Pokémon Go או Pokémon No?

ללא ספק, הלהיט התורן של קיץ 2016 הוא משחק המציאות הרבודה Pokémon GO. מנתונים של חברת המחקר App Annie שהתפרסמו השבוע עולה שיותר מ-100 מיליון איש הורידו את המשחק בתוך פחות מחודש מאז השקתו, כאשר כ-30 מיליון הורדות התבצעו בשבוע האחרון בלבד.

עוד מעריכה חברת המחקר שעל אף שהמשחק ניתן להורדה בחינם, קצב ההכנסות של Ninatic, המפתחת של המשחק, עומד על כ-10 מיליון דולר ליום – מספר מרשים לכל הדעות. השיגעון סביב המשחק נמצא בעיצומו, כאשר צעירים ומבוגרים כאחד נראים ברחובות ובשאר המרחבים הציבוריים עם סמארטפונים שלופים, במרדף אחרי הדמויות המצוירות.

אלא שלהיסטריה הזו סביב המשחק יש גם צדדים פחות חיוביים, ובעיקר פוטנציאל הפגיעה באנשים פרטיים וארגונים אותו זיהו האקרים מסביב לעולם. מספר ימים אחרי השקת המשחק וההצלחה שלו כבר החל להופיע גל עולמי של הונאות פישינג שמטרתן משתנה – מגניבת פרטים אישיים וזהויות של שחקנים ועד השתלטות על מכשירי הסמארטפון והדבקתם בווירוסים ובנוזקות מסוגים שונים.

פישינג וגרסאות מזויפות

אחת מהונאות הפישינג, שזוהתה בארצות הברית, כוללת משלוח מייל ממוען לשחקני ה-Pokémon GO, שמכיל מצג שווא שלפיו Ninatic היא הפונה לאותו משתמש ומודיעה לו שהיא מעבירה אותו למנוי חודשי בתשלום של 12.99 דולר. "בעקבות הביקוש יוצא הדופן לאפליקציית ה-Pokémon GO החדשה שלנו והצורך להגדיל את כוח המחשוב התומך במשחק, אין באפשרותנו יותר לאפשר את החשבון שלך בשירות חינמי", נכתב במייל השקרי. "מפתחי המשחק החליטו על גבייה של 12.99 דולר לחודש, וחשבונך יוקפא במידה שלא תבצע את השדרוג".

בהמשך המייל דורשים ההאקרים מהמשתמש ללחוץ על לינק שמתחבר לכאורה לחנות האפליקציות ולרכוש דרכו את "הגרסה המלאה" של המשחק. אלא שבפועל, הלינק מוביל לאתר צד שלישי, שאינו מוכר או משויך ליצרנית ה-Pokémon GO, ושמטרתו לגנוב את פרטי החשבון והסיסמאות של המשתמשים.

ארגוני אכיפת חוק ומשטרות מקומיות בארצות הברית ובבריטניה כבר יצאו בגל של אזהרות מפני הסכנות להונאות הפישינג בעת משחק ב-Pokémon GO, שמטרתן להפיל בפח שחקנים תמימים. אלא שהסכנה לא מסתכמת בגניבת זהות או פרטים אישיים אחרים של השחקנים. הונאה מסוג אחר, ומתוחכמת יותר, נוגעת בהורדת גרסאות מזויפות של המשחק מאתרי הורדות לא רשמיים.

לא Go ולא No. משהו באמצע – לשחק, אבל בזהירות. Pokémon GO

כאן צריך לזכור שעד היום המשחק הושק בצורה רשמית במספר קטן של מדינות, בהן ארצות הברית, אוסטרליה וניו-זילנד. בכל שאר המדינות, כולל בישראל, שחקנים מורידים אותו מאתרים לא רשמיים. הדבר פותח פרצה להאקרים להעלות גרסאות דמה של המשחק שמכילות וירוסים, נוזקות או סוסים טרויאניים. אלה יכולים להכיל דלת כניסה אחורית להשתלטות מרחוק על מכשיר הסמארטפון על המידע שנמצא בו, ולשמש נקודת גישה לרשת ארגונית. סוג זה של הונאות סייבר תפס תאוצה בשנים האחרונות, ככל שהתרחב השימוש באפליקציות מובייל. כמובן שכאשר מדובר באפליקציה פופולרית כמו Pokémon GO, ההאקרים פועלים במהירות ומפתחים גרסאות מזויפות שמטרתן להפיל בפח את המשתמשים הפחות מנוסים או הפחות מודעים לסכנות.

מה ארגונים צריכים לעשות?

מספר ימים לאחר השקת המשחק זיהתה את הסכנה מחלקת ביטחון המידע של צה"ל, שהבינה את הפוטנציאל הנפיץ של השימוש באפליקציה על ידי חיילים בבסיסים ומתקנים מסווגים, והודיעה על איסור מוחלט לשחק בה בתוך מחנות הצבא. ההודעה של צה"ל דיברה על חשש שבמהלך המשחק חיילים יתעדו מקומות בתוך הבסיס שעלולים לחשוף מידע סודי או מיקומים של יחידות ומתקנים מסווגים. שלטונות הצבא הדגישו את חוסר הזמינות של גרסה רשמית של האפליקציה בישראל ואת הסכנה בהורדה לטלפונים של גרסאות לא חוקיות, שמאחוריהן יכולים לעמוד האקרים או גופי מודיעין זרים.

אלא שמה שנכון לצה"ל לא תמיד יכול להיות נכון בארגון עסקי, בו פקודות אינן חלק מההתנהלות הארגונית. עבור מרבית העובדים בישראל, מכשיר המובייל שהם מקבלים ממקום העבודה משמש אותם גם לצרכיהם הפרטיים. ערבוב השימושים הזה מחייב ארגון שמבקש להימנע מהסכנה של הורדת גרסאות מזויפות של האפליקציה לנהוג בשתי פעולות במקביל: מצד אחד, לחסום בצורה אקטיבית, באמצעים טכנולוגיים, את היכולת להוריד גרסאות לא רשמיות של האפליקציה, ומצד שני לקבוע כללי התנהגות ברורים במרחב הדיגיטלי, שמטרתם למנוע דליפת מידע ארגוני ולהנחיל אותם לעובדי הארגון באופן מסודר ועקבי.

בתוך הכללים האלה צריך הארגון לתת את הדעת לפוטנציאל הסכנה של הורדת אפליקציות מאתרים לא מורשים או של אפליקציות מזויפות. בסופו של יום, הדרך הטובה ביותר להילחם בסכנות הסייבר היא למנוע את הסכנה מלכתחילה. כאן קיימת חשיבות בהעלאת המודעות של העובדים לסכנות ולכללי התנהגות נאותה, תוך תרגול וחינוך שלהם. הארגון יעשה טוב אם יערוך סימולציה של הורדת אפליקציות לטלפון הסלולרי מאתרים לא מורשים או מתן גישה למשאבים חיוניים שלא לצורך.

הכותבת היא מומחית סייבר ומנהלת השיווק והמכירות של Q-Log, מערכת ארגונית להדמייה של מתקפות פישינג והדרכת עובדים.