ארה"ב: בנק שילם בגין התקפת פישינג
חברת האנרגיה TRC מארה"ב תבעה את הבנק שלה על נזק שנגרם לה בסך של כ-300 אלף דולרים בעקבות התקפת פישינג. חברת הביטוח של הבנק העדיפה לשלם את הנזק מחוץ לכתלי בית המשפט. האם המקרה הזה יעגן את מודל האחריות בתעשיית הבנקאות המקוונת?
כשזה מגיע למחלוקת לגבי השתלטות של האקרים על חשבון בנק של לקוח עסקי, לרוב המחלוקת בין הבנק ללקוח נסגרת בפשרה מחוץ לכתלי בית משפט. לדוגמא, בהסדר שהושג בחודש שעבר, בנק האבטחה המאוחדת של פרזנו (United Security Bank of Fresno) הסכים לשלם לחברת TRC מקליפורניה, חברת הפקת נפט עצמאית, 350,000 דולרים כדי ליישב מחלוקת על הפסדים של 3.5 מליוני דולרים שנגרמו בשל בהעברות בנקאיות מזויפות שרוקנו את חשבונה של החברה בנובמבר 2011.
בעקבות ההסדר שלה עם הבנק, TRC דחתה את תלונתה כי לכאורה הבנק נכשל להציע הליך ביטחוני "סביר מבחינה מסחרית". נשיא USB והמנכ"ל, דניס וודס, אמר כי עלות ההסדר תכוסה על ידי חברת הביטוח של הבנק, שהסכימה לעסקה. הבנק היה מעדיף שהמקרה יגיע למשפט, הוא אמר. לטענתו, החלטת בית המשפט בשאלה האם הבנק אחראי לגניבה של פרטים מזהים של הלקוח כתוצאה מהתקפת פישינג, כפי שוודס טוען שקרה במקרה של TRC, הייתה תורמת לתעשייה.
וודס סרב להגיב על שאלה אם הוא חושב ששיטות האימות של הבנק "סבירות" או עומדות בהנחיות של ה-FFIEC לאימות משתמש. הוא גם לא הגיב לשאלה האם הבנק הציע יותר משם משתמש וסיסמא לצורך אימות עסקות מקוונות והעברות בנקאיות.
"עצרנו תשעה מ-12 [העברות מזוייפות] ורק אחת הצליחה לעבור", הוא אומר. "הם רצו שנשלם אותן בחזרה ואמרנו להם: 'ברור שאנחנו לא יכולים, כי זה חלק מההסכם שלך עם הבנק שלנו - שאתה צריך להיות אחראי לשם המשתמש והסיסמה שלך. אז אנחנו פשוט הפננו את הבקשה לחברת הביטוח שלנו. ואחרי שנתיים, חברת הביטוח הגיעה לפשרה".
"TRC בססה את עצמה בתעשיית הנפט שנשלטת על ידי תאגידים גדולים, ובמודע בחרה לשמור על חשבונות הבנק שלה בבנק USB, מוסד פיננסי מקומי, בשל היחסים האישיים שהתפתחו בין TRC והבנקאים של USB לאורך השנים", אמר צ'רלס קומפורט מ-TRC.
"כל זה השתנה כאשר על פני תקופה של 5 ימים, שנים עשר בקשות מזוייפות להעברות בנקאיות בהיקף של 3,450,670 דולרים עובדו לא כדין באמצעות החשבונות של TRC בבנק USB בנובמבר 2011. בסופו של דבר 299,600 דולרים נעלמו מחשבון החברה של TRC. הבנק הכחיש כי יש לו אחריות למרות אינדיקטורים רבים שהרימו 'דגל אדום' שההעברות הבנקאיות היו מזויפות. כדי לחזק את העמדה שלהם, USB הטיסו אנליסט ביטחון ממשלתי שטס לקליפורניה במסווה של חקירה בלתי משוחדת. מייד לאחר מכן, אנליסט האבטחה הכין 'דווח על האירוע' שהכיל מצג שווא".
אין ספק שמדובר במקרה מעניין שיכול להשליך על עולם הבנקאות המקוונת. הרי ברור כי לצד דבריו של מנכ"ל הבנק, אם חברת הביטוח של הבנק החליטה לא ללכת למשפט זה היה בשל שיקול כספי. ייתכן וכפי שטען הלקוח, מנגנוני אימות הזהות לצורך ביצוע העברות בנקאיות לא עמדו בסנטנדרטים 'סבירים' ובבית משפט זה לא היה נראה טוב.
האם ההחלטה של חברת הביטוח במקרה זה תגרום לחברות ביטוח אחרות מתחום הבנקאות ללכת בעקבותיה? האם זה אומר שהבנק חייב להחזיר ללקוח את הכסף במקרה של התקפת פישינג? וכיצד רגולציה/המלצות כמו אלו של FFIEC ישפיעו על החלטות בתי משפט בנושא.
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
נא להמתין לטעינת התגובות
אקו"ם