היעד החדש של האקרים: כרטיסי מתנה מקוונים

ההאקרים מנצלים את העובדה שבסמיכות ל-4 יולי, היתרה בחשבונות של כרטיסי המתנה של אמריקאים רבים גבוהה, על מנת לפרוץ ולרוקן את החשבונות הללו. מאמר של יוסי ברקשטיין

היעד החדש של האקרים: כרטיסי מתנה מקוונים

יוסי ברקשטיין. צילום: Perimeter X

 כמיטב המסורת, ה-4 ביולי, יום העצמאות של ארה"ב, הפך ליום בו אמריקאים רבים נוהגים לעשות על האש, לצפות במשחקי בייסבול ובמופעי זיקוקים. לרשימה זו, התווספה בשנת 2020 מסורת חדשה: נוכלים אשר שמים להם למטרה לרוקן את היתרה בכרטיסי מתנה (גיפט קארד) של אזרחים. 

לראשונה הצליחו חוקרי אבטחת המידע בחברת PerimeterX לעקוב אחר מתקפת "Credential Stuffing", אשר התרחשה בסמיכות ל-4 ביולי ואף לאחריו. לצורך הפריצה, התוקפים נעזרו בסיסמאות ושמות משתמשים של אזרחים תמימים, שאותם הם השיגו ב-darknet בעקבות דליפות מידע של אתרים שונים. מתקפות אלו מתמקדמות בעיקר באתרי סחר שונים כמו בגדים ומתנות שונות לבית.

עד כמה התופעה נרחבת? היקף הגניבות של כרטיסי מתנה ברחבי העולם מסתכם במיליארדי דולרים מדי שנה. התופעה הפכה לכל כך נפוצה, עד כדי כך שניתן למצוא הצעות למכירתם במנועי חיפוש פופולריים כמו גוגל ובינג.

כרטיסי מתנה גנובים לרכישה מיידית

ההאקרים מנצלים את העובדה שבסמיכות ל-4 יולי, היתרה בחשבונות של כרטיסי המתנה של אמריקאים רבים גבוהה, על מנת לפרוץ ולרוקן את החשבונות הללו. מי שהופך את מלאכתם ליחסית קלה הם דווקא המשתמשים בעצמם וזאת בעקבות נטייתם של רבים לעשות שימוש באותו שם משתמש וסיסמא במספר רב של אתרים, נטייה שמהווה פגם מוכר וידוע בתחום אבטחת המידע.

יש לציין, שגל ההונאות ברשת שהגיע לשיאו ב-4 ביולי אינו יוצא מהכלל. למעשה, מנתונים שנאספו על ידי PerimeterX, עולה כי ישנו זינוק במתקפות ותרמיות של כרטיסי מתנה בכל חג אמריקאי משמעותי, כולל: יום הזיכרון, יום האם, יום האב, חג ההודיה ויום האהבה.

[מתקפת כרטיסי מתנה על אחד מאתרי הסחר הגדולים בארה״ב]

האקרים מאז ומתמיד כיוונו את המתקפות שלהם לעבר אמצעים פיננסיים בהיקפים משמעותיים והמעבר המוגבר גם של כרטיסי מתנה לאונליין רק מגביר את המגמה הזאת ואת התיאבון. למעשה, סמוך ל-4 ביולי, קמעונאים רבים מדווחים על מכירות ותעבורה חודשית, אשר מתחרות בשיאים אליהם מגיעים אתרי הקמעונאות במהלך ה- Black Friday וה-Cyber Monday.

במילים אחרות, צוותי אבטחת מידע, סיכון ותפעול דיגיטלי צריכים להניח שבכל חג עלולות להתרחש התקפות של בוטים על האתרים שבחסותם.

[מתקפת בוטים על נתיבי התחברות (login) של כרטיסי מתנה]

המגיפה מאיצה את העלייה בשימוש בכרטיסי מתנה מקוונים

מגיפת הקורונה, הגדילה את השימוש בכרטיסי המתנה המקוונים, שגם ככה היה במגמת עלייה עוד לפני פריצת המגיפה. על פי  מדד Consumer Pulse משנת 2020 של InComm: רכישות של כרטיסי מתנה באינטרנט יותר מהוכפלו בשני הרבעונים הראשונים של 2020 לעומת התקופה המקבילה דאשתקד . זאת בהשוואה לצמיחה של 24% בתקופה המקבילה בשנת 2018 עד 2019. עם זאת, כרטיסי המתנה אינם מיועדים רק למתנה. 

על פי סקר שנערך ביולי 2020 שפורסמה על ידי ספקית התשלומים הדיגיטליים Blackhawk Network, רכישת כרטיסי המתנה נעשית כיום באופן שווה, הן עבור רוכש עצמו והן עבור קניית מתנה לאדם אחר. מלבד הרצון להימנע מלהגיע לקניונים ולחנויות, מי שרכש כרטיסי מתנה לאחרים עשה זאת, בין השאר, משום שניתן לשלוח ולקבל את הכרטיסים באופן מיידי, בפחות טרחה. בעקבות המגיפה, יותר ויותר מותגים קטנים תולים את יהבם על שימוש בכרטיסי המתנה המקוונים, כדרך לעודד את הקונים להוציא כסף על חברים ואהובים מבלי לשלוח להם פיזית את המתנה.

כמו באמריקה, גם בישראל משבר הקורונה הביא לעלייה של מאות אחוזים בעסקאות המקוונות, בייחוד בתחום הזמנת אוכל ממסעדות וברכישת מוצרים מרשתות המזון. העלייה בעסקאות המקוונות הביאה עמה עלייה גם בהונאות בעולם הדיגיטלי. דומה כי האקרים לא מהססים לנצל את השימוש ההולך וגובר בכרטיסי אשראי באופן מקוון, ובכרטיסי מתנה לצורך פריצה וגניבת כספם של אזרחים תמימים גם בישראל.

כיצד התוקפים מנצלים את שוברי המתנה לגריפת רווחים מכובדים?

כרטיסי המתנה המקוונים הפכו ליעד תקיפה מועדף, מכיוון שאמצעי האבטחה המגנים מפני פריצות אלה, פחות מחמירים מאלה המצויים בעסקאות כרטיסי אשראי. קל לנחש את הקוד של כרטיסי המתנה, ובעלי החשבונות נוטים פחות להבחין בשינויים ביתרות כרטיסי שלהם. כל זה הופך את מכירתם של חשבונות כרטיסי מתנה פרוצים או לריקון אותם החשבונות, לכסף קל עבור אותם ההאקרים. 

ארבע דרכים בהן האקרים משתמשים בכרטיסי מתנה כדי לפדות כסף כוללות שימוש ביתרה שנמצאת בכרטיסי מתנה לרכישות עצמאיות, שימוש ביתרה שבחשבון המשתמש לקניית כרטיסי מתנה ומכירתן לצד שלישי, המרת כרטיסי המתנה לכסף מזומן, באמצעות פלטפורמות ייעודיות, כגון: www.cardcash.com ומכירת שם משתמש וסיסמא של משתמש בודד כרטיס בסכום של עד  45$ ב-Darknet.

אפילו ברשת ה-Darknet יש אתרים שנראים כמו שווקים לגיטימיים, שבהם המוכרים יכולים להעמיד כרטיסי מתנה גנובים למכירה, והקונים יכולים לרכוש אותם בהנחות גדולות מערכם האמיתי. חיפוש מהיר בגוגל מניב עשרות דפי אינטרנט שמוכרים את כל סוגי כרטיסי המתנה שנפרצו, כולל כרטיסים יקרי ערך של VISA ו-אמזון. ההאקרים לעיתים אף מבקשים תשלום במטבעות קריפטוגרפיים כמו BitCoin או Ethereum שקשה לאתר.

[מכירת כרטיסי מתנה גנובים ברשת ה-Darknet]

פריצות לכרטיסי מתנה מקוונים נהיו נפוצות ומתוחכמות יותר ויותר. כמו כן, ככל שיותר עסקים עברו לרשת עם המהפך הדיגיטלי הגדול של המגיפה, התוקפים הראו תחכום הולך וגובר בניסיונות ההונאה. כיום אנו מוצאים בדרך כלל תשתיות טכנולוגיות מאורגנות מאחורי התקפות אלה, מה שהופך את התקפות הבוטים על כרטיסי המתנה המקוונים לקשות לזיהוי.

מרבית ההתקפות מועברות באמצעות רשתות בוטים עצומות שנועדו למנוע זיהוי. הרשתות הללו רחבות מאוד: הן משתמשות בכתובות IP מרובות, במספר רשתות ניתוב (ASN) ובהתקנים רבים ושונים.

בשורה החתונה: יתרונות צרכניים אבל סכנות סייבר

צרכנים ועסקים נהנים מהיתרונות של כרטיסי מתנה, אך האיום הגובר של התקפות בוטים עליהם במיוחד בחגים, מטיל צל על אפיק התשלום הרווחי הזה. גניבת כרטיסי מתנה מקוונים פוגעת באמון הלקוחות, משפיעה על הכנסות ומטילה עלויות מיותרות על העסק. כשמתרחשת התקפה, צוותי אבטחה, סיכון ותפעול יכולים להשקיע אנרגיה, זמן וכסף לא מבוטלים בניסיון לבלום אותה. 

צוותי עסקים ותמיכה יכולים להקדיש זמן רב בפנייה ללקוחות שנפגעו במטרה לתקן את בעיות אבטחת המידע. כמו כן, צוותי שיווק ויחסי ציבור יצטרכו להפעיל מאמצים כדי להתמודד עם הביקורת התקשורתית שתגיע בעקבות אותם המתקפות, והנזק שעלול להיגרם למותג. הצבת צעדים פרו-אקטיביים לחסימת התקפות אלו כבר אינה משהו שעסקים חושבים עליו פעם בשנה לפני ה- Cyber Monday - מכיוון שכעת, כל חג הוא זמן אפשרי להתקפות של כרטיסי מתנה מקוונים.

הכותב הוא חוקר איומי סייבר בחברת Perimeter X. 

אולי יעניין אותך גם