איומי הסייבר על הכסף שלנו: האם הבנקים ערוכים?
הבנקים בישראל ובעולם נמצאים בשנים האחרונות תחת מתקפה בלתי פוסקת של האקרים כדי לגנוב כסף או מידע פיננסי על לקוחות. נסיונות רבים מופנים אל החוליה החלשה - ציבור הלקוחות שלא תמיד מודע לסכנות. מסתבר שהנזק עלול להיות כפול משום שהבנק עשוי לגלגל את האחריות על הצרכן
האם הכסף שלנו מוגן? בכל יום מתבצעים עשרות אלפי ניסיונות הונאה ומתקפות סייבר על גופים פיננסיים בישראל ובעולם. לא מדובר רק בגניבת כספים, גם נתונים רגישים, פרטי חשבונות של לקוחות ומידע פיננסי - מהווים מטרה לפצחנים.
מי ימכור לכם ביטוח נסיעות?
עכשיו זה רשמי: בנק ישראל אישר את מכירת לאומי קארד לרוץ להמר בבורסה? קודם צריך חינוך פיננסי
דו"ח שערכה חברת המידע security clearsky לסיכום שנת 2018 מונה, בין היתר, את תקיפות הסייבר הבולטות בשנת 2018 בעולם וגם אצלנו, המתמקדות בתחום הפיננסי.
>>לסיפורים הכי חמים בכלכלה - הצטרפו לערוץ הטלגרם שלנו
כך, למשל, הדו"ח מתמקד בביצוע הונאות סייבר באמצעות "פישינג" - ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט, בצורה ממוקדת, כולל התחזות למנהלי כספים, ספקים, בני משפחה, חברים לצורך ביצוע גניבה כספית. היקף הגניבות בצורה זו עמד בשנה שחלפה על למעלה ממיליארד דולר.
עוד ניתן למצוא בדו"ח גם פישינג לא ממוקד המנסה לדוג פרטי אשראי תוך הזדהות לבנקים, למשל. מדובר בעשרות אלפי תקיפות ומליוני אנשים שפרטי ההזדהות שלהם נגנבו בפריצות אלה, בהם אלפי ישראלים. בנוסף, עשרות תקיפות סייבר על מערכות הליבה של בנקים ובורסות של מטבעות וירטואליים במסגרתם נגנבו כ-1.5 מיליארד דולר, ועוד.
לטעויות הקטנות יש מחיר עצום
התקפות הסייבר לא מסתכמות בתקיפה חיצונית בניסיון לשבור את חומת האבטחה של הבנק. אחד האיומים המרכזיים שהפך מאוד בולט בשנים האחרונות הוא האיום מבפנים. עובד בבנק שיש לו גישה למערכת יכול לעשות המון נזק, ולא מדובר בהכרח בנזק שנעשה בזדון. כך, למשל, עובד שעושה טעות וחושף פרטי משתמש.
גורם המעורה בתחום מציין כי אחד הבנקים הגדולים בארץ מותקף בתקופה האחרונה באופן קבוע על ידי קבוצת האקרים בניסיון לדוג הרשאות מעובדים, בין אם זה אינספור מיילים שנשלחים לעובדים, מסמכים ועוד. "הם מנסים למצוא חולשות כל הזמן כדי למצוא את הדרך פנימה, אפילו את אחד העובדים שעושה טעות קטנה", אומר אותו גורם. "לטעויות קטנות הללו יש מחיר מאוד גבוה".
אחת הדוגמאות הבולטות של השנים האחרונות למקרה כזה היא התקיפה על הבנק הבנגלדשי שארעה בפברואר 2016. קבוצת תוקפים הצליחה לשים את ידה על אחד המחשבים של הבנק, אחרי שעובד פתח בטעות פישינג אימייל. התוקפים החלו לנוע ברשת ממכונה למכונה עד שהם הגיעו למערכת העיקרית של הבנק - המערכת של העברת הכספים. הם ניסו לעשות העברות של כמיליארד דולר. בפועל הם הצליחו לגנוב "רק" כ-80 מיליון דולר.
הבנקים בישראל ערוכים למתקפות הללו? האם צריך להיות מודאגים?
"באופן כללי, הבנקים הגדולים בישראל עומדים בסטנדרטים כמו מוסדות פיננסיים מהמעלה הראשונה באירופה ובארה"ב", אומר ל-ynet לביא לזרוביץ', ראש צוות מחקר במעבדות חברת סייברארק העוסקת בסיכול מתקפות סייבר. "ההתרשמות שלי היא שהם עושים הרבה מאוד כדי להגן על איומים, גם פנימיים וגם מבחוץ".
"אני לא חושב שצריך לחשוש, אבל צריך להיות מאוד עירניים. הרבה יותר קל לתקוף את האדם בקצה מאשר את הבנק עצמו, למשל באמצעות פישינג - לדוג שם משתמש וסיסמה".
דברים דומים אומר ל-ynet גם סטיבן בוייר, מייסד-שותף ו-CTO של חברת BitSight, המתמחה בדירוגי סייבר. "סקטור השירותים הפיננסיים היה תמיד הכי מאובטח – ראינו את זה מהיום שהתחלנו לעשות דירוג סייבר, ב-2011. אנחנו רואים תבנית דומה בכל הארגונים הפיננסים שאין בשום סקטור אחר: יש להם תרבות חזקה של ניהול סיכונים כולל בהגנת סייבר".
בוייר מציין כי "יש להם יותר משאבים להשקיע נגד האתגרים והבעיות. הם מאמצים לעיתים קרובות טכנולוגיות חדשניות ולא נשכח שהם גם תחת רגולציה, כלומר יש מישהו שמשגיח והם צריכים לדווח לו".
איך הבנקים מתמודדים עם תקיפות כאלו?
"אחד מהדברים שהבנק מודאג מהם, זה מה התוקף יעשה ברגע שיהיה לו את הגישה פנימה", אומר לזרוביץ'. "רוב האירועים הללו נעצרים מיידית או דקות אחרי. זה הרוב. אבל מדברים על עשרות אלפי תקיפות ביום. התקיפות המוצלחות (מבחינת התוקפים) על מוסדות פיננסיים, מתגלות בממוצע אחרי שלושה חודשים וזה אחרי שיפור בשנים האחרונות. הקבוצות שמבצעות תקיפות על בנקים זה קבוצות סופר מאורגנות, שמשקיעות בזה המון. לעיתים מדובר בתכנון של חודשים".
איך מגלים את זה בכלל?
"בחלק מהמקרים זה מתגלה על ידי עובד ששם לב שמשהו מוזר קורה ברשת. למשל באחת התקיפות שהיתה בארה"ב, עובד שם לב שנעשות פעולות ב"דטה-בייס" שלא הוא עצמו עשה. כיום יש מנגנוני התראה שמזהים דפוסים מסוימים ובהתאם יוצרים איתות בצורות שונות".
"המקרה הכי פחות טוב זה גילוי כשקורה משהו – כמו במקרה של הבנק הבנגלדשי, שפשוט מתגלה שכסף נגנב, שאינפורמציה דלפה, או פגיעה בזמינות, כגון שהאתר והאפליקציה לא עובדים".
פגיעה במוניטין? עדיף להסתיר
למרות הפעולות השונות שנוקטים הגופים הפיננסיים ולמרות היותם מפוקחים, אף אחד לא מחייב אותם לספק מידע על אירועים כאלו לציבור הלקוחות ובכלל - וזאת על אף שידוע כי מתקפות כאלו מתרחשות כל הזמן, וייתכן שנגנבים כספים מלקוחות והבנק כלל לא מדווח על כך ללקוח, או שאפילו טוען בפני הלקוח כי ארעה "תקלה טכנית" או "טעות בחשבון".
"את הבנק לא בהכרח מטריד הנזק הישיר של מתקפת סייבר - אם יגנבו לו אפילו חצי מיליארד שקל", אומרת הדס קליין, חוקרת בתוכנית הסייבר במכון למחקרי ביטחון לאומי. "רוב הבנקים בישראל יכולים להכיל את זה. הבעיה זה נושא של תגובת הציבור. ברגע שמשבר לא מנוהל נכון מבחינת הבנקים, הציבור יאבד את האמון שלו בבנק. זה החשש הגדול ולא החשש מגניבה או סנקציות של הרגולטור.
"קשה מאוד לתקן מוניטין ולהשיב את האמון. במקרה קיצון יש לזה אפילו השלכות על בנקים אחרים, גם אם אצלם לא ארע דבר".
לזרוביץ': "ממה שאנחנו מכירים, במידה שיש ראיות מוצקות שמצביעות על כך שנעשתה פעילות חריגה בחשבון שלך, הבנק חייב לבוא ולהגיד לך". עם זאת, הוא מודה כי לבנקים אין אינטרס לחשוף את זה החוצה: "זאת נקודת חולשה, למרות שחשוב הקשר בין המוסדות הפיננסיים בעניין הזה - ידיעה על תקיפה שהתבצעה על בנק אחד, יכולה לסייע לבנק אחר".
לזרוביץ' מדגיש בהקשר זה כי לא פעם תקלות שונות המתרחשות בבנק הופכות למחשידות מבחינת הלקוח, אבל לא תמיד מדובר בהכרח באיזו התקפה זדונית. "ב-90% מהמקרים שבהם יצא כסף מהחשבון, זה לא בהכרח תקיפת סייבר. גם אם נניח שמישהו הצליח לשנות משהו באתר האינטרנט של הבנק ולנו זה נראה דרמטי, עדיין יש הבדל גדול בין לבצע פעולה כזו, לבין ביצוע פעולה כמו גניבת כסף".
לגלגל את האחריות על הלקוח
ואמנם, בעוד הבנקים עוטפים את עצמם בהגנות שונות תוך שימוש בשלל המשאבים העומדים לרשותם, החוליה החלשה באמת היא ציבור הלקוחות. לפצחנים הרבה יותר קל לתקוף את צד הלקוח. זה מסתכם במייל פשוט שנשלח במאות ואלפים במטרה לדוג פרטים.
"כשצרכנים פרטיים מותקפים וההרשאות שלהם נגנבות - זה כבר לא הבנק שנפרץ אלא הצרכן", אומר סטיבן בוייר, "יש נוזקות שעוקבות אחרי צרכנים שנכנסים לחשבון הבנק הממוחשב שלהם ומאפשרות לתוקפים לגנוב מהם כסף. צרכן פרטי לא יכול להפעיל צוות IT שלם ומיומן כמו הבנק, אז ברור שהוא מטרה נוחה".
"היום כשאפשר לבצע שלל פעולות מרחוק בדיגיטל, יש הרבה מקום לטעיות והרבה מקום לחורים שלקוח יכול לחשוף בשגגה", מסיף לזרוביץ'. "לנוחות יש מחיר – היכולת לבצע פעולות פיננסיות בצורות שונות, מכל מקום, כל ריבוי האפליקציות וכו' זה מרחיב את הסיכון והבנקים מודעים לזה" .
לדברי המומחים אי אפשר להתעלם מחובת המודעות של ציבור הצרכנים לסכנות הללו - להיזהר מנסיונות פישינג, להקפיד על אבטחת הסיסמאות, לעקוב אחרי החשבונות והחיובים השונים מהבנק או מחברת האשראי ועוד.
קליין מציינת כי חובת המודעות מבחינת הצרכן היא כפולה הואיל ולא ירחק היום שבו מוסדות פיננסיים יגלגלו את האחריות, במקרים שייראו להם כ"רשלנות" על הלקוחות עצמם. "אנחנו רואים לפעמים טענות ל'התרשלות' שטוענות חברות ביטוח או חברות כרטיסי אשראי, שמסרבות לפצות את הלקוח. גם הבנקים יתחילו להטיל אחריות על הלקוחות. זו סיטואציה מאוד לא נעימה שלקוח צריך לריב עם הבנק שלו כדי לקבל חזרה את הכסף שנגנב מחשבונו".