בסרטון: הודעת הדחייה על אולימפיאדת טוקיו
צוות החוקרים של פרימטר איקס, סטארט אפ ישראלי המתמחה במוצרי הגנה לאתרי מסחר, התחקה אחרי מתקפת האקרים זדוניים על אתר מכירת כרטיסים לאולימפיאדת 2020 שניסה לגנוב כרטיסי אשראי ואת פרטי הרוכשים.
במהלך הבדיקה, צוות החוקרים נתקל בשרת לא מאובטח, שנוהל על ידי קבוצה של האקרים מרוסיה. השרת הלא מאובטח נתן הצצה לפעולות ופעילויות האקרים. מן המחקר עלה, שהקבוצה מציעה להאקרים מתחילים, חסרי ניסיון, שירות גניבת פרטים, מעין תשתית המאפשרת לכל מי שפרץ לאתר מכירות כלשהו לבנות בקלות סקריפטים של תקיפה (קוד הפעלה מובנה לתקיפה), לשימוש עבור מי שגונב פרטי כרטיס אשראי.
"האקרים רבים יודעים כיצד לפרוץ לאתרים, אך ברגע שהשיגו גישה הם אינם יודעים איך להתקדם משם ולגנוב את פרטי האשראי. התשתית מאפשרת לאגור את כל המידע הגנוב", אומר בן בריו, חוקר בחברה.
מטרת התשתית לנהל את התקיפות ולקבל סטטיסטיקות בתצורה מבוססת ענן, עם טבלאות, גרפים ואוטומציות בסטנדרט העומד בקנה אחד עם שירותי ענן לגיטימיים. הצוות יצר קשר עם מי שניהל את השרת ועמד מאחורי המתקפה, כשהוא סבור שהוא מנהל שיחה עם האקרים כמוהו. "המשמעות היא שרף הכניסה לתחום גניבת פרטי האשראי יורד והתשתית מסייעת להוריד חסמים בפני אלו שיודעים רק איך לפרוץ לאתרים, וכעת יכולים לעשות כסף מהפריצה הרבה יותר בקלות", אומרת ליאל, מנהלת קבוצת המחקר של החברה.
כיצד ניתן להתגונן מפני גניבת פרטי האשראי ולא ליפול קורבן?
- מבצעים רכישות רק באתרים מוכרים וידועים, קוראים ביקורת של משתמשים אחרים ולא נכנסים לאתר שאף אחד לא שמע עליו
- מחפשים באתר את תקן PCI - תקן לאבטחת תשלומים. אתרים מכובדים לרוב ידאגו להבליט את קיומו של התקן באתר שלהם ויתגאו בו, משום שהוא מגביר את אבטחת התשלום
- בשלב התשלום - משתדלים לשלם באמצעות צד שלישי, דוגמאת פייפאל, זה מצמצם את הסיכוי לגניבת פרטים.
שוק ההונאה באינטרנט, ובכללה גם גניבת פרטי אשראי, גלגל כ-17 מיליארד דולר בשנת 2019, וזאת בטרם התפרצות וירוס הקורונה, שהגדילה משמעותית את התעבורה באונליין, וכפועל יוצא, גם את המתקפות. ההאקרים של ימינו הפכו מתוחכמים יותר, ולא ניתן לאבטח את פרטי האשראי בצורה הרמטית, איך יש כמה פעולות שניתן לעשות על מנת לצמצם באופן משמעותי את החשיפה לפגיעה ולמנוע, עד כמה שניתן, את גניבת הפרטים.