז אני אתחיל בהסבר קצר, הדרך שבה אנחנו מזדהים היום כלפי אנשים אחרים היא לא פורמאלית במיוחד. לדוגמא, אתם לא ביקשתם לראות את תעודת הזהות שלי, לא ביקשתם לשאול האם אני יהונתן קלינגר ומה מקצועי, נכון? אנחנו מזדהים אחד מול השני באמצעות עוגנים; אחד מהם הוא תעודת הזהות שלנו, אבל יש עוד דרכים שאנחנו מזדהים. מול הבנק שלנו, אנחנו מזדהים עם כרטיס אשראי, מול ספקית הדואר האלקטרוני שלנו אנחנו מזדהים בשם משתמש וססמא ומול חברים, כשאנחנו מתקשרים, אנחנו מזדהים עם מספר הטלפון שלנו.

1.
מה היא גניבת זהות? גניבת זהות, בסופו של דבר, היא מצב שבו אנחנו משיגים שליטה על אחד מהאמצעים בו אנחנו מזדהים מול העולם ומשתמשים בו כדי לבצע פעולות ולייצר נכסים והתחייבויות שמבוססים על השליטה הזו. לדוגמא, "סתם גניבה" של כרטיס האשראי היא לא גניבת זהות, אבל מצב שבו אני גונב למישהו את כרטיס האשראי שלו, נרשם לספקית אינטרנט עם שמו ועם כרטיס האשראי שלו ואז מוריד פורנוגרפית קטינים, כך שאם יתפסו מישהו וישאלו את ספקית האינטרנט מי העבריין, הם יתנו את הפרטים של הקרבן, ולא שלי.

2.
גניבת זהות בעולם האמיתי; אז בוא נדבר לרגע על מהי גניבת זהות בעולם האמיתי: בעולם האמיתי גונבים לנו את הזהות לא אחת למטרות פיננסיות, בעיקר העברה של נכסים. אם מישהו מצליח לזייף, לדוגמא, את תעודת הזהות שלכם, הוא יכול לגשת לטאבו ולהעביר על שמו את בית המגורים שלכם, הוא יכול גם לפתוח חשבון בנק על שמכם ולקחת משכנתא על אותו בית מגורים ולקחת את הכסף, לגנוב אותו באלגנטיות החוצה, ובמקום להחזיר להעלם. במצב כזה, אתם נותרים עם חוב לבנק של מאות אלפי שקלים ובלי הבית שלכם. אבל זה המצב הקיצוני, כאמור.

3.
גניבת זהות בעולם הוירטואלי; בעולם הוירטואלי גניבת זהות הרבה יותר פשוטה, בין היתר כי הרבה יותר קל להתחזות. אני אתן דוגמא, כשאתם נרשמים לפייסבוק, באמת מוודאים כתובת דואר אלקטרוני כדי לדעת שאתם לא ספאמרים, אבל האם מוודאים שהתמונה המחמיאה שהעלתם והשם שהזנתם באמת שלכם? לא ממש. כלומר, כל אחד יכול למצוא תמונה שלי באינטרנט ולפתוח חשבון בפייסבוק על שמי, ואז לפנות לאנשים ולומר שזה אני, נכון? אוקי, ואז מה? אז הוא יכול להתחיל לבצע פעולות בשמי ולייצר התחייבויות אחרות, גם לא פיננסיות. אם הוא רוצה גם להשתלט על חשבון שלי, הוא יכול לעשות זאת בצורה קלה יחסית מכאן.

4.
דוגמאות לדרכים לגניבת זהות; אז בואו נסביר רגע איך עושים את זה, ונפריד את האינטרנט מהעולם האמיתי למרות שאין באמת הבדל. אבל חשוב לי להבהיר, אנחנו לא מדברים על רשימה סופית של כל מקרי גניבת הזהות, יש הרבה דרכים הרבה יותר זדוניות והרבה פחות חוקיות שלא מתוארות כאן.

4.1
עולם אמיתי: בעולם האמיתי קל מאוד לגנוב את הזהות של האדם בגלל האמון והבטחון היחסי שיש לנו שאף אחד לא מצותת לנו ולא מחטט לנו בדברים. אנחנו כולנו זורקים לזבל קבלות וחשבונות ישנים, ולא מבינים שבפרטים האלה יש לא מעט פרטים שיכולים לזהות אותנו. לדוגמא, בחשבון כרטיס האשראי יכולות להופיע ארבע הספרות האחרונות של כרטיס האשראי (שזה, לדוגמא, מה שדורשים ממך בחברת הטלפון כדי להזדהות, ומספיק כדי לקנות עוד קו אם אתה לקוח קיים או לבקש לנייד את הטלפון), אבל בקבלות שחלק מבתי העסק מדפיסים יש גם מספר כרטיס אשראי מלא; אבל כרטיס אשראי זה רק אחד: אנחנו פולטים כל יום לא מעט מידע, החל מזה שאנחנו נותנים בטלפון את מספר כרטיס האשראי שלנו לבחור שאנחנו מזמינים ממנו פיצה, וגם את מספר הזהות והכתובת (ומי מונע ממנו אחר כך להתקשר להוט ולהזמין ממיר, חבילת VOD וטלפון קווי הביתה עם המידע הזה?) ועד לזרוק לזבל מידע על מתי קיבלנו זימון לתורים בקופת חולים או מידע על ציונים בבתי ספר.

אל תשכחו שבישראל מרשם התושבים בכלל דלף לאינטרנט, כך שמספר הזהות שלכם, הכתובת שלכם ועוד מופיעים במאגרים שנחשבים פומביים וכל אדם יכול לגשת אליהם. כלומר, רוב המידע שדרוש לגנוב את הזהות שלכם כבר באינטרנט. בקרוב, כמובן, גם המידע הביומטרי שלכם יהפוך להיות דרך לזהות אתכם בדיוק כמו כרטיס האשראי, וכל אדם שיקבל גישה לטביעת האצבע שלכם יוכל גם לזהות אתכם.

דרך נוספת ופופולרית היא לכייס אדם, לגנוב את כרטיס האשראי שלו ואז להתקשר אליו ולומר לו שמדברים ממחלקת האבטחה של הבנק; לומר שאתם חושדים שהארנק שלו נגנב (הוא יבדוק ויגלה שזה נכון) ולבקש ממנו לאמת את זה על ידי כך שהוא יתן לכם את המספר הסודי של כרטיס האשראי (זה נחוץ כדי לרוקן לו את חשבון הבנק, בסופו של דבר).

4.2
אינטרנט: טוב, אז אם לגנוב את הפרטים בצורה מוחשית לא היה מפחיד מספיק, נדבר לרגע על האינטרנט. באינטרנט הרבה יותר קל לגנוב את הזהות באמצעות סוג הונאה שנקרא Phishing, פישינג, או דיוג, הוא מצב שבו מישהו מתחזה לאדם אחר וגורם לך לתת לו מידע סודי באמצעות ההתחזות הזו. בדוגמא שאני מציג כאן, לדוגמא, אני שולח למישהו קישור לעמוד שאני טוען שאפשר לראות בו את משה קצב מתאבד או נותן לו דרך לראות את רוני דואני בעירום (אבל זה עובד גם עם בר רפאלי בעירום); החבר לוחץ על הקישור ורואה שהוא צריך לתת את שם המשתמש והססמא לפייסבוק. אלא, שלמרות שהאתר שמציג את המידע אינו פייסבוק בכלל, אני שומר את המידע שהוא הכניס אצלי בשרת, והולך עם החשבון שלו. עכשיו, אם השתלטתי לו על החשבון, אני יכול לבצע כל מיני פעולות (ופייסבוק היא רק דוגמא אחת, אני יכול להשלט לו על חשבון הבנק, חשבון PayPal או דואר אלקטרוני). [עוד על הנושא בפוסט מקיף של ים מסיקה].

כאן הגולש התמים מגיע לעמוד:

עכשיו, הוא מתבקש לעשות לייק על העמוד כדי להראות רצינות:

כעת, הוא מגיע לעמוד שנראה כמו עמוד הכניסה לפייסבוק. הגולש התמים חושב שהוא נזרק פשוט בטעות מפייסבוק, אבל בעצם מדובר באתר מתחזה. הדרך לראות זאת היא להסתכל בשורת הכתובת של הדפדפן:

עכשיו, הוא נתן לי את הפרטים וקיבלתי את השליטה בחשבון הזה ואני יכול לבצע איתו פעולות. לדוגמא, אני יכול לשלוח את אותו הקישור לכל אחד מהחברים שלו ולקבל את המידע הזה, או שאני יכול גם לבצע פעולות עם החשבון כמו להצביע בסקרים או להעביר את כל האסימונים בפוקר.

אבל זה לא מספיק, כי זה בסך הכל אסימונים או סקרים; מה עם כסף? וובכן, אני יכול גם לדלות מידע מהחשבון ולסחוט את בעל החשבון. אני יכול לבקש ממנו לא מעט כסף על מנת להשיב את החשבון שלו, או להודיע לו שאם הוא לא ישלם לי סכום לא מבוטל אני אשלח לאשתו את ההודעות שהוא שלח לבחורה שלמדה איתו בתיכון.

5.
מה אפשר לעשות? אז מה אפשר לעשות בשביל להמנע מגניבת זהות? הדבר הראשון הוא לא לאפשר לשום גורם להיות מי ששולט בזהות שלך; כלומר, שכרטיס האשראי שלך לא יספיק כדי לזהות אותך, כלומר להחזיק שני כרטיסי אשראי, אחד לגורמים רציניים ואחד לעסקאות חד-פעמיות או אינטרנטיות. במצב כזה, גם אם אדם מקבל את המספר (דוגמאת שליח הפיצה) הוא לא יכול לעשות יותר מדי. מה עוד? לא לתת פרטים לאנשים שמתקשרים ומזדהים בתור נציגי שירות של חברות, גם אם אתה בקשר עסקי איתם, כל עוד לא ביקשת שהם יתקשרו. כלומר, אם יתקשרו מ"סלקום" ויגידו שיש להם מבצע מיוחד ללקוחות עסקיים, הם באותה המידה יכולים להיות גנב זהות שיקח את המידע הזה וישתמש בו כדי לקנות טלפונים, ולא להיות סלקום. העובדה שאדם ברחוב לבוש במדים של סלקום לא נותן לו הצדקה, בסופו של דבר, להחזיק את כרטיס האשראי שלכם.
באינטרנט צריך תמיד לבדוק באיזה אתרים אתה גולש, ואם אתה רואה עמוד שדורש ממך פרטי התחברות, כדאי מאוד לבדוק האם החיבור מאובטח (https) או לא, ואם כן, האם אתה גולש בעמוד הנכון.

חוץ מזה, לא לתת פרטים לזרים, אף פעם, כמובן.

4 תגובות ל-“מי גנב את הזהות שלי?

  1. מאוד מעניין!
    מחכים ביותר. אני אוהב את ההגדרות שלך. מתיישב לי בחשיבה שלי.

    הערה:
    בסוף פס' 1, חסרות כמה מילים למשפט שלם.
    למשל "הם יתנו את הפרטים של הקרבן, ולא שלי." -זוהי גניבת זהות.

  2. כמה הערות –

    א. הערה לפסקה 2: מאחר וגנב הזהות כבר מחזיק בתעודת זהות בשם הבעלים, הוא כמובן לא יעביר הדירה על זהותו המזויפת או לזהותו המקורית, אלא יתחזה לבעלים וימכור אותה לאחר, כך שהוא יוכל להימלט עם הכסף באין מפריע…. הזהות הגנובה מאפשרת לו להתחזות כבעלים המקורי מול קונים פוטנציאליים ומול הרשויות. זה כמובן מפחיד מאוד, אבל לא נפוץ כמו שאפשר לחשוב, ובעיקר קורה בהקשר של דירות שבעליהן אינן בסביבה.

    ב. דוגמא מצוינת לגניבת זהות היא אחד העוקצים המכונים "ניגריים" שעמרם מצנע שימש בו כדמות הפיתוי – http://www.haaretz.co.il/captain/net/1.1608876

    ג. ואחרון – כדאי אולי לפרט קצת יותר למה הכוונה ב: "לא לתת פרטים לזרים"
    (בדיוק כפי שמלמדים ילדים כיצד להיזהר מזרים בלי להפוך אותם לפרנואידים):
    (1) להקפיד על על מודעות לסימנים מחשידים:
    א. האם מעולם לא שוחחת קודם לכן עם האדם/האתר הספציפי ?
    ב. האם הוא יזם את התקשורת איתך (נכון גם במקרה של אדם וגם במקרה של אתר – מכתבי שרשרת וכולי) ?
    ג. האם הוא שואל אותך שאלות שלא מקובל שאדם זר ישאל (לשים לב שזה בד"כ לא קורה מיידית אלא בתהליך הדרגתי של ריכוך) ?
    (2) להקפיד (ולחזור ולשנן) על הדרך בה מוסרים פרטים מזהים: רק כשאתה יוזם את התקשורת עם הצד השני. כלומר, התקשר נציג פלאפון לספר על מבצע מדהים שיש רק היום ? סבבה. אפשר להקשיב לו, אבל כשמגיע רגע האמת, להגיד שאתה חייב לסגור, ולהרים טלפון בחזרה. זה אולי קשה לביצוע בגלל ההתלהבות, אבל זה יוסיף רק כמה דקות לכל העסק, ויכול להיות ההבדל בין עסקה נהדרת עבורך ליום מוצלח עבור הנוכל/ת.

    ד. יהונתן, כל הכבוד על הפוסט. זה סיכום חשוב, נאה וממצה, ומשהו שצריכים ללמד היום את כל הציבור – גם את הילדים בבתי-הספר, וגם את המבוגרים שבעצם נדרשים לפתח אוריינות אינטרנט וקיום דיגיטלי אין מאפס.

  3. בנושא: גניבת הזהות.
    ראשית אני רוצה לציין שאין אחד שנותן שרות שהוא לא גנב עם זה בנקים, ועם זה מוכרים, ואם זה בדואר,הוא בסופר מרקט היום בכל מקום יש גניבה ולא משנה לאן תילך במיוחד הבנקים
    ושלא נדבר על הצעירים שקשה להם להיתמודד פה.
    אבל מה לעשות זאת היא המציעות ואי אפשר לברוח מימנה.
    ולצערי חבל שהמדינה שלנו צריכה להיתנהל כך שהכל שוחד ומירמה.
    מה לעשות מקווה שבסוף יהיה בסדר

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *