Tracking and Identity Theft Daniel Giat & Oren Noy

מה זה גניבת זהות? גניבת זהות היא סוג של הונאה, של תרמית, המתבצעת בהצגת זהותו של אדם אחד כזהותו של אדם אחר. אדם מתחזה לאדם אחר לצורך שימוש בנכסיו, זהותו, יתרונותיו והטבותיו של האחר. עבירת גניבת הזהות עלולה לגרום נזקים רבים לקורבן. בתחום הפלילי: גניבת הזהות עלולה לאפשר לבצע פשע בשם אדם אחר אשר תקשה על הקורבן להוכיח את חפותו. בתחום האזרחי: פגיעה כלכליות (גניבה של נכסים וכספים), פגיעה בשם הטוב ובמערכות היחסים של האדם עם מכריו.

סוגי גניבת זהות גניבת זהות פלילית - התחזות לאדם אחר תוך ביצוע פשע. גניבת זהות כלכלית - שימוש בזהותו של אחר לצורך השגת אשראי ורכישת מוצרים ושירותים. שיבוט זהות - שימוש במידע של אדם אחר על מנת להשתמש בזהותו בחיי היומיום. גניבת זהות רפואית - שימוש בזהותו של אחר על מנת לקבל שירותי בריאות ותרופות. גניבת זהות של ילדים.

איך גונבים זהות? ישנן 3 שיטות של הונאה: Search in Trash–  שיטה למציאת מידע אישי, דליית מידע מציוד מחשוב לאכסון מידע (מחשבים אישיים, טלפונים סלולריים, דיסק און קי, וכו') אשר נזרקו לפח או נמכרו לאחרים. Fishing - התחזות לארגונים, חברות וחנויות באמצעות אתר אינטרנט פיקטיבי במטרה לגרום לאדם להכניס שם משתמש וסיסמה לאתר (נרחיב על כך בהמשך). Skimming – שיטה המתבססת על גניבת מספרי כרטיס אשראי/חיוב באמצעות התקן אחסון מיוחד בעת עיבוד כרטיס האשראי שלך. אנחנו נתמקד ב- Phishing .

הונאות עם זהות גנובה הונאת כרטיס אשראי: העבריינים עשויים לפתוח חשבונות כרטיס אשראי חדשים עם שם הקורבן. שימוש בכרטיסי אשראי כדי לשלם חשבונות,חובות,רכישות. הם עשויים לשנות את הכתובת לחיוב כרטיס האשראי, כך שהקורבן לא יקבל עוד הודעות על חיובים ולאחר מכן להפעיל את חיובים בחשבון שלך "במכה אחת".

הונאות עם זהות גנובה הונאת טלפון או שירותים : פתיחת חשבון טלפון חדש/אינטרנט, או ביצוע חיובים ושינויים בחשבון. שימוש בפרטי הקורבן כדי לקבל שירותים כמו חשמל, חימום, או טלוויזיה בכבלים. שימוש במידע אישי על הקורבן לצורך סחיטה באיומים.

הונאות עם זהות גנובה הונאת מימון בנקאי: פעולות בנקאיות תוך שימוש בשם או מספר חשבון שלך. פתיחת חשבון בנק וכתיבת צ'קים מזויפים. שכפול כרטיס הכספומט וריקון החשבונות. לקיחת הלוואה.

הונאות עם זהות גנובה? הונאת מסמכי הממשלה: קבלת תעודת הזהות או רישיון נהיגה. שימוש בשם הקורבן ומספר הביטוח הלאומי כדי לקבל הטבות ממשלתיות. הגשת דוחות מס מזויפים העושים שימוש בפרטי הקורבן.

מה גנבים עושים עם זהות גנובה? הונאות אחרות: הם עשויים לקבל עבודה באמצעות מספר הביטוח הלאומי שלך. הם עשויים לשכור בית או לקבל שירותים רפואיים בשמך. הם עשויים לתת מידע אישי שלך למשטרה במהלך מעצר. אם הם לא מגיעים למועד משפטם, צו המעצר שהוצא הוא על שמך.

איך אתה יכול לברר אם את זהותך נגנבה? הדרך הטובה ביותר לגלות היא לפקח על החשבונות ודוחות הבנק בכל חודש, ולבדוק את דו"ח האשראי על בסיס קבוע. למרבה הצער, צרכנים רבים שמו לב שזהותם נגנבה רק אחרי שהנזק כבר נעשה. הקורבן עלול לקבל הודעה באימייל על דירה שמעולם לא השתמש, או בית שלעולם לא קנה, או עבודה שאף פעם לא החזיק בה.

איך להגן על עצמך מפני גניבת זהות אישי להסתיר מסמכים חשובים, לשמור אותם בכספת אישית, או יותר טוב בכספת בבנק. הגן על מספרי ביטוח לאומיים, אפילו ממשפחה. לא לתת את מספר כרטיס האשראי לגופים לא מוכרים. להימנע משימוש באותה סיסמא עבור אתרים שונים. שימוש באנטי וירוס, ותוכנות ריגול למיניהם.

Fishing פישינג הוא ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט. המידע עשוי להיות, בין היתר, שמות משתמש וסיסמאות או פרטים פיננסיים. פישינג מתבצע באמצעות התחזות לגורם לגיטימי המעוניין לקבל את המידע. לרוב שולח הגורם המתחזה הודעת מסרים מידיים או דואר אלקטרוני בשם אתר אינטרנט מוכר, בה מתבקש המשתמש ללחוץ על קישור. לאחר לחיצה על הקישור מגיע המשתמש לאתר מזויף בו הוא מתבקש להכניס את הפרטים אותם מבקש המתחזה לגנוב.

אל תפלו קורבן לפישינג לעולם אל תלחצו על קישור בדואר אלקטרוני או במסר מידי חשודים, בייחוד בהודעות שמבקשות מידע אישי. הסתכלו על כתובת האינטרנט בתשומת לב וחפשו שגיאות קטנות, כמו "annazon.com". למדו כיצד לנתח כתובות כדי למצוא רמזים נוספים ללגיטימיות של האתר. אם אינכם בטוחים באשר לאתר חפשו כתובת האתר במנועי חיפוש בטוחים כמו גוגל, לא סביר שכתובתו של האתר החשוד תופיע בראש רשימת התוצאות, ולעומת זאת, אתר החברה האמיתי כן יופיע שם.

Third Party Web Tracking

מבוא- Tracking בימים הראשונים של האינטרנט התוכן תוכנן ואוחסן ע"י אדם, קבוצה או ארגון אחד. האינטרנט התפתח כדי להקל על פיתוח וקבלת דפי - אינטרנט המורכבים מתוכנם של מספר רב של אתרים. כיום, יותר ויותר דפי אינטרנט מכילים תוכן עצום של תכנים חיצוניים שאינם קשורים לאתר ("צד שלישי") כגון פרסום, פילוח נתונים, רשתות חברתיות ועוד. לשירותי "צד שלישי" יש ערך עצום: הם תומכים בתוכן חופשי ומסייעים בחדשנות האינטרנט, אולם שירותים אלו באים על חשבון פרטיות הגולשים. רוב הדיון יתבסס על תוצאות שהתקבלו מפלטפורמת דינאמית חדשה למדידת רשת –Fourthparty במהלך ההרצאה אנו נסקור את הדיון במדיניות סביב Third-Party web Tracking או בקיצור tracking , נתמקד במקרה כאשר אתר צד ראשון מרשה לאתר צד שלישי ללמוד על משתמשים, ונסביר את הטכנולוגיות שמפעילות אותו.

מבוא- Tracking בכניסה לכל אתר אקראי,  בערך חצי תריסר רשתות פרסום ואתרי אינטרנט הפקידו עוגיות מעקב במחשב שלכם על פי נתוני חברת Evidon , שעוזרת לחברות פרסום לשווק את המותג שלהן למשתמשים ברחבי האינטרנט – ישנן למעלה מ-800 חברות המפקידות עוגיות מעקב אחר המשתמשים, על מנת שיוכלו להציג להם את הפרסומת המתאימה, על פי הרגלי הגלישה שלהם. עוגיות מעקב לא עוקבות פיזית אחר המשתמשים, הן עוקבות אחר דפדפנים, כך שייתכן שרכיב הקוד ידע כל מה שהדפדפן שלכם ביצע, או לפחות חלק נרחב, אך הוא לא יוכל בהכרח לדעת מי מהמשתמשים שמפעילים את הדפדפן גלשו לאיזה אתר, או מה הם עשו בדפדפן אחר במחשב אחר. כמו כן, מרבית הטראקרים (העוקבים) יודעים כי הדפדפן שלכם הוא הדפדפן שלכם באמצעות מספר זיהוי ייחודי הממוקם בתוך עוגייה מסוימת ולא לפי שמכם או לפי פרטים אישיים נוספים. בנוסף, עוגיות מעקב יכולות לעקוב אחר הרגלי הגלישה שלכם באתרים המפעילים את אותו שירות מודעות שהשתיל אותן לראשונה, כך אתר מסוים יוכל לדעת לאילו דפים גלשתם בתוכו, אך כשתצאו ממנו ותגלשו לאתר אחר המשתמש במערכת פרסום שונה, היא לא תוכל לדעת באיזה דפים גלשתם באתר הקודם שהייתם בו, אלא רק בנוכחי.

מבוא- Tracking כמובן שבימנו האתרים למדו להשתמש בעוגיות מעקב התומכות במספר רשתות במקביל, כך שקיים סיכוי גבוה ששתי החברות יוכלו לדעת היכן הייתם בשני האתרים השונים.  לבסוף, המידע שנאסף הוא כללי ומטרתו להתאים את המודעות בצורה טובה יותר לקהל היעד הספציפי. חלק מהאינפורמציה הנוגעת אליכם נשלחת בחזרה על ידי עוגיות המעקב, הכוללות אינפורמציה שיכולה לשמש על מנת לזהות אתכם. אתרים רבים שולחים פרטים מזהים, כגון כתובת המייל, כחלק מהקישור של האתר שהייתם בו בחזרה ל- Trackers הם מצדם, טוענים שאינם מעוניינים באינפורמציה זו, לא משתמשים בה וגם אם היו רוצים לא היו יודעים כיצד להשתמש בה. למעשה, אם הם באמת היו רוצים, היו יכולים לקחת את האינפורמציה ולעשות בה שימוש אישי.

למה מדידת רשת? מדידת האינטרנט מספקת ראיות אובייקטיביות ואמינות כי הן מקדמות את הבנת הציבור לקביעת המדיניות . היא מהירה-טענות רבות על Tracking ספציפי יכולות להיות נתמכות או סתורות עם מדידת רשת הלוקחת שעות רבות. היא מאפשרת מחקר אורך. לעיתים קרובות ניתן לעשות שימוש חוזר על מנת לאסוף ולנתח נתונים באותה החומרה והתוכנה אפילו שנים זה מזה. לעיתים קרובות מדידת רשת יכולה להיות אוטומטית, ברגע שכלי מדידה גנרי נבנה הוא יכול להיות מיושם על מיליוני אתרי אינטרנט.

בעיות פרטיות מידע זמין ממצאים היסטוריית גלישה קשורה באופן מובהק למידע אישי. הדפים שמשתמש מבקר בהם יכולים לחשוף עליו מידע רגיש (כגון: מיקום, מצב פיננסי, נטייה מינית וכדו') ניתוח דפוסי פעילות ברשת ייתן לנו הסקת מסקנות רחבות יותר. כאשר אתר צד א מטמיע תוכן של צד ג', צד ג' מודע לכתובת הurl של צד א' ע"י http המפנה. אם האתר מטמיע תוכן script של צד ג', צד ג' לעיתים קרובות ילמד את כותרת האתר גם כן על ידי document. Title. חלק נרחב מאתרי צד א' אף ינדבו מרצון מידע רב יותר. ממצאים באמצע שנת 2011 ממצאים הראו שרשת הפרסום Epic Marketplace חשפה בצורה פומבית פלח הנתונים בעלי העניין שסיפקו הצצה לאילו נתונים הצד ג' רוצה ללמוד על המשתמשים: המידע כלל נתונים אודות גיל המעבר, כניסה להריון, יציאה ממינוס וחובות בנק. כמו כן נמצא שאתר ההיכרויות OkCupid שלח לספק הנתונים Lotame באיזה תדירות המשתמש שותה אלכוהול, מעשן, ועושה סמים.

בעיות פרטיות

בעיות פרטיות יכולת זיהוי ישנם 5 דרכים שבהם היסטוריית גלישה יכולה להיות מזוהה: כאשר צד ג' הוא גם צד א'- למשל פלגין של פייסבוק המזהה את המשתמש לתאימות הווידג'ט. צד א' מוכר את זהות המשתמש –אתרים ש"מדליפים" תוכן משתמשים לשירותי פרסום/ניתוח נתונים תמורת כסף. צד א' שמספק את הזהות שלא בכוונה - ברוב המכריע של המקרים שם המשתמש והמזהה היה חלק מה-url או כותרת הדף. מתוך 120 אתרים פופולארים שנבדקו 48% הדליפו בטעות מידע, תוך שימוש במתודולוגיה דומה נבדק זהוי מידע שזלג ברשימת 250 האתרים הפופולאריים ביותר על פי האתר Quantcast U.S. מתוך 185 אתרים שבהם היה ניתן לבדוק את ההרשמה ואת האינטרקציה נמצא ששם המשתמש והסיסמא נשלחו לדומיין עם סיומת ציבורית שונה ב - 113 אתרים (61%) .

בעיות פרטיות יכולת זיהוי 3.

בעיות פרטיות יכולת זיהוי צד ג' משתמש בפרצת אבטחה. למשל- :Clickjacking פתרון צד שרת הוא ה-Frame busting. הפתרון הוא לכתוב סקריפט (מספר שורות קוד בשפה (JavaScript שיושתל בדף שיש סיכוי שינוצל לרעה. מטרת הסקריפט היא לעצור את השימוש בדף בתוך Frame והוא עושה זאת על ידי שימוש בשני חלקים: תנאי תפיסה – ופעולת הדיפה.

בעיות פרטיות יכולת זיהוי Do NOT track! אימות חוזר-צד ג' יכול להשוות הסטוריית גלישה בדויה מול מסדי נתונים המזהים משתמשים כדי לבצע זיהוי. לדוגמא: השוואת פעילות גלישה לזמן ומיקום בלינקים ששותפו באופן ציבורי ע"י משתמשי Twitter. Do NOT track!

בעיות פרטיות דוגמאות: צפייה במודעה מקומית באתר של Home Depot שלחה את שם המשתמש ואת כתובת האמייל שלו ל 13 חברות. הכנסת סיסמא שגויה באתר Wall Street Journal שלחה את האמייל ל-7חברות. שינוי הגדרות משתמש באתר הווידאו Metacafe שלחה את כל הפרטיים האישיים כולל כתובת ומספרי טלפון ל-2 חברות. בכל המקרים זיהוי המידע היה אפשרי מכיוון שהמידע היה כלול כפרמטר ב.url-

מדיניות אגודות לזכויות האזרח וקובעי מדיניות אירופאים רואים את הפרטיות ברשת כחלק מזכויות האדם הבסיסיות. אחרים,הכוללים מדענים וקובעי מדיניות אמריקאים רואים את בחירת הגולשים לסיכונים בפרטיות ברשת כאמצעי שיגדיל את הרווחה. אתרי גוף שלישי וקבוצות פרסום מקוונות טוענים כי הביקוש לתוכן גובר על פרטיות הצרכן וזכויות כלכליות. כל בעליי העניין מסכימים שללקוח צריכה להיות שליטה על web-tracking במידה כזו או אחרת אך יש הרבה נקודות מחלוקת על פרטי השליטה: הרבה מקובעי המדיניות ותומכים רבים מאמינים שעל הלקוחות צריכה להיות שליטה על איסוף המידע שברשת. מצד שני, קבוצות סחר מידע מקוון טוענות שהשליטה צריכה להיות רק על שימושים ספציפיים של מידע. קובעי מדיניות אירופאים טוענים שיש לאסור כלל על web-tracking.

רגולציה ארה"ב ארגון ה- FTC (The Federal Trade Commision) שמטרתו היא קידום הגנת הצרכן, דואג לאתר ולהעניש את המפרסמים שמטעים או פועלים לאסוף מידע רגיש על הגולשים מתוקף סמכותו. הרשות הביאה לפעולות נרחבות בתחום ה-Tracking: הקמת רשתות פרסום גדולות (ScanScout,chitika) המציעות "עוגיה" המתבטלת לאחר 10 ימים, והבאת אפשרויות למשתמש לביטול Tracking. איום באכיפה, הבאת הצעות חקיקה, עזרה לחברות בשיפור פרסום. מנגנון  Do Not Track (DNT)שיושב בheader של http המגביל איסוף מידע ברשת. במאי האחרון הורתה הרשות לשנות את התנהלותם של מפרסמים בכל הקשור למודעות על מסכים קטנים, כגון סמארטפונים, ובמודעות במדיה החברתית. מעתה, יהיה עליהם לציין במובלט את העובדה שמדובר במודעות, כמו כן הרשות שוקלת לפתוח בחקירה פדרלית ומקיפה בנושא כנגד מפרסמים המשתמשים ב"פרסום מוטמע" באינטרנט ((Native Advertising - מודעות המטשטשות את הגבול בין תוכן ובין פרסומת, ונראות לכאורה כתוכן לגיטימי.

רגולציה אירופה ההנחיה בוועידה האירופאית ePrivacy בשנת 2002 הייתה להתחייב שאתרים יאפשרו למשתמשים לבטל את איסוף מידע בדפדפנים למעט מה שהכרחי לספק מידע המתבקש מפורשות מהמשתמש. בפועל, מדינות האיחוד כלל לא נקטו בשום אמצעים לאכוף תאימות זו, וברוב המקרים התייחסו ל"עוגיות" כיישום נאות ומקובל. רק ב- 2012 החלו תמורות חיוביות ברגולציה המחייבות את האתרים לבקש הסכמה מפורשת ממשתמשים באופן חד משמעי שהתרחבו אף לאתרים ולחברות חוץ - אירופאיות האוספות מידע על גולשים אירופאים.

טכנולוגיות Tracking Supercookie בנוסף לקוקיס הרגילים, יש קוקיס שמוחדרים למחשב שלנו כאשר אנחנו משתמשים בשירותים מבוססי פלאש. הקוקיס האלה נקראים סופר- קוקיס ( SuperCookiesאו (LSO העוגיות הללו משמשות למעקב אחר תנועת המשתמשים ושומרות מידע רב יחסית, בקבצים בגודל של עד kb 100. מחיקת קוקיס רגילה לא מוחקת את הקוקיס האלה.. כמו כן, ניתן להסיר את העוגיות באמצעות תוסף פרטיות שפועל בדפדפן פיירפוקס – .BetterPrivacy

טכנולוגיות Tracking Fingerprinting ברגע שגולש נכנס לאתר מסוים, האתר מורה לדפדפן שלו לייצר תמונה ייחודית, שהגולש לא יכול לראות. כל מחשב יוצר תמונה אחרת, וכך ניתן ליצור זיהוי ייחודי לכל מחשב. כמובן שברגע שיש זיהוי ייחודי לכל משתמש, ניתן לבנות פרופיל משתמש ולהתאים לו את התכנים של האתר וכמובן את הפרסומות שיוצגו בפניו. "טביעות האצבע" השונות מתקבלות מהתצורה השונה של כל מחשב, שכוללת מאפיינים ייחודיים כמו: מערכת הפעלה וגרסה, דפדפן, הגדרות זמן המערכת, תוכנות מותקנות ופונטים בשימוש. הדפדפנים מעבירים את המידע הזה אוטומטית בעת הגלישה לאתר מסוים. בשונה מהקוקיס טכנולוגיה זו פועלת בסתר ולא ניתן לחסום אותה בעזרת הגדרות הדפדפן או חוסמי   פרסומות. זו גם הסיבה שהיא קורצת כל כך למפרסמים. אפשרויות הגנה הן: שימוש בדפדפן  ,TOR תוסף לכרום בשם ,Gloveביטול טעינה של  ...JavaScript באמצעות סקריפט או מלמידה של תעבורת הרשת

העדפות משתמש Opt Out Cookies and AdChoices Icon Blocking Do Not Track

תודה רבה