שיטה חדשה ומתוחכמת מאפשרת להאקרים לבצע הונאות ענק באמצעות גניבת פרטי כרטיסי אשראי ושירותי תשלומים דיגיטליים. חברת אבטחת המידע ההולנדית ThreatFabric חשפה לאחרונה שיטה חדשה בשם "Ghost Tap" המאפשרת להאקרים לגנוב כסף מכרטיסי אשראי המקושרים לשירותי תשלומים דיגיטליים כמו Google Pay ו-Apple Pay.
4 צפייה בגלריה
תשלום באמצעות סמארטפוןתשלום באמצעות סמארטפון
תשלום באמצעות סמארטפון. עכשיו ההאקרים מצאו דרך לגשת גם לשירותי התשלום הדיגיטלי
(צילום: shutterstock)
"פושעים יכולים כעת לנצל לרעה את שירותי התשלום של גוגל ואפל כדי להעביר את פרטי התשלום שלכם לכל מקום בעולם תוך שניות", טוענים בחברה. "המשמעות - גם ללא הכרטיס הפיזי או הסמארטפון שלכם, הם יכולים לבצע תשלומים מחשבונכם בכל מקום בעולם".

איך זה עובד?

התקיפות האלו מתחילות בדרך כלל בפיתוי הקורבנות להוריד תוכנות זדוניות לסמארטפון, אשר גונבות את פרטי ההתחברות לבנק ואת הסיסמאות החד-פעמיות שלהם. לאחר מכן, התוקפים מקשרים את הכרטיס הגנוב ל-Google Pay או ל-Apple Pay. כדי למנוע חסימה של הכרטיס על ידי חברת האשראי, פרטי התשלום מועברים ל"פרד" – אדם שתפקידו לבצע רכישות הונאה בחנויות פיזיות.
העברת המידע מתבצעת באמצעות כלי מחקר לגיטימי בשם NFCGate, המאפשר ללכוד, לנתח ולשנות תעבורת NFC. הכלי מאפשר גם להעביר את תעבורת ה-NFC בין שני מכשירים באמצעות שרת. "מכשיר אחד פועל כ'קורא' שקורא תג NFC, והמכשיר השני מדמה תג NFC באמצעות Host Card Emulation (HCE)", הסבירו חוקרים ממעבדת Secure Mobile Networking Lab באוניברסיטת דרמשטאדט, כך לפי דיווח של אתר "האקר ניוז".
4 צפייה בגלריה
גם ללא הכרטיס הפיזי או הסמארטפון/שעון שלכם, האקרים יכולים לבצע תשלומים מחשבונכם בכל מקום בעולםגם ללא הכרטיס הפיזי או הסמארטפון/שעון שלכם, האקרים יכולים לבצע תשלומים מחשבונכם בכל מקום בעולם
גם ללא הכרטיס הפיזי או הסמארטפון/שעון שלכם, האקרים יכולים לבצע תשלומים מחשבונכם בכל מקום בעולם
(צילום: shutterstock)

הונאה בקנה מידה ענק

השימוש ב-NFCGate אינו חדש. כבר באוגוסט האחרון דווח שהיא שימשה בעבר האקרים כדי להעביר מידע NFC ממכשירי הקורבנות לתוקף, אך השימוש הנוכחי בכלי הוא חדשני ומסוכן במיוחד. "פושעי סייבר יכולים ליצור ממסר בין מכשיר עם כרטיס גנוב לבין מסוף נקודת מכירה אצל קמעונאי, להישאר אנונימיים ולבצע משיכות מזומנים בקנה מידה גדול", ציינו בחברת אבטחת הסייבר ESET. "הפושע עם הכרטיס הגנוב יכול להיות רחוק מאוד מהמיקום (אפילו במדינה אחרת) שבו הכרטיס ישמש, וכן להשתמש באותו כרטיס במספר מיקומים תוך פרק זמן קצר".

קושי באיתור

הטקטיקה החדשה מקשה על זיהוי התקפות Ghost Tap, שכן העסקאות נראות כאילו הן מגיעות מאותו מכשיר, ובכך עוקפות מנגנוני הגנה מפני הונאות. המכשיר עם הכרטיס המקושר יכול גם להיות במצב טיסה, מה שמקשה על איתור מיקומו האמיתי ועל זיהוי העובדה שלא הוא שימש לביצוע העסקה במסוף.
"אנו חושדים שהתפתחות רשתות עם מהירות תקשורת גוברת, יחד עם היעדר מנגנוני זיהוי מבוססי זמן במסופי כספומט/נקודת מכירה, אפשרו את ההתקפות הללו, שבהן המכשירים האמיתיים עם הכרטיסים נמצאים פיזית רחוק מהמקום שבו מתבצעת העסקה", הסבירו ב-ThreatFabric. "עם היכולת להתרחב במהירות ולפעול תחת מעטה אנונימיות, שיטת המשיכה הזו מציבה אתגרים משמעותיים עבור מוסדות פיננסיים ועסקים קמעונאיים כאחד".
4 צפייה בגלריה
דוגמה לחשבונות PayPal וכרטיסי אשראי אשר מוצעים לכל דורשדוגמה לחשבונות PayPal וכרטיסי אשראי אשר מוצעים לכל דורש
דוגמה לחשבונות PayPal וכרטיסי אשראי אשר מוצעים לכל דורש באחד הפורומים של ההאקרים
(ESET)

תחכום חסר תקדים בעולם הפשיעה הדיגיטלית

"אנחנו עדים לתחכום חסר תקדים בעולם הפשיעה הדיגיטלית", מתריע בשיחה עם ynetאלי כהן, מנכ"ל חברת y-tech, המתמחה בפתרונות טכנולוגיים מנוהלים כמו אבטחת מידע ושירותי ענן. "בעבר, גניבת כספים דרך אמצעי תשלום דיגיטליים דרשה נוכחות פיזית או גישה ישירה למכשיר. היום, תוקפים יכולים לשבת בקצה השני של העולם ולרוקן חשבונות בנק דרך הארנקים הדיגיטליים של הקורבנות". הוא טוען.
"מה שמדאיג במיוחד", ממשיך כהן, "הוא שהמתקפה הזו מנצלת את אחת החולשות הבסיסיות ביותר של מערכות תשלום דיגיטליות - ההנחה שקרבה פיזית מבטיחה אבטחה. כשההנחה הזו מתערערת, כל המודל האבטחתי נדרש לחשיבה מחדש".
ומה הציבור יכול לעשות כדי להתגונן יותר טוב מפני תקיפות אלו?
"קודם כל - היזהרו מהורדת אפליקציות לא מוכרות לטלפון הנייד. בדקו היטב את הרשאות האפליקציות שאתם מתקינים. עדכנו את תוכנת האבטחה של הטלפון שלכם באופן קבוע והיו ערניים לכל פעילות חשודה בחשבון הבנק שלכם. זמן התגובה הוא קריטי", מסביר כהן. "ככל שמזהים את הפעילות החשודה מוקדם יותר, כך גדלים הסיכויים למנוע נזק משמעותי".
4 צפייה בגלריה
אישה עם טלפון וכרטיס אשראיאישה עם טלפון וכרטיס אשראי
חשוב להיות ערניים לכל פילות חשודה בחשבונות שלכם
(צילום: shutterstock)
"ברמה המתקדמת יותר, מומלץ להגדיר מגבלות קשיחות על היקף העסקאות היומי ועל סכום העסקה הבודדת המקסימלית. כמו כן, חשוב להפעיל מנגנוני אימות מתקדמים לעסקאות החורגות מדפוסי השימוש הרגילים. הרעיון הוא ליצור שכבות הגנה מרובות", אומר כהן. "גם אם התוקפים מצליחים לחדור שכבה אחת, הם עדיין יתקלו במחסומים נוספים".
"לבסוף, במקרה של חשד להונאה, חשוב לפעול במהירות ובשיטתיות. אני ממליץ על תגובה מיידית הכוללת חסימת הכרטיס, ניתוק כל החיבורים לארנקים דיגיטליים, ודיווח מפורט למחלקת ההונאות של הבנק ולמשטרה. חשוב לתעד כל פעולה חשודה ולשמור את כל ההתכתבויות והאסמכתאות", הוא מדגיש. "המידע הזה יהיה קריטי בתהליך השבת הכספים".