הגונב מגנב

מה עושה גולש תמים שמקבל לתיבה שלו מייל מאת מנהל הרשת החברתית בה הוא חבר, בו הוא מתבקש להיכנס לאתר ולהזין שם משתמש והסיסמה שלו? סביר להניח שחלק מהגולשים יפלו בפח של אחת משיטות ההונאה הכי מוכרות ברשת: ספאמרים שולחים מייל המוני, מגורם רשמי כביכול, ובו הם מפתים את הגולשים להיכנס לאתר דמה שהקימו (לרוב אתר של בנקים) על מנת שיוכלו לגנוב את שם המשתמש והסיסמה שלהם.

בין מקבלי הספאם שנשלח מהכתובת admin@myspace.com היה גם הבלוגר והסטודנט וCyber-Knowledge שהחליט שהוא לא יסתפק במחיקת דואר הזבל ומעבר לסדר היום.

סקרנותו של Cyber-Knowledge גברה ובמקום למסור את פרטיו האמיתיים הוא מסר שם וסיסמה פיקטיביים. לאחר מכן הוא המשך לחטט עוד קצת באתר הפישינג. כעבור שעה קלה נשאו השיטוטים פרי ו-Cyber-Knowledge הצליח להניח את ידיו על קובץ שהכיל כ-20 אלף סיסמאות של גולשים שנפלו בפח והכניסו שם וסיסמה אמיתיים לאתר הדמה.

הגונב מגנב

ואולם, במקום לפנות לרשויות, או למייספייס עם הממצאים, המתכנת הנועז החליט דווקא לפרסם אותם בבלוג האבטחה, כולל ניתוח סטטיסטי מעמיק של הסיסמאות, וכן תרשימים ודוגמאות לסיסמאות מעניינות.

על פי הקובץ, הסיסמה הכי פופולרית היא לא 12345678 הצפויה, אלא דווקא cookie123, בה בחרו 13 גולשים שונים. סיסמאות נפוצות נוספות הן password, fuckyou, ו-abc123. רק 19% בחרו סיסמה שכוללת גם אותיות גדולות, שנחשבת גם קשה יותר לפיצוח.

בנוסף לסטטיסטיקות על הסיסמאות של משתמשי מייספייס, נחשפו גם פרטים כמו כתובת המייל שלהם. מתוך כל החשבונות שבקובץ, 6004 נרשמו באמצעות המייל של יאהו, רק 3469 השתמשו בתיבה של Gmail ובמקום השלישי AOL, עם 3224 מנויים.

מותר לגנוב מאתרי פישינג?

אי אפשר להתעלם מהשאלה המוסרית של גניבת הסיסמאות. כשחברת ענק כמו AOL חשפה מילות חיפוש של גולשים מיוזמתה, היא חטפה קיתון של רותחין. האם גניבת הקובץ שמכיל את הסיסמאות מענישה את נוכל הפישינג המקורי, או שהיא פשוט מאוד מענישה בפעם השנייה את מי שכבר נפלו קורבן לרמייה?

עומר טרן, ישראלי שכותב בלוג על אבטחת מידע, כינה את התעלול "אופציה מעניינת להתמודדות עם פישינג" ופירשן: "בנקים או ארגונים שנפלו קורבן לפישינג יכולים לנצל את הטכניקה לקבל גישה לפרטי המשתמשים שנפלו קורבן [...]. זה לא חוקי, אבל אני גם לא רואה את ארגון הפשע שמגיש תלונה במשטרה".