DMZ ל-Facebook – התמודדות עם פרופילים מזוייפים

בחודשים האחרונים אני מקבל לא מעט הצעות חברות ב-Facebook מפרופילים פקטיביים או כל מיני פרופילים לא מזוהים. מאחורי חלקם כנראה מסתתרים אנשים תמימים, אבל חלקם הגדול, ככל הנראה, הם ספאמרים.

בתור הרשת החברתית הגדולה בעולם, הפכה Facebook למאגר מידע אדיר המכיל פרטים אישיים של מאות מיליוני אנשים, מכל הסוגים והמינים, ובכל ברחבי העולם. בכך מצטרף לאי הנעימות הנגרמת מספאם שאנחנו מקבלים, גם החשש מגנבת מידע, גניבת זהות ואיסוף מודיעין פלילי או ריגול תעשייתי.

אך לא תמיד אנחנו יודעים להבחין בין פרופיל תמים לפרופיל מזוייף. לעיתים רבות בעל הפרופיל הפקטיבי יבחר בשם נפוץ (לדוגמה, יואב כהן), ותמונת הפרופיל תהייה מטושטשת או לא ברורה. רוב האנשים לא יקדישו יותר מידי תשומת לב לעניין ויאשרו את המשתמש הפקטיבי, אלו המודעים יותר לנושא אבטחת המידע והפרטיות יהססו, אך בסוף גם רובם יכנעו ויאשרו את אותה בקשת החברות.

למעשה, יתכן כי באותו הרגע, מפעיל הפרופיל הפקטיבי היושב ומחכה לאישור, יתחיל לאסוף את כל המידע האפשרי מפרופיל המשתמש. הוא יתחיל לאסוף תמונות, רשימת חברים, התכתבויות פומביות (על ה-Wall), תחביבים, מידע על בת/בן הזוג וכו'. המידע הזה עשוי לחשוף פרטים בעלי ערך רב בפני עצמם, אך גם אם הוא מועט מאוד הוא יכול לשמש למתקפת "הנדסה חברתית" איכותית.
נוכל מתוחכם אף יותר יצור סקריפט השואב בצורה אוטומטית כל מידע גלוי מפרופיל המשתמש הנתקף ברגע האישור.

אם כך, כיצד נוכל להתמודד עם אותם הנוכלים?

לאלו מאיתנו שיכולים להשתלט על הסקרנות שלהם הפתרון הוא פשוט – לא לאשר הצעות חברות מאנשים שאנחנו לא בטוחים בזהותם.
ולסקרנים שבינינו יש פתרון שמצריך כמה דקות של עבודה, אך גם הוא יחסית פשוט. יצירת "DMZ" לפרופילים חשודים.

מהו DMZ?

DMZ הם ראשי התיבות של Demilitarized Zone (אזור מפורז). בעולם אבטחת המידע הכוונה היא לאזור כלשהו המפריד בין הנכסים שלנו (הרשת של הארגון, הסודות שלנו וכו') לבין העולם החיצון אשר עשוי גם להיות רע. כך גם אם התוקף תקף, אנחנו עשויים להבחין בתקיפה שלו כאשר הוא נמצא בטריטוריה שלנו, אך עדיין לא הגיע לנכסים עליהם אנחנו רוצים להגן.

ואיך זה מתקשר ל-Facebook?

Facebook מאפשרת לי ליצור רשימות חברים (כן באמת! Google+ לא המציאו את זה!) ולהגדיר מדיניות שונה של חשיפה לאזורים שונים בפרופיל שלי עבור כל רשימה. לדוגמה, תוכלו ליצור רשימה עבור מקום העבודה אשר כל חבריה לא יוכלו לראות תמונות אישיות שלכם מאירועים חברתיים, או ליצור רשימה של אנשים המתעניינים בטיולי אופניים, אשר רק היא תקבל את כל הפרסומים שלכם בנושא.
כדי ליצור רשימות מסוג זה יש להיכנס לעמוד הזה http://www.facebook.com/friends/edit (Account => Edit Friends) ולאחר מכן ללחוץ על כפתור Create a List.

אני יצרתי רשימה כזאת וקראתי לה DMZ ובינתיים לא צרפתי אליה אף חבר.

לאחר מכן הורדתי את הרשאות הצפיה לרשימה זאת על ידי כניסה לעמוד הגדרות הפרטיות http://www.facebook.com/settings/?tab=privacy (Account => Privacy Settings) ולחיצה על Customize Settings ולאחר מכן הוספת הרשימה "DMZ" לשדה ה-Hide this from לכל אחד ממאפייני הפרופיל.

מעתה, כאשר נקבל בקשה לחברות ב-Facebook מגורם חשוד, נוכל בחלון האישור להוסיף באופן מיידי את הפרופיל החדש לרשימה המאובטחת שלנו. כך אותו הגורם לא יוכל לצפות בדבר, ואילו אנחנו נוכל לקבל יותר מידע על הפרופיל שלו ולהבין האם זה באמת חבר עבר או אדם ששכחנו או שמדובר בגורם זדוני.

שוב, כנראה שהפתרון של צירוף חברים בלבד הוא חכם יותר ופשוט יותר. כל התהליך הזה הוא רק חלופה לאנשים כמוני שלא יכולים להתאפק.