מאת ראובן ברמן, עו"פ

מה המוסדות הפיננסיים יכולים עוד לעשות על מנת שגורם בלתי מורשה לא יחגוג על חשבון הלקוחות שלהם


כשני מיליון ישראלים נוהגים לפקוד את חשבון הבנק שלהם באופן תדיר באמצעות אתר האינטרנט של הבנק, וחלקם אפילו מבצעים בצורה זו פעולות בחשבון הבנק שלהם, כגון מסחר בניירות ערך. אולם בפתיחתו של חשבון הבנק לעבודה דרך האינטרנט יש משום נטילת סיכון, שכן גורם בלתי מורשה יכול להשיג גישה לחשבון הבנק, ולרוקן אותו. פורצים יותר מתוחכמים נוהגים למשוך מחשבון הבנק של הקורבן סכום זעיר באופן חד פעמי או קבוע, על מנת שלא למשוך את תשומת לבו של בעל החשבון.

אחת הדרכים המוכרות להשגת פרטי הכניסה לחשבון בנק, כגון מספר חשבון וסיסמה, נקראת "חכת דייג", או בכינויה הבינלאומי Phishing, והאיות השגוי בא במטרה לרמוז על כך שהמדובר במעשה הונאה. חכת הדייג היא דבר דוא"ל (דואר אלקטרוני) הנשלח כהודעת "זבל" (SPAM) למספר גדול של נמענים, בתקווה שלפחות חלק מהם יבלע את הפיתיון. במכתב שנשלח כביכול על ידי הבנק מודיעים לנמען כי התגלתה בעיה בחשבון הבנק שלו ובעקבותיה עליו להיכנס לחשבון דרך האינטרנט על מנת לבצע פעולה זו או אחרת. לנוחיותו של הנמען הודעת הדואר מכילה קישורית, וכל מה שעליו לעשות הוא להקיש עליה על מנת להגיע לאתר האינטרנט של הבנק. אלא שהקישורית לא מובילה אל אתר האינטרנט של הבנק, אלא לאתר האינטרנט של הפורץ. האתר של הפורץ אמנם נראה כמו אתר האינטרנט של הבנק, אבל הוא לא. המשתמש התמים, הדג שעלה בחכת הפורץ, מקיש את הפרטים המזהים כולל הסיסמה, והפלא ופלא אתר האינטרנט מודיע לו שברגע זה ממש מתבצעות פעולות תחזוקה באתר האינטרנט של הבנק ועליו לחזור ולהיכנס לחשבון שלו מאוחר יותר. פרטי הכניסה לחשבון הבנק, כולל הסיסמה, מגיעים לפורץ, והוא יכול לחגוג על חשבונו של הדג שעלה בחכה...

דרך אחרת להשגת פרטי הכניסה לחשבון בנק היא על ידי תוכנת סוס טרויאני. זו תוכנה שרצה על המחשב של הקורבן, ושולחת את תמונת המסך או התווים שהמשתמש מקיש אל המחשב של הפורץ באמצעות האינטרנט. יש דרכים רבות לשתול את תוכנת הסוס הטרויאני במחשב של הקורבן, כמו למשל להטמיע את הסוס הטרויאני בתוכנות חינמיות (Freeware).

אבל חשבון הבנק הינו רק צרה אחת. צרה לא פחות צרורה היא כרטיס האשראי. לכל ישראלי בוגר יש היום לפחות כרטיס אשראי אחד, איתו הוא נוהג לעשות קניות. כידוע, קניות באמצעות כרטיס אשראי ניתן לבצע גם טלפונית או דרך האינטרנט, כלומר ללא הצגה פיסית של כרטיס האשראי. ואפשרות זו חושפת את הכרטיס לשימוש לרעה על ידי גורמים פליליים. אמנם אנו מציצים מדי פעם בתדפיס של חברת האשראי ועוברים על רשימת העסקאות שבצענו במטרה לגלות עיסקה לא מוכרת, אבל האם מישהו יכול לאמר בוודאות שהוא אכן היה זה ששילם עבור כל פעולות התדלוק שמופיעות בחשבון שלו, או שהיה מי שחגג על חשבונו?

המומחים לאבטחה מזהירים אותנו שנבקש את הבנק שלא לאפשר הוצאת כספים מחשבון הבנק שלנו על ידי העברה לחשבון אחר. מגבלה כזו אמנם תבטיח שלא ירוקנו את חשבון הבנק שלנו, אבל זה עדיין לא יפתור בעיות אבטחה אחרות. מכל מקום הזמן שמשתמש צריך להשקיע על מנת לוודא שלא פרצו לחשבון הבנק שלו הוא נכבד, וגם אם המשתמש הקדיש את הזמן הזה, עדיין אין בכך בכדי להבטיח שבחשבון שלו לא נעשות פעולות על ידי גורם בלתי מוסמך.

אבל, מסתבר שלבעיות אלה יש פתרון. היום הטלפון הסלולארי הפך להיות אביזר אישי המצוי כמעט אצל כל אחד, ובשל כך הוא יכול לשמש כערוץ יחסית בטוח להעברת סיסמה מנותן השירות הפיננסי אל בעל חשבון הבנק / כרטיס האשראי. באמצעות כלים המצויים בטלפון הסלולארי, כגון מסרון (SMS) והשמעת הודעה, ניתן להעביר מהחברה הפיננסית אל הלקוח סיסמה חד פעמית שאיתה הוא יוכל לקבל שירות חד פעמי, כגון כניסה לחשבון הבנק שלו דרך האינטרנט, ביצוע רכישה באמצעות האינטרנט, משיכת כסף מהכספומט, וכדומה.

למשל, כאשר בעל חשבון הבנק נכנס לאתר האינטרנט של הבנק, ומקיש את מספר החשבון שלו, מחשב הבנק שולח אל הטלפון הסלולארי שלו סיסמה חד פעמית באמצעותה הוא מקבל היתר כניסה לחשבון. או למשל בד בבד עם מתן האישור לבית העסק על ביצוע עיסקה בכרטיס האשראי של לקוח, המחשב של חברת האשראי שולח אל המכשיר הסלולארי של בעל הכרטיס מסרון (SMS) ובו פרטי העיסקה שאושרה. בעל כרטיס האשראי מקבל הודעה על שימוש בכרטיס האשראי שלו בו זמנית עם ביצוע העיסקה, או לכל היותר זמן קצר לאחר מכן, וכתוצאה מכך מתאפשר לו לבדוק את נכונות העיסקה כשפרטיה עדיין טריים בזכרונו. לכן, שימוש לא חוקי בכרטיס האשראי עשוי להתגלות על ידי בעל הכרטיס די מהר, דבר שהופך את השימוש בכרטיס אשראי גנוב כמעט לבלתי אפשרי. יש טכנולוגיה קצת יותר מתקדמת לפיה בעל כרטיס האשראי מתבקש לאשר את העיסקה לפני ביצועה באמצעות ממשק למשתמש. למשל, הלקוח מקבל אל הטלפון שלו שיחה מהמחשב של חברת האשראי שבה מושמעת הודעה קולית בנוסח "הקש אחת אם אתה מאשר את העיסקה, הקש אפס אם אינך מאשר". פשוט להפליא ויעיל להפליא.

השימוש בטכנולוגיה שתוארה לעיל גורמת לכך שעל מנת לעשות שימוש בלתי חוקי בכרטיס האשראי או חשבון הבנק, הפורץ צריך גם לדעת את פרטי כרטיס האשראי / חשבון בנק, וגם לגנוב לבעליו את הטלפון הסלולארי. אבל מאחר והשימוש במכשירים סלולאריים בחיי היום-יום הוא אינטנסיבי, גניבתו או אובדנו מתגלה די מהר על ידי בעליו, ולכן הזמן שעובר מרגע הגניבה עד שהחברה הסלולארית מתבקשת לנעול את המכשיר הוא יחסית מהיר, ובשל כך הסיכוי שגורם לא מורשה יוכל לעשות שימוש בסיסמאות הנשלחות אל הטלפון הוא יחסית נמוך. קשה להאמין שזה יעצור את הפריצות באופן מוחלט, אבל זה בהחלט צעד נגד הפשטות הבלתי נסבלת של הפריצה לחשבונות בנק של קורבנות תמימים.

למרות שהשימוש בערוץ הסלולארי לצרכי אבטחה הינו יחסית חדש, מסתבר שהוא בכל זאת מוכר בארץ. לפני מספר חודשים שמתי לב שאחת מחברות הטלפונים הסלולאריות מיישמת את הערוץ הסלולארי על מנת להעביר סיסמה חד פעמית כל אימת ששולחים מסרון באמצעות אתר האינטרנט של החברה. כלומר, הרעיון של שימוש בטלפון סלולארי לצרכי אבטחה אינו חדש לציבור בישראל, וודאי ובוודאי למומחי האבטחה של המוסדות הפיננסיים. ומי שמתאמץ מעט יותר יוכל למצוא גם מסמכי פטנטים המציגים את הרעיון. למשל, הבקשה האמריקנית לפטנט מספר 20040203595 שפורסמה באוקטובר 2004 אומרת:

"ההמצאה הנוכחית מכוונת לשיטה ומכשיר עבור מערכת אימות משתמש העושה שימוש בטלפון סלולארי. לפי תצורה אחת, מערכת האימות משמשת לאכסון סיסמאות של משתמש. כאשר המשתמש שוכח את סיסמה, המשתמש יכול לקבל את הסיסמה על ידי שיחה ללא חיוב אל מערכת האימות באמצעות המכשיר הסלולארי שלו, לפני הכניסה למערכת. הטכנולוגית הנוכחית לזיהוי של מתקשר באמצעות טלפון סלולארי המסופקת על ידי חברות סלולאריות מזהה בעליו של טלפון סלולארי והיא משמשת לאימות המשתמש המתקשר אל מערכת האימות." (פיסקה 10)

"לפי תצורה אחרת, מערכת האימות אינה מאכסנת את הסיסמאות, אלא יוצרת, לפי דרישה, סיסמה אקראית התקפה לזמן מוגבל. --- הסיסמאות יכולות להיות מאוד פשוטות, למשל מספר תלת ספרתי, ואמורות להיות הרבה יותר בטוחות באופן התפעול והשימוש שלהן מאשר השימוש העכשווי בסיסמאות." (פיסקה 11)

וזו רק דוגמא אחת מיני רבות.

אבל עם כל ההתלהבות אני לא מרגיש הקלה, כי משום מה מוסדות פיננסיים לא ששים ליישם את החידושים שהטכנולוגיה מציעה, והם מעדיפים להיצמד לדפוסי האבטחה הישנים. למשל, היום יש תחליף הרבה יותר בטוח לכרטיס המכיל פס מגנטי, והכוונה ל"כרטיס חכם", Smartcard. זה למעשה כרטיס פלסטיק המכיל מעבד זעיר וזיכרון "מאובטחים", כלומר לא ניתנים לשכפול באמצעים "רגילים", אלא רק באמצעות ציוד מאוד מתוחכם, אם בכלל. כך רמת האבטחה שמספק הכרטיס החכם הינה הרבה יותר גבוהה מאשר רמת האבטחה שמספק כרטיס האוגר את המידע שבתוכו בפס מגנטי. חברות הטלפון עמדו על היתרונות של הכרטיס החכם, וכבר שנים שכרטיסי חיוג בטלפון ציבורי ברחבי העולם מתבססים על כרטיס חכם, ללמדך שמחירו שווה לכל נפש. אבל למרות שהטכנולוגיה מוכרת ונמצאת בשימוש זמן רב, המוסדות הפיננסיים בכל זאת דבקים בצורה המסורתית של כרטיס הפס המגנטי. אז אם טכנולוגיה אלמנטארית כמו כרטיס חכם לא מיושמת על ידי המוסדות הפיננסיים בארץ, איזה סיכוי יש לטכנולוגיות אחרות?