האם חשבונות הבנק שלנו פרוצים?

יום רביעי, 27 באפריל 2005, 8:30 מאת: גלית ימיני, הארץ

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://wmh.walla.co.il/w/18-200/91017-18.jpg]

בבנקים רוצים שנרגיש בטוחים לנהל את החשבון שלנו באמצעות רשת האינטרנט. האם יש מקום לביטחון? מומחים טוענים שלא


עוד בכתבה:
הבנקים משתיקים את הבעיות»האחריות על הגלישה היא של הלקוח»שם וסיסמא אינם מספיקים»בעולם כבר משתמשים באמצעי זיהוי נוסף»הבנקים: "זאת אשמת הרגולטור"»

יותר ויותר אזרחים עוברים לנהל את חשבונות הבנק שלהם דרך האינטרנט - זה קל ונוח, ועמלות הפעולה הן תמיד זולות יותר. אבל בעולם שבו כמות ההונאות באינטרנט הולכת וגדלה עד כמה זה באמת בטוח? התשובה אינה פשוטה.

אמצעי הזיהוי הרגילים - סיסמה ושם משתמש - כבר הוכחו כקלים לפריצה על ידי האקרים, ולמרות שהבנקים יבטיחו לכם שהכל בסדר, תהיו בטוחים שהם מעסיקים אצלם ללא הפסקה עשרות האקרים שינסו לפרוץ לאתרים שלהם ולוודא שהאתר חסין ועמיד בפני פורצים וגנבים.

לאחרונה נעצר מתכנת מחשבים מתוחכם על ידי המשטרה, בחשד שיצר אתרי אינטרנט התואמים לאתרים של חמשת הבנקים הגדולים בישראל, וכך הונה לקוחות תמימים. האתרים המדומים איפשרו לו לקבל פרטי בנק של לקוחות ולבצע פעולות בחשבונותיהם.

העבירה הזו מוכרת מאוד למומחי אבטחת המידע. היא נקראת "פישינג" - דיג של פרטים רגישים של לקוחות באמצעות האינטרנט, כדי לגנוב מהם כסף בסופו של דבר. המומחים מתריעים כי תופעת הפישינג גדלה בקצב של 26% בחודש, בארץ ובעולם, והאחראים על אתרי האינטרנט בבנקים הגדולים שוברים את הראש מה לעשות.

הבנקים משתיקים את הבעיות

אתרי האינטרנט של הבנקים הם פיתוי גדול להאקרים וגורמים פליליים אחרים, אשר מבינים שבמקום להסתכן בפריצה פיסית ומסובכת לכספות של הבנק, יותר פשוט לשבת בבית על הכורסא, לפרוץ לבנק דרך האינטרנט, ולהתחיל לערוך קניות ברשת. פה ושם דולפים סיפורים על פריצה לאתר של בנק כזה או אחר, אבל היקף הפעילות האמיתית הוא אחד הסודות השמורים ביותר בתעשייה.

"כל בנק עושה אצלו בדיקות בתוך הבית", מספר אחד ממומחי אבטחת המידע בשוק, שאינו מעוניין להזדהות בשמו, מאחר שכמו כולם, מרבית פרנסתו מגיעה מהבנקים הגדולים שמוציאים מדי שנה מיליוני דולרים על אבטחת מידע. "הסיוט הכי גדול של הבנקים זה שיתגלו אצלם פרצות אבטחת מידע. תמיד יש פה ושם בעיות, אבל מרביתן לא מגיעות לציבור הרחב, כי הבנקים יודעים להשתיק את זה ולתקן מהר.

"מרבית הבעיות הן מינוריות", ממשיך המומחה לספר, "אבל לעתים מתגלות פרצות מהותיות. רוב הבעיות נוצרות בדרך כלל בגלל טעויות אנוש שעושים מפתחי האתרים עצמם. הבנקים כבר קנו את כל אמצעי ההגנה הקיימים, אבל מרבית האתרים הם פרי פיתוח עצמי של הבנקים, ויש באגים במהלך הפיתוח".

אופיר זילביגר, מנכ"ל חברת אבטחת המידע SecOz אומר כי מרבית בעיות הפישינג לא קשורות בהכרח לטכנולוגיה אלא לחולשות אנושיות. "כל שלוש דקות נגנבת זהות אחרת ברשת האינטרנט. אבל הבעיה היא שרובנו, כצרכנים, מסכימים לתת פרטים אישיים ופרטי זיהוי על עצמנו מבלי להביא בחשבון את הבעייתיות שבכך".

בלונדון נעשה ניסוי בקרב משתמשי אינטרנט ובו התגלה כי 92% מהמשתתפים הסכימו לתת מידע פרטי על עצמם, מספיק בכדי לגנוב את הזהות שלהם ובחלק מהמקרים אף "לרוקן" את חשבונות הבנק שלהם. הדבר מלמד על בעיית אבטחת מידע שקשורה לבעיית מודעות אצל רוב האנשים, אומר זילביגר, "אנשים צריכים ללמוד לא למסור מידע הקשור אליהם לאף גורם לא מוכר".

האחריות על הגלישה היא של הלקוח

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://wmh.walla.co.il/w/18-200/7087-18.jpg]

אבי ויסמן, מנכ"ל שיא סקיוריטי - בי"ס להאקרים ואבטחת מידע, מסביר מדוע הבעיה קריטית: "האקר מתוחכם יכול להשתלט על המחשב של בעל המחשב בביתו, באמצעות 'סוס טרויאני' - אימייל פשוט שנשלח ללקוח ומרגע פתיחתו מאפשר להאקר לעקוב אחר כל פעולה שהמשתמש עושה במחשב. בשלב מסוים הוא עוקב אחר הסיסמאות שהמשתמש נוהג להיכנס איתן לחשבון הבנק, מעתיק אותן ויכול להיכנס כך לחשבון.

הבנק רואה שהסיסמאות נכונות ומאשר כניסה. אז ייתכנו שני אסונות אפשריים: הראשון הוא שההאקר יכול לבצע כל פעולה שאותה רשאי הלקוח לבצע. האסון השני הוא שהמשתמש לא מבוטח באותו רגע - הגניבה בוצעה אצלו בבית ולא בבנק.

ויסמן מצביע כאן על בעיה כאובה: בחוזה המשתמש עם הבנק, האחריות על ביצוע פעולות דרך האינטרנט נמצאת על הלקוח ולא על הבנק. זאת כדי למנוע מצב שאנשים יתנו סיסמאות לאנשים אחרים או לא יקפידו על כללי אבטחה בסיסיים.

מה יעשה הבנק במצב כזה? "בפועל, אף בנק לא רוצה שהלקוח ירוץ לעיתונות עם סיפורים על בעיות אבטחה, לכן סביר להניח שהם יסגרו איתו בשקט את הסיפור", אומר ויסמן, "אבל על פי חוק הם לא חייבים לעשות את זה. זו אחריות של הלקוח".

"לקוחות חייבים להגן על שם המשתמש והסיסמה כמו כל רכוש יקר אחר שהם מחזיקים ברשותם", אומר מיקי בודאי, שותף בחברת אבטחת המידע אימפרבה אותה הקים שלמה קרמר, ממייסדי צ'ק פוינט: "לא ניתן לצפות מהבנקים לפטור את הלקוחות מהאחריות הזו. כרטיסים חכמים והתקנים חיצוניים יכולים לשפר את המצב אך לא יפתרו את הבעיה".

שם וסיסמא אינם מספיקים

כל האקר מתחיל שמכבד את עצמו יודע יפה מאוד כיצד לעקוף את מחסום האבטחה שמרבית הבנקים משתמשים בו - שם המשתמש והסיסמה, ולחדור למאגרי המידע של האתר דרך הקלדת שורות קוד בחלונות שבהם מקלידים את שם המשתמש והסיסמה. לכן יש מי שחושב, שאמצעי הזיהוי הזה אינו מספק.

אחד מהם הוא בועז דולב, מנהל תחום ממשל זמין במשרד האוצר ואחראי על פעילות האינטרנט של הממשלה, שמצהיר בתוקף: "אבטחת המידע באינטרנט של הבנקים בישראל לוקה בחסר. הזדהות על ידי שם משתמש וסיסמה הוא אמצעי האבטחה הפשוט ביותר מבין האמצעים השומרים על זהותו של אדם".

כאשר אזרח או עסק עובד מול מערכות מידע רגישות, אומר דולב, הדבר צריך להיעשות באמצעות כרטיס חכם עם סוג של חתימה אלקטרונית. "זו תעודת זהות אלקטרונית הנמצאת על אמצעי פיסי שנמצא בידי הלקוח, המאפשרת זיהוי מלא שלו כאשר הוא נכנס למערכת המחשב. אמצעי זה מקשה על ביצוע עבירה של גניבת זהות".

לפני מספר שבועות נעצר עובד של יחידת המחשב בבנק הבינלאומי על כך שהעביר שמות משתמשים וסיסמאות של לקוחות לגורמים שמעלו בכספי הלקוחות. דולב מבהיר שאם היה זיהוי נוסף באמצעות אמצעי פיסי, העובד של הבנק לא היה מצליח במעלליו.

"בנקים במדינות אחרות הם אלה שמובילים את נושא ה'זיהוי החזק'", אומר דולב. "הם יכולים לקבל היתר לביצוע עסקות לא מוגבלות בסכומים באינטרנט. בישראל היום יש הגבלה, כי כשאין אמצעי זיהוי מן הסוג הזה כולם מפחדים". עוד מבהיר דולב כי "הפתרונות הפיסיים קיימים והם זמינים לבנקים".

מומחי אבטחת מידע שונים מסכימים עם דולב. אחד מהם, שמעדיף שלא להזדהות בשמו, אומר: "אם מישהו הצליח לאתר סיסמה ושם משתמש שלי הוא יכול להיכנס לחשבון הבנק שלי בקלות, וזה בעייתי. חבל מאוד שהבנקים לא משתמשים בעוד אמצעי זיהוי שנמצא אצל הלקוח".

בעולם כבר משתמשים באמצעי זיהוי נוסף

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://wmh.walla.co.il/w/w-200/28570-4.gif]

כרטיס חכם (אילוסטרציה)

בסקר שערכה לאחרונה בחברת אבטחת המידע קומסק, התגלה כי 32% מהבנקים הגדולים בעולם כבר משתמשים באמצעי זיהוי נוסף במקביל לסיסמה ולשם המשתמש. מדובר, כאמור, בכרטיס חכם או בחתימה דיגיטלית על גבי מפתח זיהוי. בישראל השיטה עדיין לא קיימת.

נסים בראל, מנכ"ל קומסק, יותר מפויס כשהוא מדבר על הבנקים הישראלים, אולי בגלל שחלק מהם נמנים על קהל לקוחותיו: "נכון שאין עדיין בישראל זיהוי פיסי ללקוחות באינטרנט, אבל יש אמצעים אחרים. פעולות של מבצע החשבון להעברת כספים לצד שלישי, למשל, דורשות זיהוי כפול וסיסמאות מוצפנות שמחזקות ברמה ניכרת את רמת האבטחה".

גם בארץ, מסתבר, היה מי שכבר ניסה את השיטה - בנק לאומי למשל, החליט בשנת 98' לחייב כל לקוח שרוצה להתחבר לאתר האינטרנט של הבנק להכניס דיסקט זיהוי למחשב, בנוסף לסיסמה ושם המשתמש. "אבל ב-2003 הפכנו את זה לאופציה לפי רצון הלקוח. מכיוון שבמחלקת השיווק ראו שזה מכביד על הלקוחות ומסרבל את עבודתם באינטרנט", מספר איציק מלאך, חבר הנהלת בנק לאומי והאחראי על מערכות המחשוב של הבנק. "ראינו גם שאף אחד מהבנקים האחרים לא משתמש בזה, והלקוחות טענו שזה מפריע - אז ניסינו ללכת לקראתם", הוא מוסיף.

בודאי מוסיף כי "הבנקים בישראל משקיעים מאמצים לא מבוטלים באבטחת מידע בכלל ואבטחת מערכות האינטרנט בפרט". לדבריו, אין מערכת בטוחה במאה אחוז ובכל שירות קיים סיכון: "גם להפריש כסף לקרן פנסיה או לתת את כרטיס האשראי שלך בתחנת דלק או במסעדה זה מסוכן. אני בכלל לא בטוח שאותי אישית זה לא מפחיד הרבה יותר".

הבנקים: "זאת אשמת הרגולטור"

"אם הממשלה לא היתה תקועה כבר שנים עם המכרז לתעודות הזהות החכמות שלא זז, אז אפשר היה לאפשר ללקוחות להזדהות באתרי הבנק עם תעודות זהות חכמות שבתוכן יש שבב זיהוי אלקטרוני", מגלגל בכיר באחד מהבנקים את הכדור בחזרה למגרשה של הממשלה.

"אם היה כבר כזה דבר בארץ", ממשיך אותו בכיר, "אז לקוח שיש לו חשבונות בכמה בנקים היה יכול להזדהות עם כרטיס אחד בכמה בנקים, וזה היה מקל עליו. אבל הממשלה רוצה כנראה שאנחנו נסבסד לה את הפרויקט הזה ובגלל זה היא באה אלינו בטענות".

"רק הרגולטור יכול לפתור את הבעיה הזו", מסכים ויסמן: "אם המחוקק יגיד שאין העברת כספים באינטרנט בלי אמצעי זיהוי פיסי או ביומטרי (טביעות אצבע או זיהוי פנים), כולם יעשו את זה וההאקרים ימצאו את עצמם בבעיה".

"העבודה עם סיסמה ושם משתמש היא לפי כל התקנים שנקבעו בשוק הישראלי", אומר יוסי הלוי, מנכ"ל חברת המחשוב מת"ף של הבנק הבינלאומי: "כשיש העברות גדולות מחשבון לחשבון, אנחנו דורשים מהלקוח לבוא לסניף ולחתום על רשימת מוטבים קבועה להעברות, כדי שיהיה אפשר להעביר כספים באופן קבוע רק לחשבונות מסוימים.

"צריך גם לזכור שרוב הלקוחות הפעילים משתמשים באינטרנט לצורך קבלת מידע בלבד. הקהל שבאמת מבצע פעולות הוא עדיין מצומצם ביותר", מבהיר הלוי.

"רמת האבטחה שיש באתר שלנו כיום היא מספקת. נכון שאם יהיה גם אמצעי זיהוי פיסי זה עשוי להגביר את רמת האבטחה, אבל זה מסובך ומסורבל ללקוח", אומר נועם הנגבי, סמנכ"ל טכנולוגיות בבנק דיסקונט. "אגב, גם אמצעי כזה אפשר לגנוב, ואנחנו רוצים לספק ללקוח קלות שימוש. היום אנחנו משתמשים בסיסמאות מורכבות שיש להחליפן בתדירות גבוהה. יכול להיות שבעוד שנתיים השוק ישתנה והדרישות יהיו אחרות, אנחנו נמצאים במעקב מתמיד אחר מה שקורה בשוק. ברגע שנראה תזוזה בהגנות או בפריצות על אתרים, נגיב בשינוי אמצעי אבטחה".

הנגבי מדווח כי לבנק יש מוקד העוקב אחר פעילות באינטרנט 24 שעות ביממה, שם יש תוכנות ניטור המדווחות על נסיונות פריצה ופעילות מוזרה של משתמשים. "אנחנו משדרגים כעת את המוקד הזה, כי הוא אחד האמצעים היעילים ביותר לאבטחה".

ובינתיים, אומר הנגבי, לקוח נבון צריך לדעת שבבית שלו צריכים להיות אמצעי הגנה מינימליים על המחשב - כמו אנטי וירוס ופיירוול. "בסך הכל הסכנה לכספו של הלקוח היא לא גדולה, כי רוב הפעולות המורשות באינטרנט הן במסגרת חשבון הלקוח בלבד, ללא העברות לצד ג'. אז אולי תהיה חשיפה של פרטים אישיים שלו ושל מצב החשבון שלו, אבל ללא יכולת לגרום לו נזק כספי אמיתי".

סמי קינן, מנכ"ל מחיש, חברת המחשוב של בנק המזרחי, מסביר שעדיין אין טכנולוגיות זיהוי באמצעות כרטיס או מפתח שהן פשוטות ונהירות ללקוח. "הטכנולוגיות הקיימות כיום עדיין מסובכות לשימוש ללקוח הביתי. מיזם תעודות זהות חכמות של משרד הפנים בהחלט יכול לסייע כאן, ולפתור את בעיית ההזדהות לא רק מול הבנקים אלא גם מול קופות החולים וגורמים ממלכתיים אחרים. אם הבנק יספק תעודה לכל לקוח, אז הלקוח ימצא את עצמו עם עשרים תעודות - ויכעס. הגיע הזמן שמשרד הפנים יתעורר בנושא".

משרד הפנים כאמור שוקד על הוצאת מכרז חדש לתעודות זהות חכמות, ובבנק ישראל, אצל המפקח על הבנקים, גם שוברים מדי יום את הראש בשאלה איזה אמצעי זהירות נוספים יש לכפות על הבנקים. אך אם מישהו מצפה לשינויים מרחיקי לכת שיקח נשימה ארוכה - זה יקח עוד זמן.


קישורים:
אילו פעולות אפשר לבצע דרך המחשב?»כללי זהירות לבנקאות אינטרנטית»איך הבנקים מאבטחים את האתרים שלהם?»
http://finance.walla.co.il/?w=/110/706897

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

מה שפוסל את רוב הבנקים בישראל (אבל כמעט אף בנק אחר בעולם...)

מי שכן עושה את זה, בכלל לא מבין שבעיית האבטחה היא עוד הרבה לפני שם המשתמש והסיסמא של חשבון ספציפי, אלא בעייה גלובלית של אבטחת מידע.

נמאס לכם לזכור סיסמאות? לחצו כאן!

1. אם חתמתם על הרשאה לביצוע פעולות בחשבון,תוודאו שהפעולה של "העברה מחשבון לחשבון" חסומה. באופן כזה הנזק הכי גדול שהפורץ יוכל לעשות זה לקנות לכם מניות או לפתוח תוכנית חסכון. לגנוב את הכסף הוא לא יוכל. מכיוון שאני שכירה קטנה בלי בעיות מיוחדות,לא יגרם נזק גדול אם מישהו יציץ בחשבון שלי.

2. הכי חשוב,להיכנס לחשבון לפחות פעם ביום. כך תוכלו לדעת במיידי אם בוצעה פעולה בלתי חוקית. במקרה של חשד,אפשר להגיש תלונה במשטרה. הכניסה לחשבון לא עולה כסף,ולכן אני נכנסת לפחות 3-4 פעמים ביום.

אני חייבת לציין שאני מבצעת פעולות דרך האנטרנט,ועד עכשיו לא היו לי בעיות מיוחדות עם זה. הבעיה היחידה היא שפתיחת תוכנית חסכון חסומה לי (ריבית גבוהה יותר דרך האינטרנט) ,והפקידים הדפוקים בבנק לא יכולים לפתוח לי את זה.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

כשאתה מבקש מהבנק סיסמת אינטרנט,החשבון פתוח למידע בלבד בתור ברירת מחדל.
אם תה רוצה לבצע פעולות,צריך לחתום על כל פעולה בנפרד. אני ,למשל,חסמתי את הפעולות במעו"ף וכמובן שאת ה"העברה מחשבון לחשבון". אני מרשה לעצמי לבצע פעולות רק בגלל שיש לי נגישות גבוהה לאינטרנט ואני יכולה לפקח על המצב.