קרדיט: Shutterstock
חברת אבטחת הסייבר צ'ק פוינט מחקר יצאה לאחרונה עם מאמר די מחורבן על פרצות TikTok שנתן להאקרים דרך מצוינת לחדור לחשבונות של משתמשים. TikTok תיקן מאז את הבעיות, אז אתה בטוח, אבל הדרך היצירתית שבה התקפות אלה נוצרו מציעה הזדמנות למידה נהדרת. גם כשנראה שההודעות מגיעות ישירות משירות, אתה תמיד צריך להיות על המשמר ולשקול מדועאתהמקבל את ההודעה הזואָז.
כל זה יהיה קצת יותר הגיוני ברגע שנדבר על שיטת ההתקפה, אז בואו נתחיל שם. כפרטי מחקר צ'ק פוינטבסרטון הזה, תוקפים השתמשו בעצם בתכונת "שלח לעצמך קישור להורדת TikTok" של TikTok - דרך נוחה להשיג אפליקציה במבט ראשון - כדי לשלוח הודעות למשתמשים שנראו לגיטימיות במבט ראשון. הם הגיעו מ-TikTok, אחרי הכל; הם נראו כמו טקסט TikTok והיו להם אותו סוג של הודעות "הורד TikTok כדי להתחיל לצפות" שהיית רואה בגרסה רגילה של הודעות הטקסט האלה.
התוקפיםלְמַעֲשֶׂהיירט את בקשת ההודעה המקורית ושינה את ההיפר-קישור שנשלח, מה שאפשר לתוקפים לבצע מספר פעולות: הוספה או מחיקה של סרטונים מחשבון משתמש; שינוי הפרטיות של סרטונים של משתמש; או אחזור מידע מחשבון משתמש, כמו כתובת האימייל, תאריך הלידה או פרטי התשלום שלו.
קרדיט: דיוויד מרפי - מחקר צ'ק פוינט
מה אנחנו יכולים ללמוד מזה? פשוט: בכל פעם שאתה מקבל הודעה ממישהו - אדם, חברה, שירות, מה שלא יהיה - המבקש ממך לעשות משהו, עצור ושקול מדוע נשלחה לך ההודעה הזו:
האם ביקשת משהו, והאם ההודעה היא תגובה (די מיידית) לבקשתך? אתהכַּנִראֶהעָדִין.
האם ההודעה הופיעה משום מקום?תהיה סקפטי.
האם ההודעה הופיעה משום מקום והיא מבקשת ממך לעשות משהו, כמו להוריד קובץ או ללחוץ על קישור?תהיו אפילו יותר סקפטיים, וכנראה אל תעשו זאת.
האם ההודעה הופיעה משום מקום והיא מבקשת ממך לאשר פרטים על חייך האישיים או על חשבונך?אל תעשה את זה. למה שתעשה את זה?
זה כל כך קל, והתקרבות לקישורים וקבצים שנשלחים לך (או אפליקציות שאתה מתבקש להוריד) יכולה לחסוך לך עולם של פגיעה כשמישהו מנסה לגרום לך ללחוץ או להפעיל משהו זדוני. שקול תמיד את ההקשר של מה שאתה מקבל, ותטעה בכך שאתה לא עוסק בקישורים או קבצים שנשלחים ללא הרף.
ברור שאם חבר שולח לך קישור לאתר מצחיק או GIF של חתול בדוא"ל שלך, אתה יכול להיות קצת פחות זהיר. אבל זה אף פעם לא מזיק לרחף עם העכבר מעל קישור כדי לאשר שאתה הולך לכתובת URL או דומיין בעלי מראה סביר. שקול להעתיק את הקישור ולהדביק אותו במופע גלישה בסתר או פרטי של הדפדפן שלך, רק ליתר ביטחון - אם הוא מלא במחרוזות מיותרות המבוססות על דומיין לא ידוע, ולא רק שם דומיין רגיל אליו אתה רגיל (וקובץ שמסתיים ב-.GIF, למשל), הפסקה.
במקרה של TikTok, אתה אפילו לא צריך ללחוץ או להקיש על קישורים כדי להוריד את האפליקציה; לך לתפוס אותו בעצמך מחנות האפליקציות האהובה עליך. אבל כמו שאמרתי, אתה צריך להיות סופר חשדן אם אתה מתבקש להתקין אפליקציה או להפעיל שירות כאשר לא יזמת את הבקשה. וזה נכון כפול אםכבר התקנת את TikTok,מה שאמור להיות סימן ברור שמישהו מנסה להתעסק איתך ועם החשבון שלך.
