$
חדשות טכנולוגיה

משבר הקורונה

הודעות ה־SMS של משרד הבריאות - פתח למתקפות פישינג והונאה

בהודעה אין די מידע למקבל אותה כך שאינו יכול לוודא אם נפלה טעות ואם היא אכן אמינה. הפתרון? הוספת נתוני מיקום, מספרו של החולה שהיה בקרבתו, תאריך חשיפה ושעה

עומר כביר 11:3622.03.20
הודעות ה-SMS האוטומטיות, ששולח משרד הבריאות לאזרחים שזוהו כמי ששהו ליד חולי קורונה וחייבים בבידוד ביתי סובלות מיכולות אימות נמוכה, מה שיוצר פתח למתקפות פישינג ולהונאות מסוכנות – כך מתריע מנכ"ל חברת הסייבר קלירסקיי, בועז דולב. חמור לא פחות: ההודעות לא מספקות למקבליהן כלים בסיסיים כמו אפשרות לערער על ההוראה.

 

 

בשבוע שעבר החל משרד הבריאות לשלוח הודעות SMS לאזרחים שמחויבים להיכנס לבידוד, אחרי שזוהו בסיוע האמצעים הטכנולוגיים שמפעיל השב"כ מכוח תקנות שעת חירום. "שלום", נכתב בהודעות שנשלחו מ-HEALTHGOV. "לפי חקירה אפידימיולוגית היית בתאריך **** ליד חולה קורונה. עליך להיכנס מייד לבידוד בית עד ***** להגנה על קרוביץ והציבור. אם יש לך חום, שיעול וכו' נא להתקשר למד"א – 101. מידע נוסף בקישור. לאימות ניתן לחייג 5400* המידע ישמש רק למטרה זו וימחק בתום הצורך. בברכיה שירותי בריאות הציבור".

 

מעקב מעקב צילום: שאטרסטוק

 

לדברי דולב, שעמד בעבר בראש מערך האינטרנט הממשלתי, נוסח ההודעה בעייתי ועלול לפגוע באמון האזרחים במערכת. "למי שקיבל את ההודעה הזו אין אפשרות לבדוק אם נפלה טעות, ורמת האמינות של ההודעות עצמן נמוכה", הוא אמר. "כך למשל, יוכלו גורמים זדוניים להתחזות ולשלוח הודעות כאלו לאנשים ולהכניס אותם לבידוד". בנוסף, הנוסח הגנרי של ההודעות פותח את הדלת בפני נוכלים שיוכלו לשלוח הודועות מזויפות עם הפניה לאתר אינטרנט שיתחזה לאתר משרד הבריאות בניסיון לדלות פרטים אישיים רגישים שלהם.

 

ואולם, לטענת דולב לא מדובר אפילו בבעיה הקשה ביותר: "מכיוון שאין בהודעות מידע על מיקום ושעת החשיפה, אדם לא יוכל לערער על ההכנסה לבידוד. כך למשל, אם אדם מפעיל את היסטוריית המיקומים באנדרואיד, יש לו מעקב עצמי אחר תנועותיו, ועקרונית, במידה ונפלה טעות, הוא יוכל להוכיח שלא היה במקום. אבל אם אין מידע על מיקום ושעת החשיפה, אי אפשר לערער".

 

הפתרון פשוט, ודולב מסביר שיש כמה משתנים שחייבים להיכנס להודעה: תאריך החשיפה, שעה, מקום (עיר, כתובת ואם אפשר שם עסק), מספר חולה שהאדם היה בקרבתו, קוד זיהוי ייחודי שדרכו ניתן יהיה להתקשר למוקד מספר הבריאות על מנת לשמוע את ההודעה בהקראה קולית, וטלפון להתקשרות במקרה שחלה טעות במיקום.

 

הודעת סמס משרד הבריאות הודעת סמס משרד הבריאות

 

"על מנת לעורר אמון חייבים לתת לאזרח מקבל ההודעה אמצעים ויכולת בסיסית לוודא כי אכן היה באותו מקום וזמן וכי ההודעה לא נשלחה אליו בטעות", אמר דולב. "לדבר הזה יש חשיבות עצומה מכיוון שפעולות הממשלה בעניין המעקבים חייבות לעורר אמון. אמון ושקיפות יביאו ליותר שיתוף פעולה ויצמצמו את החשש לניצול לרעה של המערכת על ידי גורמים מבית ומחוץ".

 

ממשרד הבריאות נמסר בתגובה: "מהיום תהיה אפשרות להתקשר למוקד 'קול הבריאות' ולאמת את ההודעה. יהיה מענה אוטומטי שלפי מספר טלפון מזהה באם נשלחה אליו הודעה. במידה ואדם חושב שבתאריך המדובר הוא לא היה חשוף לאף אחד (לדוגמה ישב בבידוד) הוא יכול לפנות לרופא המחוזי ואנחנו בודקים את הפניה. אנחנו בוחנים כעת להרחיב את המידע שמתקבל בהודעות כולל ציון שעת המגע הרלוונטי".

בטל שלח
    לכל התגובות
    x