ב-Online
 
 
 
 
 
 
 
 
הגונב מגנב 

הגונב מגנב

 
 
אדר שלו

מהי הסיסמה הכי פופולרית בקרב משתמשי MySpace? רמז: לא 12345678. בלוגר גנב 20 אלף סיסמאות ל-MySpace מאתר פישינג, ניתח את התוצאות ופרסם אותן

 
 
 
 
 
 
 
 
 
הסיסמא הכי פופולארית: עוגיה123 (אילוסטרציה: SXC)
 הסיסמא הכי פופולארית: עוגיה123 (אילוסטרציה: SXC)   
מה עושה גולש תמים שמקבל לתיבה שלו מייל מאת מנהל הרשת החברתית בה הוא חבר, בו הוא מתבקש להיכנס לאתר ולהזין שם משתמש והסיסמה שלו? סביר להניח שחלק מהגולשים יפלו בפח של אחת משיטות ההונאה הכי מוכרות ברשת: ספאמרים שולחים מייל המוני, מגורם רשמי כביכול, ובו הם מפתים את הגולשים להיכנס לאתר דמה שהקימו (לרוב אתר של בנקים) על מנת שיוכלו לגנוב את שם המשתמש והסיסמה שלהם.

בין מקבלי הספאם שנשלח מהכתובת admin@myspace.com היה גם הבלוגר והסטודנט וCyber-Knowledge שהחליט שהוא לא יסתפק במחיקת דואר הזבל ומעבר לסדר היום.

סקרנותו של Cyber-Knowledge גברה ובמקום למסור את פרטיו האמיתיים הוא מסר שם וסיסמה פיקטיביים. לאחר מכן הוא המשך לחטט עוד קצת באתר הפישינג. כעבור שעה קלה נשאו השיטוטים פרי ו-Cyber-Knowledge הצליח להניח את ידיו על קובץ שהכיל כ-20 אלף סיסמאות של גולשים שנפלו בפח והכניסו שם וסיסמה אמיתיים לאתר הדמה.

הגונב מגנב

ואולם, במקום לפנות לרשויות, או למייספייס עם הממצאים, המתכנת הנועז החליט דווקא לפרסם אותם בבלוג האבטחה, כולל ניתוח סטטיסטי מעמיק של הסיסמאות, וכן תרשימים ודוגמאות לסיסמאות מעניינות.

על פי הקובץ, הסיסמה הכי פופולרית היא לא 12345678 הצפויה, אלא דווקא cookie123, בה בחרו 13 גולשים שונים. סיסמאות נפוצות נוספות הן password, fuckyou, ו-abc123. רק 19% בחרו סיסמה שכוללת גם אותיות גדולות, שנחשבת גם קשה יותר לפיצוח.

בנוסף לסטטיסטיקות על הסיסמאות של משתמשי מייספייס, נחשפו גם פרטים כמו כתובת המייל שלהם. מתוך כל החשבונות שבקובץ, 6004 נרשמו באמצעות המייל של יאהו, רק 3469 השתמשו בתיבה של Gmail ובמקום השלישי AOL, עם 3224 מנויים.
 

מותר לגנוב מאתרי פישינג?

 
אי אפשר להתעלם מהשאלה המוסרית של גניבת הסיסמאות. כשחברת ענק כמו AOL חשפה מילות חיפוש של גולשים מיוזמתה, היא חטפה קיתון של רותחין. האם גניבת הקובץ שמכיל את הסיסמאות מענישה את נוכל הפישינג המקורי, או שהיא פשוט מאוד מענישה בפעם השנייה את מי שכבר נפלו קורבן לרמייה?

עומר טרן, ישראלי שכותב בלוג על אבטחת מידע, כינה את התעלול "אופציה מעניינת להתמודדות עם פישינג" ופירשן: "בנקים או ארגונים שנפלו קורבן לפישינג יכולים לנצל את הטכניקה לקבל גישה לפרטי המשתמשים שנפלו קורבן [...]. זה לא חוקי, אבל אני גם לא רואה את ארגון הפשע שמגיש תלונה במשטרה".
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 
תגובות
הוסף תגובה0 תגובות
הוספת תגובה
מאת
 
נושא
 
תוכן
 
 
 
 
תודה! תגובתך התקבלה.
התגובה תתפרסם בכפוף לתנאי האתר.
 
 
 
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by