תעלומה: כיצד נפרצו תיבות Gmail ישראליות?

האם Gmail אכן חסין בפני התקפות? במהלך החודש האחרון, תיבות ה-Gmail של משתמשים ישראלים רבים הפיצו כמויות גדולות של דואר זבל לכלל רשימת אנשי הקשר שלהם, שפירסם חנות לגאדג'טים בשם eioffer, שלא בידיעתם. כותרת הודעת הספאם שנשלחה: "Dear friend, merry Christmas". בשלב זה, הגורם שאיפשר את הפריצה דווקא לחשבונות אינו ידוע, וגוגל אינה מוסרת מידע נוסף.

ככל הנראה, לא מדובר בסוס טרויאני או בתוכנה זדונית (malware) אחרת, שחדרה למחשבי הגולשים. הסבירות לכך נמוכה, מאחר ושולחי הספאם חדרו גם לתיבות של משתמשי מקינטוש (עם מערכת ההפעלה OS X) ומשתמשי לינוקס. מערכות הפעלה אלו אינן פגיעות לווירוסים או תוכנות פולשניות שנכתבו ל-Windows, והיצע התוכנות הזדוניות שקיים עבורן זעום ונדיר.

בבדיקה של שתי תיבות מייל של עובדי ynet שנפגעו, ניכר כי החדירה לתיבות התבצעה מכתובת של מחשב הנמצא בסין. לידי גוגל ישראל נמסרו הכתובות, אך החברה לא התייחסה לגורמים האפשריים לפריצה, וטענה דווקא כי הישראלים נפגעי הספאם הם קורבנות "פישינג" (במקור phishing). 

כלומר, הקורבנות גלשו לאתר זדוני כלשהו שהתחזה לאתר לגיטימי ומילאו בו מרצונם את שם המשתמש והסיסמה. לפי תאוריה זו, הפורץ ניצל את תמימותם, נטל את הסיסמה, נכנס לתיבות המייל ושלח ספאם לכל אנשי הקשר - הסבר שעל פניו, הוא סביר פחות.

תגובת גוגל

מגוגל ישראל נמסר: "ישנן שתי דרכים "לשלוח" ספאם בצורה לא חוקית מחשבונות פעילים של משתמשי Gmail: או באמצעות פישינג (כלומר, גישה בלתי חוקית למספר וסיסמת החשבון באמצעות רמייה של בעל החשבון שמספק את הפרטים שלו ללא ידיעתו) או באמצעות "spoofing" (כלומר, שליחת מיילים מבעל חשבון, מבלי שתהיה גישה לסיסמת המשתמש).

"אם אתם רואים כניסה מכתובת IP שאינה כתובת ה-IP הרגילה שלכם, סימן שניגשתם למייל שלכם ממיקום שונה מהרגיל, או שמישהו אחר ניגש אליה. במקרה של צילום המסך ששלחת אלינו – נראה כי החשבון נפגע מפעולת פישינג. אנו ממליצים שבעל החשבון יחליף את סיסמתו כמה שיותר מהר. אנו מודעים לבעיה שהועלתה ונמשיך לערוך בדיקות ולחקור את העניין".

"איבדתי אמון ב-Gmail"

תלונות על תיבות מייל שנפרצו והחלו להפיץ פרסומות לחנות הגאדג'טים eioffer הופצו ברחבי הרשת הישראלית: לרשימת התפוצה של משתמשי אובונטו לינוקס, בפורום התמיכה של תפוז, לבלוגיות ועוד.

"חיית אדם השתלטה על חשבון ה-Gmail שלי, קצרה את כל כתובות הדואל שהיו בפנקס הכתובות ובאלפי האימיילים שהיו שם וכל זה בשביל מה? בשביל לשלוח לכל חברי משפחתי, ידידיי, מכריי וכל מי שאי פעם שלח או קיבל ממני אימייל ספאם מטומטם וודאי שקרי על שורת הנחות באיזושהי חנות אלקטרוניקה וירטואלית", כתב הבלוגר איל נבו, שתיבת המייל שלו נפרצה. "בחשבון ה-Gmail שלי אני כמובן לא אשתמש יותר בחיים. אני פגוע לתמיד. איבדתי את אמוני ב-Gmail".

התשובה שקיבל נבו מהתמיכה של גוגל חזרה והסבירה כי מדובר בפישינג. במכתב תשובה לגוגל שכתב נבו, יזם אינטרנט במקצועו, טען כי "אין שום מצב בעולם שנפלתי קורבן למזימת פישינג. אני מכיר את הרשת מספיק טוב כדי לא ליפול בפח כזה".

הסבר אפשרי אחד לפריצה: כתובות המייל, שמות המשתמש והסיסמאות נלקחו אולי מבסיס נתונים של אתר גדול כלשהו בו רשומים בעיקר גולשים מישראל. אמנם שמות המשתמש והסיסמה יחודיים לאתר ממנו נגנבו, אך רבים משתמשים באותם שם וסיסמה לכל השירותים אליהם הם מנויים ברשת - עובדה שהפורצים ניצלו. עם זאת אין ראיות שתומכות באפשרות זו.

בכל מקרה, המלצתנו היא להחליף את הסיסמה בתיבת ה-Gmail, PayPal ושירותים מאובטחים ורגישים אחרים בתדירות גבוהה יחסית, ולגוון בבחירת הסיסמאות.

סייע בהכנת הכתבה: ארז רונן