זהירות: האקרים גונבים קודי אימות

ביצעתם רכישה בחנות אינטרנטית לא מוכרת? משטרת ישראל מזהירה מפני הונאת גניבת קוד אימות. לימור גרוסמן מסלסטיה: ״מדובר על סוג מתקפות הנכנס לקטגוריה של 'הנדסה חברתית״

זהירות: האקרים גונבים קודי אימות

BIGSTTOCK/Copyright: TeroVesalainen

משטרת ישראל חשפה לאחרונה שיטת הונאה אינטרנטית-מקוונת. באגף החקירות והמודיעין של משטרת ישראל גילו לאחרונה התרחבות של תופעת גניבת קודי אימות חד פעמיים (OTP), המשמשים לביצוע עסקאות מקוונות בכרטיסי אשראי.

במסגרת ההונאה, העבריינים מקימים אתר אינטרנט לכאורה לגיטימי, דוגמת חנות לרכישת מוצרים ברשת, או אתר המתחזה לחברה מוכרת, ובו מוצעים למכירה מוצרים שונים. קורבן ההונאה מבצע רכישה, שבמהלכה הוא מזין את פרטיו: שם, תעודת זהות, טלפון ופרטי אשראי מלאים. המידע מאפשר להאקר לבצע העברות כספים באמצעות שירותי סליקה בינלאומיים, אלא שעל מנת להשלים את העברת הכספים הוא נדרש לקוד האימות המתקבל מחברת כרטיסי האשראי.

לאחר ביצוע הרכישה, העבריינים יוצרים עם הקורבן קשר טלפוני, או באמצעות התכתבות, ומבקשים ממנו את קוד האימות החד פעמי (OTP) שנשלח אליו, לטובת השלמה ואישור העסקה. הקורבן, שאינו חושד בדבר, מוסר את קוד העימות להאקר, שבתמימותו חושב כי היא הקוד נדרש לטובת אישור עסקת הרכישה אותה ביצע, אך למעשה הוא מאפשר להאקר להשלים את העברת הכספים.

בפועל, כדי להבין את פעולת ההונאה המתבצעת על ידי ההאקר יש לחלק אותה לשתי עסקאות. האחת, העסקה הגלויה – היא זו שהקורבן ביצע לרכישה באתר המתחזה; והשנייה, עסקה נסתרת – בה העבריינים משתמשים בפרטי הלקוח שהוזנו בפעולת הרכישה לטובת העברת כספים מכרטיס האשראי, ושהקורבן כלל אינו מודע לביצועה. קוד האימות מתקבל לצורך ביצוע אימות של פעולת העברת הכספים, אך הקורבן חושב שהקוד שהתקבל אצלו באמצעות SMS נועד על מנת לאמת את פעולת הרכישה אותה הוא ביצע, והוא מוסר אותו להאקר המבקש ממנו את הקוד לכאורה על מנת להשלים את עסקת הרכישה.

המחשה של התכתבות. מקור תמונה: פורטל משטרת ישראל

בפרסומי משטרת ישראל נמסר כי יש לבחון אמיתות חנויות אינטרנטיות לפני ביצוע רכישה ראשונה בהן, דוגמת חיפוש כתובת האתר במנוע חיפוש. איסור מסירה של קודי האימות המתקבלים מחברות כרטיסי האשראי. חברות כרטיסי האשראי יבקשו להזין את קוד האישור בממשק מקוון ייעודי על מנת לאשר ביצוע עסקאות בסכומים גבוהים.

אין להעביר פרטי קוד האימות בכול מקרה בו המשתמש מתבקש להעבירו על ידי נציגים של חנות אינטרנטית בהתכתבות או בשיחת טלפון; גם נציגי חברות כרטיסי האשראי והבנקים לעולם לא יבקשו מכם את קוד ההזדהות בשיחות טלפוניות או בהתכתבות וואטסאפ; יש ליצור קשר ישירות עם חברת כרטיסי האשראי בכול מקרה של חשד בהונאה, ולהגיש תלונה מקוונת דרך אתר האינטרנט של משטרת ישראל.

לימור גרוסמן, מומחית סייבר וסמנכ"לית המכירות בחברת סלסטיה (Celestya), המתמחה בתחום העלאת מודעות סייבר ואבטחת מידע, ציינה כי "מדובר בסוג מתקפות הנכנס לקטגוריה של 'הנדסה חברתית', שמטרתה הונאה של הקורבן על ידי יצירה של מצגי שווא. הדרך להתמודד עם מתקפות מסוג זה אינה על ידי כלים טכנולוגיים, אלא באמצעות היכרות של הסימנים המעידים למתקפה מסוג זה, דוגמת זהירות יתירה מביצוע פעולות באתרים מתחזים או מסירת קודי אימות לגורמים לא מורשים.

״חשוב לדעת, כי הפעם המשטרה מזהירה מפני מתקפות שהיעד שלהן הוא המשתמש הביתי, אך ניתן באותה מידה לבצע מתקפות בעלות אופי דומה בהן היעדים יהיו גורמים עסקיים בארגונים. השימוש בקודי אימות נפוץ מאוד לטובת כניסה למערכות ארגוניות שונות, וגם כאשר מדובר במשתמש עסקי או ארגוני נדרשת זהירות יתירה במסירה של קודי אימות לגורמים לא מורשים – בין אם מדובר בגורמים בתוך הארגון או מחוצה לו".

לימור גרוסמן, סלסטיה. צילום: דני שביט

אולי יעניין אותך גם