הפרצה קוראת להאקר: תרמית מסופוני האשראי
בזמן האולימפיאדה בלונדון ניצלו האקרים פרצה באלפי קוראי כרטיסי אשראי ניידים, גנבו את הפרטים הבנקאיים של בעלי הכרטיסים ויצאו למסעות רכש חובקי עולם. עם קורבנות המחדל הטכנולוגי נמנים גם ישראלים
הפרטים, הנדרשים לביצוע עיסקאות כספיות, קודדו בתוך שבב מיוחד בכרטיס האשראי שלו. ההאקרים זיהו את פרצת האבטחה במסופונים הידניים (הידועים בכינוי "קוראי הכרטיסים", שהבריטים מכנים .Chip and Pin).
מכשירים אלה נפוצים מאוד באירופה. יש אפילו מדינות, צרפת למשל, שבחנויות, במסעדות ובבתי הקפה כמעט לא ניתן להשתמש בכרטיס אשראי בעל פס מגנטי בלבד. ברכישת שירות או מוצר הלקוח נדרש להציג כרטיס אשראי הכולל את השבב. הכרטיס מועבר במסופון הנייד, הלקוח מקליד את ה-Pin (מספר זיהוי סודי בן 4 ספרות שניתן לבעל הכרטיס בעת רכישתו) המסופון מזהה בתוך שניות אם הכרטיס אותנטי ולא מזויף, ואז מושלמת העיסקה מול חברת האשראי. מסופונים דומים, אם כי לא ניידים, נמצאים גם באוטומטים לממכר כרטיסים בתחנות רכבת תחתית ברחבי היבשת.
בזמן האולימפיאדה התגלו כמה אלפי מסופונים שנפרצו. הפרצה מאפשרת להאקרים לגנוב את פרטי בעל הכרטיס ולהשתמש בהם לחגיגת רכש. ש"ג גילה למשל כי הגנב הספיק לרכוש לעצמו ולכמה מידידיו כרטיסי טיסה בחברת תעופה המספקת טיסות זולות לחוף המערבי של ארה"ב. החברה לא דרשה מהגנב להציג כרטיס אשראי, אלא רק למסור את הפרטים הבנקאיים האישיים, מבלי לדעת שהם נגנבו.
הפרצה היתה אחד מהנושאים שהוצגו בכנס ההאקרים השנתי דפקון, שנערך לפני שבועיים בלאס וגאס. הכנס משמש הזדמנות למומחי אבטחה להציג מקרי בוחן - פרצות וכשלי אבטחה חדשים במכשירים דיגיטליים חכמים. בכנס הופיע לראשונה מנהל ה-NSA (סוכנות הביטחון הלאומי של ארה"ב) שאחת מחטיבותיה עוסקת בציתות, בהאזנות ובפעולות חשאיות הקשורות במערכות תקשורת ובמחשבים. הגנרל קיית' אלכסנדר כינה את משתתפי דפקון "הקהילה הטובה בעולם בתחום ביטחון הסייבר" וביקש רשמית את עזרתה.
עד כה ובמשך שני עשורים ניהלו דפקון וסוכנויות המודיעין והביון האמריקאיות, ובהן ה,NSA- מערכת יחסים חשדנית. ההתפתחויות הטכנולוגיות מחייבות מעתה את הסוכנויות לגישה שונה, וההאקרים המצטיינים, שתפקידם לזהות כשלי אבטחה, לא הסתירו את שביעות רצונם מהשינוי הדרמטי.
כשל האבטחה במסופונים הוגדר חמור מאוד. התברר כי ההאקרים שפרצו אליהם השתמשו בקוד לתכנות מזויף של השבבים ולזיוף של המספרים הסודיים. הם הטעינו את השבב בתוכנה זדונית ש"תכנתה מחדש" את הקורא האלקטרוני במסופון. יתרה מכך, התוכנה הזדונית אחסנה במסופון הפרוץ את כל פרטי הכרטיסים שהוכנסו אליו, בניגוד למסופון רגיל שמוחק מיד עם השלמת העיסקה את פרטי הכרטיס. האחסון אפשר לעברייני המחשב לחגוג על חשבון אחרים אחרי שהטעינו כרטיסי אשראי מזויפים בפרטים השונים שנאגרו במסופונים.
המומחים שגילו את דבר הפרצה מסרו כי להערכתם ההאקרים שביצעו את "התרגיל הטכנולוגי" מצאו דרך להעלים עקבות, לתכנת מחדש את קורא הכרטיסים ו"לשבט" כרטיסי אשראי מזויפים כדי שניתן יהיה להשתמש בהם. המומחים העלו חשד כי את רוב המסופונים שנפרצו רכשו בעלי העסקים דרך אתרי מכירות יד שנייה באינטרנט. מתחקיר שביצעה חברת יועצי האבטחה הבריטית MWR עולה כי המכשירים נרכשו ככל הנראה באי-ביי.
שלמה בוטנרו, מנהל מרכז ההתמחות באבטחת מידע ובנושאי סייבר בחברת מטריקס הישראלית, אמר לעסקים כי הכשל שהתגלה במסופונים מעיד שוב על "אקסיומה מוטעית" - סדרת הנחות יסוד לא נכונות, שלפיהן מכשירים דיגיטליים מתוחכמים, תעודות חכמות וכרטיסי אשראי המצוידים בשבב אינם ניתנים לפריצה.
"המקרים האלה מתרחשים תמיד במכשירים שאנחנו הכי סומכים עליהם," אומר בוטנרו, "הפרשה הזאת גם חשפה שהגורמים הרגולטוריים באנגליה ואולי במדינות נוספות באירופה לא ביצעו בדיקה קפדנית במיוחד לאבטחה המלאה שהמסופונים מבטיחים למשתמשים. העובדה שמסופונים זולים מיד שנייה, שאולי אף פגומים במכוון ונגועים בווירוסים, נמצאים בשימוש מדאיגה מאוד."
לדבריו, "רק לפני כמה שנים הדגים ההאקר הגרמני אוליבר קומרלינג
בוטנרו אומר כי גם כרטיסים שהכילו תגית זיהוי RFID כשלו: "בעת הדגמה לפני מומחים הוכנס כרטיס הנושא תגית זיהוי לתוך תיק גב. העבירו אותו בקרבת קורא כרטיסים, ולמרבה התדהמה הקורא זיהה את הכרטיס גם בתוך התיק - מצב שלא ייתכן לפי אמות המידה המקובלות בתחום האבטחה. פירוש הדבר הוא שכל כרטיס שנמצא בארנק חשוף לשכפול מרחוק, גם אם הוא לא נמצא בקרבת הקורא האלקטרוני."
חברת ,ZTE יצרנית סינית של טלפונים חכמים )מבוססי אנדרואיד( זולים במיוחד, הודתה לאחרונה כי אחד מהדגמים שהפיצה לשוק הכיל "דלת אחורית." הכוונה היא לתוכנה במערכת הקבצים הפנימיים במכשיר המאפשרת לגורם מרוחק לשגר קוד סודי ופקודת השתלטות על המכשיר, ובכך לעשות בו פעולות ללא כל הרשאה.
ZTE נחשבת לחברה הרביעית בגודלה בעולם לייצור מכשירים סלולריים ושווייה בבורסת הונג קונג הוערך לפני כמה שבועות ב8- מיליארד דולר. לאחר שהתגלתה הפרצה במכשירים ששיווקה, מיהרה החברה להתנצל והודיעה כי תדאג לתיקון מהיר של הפגם. הדאגה העיקרית כעת היא שהפרצה תאפשר להאקרים עבריינים לפרוץ למכשירי טלפון מתקדמים שישמשו כארנק אלקטרוני-סלולארי.
נושא זה הודגם ונידון בסוף יולי בוועידה אחרת של האקרים המאוגדים בארגון בלק האט. בכנס הדגים יועץ אבטחה כיצד הוא פורץ למכשירים מבוססי אנדרואיד כמו סמסונג גלקסי, נקסוס S ונוקיה .N9 זמן קצר אחרי ההדגמה כבר הספיקו היצרניות להודיע שהפרצות שהתגלו ייסתמו במהרה.
נא להמתין לטעינת התגובות
אקו"ם