להצמיד או לא להצמיד: האם תשלום באמצעות גוגל פיי ואפל פיי בטוח יותר?

כרטיסים עם פס מגנטי היו הדבר הכי חם לפני כ-20 שנים, אך האבטחה שלהם הייתה חלשה, והדרישה לתוספת של חתימה ידנית הוסיפה טרחה נוספת לתהליך הרכישה. בנוסף, בכרטיסים האלה לא הייתה הצפנת נתונים, מה שאפשר לעבריינים לסרוק את הכרטיס ולשכפל אותו.

כרטיסים מבוססי-צ'יפים הופיעו כמחליפים לכרטיסים האלה, והם מציעים אבטחה משופרת באמצעות הצפנת נתונים. בכרטיסים האלה נדרשת הכנסה של הכרטיס לטרמינל תשלום ואימות באמצעות קוד אישי, מה שמסמן על מעבר לשיטות תשלום מאובטחות יותר. מנקודת מבט אבטחתית, כרטיסים מבוססי-צ'יפים הם התקדמות ברורה, מכיוון שהם דורשים אימות ומציעים אבטחה משופרת על בסיס הכרטיס עצמו הודות להצפנה. עם זאת, גם הכרטיסים האלה היו חשופים להעתקה או לגניבת מידע, אך ביצוע פשעים כאלה הפך למסובך יותר עם הכרטיסים האלה לעומת כרטיסים עם פס מגנטי.

בחברת אבטחת המידע ESET מסבירים כי תקשורת לטווח קרוב, או NFC, שהיא התפתחות של תקן הזיהוי באמצעות תדר רדיו (RFID), הופיעה כתקן חדש לתשלום לאחר שנת 2015. באמצעות הטכנולוגיה הזאת, הכרטיסים מבוססי-הצ'יפים המקוריים הפכו לשימושיים עוד יותר, מכיוון שכעת במקום להכניס אותם למסופי תשלום ולמכשירי כספומט, כל מה שנדרש הוא הצמדה להתקן תשלום תומך NFC כדי להעביר את התשלום.

מה נכלל בהגדרה של מכשיר תשלום? נוסף על כרטיסים נטולי מגע, כיום גם טלפונים יכולים להציע את האפשרות הזאת באמצעות שירותים כמו Apple Pay או Google Pay, שמאפשרים לכם להשתמש בטלפון להעברת תשלומים לאחר העלאת פרטי הכרטיס שלכם לשירות.

התהליך שמאפשר את התשלום באמצעות תקן NFC פועל באופן דומה יחסית ל-Bluetooth או למערכות תקשורת אלחוטית אחרות, והוא משתמש בגלי רדיו כדי להפעיל ולאמת את המידע המועבר. הנתונים מפוענחים לאחר מכן באמצעות אנטנה. במקרה הספציפי של העברת תשלום, המסוף מקבל מידע מהטלפון, והמידע הזה מעובד ומאושר כדי לבצע את ההעברה.

בשל הטווח הקצר במיוחד של תקן NFC, הוא לא שימושי להעברת כמויות נתונים גדולות. בניגוד ל-Wi-Fi או Bluetooth, הוא איטי יותר ושני המכשירים נדרשים להיות קרובים אחד לשני. זה דומה במידה מסוימת להעברת קבצים באמצעות אינפרא-אדום הזכורה מהעבר, שפעלה באופן דומה אך הייתה הרבה פחות נוחה מכיוון שלא עבדה לעיתים קרובות: היה עליכם להיות מדויקים מאוד בנוגע למיקום הטלפונים, והחיישנים היו צריכים כמעט לגעת אחד בשני

אמנם טכנולוגיית NFC היא בטוחה יותר, במיוחד בנוגע להעברת תשלומים, אך זה לא אומר שהיא חסינה לחלוטין, שכן גורמים זדוניים יכולים לנצל חולשות מסוימות בקלות רבה כדי להשיג את מה שהם רוצים.

לדוגמה, בשנת 2021 חוקר הדגים מתקפה שבה הוא השתמש באפליקציית Android כדי "לנופף לשלום" למכשירי כספומט עם אפשרות NFC כדי לפרוץ אליהם. זה היה אפשרי הודות לבאגים מסוימים בתוכנה שבמכשירים אלה, וייתכן שמצב דומה קיים גם במסופי תשלום מסוגים אחרים. פגמים במערכות ופרצות אבטחה יהיו קיימים לעולם, ולכן ספקי ביטוח סייבר דורשים התקנת טלאי אבטחה כתנאי מקדים לכיסוי ביטוחי.

בנוסף, מכיוון שתשלומים מבוססי NFC תוכננו במטרה להיות נוחים יותר, אין צורך באימות נוסף (כמו קוד אישי) כמו זה שנדרש בכרטיסים מבוססי-צ'יפים למשל. כך, אם מישהו מצליח לגנוב את כרטיס האשראי עצמו, הוא יוכל לבצע תשלומים ללא רשותכם מבלי להידרש להזנת קוד (עד סכום מסוים), והסכום הזה עשוי להיות גבוה - בהתאם למגבלות שהגדרתם.

כפי שהוזכר לפני כן, גם בטלפונים יש יכולות NFC. אך האם הם בטוחים יותר? מכיוון ש-Apple Pay, Google Pay ושירותים אחרים דורשים אבטחה נוספת בדמות קוד אישי, טביעת אצבע, סריקת פנים או אמצעי אימות אחר שעשוי להיות זמין במכשיר שלכם, אכן יש אבטחה נוספת לעומת כרטיס תומך NFC.

בנוסף לכך, שני שירותי התשלום עובדים רק לאחר הפעלה יזומה, וכך הסיכוי לכך שמישהו פשוט יבצע תשלום מהמכשיר שלכם קטן בהרבה. בנוסף, שימוש ב-Apple Pay או Google Pay לא מעביר את פרטי החשבון שלכם, ובמקרה של אובדן המכשיר, די קל לכבות את השירותים האלה מרחוק.

בדומה לכך, שעונים חכמים הם יעילים מאוד למשימות רבות, אך הפעלת האפשרות לביצוע תשלומים באמצעותם עשויה להיות בעייתית, בעיקר מכיוון שאין צורך באימות נוסף מלבד הזנת קוד אישי כדי לפתוח את נעילת השעון. ההנחה היא שהעובדה שהשעון נמצא על פרק כף היד של בעלי השעון היא סוג מסוים של אימות. עם זאת, כדאי לזכור שניתן לגנוב שעונים, ואם הם מוגנים רק על ידי קוד אישי בן 4 ספרות (כפי שנהוג במרבית השעונים), ייתכן שהשיטה הזאת לביצוע תשלומים אינה בטוחה מספיק.

• נסו להשתמש בחוסמי RFID - אלו כרטיסים קטנים או ארנקים שיוצרים מחסום בין הכרטיס שלכם ובין העולם החיצוני, וכך מצמצמים את האפשרות למתקפות שסורקות את תוכן הכרטיס.
• הגדירו מגבלות תשלום נמוכות יותר - ניתן לעשות זאת דרך הבנק או האפליקציה של הבנק, שם תוכלו להגדיר מהו הגבול העליון של סך התשלום שניתן לבצע בתשלום נטול מגע.
• השתמשו בתשלומים מהטלפון - אמנם באפליקציות האלה יכולים להיות פגמים, אך הן עדיין בטוחות יותר מכרטיסים נטולי מגע, הודות לדרישות האימות הנוספות.
• השתמשו בכסף מזומן - סביר להניח שאין צורך בהסבר נוסף במקרה זה. עם זאת, ייתכן שתחששו מנשיאת כמויות כסף גדולות בארנק שלכם, שיכול להיגנב.
• הימנעו משימוש בשעונים חכמים - בשל האבטחה הנמוכה יותר שלהם, הפעלת האפשרות לתשלום באמצעות שעון חכם עשויה ליצור בעיות.
• השיגו כרטיס נטען - אם אתם מודאגים באופן כללי מנושא התשלום הישיר, השיגו כרטיס נטען לטיולים והשתמשו בו במקום כרטיס האשראי או הטלפון שלכם בזמן שאתם בחופשות.