ארה"ב: בנק שילם על התקפת פישינג

חברת האנרגיה TRC מארה"ב תבעה את הבנק שלה על נזק שנגרם לה בסך של כ-300 אלף דולרים בעקבות התקפת פישינג. חברת הביטוח של הבנק העדיפה לשלם את הנזק מחוץ לכתלי בית המשפט. האם המקרה הזה יעגן את מודל האחריות בתעשיית הבנקאות המקוונת?

photo by: shutterstock.com

כשזה מגיע למחלוקת לגבי השתלטות של האקרים על חשבון בנק של לקוח עסקי, לרוב המחלוקת בין הבנק ללקוח נסגרת בפשרה מחוץ לכתלי בית משפט. לדוגמא, בהסדר שהושג בחודש שעבר, בנק האבטחה המאוחדת של פרזנו (United Security Bank of Fresno) הסכים לשלם לחברת TRC מקליפורניה, חברת הפקת נפט עצמאית, 350,000 דולרים כדי ליישב מחלוקת על הפסדים של 3.5 מליוני דולרים שנגרמו בשל בהעברות בנקאיות מזויפות שרוקנו את חשבונה של החברה בנובמבר 2011.

בעקבות ההסדר שלה עם הבנק, TRC דחתה את תלונתה כי לכאורה הבנק נכשל להציע הליך ביטחוני "סביר מבחינה מסחרית". נשיא USB והמנכ"ל, דניס וודס, אמר כי עלות ההסדר תכוסה על ידי חברת הביטוח של הבנק, שהסכימה לעסקה. הבנק היה מעדיף שהמקרה יגיע למשפט, הוא אמר. לטענתו, החלטת בית המשפט בשאלה האם הבנק אחראי לגניבה של פרטים מזהים של הלקוח כתוצאה מהתקפת פישינג, כפי שוודס טוען שקרה במקרה של TRC, הייתה תורמת לתעשייה.

וודס סרב להגיב על שאלה אם הוא חושב ששיטות האימות של הבנק "סבירות" או עומדות בהנחיות של ה-FFIEC לאימות משתמש. הוא גם לא הגיב לשאלה האם הבנק הציע יותר משם משתמש וסיסמא לצורך אימות עסקות מקוונות והעברות בנקאיות.

"עצרנו תשעה מ-12 [העברות מזוייפות] ורק אחת הצליחה לעבור", הוא אומר. "הם רצו שנשלם אותן בחזרה ואמרנו להם: 'ברור שאנחנו לא יכולים, כי זה חלק מההסכם שלך עם הבנק שלנו - שאתה צריך להיות אחראי לשם המשתמש והסיסמה שלך. אז אנחנו פשוט הפננו את הבקשה לחברת הביטוח שלנו. ואחרי שנתיים, חברת הביטוח הגיעה לפשרה".

"TRC בססה את עצמה בתעשיית הנפט שנשלטת על ידי תאגידים גדולים, ובמודע בחרה לשמור על חשבונות הבנק שלה בבנק USB, מוסד פיננסי מקומי, בשל היחסים האישיים שהתפתחו בין TRC והבנקאים של USB לאורך השנים", אמר צ'רלס קומפורט מ-TRC.

"כל זה השתנה כאשר על פני תקופה של 5 ימים, שנים עשר בקשות מזוייפות להעברות בנקאיות בהיקף של 3,450,670 דולרים עובדו לא כדין באמצעות החשבונות של TRC בבנק USB בנובמבר 2011. בסופו של דבר 299,600 דולרים נעלמו מחשבון החברה של TRC. הבנק הכחיש כי יש לו אחריות למרות אינדיקטורים רבים שהרימו 'דגל אדום' שההעברות הבנקאיות היו מזויפות. כדי לחזק את העמדה שלהם, USB הטיסו אנליסט ביטחון ממשלתי שטס לקליפורניה במסווה של חקירה בלתי משוחדת. מייד לאחר מכן, אנליסט האבטחה הכין 'דווח על האירוע' שהכיל מצג שווא".

אין ספק שמדובר במקרה מעניין שיכול להשליך על עולם הבנקאות המקוונת. הרי ברור כי לצד דבריו של מנכ"ל הבנק, אם חברת הביטוח של הבנק החליטה לא ללכת למשפט זה היה בשל שיקול כספי. ייתכן וכפי שטען הלקוח, מנגנוני אימות הזהות לצורך ביצוע העברות בנקאיות לא עמדו בסנטנדרטים 'סבירים' ובבית משפט זה לא היה נראה טוב.

האם ההחלטה של חברת הביטוח במקרה זה תגרום לחברות ביטוח אחרות מתחום הבנקאות ללכת בעקבותיה? האם זה אומר שהבנק חייב להחזיר ללקוח את הכסף במקרה של התקפת פישינג? וכיצד רגולציה/המלצות כמו אלו של FFIEC ישפיעו על החלטות בתי משפט בנושא.

You might be interested also

Screenshot from the conference. Clockwise from R to L: moderator Audrey Plonk, Head of the Digital Economy Policy Division of the OECD; Mathias Cormann, OECD Secretary General; Yigal Unna, Director General of the Israel National Cyber Directorate; and Haim Assaraf, Israel's ambassador to the OECD.     

Israel hosts OECD's annual cyber conference for first time 

The three-day online conference whose theme is "Local challenges, global solutions" started today. The secretary general of the organization said the vulnerability most exploited by cyberattackers is lack of cooperation