למרות הסיכול המוצלח של יחידת הסייבר של משטרת ישראל, ולמרות שבלאומי קארד מיהרו להרגיע את הלקוחות שפרטי האשראי שלהם בטוחים, ניסיון הסחיטה שנחשף אתמול עדיין מעלה שאלות ותהיות אודות האמצעים בהן נוקטות חברות האשראי כדי להגן על המידע האישי שלנו. האם בעצם מדובר במחדל שניתן היה למנוע אותו?
הפרשה מעלה חששות מוצדקים יש לומר - בקרב לקוחות חברות האשראי שחוששים שפרטי האשראי שלהם יגיעו לידיים הלא נכונות. איך בעצם קורה שאדם או קבוצה מצליחים להוציא כל כך הרבה מידע רגיש מחוץ לחברת האשראי?
"ללא ספק יש פה מחדל של אבטחת מידע" אומר אמיר כרמי, מנהל התמיכה בנציגות הישראלית של חברת האבטחה ESET מפתחת האנטי וירוס NOD32. "לפי הפרסומים, לכמה מהחשודים הייתה גישה למערכות המידע של הבנק, אבל עצם העובדה שלאותם אנשים הייתה את האפשרות להוציא כמות כזו של מידע רגיש החוצה, היא כשלעצמה כשל במנגנון האבטחה".
איך מונעים דליפה של מידע?
אבטחה של רשת מחשבים עובדת בשני הכיוונים. אפילו אם מנעת מכל התוכנות הזדוניות והווירוסים לחדור לרשת המחשבים שלך עשית רק חצי מהעבודה. אבטחה נכונה מורכבת גם ממניעת חדירה של אלמנטים זדוניים לתוך המערכת, ובנוסף גם למניעה של זליגת מידע פנימי של החברה החוצה. וצריך לזכור שדליפת מידע יכולה להתבצע בכל מיני דרכים כאשר ריגול עסקי והדלפת מידע על ידי עובדי החברה הם לא חדשים במחוזותינו.
"כל חברה שמחזיקה מידע רגיש של לקוחות, ובפרט חברות האשראי, צריכה לעבוד לפי תקני אבטחה מחמירים", מסביר כרמי. "הגבלת הרשאות גישה, מניעה של חיבור מדיה ניידת או אפילו הגבלה והפרדה של המערכות הפנימיות מרשת האינטרנט - כדי למנוע מנתונים להישלח באמצעות המייל לדוגמה - הם רק חלק מהדברים שמנהלי אבטחת מידע יכולים, וצריכים לעשות, כדי למנוע הדלפה של מידע".
יחד עם הביקורת, יש לציין לטובה את התגובה של לאומי קארד לניסיון הסחיטה. לאומי קארד לא לקחה את האיום בקלות ראש, ומיד עירבה את המשטרה. פעולה נוספת שננקטה על מנת למנוע ניצול לרעה של הכרטיסים היא שימוש במספר האימות (CVV2) שבגב הכרטיס כברירת מחדל בעת ביצוע רכישה נתונים שככל הנראה לא היו בידי התוקפים.
מספר ה CVV (Card Verification Value) הן אותן שלוש ספרות בגב הכרטיס (או ארבע ספרות בחזית הכרטיס, אם יש לכם אמריקן אקספרס), אשר משמש כאישור הזהות של בעל הכרטיס בעת התשלום. זהו חלק מקני הזיהוי שאמורים לוודא שאתם אכן מחזיקים את הכרטיס בידכם ולא את מספר הכרטיס בלבד.
איך תגנו על פרטי האשראי שלכם?
דליפת המידע וניסיון הסחיטה של לאומי קארד צריכים להדליק נורה אדומה, ועל חברות האשראי לעשות בדק בית ולרענן את נהלי האבטחה שלהם - אבל הלקוחות לא צריכים למהר לגזור את הכרטיס. דליפות של מספרי אשראי הם לא עסק חדש, וחברות האשראי מבוטחות ויפעלו במהרה לחסום מספרי אשראי שדלפו לרשת ולפצות את בעל הכרטיס במקרה ונעשה שימוש לרעה בכרטיס שלו.
אך המקרים המסוכנים יותר הם דווקא אלה שלא תשמעו עליהם בחדשות, וכדי להימנע מכאבי ראש מיותרים בעלי הכרטיסים צריכים להקפיד על כמה כללים של קניה בטוחה ברשת או בכלל:
1. בדקו את החשבון שלכם לפעילות חשודה לא קיימת כיום חברת אשראי שלא מאפשרת ללקוחותיה לצפות ברישום הפעולות שלהם און ליין, כך שאין צורך לחכות לפירוט העסקאות שפעם היה מגיע אחת לחודש לתיבת הדואר שלנו. הקפידו לעבור מדיי פעם על פירוט העסקאות ועל חיובים בבנק ווודאו שאין שם עסקאות חשודת, שלא אתם ביצעתם. זכרו לא מדובר בהכרח בעסקאות על סכומים גדולים.
2. רכשו רק מאתרים מוכרים רכישה באינטרנט עלולה לחשוף אותנו לניסיונות גניבת מספר האשראי שלנו, רכישה מאתרים מפוקפקים שמציעים "דילים מדהימים" במחירים לא סבירים היא לא מומלצת. זכרו אם זה נראה טוב-מכדי-להיות-אמיתי, אז כנראה שזהו בדיוק המצב.
3. ודאו שדף הרכישה מוצפן לאתרי הקניות יש אינטרס לשמור על האבטחה שלכם והם מאבטחים את דפי הרכישה שלהם כנדרש. אתם תזהו את דף רכישה מאובטח לפי סימן המנעול או המפתח לצד שורת הכתובת בראש הדף. אם האתר לא מאובטח עדיף למצוא אתר אחר שמוכר את המוצר שרציתם בצורה מאובטחת.
4. השתמשו באלטרנטיבות לכרטיס האשראי קיימות היום אלטרנטיבות מצוינות לכרטיס האשראי לרכישה און ליין שירותים כמו PayPal או רכישת כרטיס ויזה שניתן לטעון בסכום ידוע מראש הן בין האלטרנטיבות המובילות.
5. הגנו על המחשב אחד האמצעים בהם משתמשים האקרים כדי לגנוב את מספרי האשראי שלנו הן תוכנות זדוניות שאורבות בשקט במחשב ונכנסות לפעולה רק כאשר אנחנו נכנסים לדפי הרכישה או לאתר הבנק שלנו. לכן יש לוודא שעל המחשב מותקנת תוכנת אבטחה אמינה, ושמערכת ההפעלה, הדפדפן ותוכנות צד שלישי המותקנות על המחשב כמו ג'אווה וקורא המסמכים של אדובי מעודכנות לגרסאות העכשוויות ביותר.