הירשמו
  1. ראשי
  2. בארץ

מחקר: נזק של 2.75 מיליארד דולר מהונאות כספומטים

בארה"ב, כך לפי מחקר של חברת גרטנר. בשנה אחת נגרמו נזקי עתק להערכת הכלכלנים עקב גניבת סיסמאות של כרטיסי אשראי, פעולות פישינג והתקפות על פורטלים של בנקים
דרור איטח |

גנבים מנצלים יותר ויותר נקודת תורפה של מערכות בנקים צרכניות. ההערכות כיום נעות סביב שלושה מיליון צרכנים בארה"ב שהפכו קורבן להונאות כספומטים וכרטיסי חיוב ב-12 החודשים האחרונים, כך על פי גרטנר חברת המחקר והייעוץ ל- ICT.

בגרטנר מעריכים, שב-12 החודשים שבין מאי 2005-2004 הונאות כספומטים וכרטיסי חיוב בארה"ב גרמו להפסדים של 2.75 מיליארד דולר עם ממוצע של 900 דולר הפסד ללקוח. העבריינים משיגים בחשאי סיסמאות ומידע בנוגע לחשבונות הבנקים של הלקוחות באמצעות פישיג (Phishing) ו"התקפות" על פורטלי כניסה באינטרנט, ומשתמשים במידע שהושג בכדי לפרוץ דרך כספומטים לתוך החשבונות של הלקוחות.

סגנית נשיא ודירקטורית למחקר בגרטנר, אביבה ליטן: "לעיתים פושעים מזייפים כרטיסי גישה על ידי מספר חשבון ומספר הזיהוי האישי (PINs) בלבד, ומשתמשים במידע הגנוב כדי למשוך כסף מחשבונות באמצעות הכספומט. הם מצליחים כאשר הבנק שהנפיק את הכרטיס לא מוודא קודי האבטחה שעל גבי הפס המגנטי בזמן אישור העברת הכספים".

ליטן מוסיפה: "קודי האבטחה הללו מצויים ב-Track 2 של הפס המגנטי וכוללים קוד זיהויי אישי וקודים לאימות תוקף הכרטיס. הקודים מאמתים את הקשר בין הכרטיס עצמו לבין מספר החשבון של הלקוח. באופן מפתיע, יתכן כי מחצית ממוסדות הפיננסיים בארה"ב אינם מוודאים את נתוני האבטחה ב-Track 2 בזמן אישור עסקאות בכספומטים וחיוב על פי קוד אישי. מרבית המוסדות הללו אינם מודעים שהם עצמם או קבלני הכספומטים במיקור חוץ עליהם הם סומכים, צריכים לעשות זאת".

לבנקים יש את היכולת לעצור את ההתקפות הללו, אך רובם לא עשו את הצעד הנוסף הדרוש על מנת למנוע התקפות אלו. הבנקים יכולים לשנות את מערכות הכספומטים כך שהם יבדקו את נתוני האבטחה על גבי הפס המגנטי בכרטיס. נתוני אבטחה אלו אינם ידועים ללקוחות הבנק ולכן לא ניתן לגנוב אותם. הגנבים לא יכולים להשיג מידע שכזה אלא אם כן יש להם מידע פנימי על האלגוריתמים של הבנק וקודי האבטחה.

פישיג מתרחש כאשר גנב שולח מייל עם לינק לאתר מזויף. האתר המזויף זהה במראהו לאתר האינטרנט של הבנק או כל אתר אינטרנט מסחרי ידוע אחר. האדם שמקבל את המייל מתבקש לספק מידע בנוגע לחשבון האישי וכך נגנב המידע.

ליטן מוסיפה: "הפושעים מחפשים לקוחות של בנקים שלא מאמתים נתוני האבטחה ב-Track 2 בפס המגנטי של הכרטיס בזמן משיכת כסף בכספומטים. ההאקרים מכנים את הבנקים האלו "Cashable" – שניתן להמירו בכסף. המועמדים העיקריים הם בנקים המתירים משיכת מזומנים בסכומים גבוהים".

האנליסטים בגרטנר מוסיפים כי הבנקים חייבים להגן מפני כל סוגי ההונאות המתבצעות כנגד בקרת חשבונות, בכל הערוצים השונים, כגון גנבים הפועלים מתוך הבנק, בנקאות מקוונת, בנקאות באמצעות טלפון ומסלקות בנקאיות אוטומטיות (ACH).

הוספת תגובה

תגובות לכתבה:

הגב לכתבה

השדות המסומנים ב-* הם שדות חובה