הפישינג הזיק לבנקים בעולם בכ-400 מיליון דולר אשתקד

חברת הייעוץ קומסק אבטחת מידע, משלימה בימים אלה מחקר בינ"ל, רחב היקף, שקיימה בקרב למעלה מ-30 בנקים ברחבי העולם. המחקר הקיף בנקים מובילים באירופה, ארה"ב ואסיה ואירופה ועסק בשאלת דרישות ההזדהות מול שירותי הבנקאות המקוונים.

מומחים פיננסיים ברחבי העולם מעריכים כי בשנת 2004 הפסידו גופים פיננסיים סך של למעלה מ-400 מיליון דולר כתוצאה מהונאות המבוצעות בשיטת ה-Phishing. זוהי תופעה שבה מנסים להונות אנשים כדי למסור פרטים אודות חשבון הבנק, ססמאות לכרטיסי האשראי וכיוב'.

הנתון שעולה מהסקר של קומסק הוא כי מרבית הבנקים (למעלה מ-90%) מדווחים שרוב הלקוחות שלהם עושים בבנקאות המקוונת פעילות פיננסית מלאה. רק 5.5% ציינו כי הגישה המקוונת מיועדת לצרכי מידע בלבד. לדעת חברת האבטחה, נתון זה מגדיל את הצורך בהגדלת שירותי אבטחת המידע הניתנים באמצעות הבנק.

בשלב השימוש בשירות הבנקאי המקוון, דיווחו אחד מכל שלושה בנקים כי הם מחייבים שימוש משולב בסיסמה ובשם משתמש. שני שליש מהאחרים מבקשים מידע מזהה נוסף. 44.4% מהם מבקשים מס' חשבון, מס' תעודת זהות, או מס' זיהוי אחר. 8.3% מבקשים מחולל סיסמאות, 5.5% כרטיס חכם ו-2.7% מספר ביטוח לאומי, 5.5% מהבנקים עושים שימוש במספר כרטיס האשראי לאימות הזיהוי.

מניתוח תוצאות המחקר של קומסק אבטחת מידע, עולה כי כשליש מבין הבנקים מאפשרים הזדהות קלה באמצעות שם משתמש וסיסמה. אצל 67% לא נדרשת הזדהות נוספת, לאחר הכניסה לחשבון האישי. 84% מהבנקים הנסקרים מאפשרים ללקוחותיהם החלפת או קבלת סיסמה חדשה באמצעות שירות אלקטרוני-אינטרנטי. האחרים מחייבים התייצבות ממשית בסניף הבנק כדי לקבל סיסמה מחודשת. במקביל, דיווחו מרבית הבנקים כי הם נמצאים בשלב זה או אחר של בחינה מחודשת של דרישות ההזדהות מול אתריהם המקוונים.

בהליך ההרשמה לשירות המקוון, ציינו 30.5% מהבנקים כי הם מאפשרים ללקוחותיהם הרשמה לשירות האינטרנט באמצעים שונים - באמצעות הטלפון מול נציג השירות (16.6%), דרך האינטרנט, ללא תיווך גורם אנושי (11.2%). 2.7% מהבנקים ציינו כי הם מעמידים לרשות לקוחותיהם שירות אישי, לקבלת פרטי כניסה לשירות באמצעות נציג המגיע הביתה.

11% בלבד מהבנקים מחייבים הזדהות משולבת הכוללת יותר מאשר פרט מזהה אחד. היתר, 51.4% מהבנקים, מחייבים שימוש בצילום מתעודת הזהות ושימוש במספר החשבון. 31% מבקשים מספר חשבון בלבד.

בנוסף, חקרה קומסק אבטחת מידע כיצד מועבר המידע המזהה את המשתמש. למעלה ממחצית (53%) מהבנקים מעבירים את כל אמצעי הזיהוי באמצעות ערוץ תקשורת אחד. 42% מהם משלבים מס' ערוצי תקשורת וה-8% הנותרים מעבירים באמצעות ערוץ תקשורת אחד, אולם במרווחי זמן שונים. גם בהתייחסות לביצוע פעולות חריגות בחשבון, לא נמצאה הקפדה יתרה על זהות המשתמש. אצל 67% מהבנקים לא נדרשת הזדהות נוספת, לאחר הכניסה לחשבון. אצל 33% נדרשת הזדהות כשמדובר בביצוע העברת כספים.

הליך חידוש הסיסמה או קבלת אמצעי זיהוי חדש מתבצע אצל 34.2% מהבנקים באמצעות מענה למס' שאלות. אצל 22.9% נדרש זיהוי באמצעות מס' תעודת זהות או מס' חשבון. 22.9% דורשים תמונה מתעודת זהות, בהזדהות בסניף עצמו. הליך קבלת סיסמה חדשה מהבנק עצמו מתבצע ב-20% מהבנקים באמצעות שיחת טלפון לסניף, ואצל 6% באמצעות שיחת טלפון למרכז תמיכה אזורי. 14% מחייבים הגעה פיזית לסניף, 24% באמצעות מכתב בדואר, 5% באמצעות מענה אוטומטי ו- 32% באמצעות הודעת דוא"ל רגילה.

סמנכ"ל פרויקטים בינלאומיים בקומסק אבטחת מידע, יורן סירקיס: "אנחנו מזהים גידול בכלים הטכנולוגים המאפשרים זיהוי בשימוש בשירותי בנקאות מקוונת. לקוחות פיננסיים רבים, בוחנים כעת מחדש את כל נושאי שילוב מנגנוני ההגנה על השירותים שלהם, למול איומים קיימים. בנוסף, העדר מדיניות מוגדרת בנוגע לאימות זהות המשתמש בשירות המקוון מטרידה מאוד מאחר והיא חושפת הן את הבנק והן את הלקוח עצמו להונאות רשת רבות, בהן Phishing".