בכתבות הקודמות דיברנו על סוגי ה"סייבר" השונים, והתמקדנו בסייבר התקפי-מדינתי. אני רוצה לקחת צעד אחורה ולדבר על ה"סייבר" הישן והטוב, זה שכולנו מכירים (או חושבים שאנו מכירים)- פשיעת סייבר, או בשמה הלועזי Cyber Crime.
על פי UNDOC (סוכנות האו"מ למלחמה בסמים ובפשע) פשיעת סייבר היא פעילות בלתי חוקית שמבוצעת באופן דיגיטאלי כנגד רשתות מחשבים, מערכות ממוחשבות, מידע, אתרי אינטרנט, או פיתוח אמצעים טכנולוגים שמסייעים לפעילות שכזו. פשיעת סייבר שונה מפשיעה רגילה בכך שהיא אינה מכירה בגבולות גיאוגרפיים וניתן לבצעה במאמץ ובסיכון קטנים יחסית לפשיעה מסורתית.
פשעי סייבר בוצעו כבר בשנות ה-70 (בעיקר גניבה מחברות טלפון), והרשעה ראשונה בפשע סייבר התרחשה בשנת 1981, כשאמריקני בשם איאן מרפי פרץ לחברת AT&T ושינה תעריפי טלפון בשעות שיא. אולם, עד האימוץ הגלובלי של רשת האינטרנט הפשעים הללו בוצעו בעיקר על ידי עובדים בחברות עצמן, או שבוצעו למטרות של שעשוע או בחינת יכולות של המפתחים (כגון פיתוח הווירוס הראשון)- ולא למטרה כספית. שנות ה-90 הביאו איתן שלוש מגמות שביחד נתנו פוש אדיר להתפתחות פשעי הסייבר. המגמה הראשונה היא התפרקות הגוש הקומוניסטי, שהביאה למשבר כלכלי חריף במדינות ברית המועצות ובנות חסותה. השנייה היא האינטרנט, שבזמן קצר מאוד חיבר מדינות ויבשות, והשלישית היא אימוץ של מסחר מקוון תוך שימוש בכרטיסי אשראי.
כך נוצר מצב שבו אדם משכיל אך עני מאוד במזרח אירופה - נניח, אוקראינה - יכול להתחבר לרשת האינטרנט ולהזמין מוצרים מאתרי מסחר. לא עבר הרבה זמן ואותם אנשים למדו לגנוב פרטי כרטיסי אשראי, לסחור בהם ולהזמין סחורות יקרות, שאחר כך הומרו לכסף מקומי. וככה התנהלה שרשרת האספקה של הפשיעה באינטרנט באותן שנים: ארגוני פשיעה אספו כמויות אדירות של כרטיסי אשראי (לא הכרטיסים עצמם, רק הפרטים שלהם) ממדינות עשירות, הציעו אותן למכירה בפורומים מיוחדים ברשת האפילה, וגופים אחרים רכשו את הכרטיסים הללו למטרות שונות. כך נולדה תעשיית הכרטיסים - Carding בלעז, שהייתה המנוע שתידלק את תעשיית פשיעת הסייבר ב-20 השנים הראשונות לקיומה.
צריך לציין ששימוש בפרטים גנובים של כרטיסי אשראי החל הרבה לפני שהאינטרנט - פושעים היו מעתיקים על נייר פחם את פרטי כרטיסי האשראי בתחנות דלק, מלצרים היו מעתיקים את פרטי הכרטיס במסעדות וגם מסעדת הפיצה האהובה הייתה מקור ללא מעט גניבות של כרטיסי אשראי (בתקופה שעוד היינו צריכים להתקשר להזמין פיצה ולתת את פרטי הכרטיס בטלפון). מה שהאינטרנט והמסחר המקוון אפשרו הוא להזמין סחורות מכל מקום לכל מקום אחר בעולם - ומיד כרטיסי אשראי הפכו למצרך מבוקש במיוחד. חברות כרטיסי האשראי צפו את המגמה הזו והוסיפו לאתרי המסחר המקוונים דרישה לקבל פרטי זיהוי של בעל הכרטיס - שם, תעודת זהות (או מספר ביטוח לאומי) ותאריך לידה. פושעי הסייבר לא חיכו ומצאו דרכים להשיג פרטים אלו - החל בהקמת אתרי מסחר מזויפים (שלא ניתן באמת לקנות דרכם, אבל כן נועדו לשטות בלקוח שיזין את הפרטים הללו), דרך פריצה וגניבת מאגרי נתונים שמכילים את הפרטים הללו. אפשר גם לנסות להוציא את הפרטים האלו בדרך ערמומית יותר (כמו התחזות לנציג חברת כרטיסי האשראי ולבקש מבעל הכרטיס את הפרטים לצורך הזדהות). אם יש צורך- אזי יוצלבו מספר בסיסי נתונים כאלו עד להשלמת כלל הפרטים על בעל הכרטיס - מה שקרוי בעגה המקצועית fullz- כלומר, פרטים מלאים (ששווים יותר כמובן, מ"סתם" מספר כרטיס).
מה עושים עם פרטים של כרטיס אשראי גנוב? קיימות שלוש אופציות. הראשונה - להיכנס עם הכרטיס הגנוב לאתר ברשת ולהזמין ממנו סחורה. יש לשיטה הזו כמה חסרונות. ראשית, מדובר בסחורה פיזית, שצריך לאחסן ואחר כך למכור (משום שהמטרה היא לייצר מזומן במטבע מקומי). שנית, צריך לתת לאותם אתרים כתובת פיזית אמיתית למשלוח. לשלוח לבית שלך עצמך כמויות של מכשירי סלולר או שעונים יקרים זה דבר שמעורר חשד ומקל על רשויות החוק למצוא אותך. בנוסף, לאתרים האלו היו מנגנונים לזיהוי הונאות, כך שלא יכולת להזמין כמויות גדולות מאותו אתר, וצריך לפזר את ה"קניות" בין מספר אתרים ועל פני טווח זמן נרחב. המכשול הרביעי הוא שחברות כרטיסי האשראי זיהו די מהר את השיטה והחלו לבדוק את המיקום הפיזי של ביצוע ההזמנה, כלומר, אם אדם שמתגורר בארצות הברית מנסה לקנות באמאזון ארה"ב אבל נמצא באותו רגע באודסה, משהו פה מוזר. וכמובן - לכרטיסים יש מגבלת שימוש יומית וחודשית, ונפח פעילות גדול מדי יעורר גם חשדה של חברת האשראי וכנראה שלבסוף גם את חשדו של בעל הכרטיס.
זאת ועד, גם אם הצלחת להזמין עשרות פריטים יקרים מבלי להיתפס, אין מדובר בכסף עובר לסוחר. צריך למכור את הפריטים הללו בשוק השחור המקומי, להפסיד בדרך חלק משווים ולהגדיל את הסיכוי שרשויות החוק ישימו לב לעסק "יבוא-יצוא" שפתחת.
עם הזמן אתרי המסחר שכללו את מנגנוני האבטחה שלהם וביקשו פרטים מזהים נוספים כגון תעודת זהות וכן בקשה לבצע פעולות מסוימות (כגון להקליד טקסט מסוים)- הכול במטרה להקשות על הפושעים. כיום קשה מאוד לבצע קניה בכרטיס אשראי גנוב וישנו פיקוח בינלאומי הדוק יותר, כך שענף זה של פשיעת סייבר ירד מחשיבותו.
אז מה עוד אפשר לעשות עם כרטיס אשראי גנוב? אפשר פשוט ללכת לחנות ולרכוש מוצרים. זה מחייב להפיק כרטיס פיזי (אפשר לקנות באינטרנט את כרטיסי הפלסטיק הריקים, ויש מכונות מיוחדות שמקודדות את המספר של הכרטיס על גבי הפס המגנטי), אבל זו שיטה מסורבלת - יש לגשת לחנות, לרכוש מוצרים כמה שיותר יקרים וקלים לנשיאה (משום שתוך זמן מה הכרטיס ייחסם בוודאי), רצוי כאלו שאפשר למכור במהירות ובקלות. בחנויות יש גם מצלמות אבטחה ומשטרות למדו עם הזמן להצליב את נתוני האשראי עם צילומי האבטחה וכך לזהות פושעים אלו. גם החנויות השתכללו ומבקשות אמצעי זיהוי נוסף כשמדובר בקניה בסכומים גדולים, מה שהביא לכך שהמוצר הפופולרי ביותר שנרכש עם כרטיסי אשראי גנובים הוא דלק - זהו מוצר עם עלות משמעותית, שקל לאכסן או למכור הלאה (לא מתכלה או מתקלקל). כאן נכנסו לפעולה מנגנוני הזיהוי של חברות כרטיסי האשראי. אם תמלאו דלק בתחנות שונות תוך פרק זמן קצר "תקפוץ" לחברת האשראי התראה והיא תיצור עמכם קשר (או תחסום את הכרטיס). בקיצור, גם רכישות פיזיות הן לא להיט גדול במיוחד.
ולבסוף, מכיוון שהכרטיסים הללו הם גם כספומטים, אם אתה יודע את הסיסמא תוכל לגשת לכספומט ולהוציא מזומנים טריים, בדיוק במטבע המקומי (שאיתו אתה משלם חשבונות). חלום, לא? שיטה זו מסורבלת יותר מרכישה ישירה בכרטיס אשראי. יש צורך להפיק כרטיס אשראי פיזי, ובנוסף צריך להשיג איכשהו את הקוד הסודי של המשתמש. כאן אנחנו כבר נתקלים בבעיה מסובכת יותר. על מנת להשיג את הקוד הסודי (שבניגוד לפרטים של בעל הכרטיס, לא ניתן לגנוב מאיזה בסיס נתונים ברשת) פושעים שותלים קורא כרטיסים בתוך ה"שפתיים" של הכספומט, ומתקינים מצלמה זעירה שקוראת את המקלדת ומתעדת אלו ספרות הקליט המשתמש. לאחר זמן מה אוספים את המכשור הזה מהכספומט ומצליבים בין הנתונים (זו גם שיטה יעילה לאיסוף פרטי כרטיסים).
אבל, יש פה אלמנט לא מבוטל של סכנה. יש לגשת פיזית לכספומט ולמשוך כסף. כספומטים בדרך כלל ממוקמים באזורים מוארים היטב והם מצולמים 24/7. אף האקר לא רוצה להיתפס כשהוא מושך כסף בכרטיס אשראי גנוב, ולכן הם מגייסים בלדרים ( Mule- או פרד בעברית) שיבצעו את הפעולה עבורם. מכיוון שיש תקרה יומית על משיכה מכספומט וכן מגבלה על משיכה ממכשיר בודד, הרי שאותם בלדרים הולכים מכספומט לכספומט ומנסים להוציא כמה שיותר כסף עד שהכרטיס נחסם. מובן ששיטה זו אינה יעילה גם היא ודורשת תחכום וארגון לוגיסטי משמעותי.
לסיכום ניתן לומר ששלוש השיטות המובילות לעשיית כסף תוך שימוש בכרטיסי אשראי גנובים הלכו והפכו מסורבלות יותר, מסוכנות יותר ויעילות פחות ב-20 השנים האחרונות.
מהסקירה לעיל עולה שהשימוש הפושע בכרטיסי אשראי נמצא בירידה. אף על פי כן, חשוב להבין ולהפנים שזהו עדיין איום משמעותי. מדוע? בראש ובראשונה, מכיוון שכנראה פרטי הכרטיסים של כולנו מוצעים כרגע למכירה בפורום זה או אחר. שנית, פושעי הסייבר השתכללו גם הם. הם הפנימו שאין צורך לבצע רכישות יקרות, חד פעמיות (עד שהכרטיס ייחסם). ניתן לבצע פעולות קטנות יותר, שאף אחת מהן לא מחשידה, וכך לגנוב סכומי כסף משמעותיים על פני זמן רב - למשל, להשתמש בכרטיס אשראי גנוב כדי לפתוח מנוי לנטפליקס, הוצאה של עשרות שקלים בודדים בחודש, שכנראה לא תעורר את חשדו של בעל הכרטיס הגנוב.
אז מה לגבי מניעה? ובכן, הכללים הוותיקים תופסים גם במקרה זה- אל תתנו למישהו שלא אתם פניתם אליו את פרטי הכרטיס או פרטים מזהים נוספים, היזהרו מפני אתרים חשודים שמבקשים שתזינו את פרטי הכרטיס שלכם. אם אתם מבחינים בחיוב חשוד דווחו מייד לחברת כרטיסי האשראי. יש להם מערכות לזיהוי וחוקרים שיכולים לטפל בבעיה. השתדלו לקנות רק באתרים מאובטחים, מה שמקטין את הסיכון שמישהו יפרוץ לאתר ויגנוב את פרטיכם. אפשר לזהות אתרים אלו על ידי סימן המנעול שמופיע בדפדפן והם לרוב יציינו בעמוד התשלום שהם עומדים בתקן PCI DSS , שאומר שהאתר אינו שומר את פרטיכם לאחר גמר הטרנסאקציה. אפשר וכדאי לסרב לכל מיני גופים שמתעקשים לקבל את מספר תעודת הזהות שלכם ללא צורך.
בנוסף, מומלץ למי שאין עדיין להחליף את כרטיס האשראי לכרטיס חדש שמכיל שבב בתקן EMV- זה מקשה מאוד על זיוף הכרטיס.
לסיכום- קארדינג נחשב בעבר, ובצדק, לפשע הסייבר מספר אחד. הוא אפשר לפושעים לצבור הון עתק תוך נקיטת סיכון מינימאלי ופרסם אקו-סיסטם נרחב של האקרים, בעלי זירות מסחר, ספקי כרטיסי פלסטיק ובלדרים, וכן שירותי הלבנת הון ושינוע ומכירת סחורות בשוק האפור. התשלום באמצעים דיגיטאליים נשאר בליבה של פשיעת הסייבר, אולם עבר שינוי מהותי בשנים האחרונות - ועל כך בפוסטים הבאים.
יותם גוטמן הוא סמנכ"ל השיווק של חברת הסייבר SentinelOne