ראשי » מדע ומחשבים » מחשבים » טכנולוגיה

כיצד ניתן להתמודד עם סכנת גניבת פרטי כרטיסי האשראי

בעקבות פרשת הסחיטה בחברת לאומי קארד קיימנו ראיון עם שי זנדני, מנכ"ל חברת הסייבר cytegic בנוגע לשאלה כיצד ניתן להתמודד מול הסכנה החדשה הזו

גניבת נתוני כרטיסי אשראי הפכה למגמה מובילה ברחבי העולם במהלך השנה האחרונה. בפריצות בולטות מהתקופה האחרונה, כמו למשל פריצות למאגרי המידע של רשתות קמעונאיות כגון Home Depot, Kmart, Dunkin’ Doughnuts ואחרים, נגנבו עשרות מיליוני נתונים של כרטיסי אשראי ואמצעי תשלום אחרים. כעת גם ישראל הצטרפה למגמה העולמית: על פי החשד, עובד לשעבר בחברת לאומי קארד גנב ממאגרי המידע שלה פרטים של כ-2 מיליון כרטיסי אשראי, ודרש מהחברה תשלום כופר של מיליוני דולרים, אחרת ידליף את המידע לרשת. בעקבות המצב החדש קיימנו ראיון עם שי זנדני, מנכ"ל חברת הסייבר cytegic ושאלנו אותו כיצד ניתן להתמודד עם סכנה זו.
 
עוד כותרות ב-nrg:
- כל התכנים הכי מעניינים - בעמוד הפייסבוק שלנו
- יהודה גליק מספר לראשונה על ניסיון ההתנקשות
- ב-5 חודשים: דאעש הוציא להורג 1,500 איש בסוריה

כיצד נגנבים כרטיסי האשראי
אחת השיטות הנפוצות ביותר לגניבת כרטיסי אשראי היא שימוש ב-POS Malware - תוכנה זדונית שיושבת על נקודת המכירה בחנות ומשכפלת נתוני כרטיסים בעת סליקתם. מגמה מובילה אחרת היא PII-Theft: גניבת פרטי זיהוי בלעדיים של אנשים. לאחר גניבת הנתונים, ההאקרים הפיננסיים לרוב מציעים אותם למכירה בפורומים ושווקים שחורים, כאשר פרט זיהוי פשוט (שם מלא, מספר ת"ז וכו') נסחר תמורת כמה עשרות סנטים וכרטיס אשראי או פרטי חשבון בנק שווים כמה עשרות דולרים.

כשמדובר במיליוני פריטים שכאלה שנגנבו בשנה האחרונה, הרווח להאקרים יכול להסתכם במאות מיליוני דולרים. פריטים אלה, כשהם חשופים בידיים זרות, יכולים לשמש פושעים פיננסיים לביצוע הונאת כרטיסי אשראי, הונאת בנק ולמשיכת מזומן מחשבונות.

גם אם לא נגנבים פרטי כרטיסי אשראי – מספיקים פרטים אישיים אחרים (הקרויים בעגה המקצועית PII – personal Identifiable Information) כדי לגרום לנזקים כלכליים משמעותיים. מדובר למשל בצירוף של פרטים כגון שמות, כתובות, תאריכי לידה, שמות בני זוג ועוד. בעזרת הפרטים הללו ושיטות שונות של phishing (דיוג מידע), יכולים פושעי רשת להשיג פרטים פיננסיים חסויים ולהשיג גישה לחשבונות בנק או שירותים אחרים שהמשתמש מנוי אליהם ושם מצויים פרטי כרטיס האשראי שלו (למשל מועדוני לקוחות, מנוי לחדר כושר, חברות בקופ"ח ועוד).

ממה מעביד צריך לחשוש?
הדבר מדגים את החשיבות של זיהוי ותעדוף איומי הסייבר של חברות: גופים רבים נערכים למתקפה מבחוץ, אך לא נערכים מספיק לתרחיש בו גורם פנימי מוציא את המידע החוצה. הסיבה לכך מקורה בעובדה, שבבואם לבחון את האיומים והתוקפים הפוטנציאליים השונים על הנכסים של הארגון, ניתן לצייר תמונה ברורה ומלאה יותר אודות תוקפים חיצוניים והכלים בהם הם יכולים להשתמש. התמונה שונה בתכלית כשמדובר בתוקף פנימי, אשר מעצם היותו מתוך הארגון מהווה פוטנציאל נזק גבוה לעין ערוך, עקב החשיפה הרבה והבלתי-אמצעית שלו לרשתות, מערכות ונכסי הארגון.

ישנן כמה דרכים להתמודד עם איום פנימי שכזה, ורוב קשורות לנהלי עבודה מוקפדים במספר רמות ארגוניות:
ראשית – ברמת הגיוס, חברה צריכה להציב קריטריונים ברורים וגבוהים, ולהעמיד את המועמדים לעבודה במבחנים משמעותיים כדי לעמוד על קנקנם.

שנית – ברמת נהלי ובקרות אבטחת המידע, גופים צריכים להגיע להכרה שסיכוני סייבר קיימים גם בתוך החברה ולא רק מחוצה לה, ולגבש נהלים מתאימים. בין היתר הם צריכים לקבוע מיהם בעלי התפקידים שיהיו חשופים למאגרי המידע, ולאילו שכבות מידע (הפרדת סמכויות - Segregation of Duties), כיצד מזדהים העובד החשופים למידע והאם ישנם כלי ניטור ובקרה שיזהו פעולות לא שגרתיות שמבצעים עובדים, וחורגות מקריטריונים ונהלי העבודה השוטפים (למשל – העתקת קבצים או גישה לענן).

בנוסף, על חברות לבצע התאמות של סביבה העבודה הפיסית כמו למשל להקשיח מחשבי קצה ושרתים ולמנוע אפשרות של חיבור התקנים חיצוניים (USB, דיסקים חיצוניים), ולהקפיד על נהלים ברורים של ביטול הרשאות לעובדים שעזבו – ובמיוחד אלה שפוטרו.

האם בעתיד נהיה חשופים למציאות כזו?
הסחר הלא חוקי במידע באינטרנט הוא תופעה שקשה מאוד להתמודד איתה. כל עוד לארגון יש נכסים – מידע אישי, מידע פיננסי, מידע סודי אחר – יהיו גורמים עבריינים שירצו לשים את ידם עליו. מחקרים שפורסמו לאחרונה מלמדים שככל שרמת האיומים על ארגונים גוברת, וככל שהיקף התקיפות, נחישותן ופוטנציאל הנזק שלהם גדל – כך דווקא קטנה ההשקעה של ארגונים בהיערכות לאבטחת המידע. עבור ארגונים המחזיקים בנכסים, הדרכים להתמודד עם התופעה אינן רק לבצר את מאגרי המידע מתחת לעוד ועוד שכבות של הגנה.

הדרך הנכונה יותר תהיה לבחון היטב את בשלות ההגנות שלהן, להבין את אופי האיומים הרלוונטי עבורם וללמוד כיצד אלה משתלבים עם מגמות קיימות של פעילות סייבר. שלושת המרכיבים הללו יכולים לתת למנהלים תמונה מהימנה של ביטחון הארגון, ולאפשר להם לקבל את ההחלטות שמנהל צריך לקבל: כמה כסף להשקיע בהגנה, איזה סוג של הגנות עדיפות ואיך לפעול על מנת להקטין את החשיפה של הארגון לאיומים עתידים.

מה האזרח הקטן יכול לעשות?
אנחנו, כאזרחים או לקוחות, צריכים לסמוך על הארגונים המחזיקים את המידע שלנו שימלאו את הבטחתם. קיימים נהלים ברורים ותקנים בינלאומיים ברורים שארגונים – ובפרט ארגונים פיננסיים – צריכים לעמוד בהם כדי לזכות בתו תקן המעיד שהם אכן שומרים על המידע הפרטי שלנו. אמנם חברות הביטוח יפצו אותנו במקרה של שימוש לא מורשה בכרטיס האשראי אך ספק אם יפצו אותנו במקרה שהפרטים שלנו ישמשו מאוחר יותר כדי ליצור חשבונות פיקטיביים לצורך הונאות למשל.

אחת המגמות החשובות כיום בעולם היא האחריות הפלילית החלה על ארגונים שאינם שומרים כראוי על המידע הפרטי, ולאחרונה היו מקרים בארה"ב שבעלי תפקידים הועמדו לדין בגין מעילה בתפקידם זה.

ובכל זאת, כדי לצמצם

את האפשרות של זליגת המידע האישי שלנו לגורמים לא רצויים, מומלץ לנהל נכונה את הסיסמאות שלנו בכל האתרים, החל מאתרים שנרשמים חד פעמית כדי לקבל קופון או ניוזלטר, דרך רשתות חברתיות כמו אינסטגרם וכ"ד, ועד לאתרים הגדולים כמו פייסבוק, ג'ימייל ואתר הבנק שלכם:

לא להשתמש באותה סיסמה לכל האתרים אלא בסיסמאות נפרשות לכל שירות; להשתמש בסיסמה מורכבת - לפחות 8 תווים המשלבים אותיות, תווים מיוחדים ומספרים - ולא מילים מהמילון, שמות או תאריכים; להחליף סיסמה פעם בחודש-חודשיים; להעדיף שירותים הדורשים אמצעי זיהוי כפול – כלומר שבנוסף להכנסת הסיסמה הקבועה יש להכניס סיסמה חד פעמית שמקבלים בסמס למשל בשביל להשלים את התהליך ולקבל גישה לאתר.

חשוב להגיד שאין 100אחוז אבטחה. למשתמש הפשוט יש יכולת להפעיל בקרות אבטחה שונות, ובהעיקר התנהגות זהירה שמונעת פגיעה, אבל הרבה פעמים זה לא בידיים שלך, אלא בידיים של מי שמסרת לו את המידע.

היכנסו לעמוד הפייסבוק החדש של nrg

נא להמתין לטעינת התגובות

מעדכן תגובות...