ניהול סיכוני הונאות מול העלייה באיומים סלולריים
מכשירים ניידים מחליפים אט-אט את המחשב האישי והארגוני במגוון משימות, כך הם נהפכים למטרה יותר מעניינת מבחינת ההאקרים
מיליארד סמארטפונים כבר נמכרו ברחבי העולם מאז הושק האייפון המקורי לפני כחמש שנים. המשחק "Angry Birds" הורד יותר ממיליארד פעמים מחנויות האפליקציות של אפל, אנדרואיד ומיקרוסופט.
ניתן כבר לומר בבירור כי חלק ניכר מתושבי העולם "השתחררו מהכבלים" באמצעות הסמארטפון שלהם.
ארגונים פיננסיים חודרים באגרסיביות לשוק צומח זה, ומספקים שירותים המעניקים ללקוחות גישה למידע הכספי שלהם מכל מקום ובכל זמן; הבנקאות הסלולרית לבדה צפויה לגדול לכדי 900 מיליון משתמשים עד שנת 2015.
בעוד שמרבית ניסיונות ההונאה עדיין מתמקדים במשתמשים מקוונים בפלטפורמה ה"מסורתית" (מחשבים), מספר המתקפות הסלולריות ממשיך לעלות. עם זאת, למרבית הארגונים חסרה תוכנית מסודרת לאבטחה סלולרית, ורבים מהם עדיין לא מודעים לפרצה הפוטנציאלית הרחבה הקיימת במכשירים אלה.
הספאם מגיע לסלולר
פושעי סייבר אימצו מספר שיטות על מנת לתקוף משתמשי בנקאות סלולרית. דוגמה אחת היא פישינג סלולרי (או smishing""), הכרוכה בשליחת הודעת טקסט המכיל כתובת URL "זדונית" למכשיר הסלולרי של המשתמש, בניסיון לגרום לו לחשוף מידע אישי.
מתקפה שכזו כוללת בדרך כלל הנעה לפעולה של הקורבן המיועד, אשר דורשת תגובה מיידית. שיטה זו מהווה חלופה אטרקטיבית לפישינג רגיל, בעיקר מכיוון שהצרכנים אינם מורגלים לקבל הודעות ספאם במכשיר הסלולרי שלהם, ולכן סביר שהם יאמינו שהמסר מגיע ממקור לגיטימי.
בעוד שמרבית הודעות הפישינג במייל נחסמות על ידי מסנני דואר זבל וברוב המקרים אינן מגיעות ליעדן, אין עדיין מודעות לחלק גדול מהארגונים הללו למנגנון מקביל לסינון ספאם והודעות מטעם גורמים מזיקים בהודעות טקסט.
על אף שמוסדות פיננסיים רבים הצליחו להשתלט על פישינג סטנדרטי באמצעות שיתוף פעולה עם ספקי אינטרנט, המסייעים בזיהוי מתקפות פוטנציאליות עוד בטרם הללו מגיעות למחשבי הלקוחות, פישינג סלולרי מציב שורת אתגרים חדשה לגמרי.
שיתופי פעולה עם ספקי סלולר בקושי הגיעו לשלב הדיונים, ומרבית המוסדות הפיננסיים מזהים את המתקפות הזדוניות הללו באמצעות הסתמכות על לקוחות, אשר מדווחים לבנק שלהם על קבלת הודעות טקסט חשודות.
יירוט הפרטים מאפשר להתחזות ללקוח
כיום, אימות זיהוי הנקרא "out of band"(זיהוי הלקוח באמצעי תקשורת שבו לא מתבצע באותה עת המגע עימו) הפועל באמצעות מסרונים או שיחות טלפון, משמש את המערכת הפיננסית כשיטה מתקדמת לעסקאות בעלות סיכון גבוה.
פושעי סייבר מודעים לכך, ובשוק השחור כבר פותחו שירותים שמטרתם להתגבר על צעדי האבטחה הנוספים הללו. תמורת סכום קטן יחסית, ניתן להציף טלפונים סלולריים עם מספר רב של שיחות, ההופכות את הטלפון לחסר תועלת ואף משבשות את הניסיון של הבנק להתריע בפני המשתמש על עסקה.
בנוסף, קיימת גם שיטת התקפה באמצעות גורם מתווך (Man-in-The-Middle), אשר מעבירה הודעת טקסט עם מספר ה-mTANs ((Mobile Transaction Authentication Number מספר עסקה סלולרית המונפקת במהלך התקשורת בין הלקוח לבנק) של המשתמש אל התוקף.
פעמים רבות, המספרים הללו משמשים לקוחות של בנקים כאמצעי לוודא כי הם אלה שיזמו את העסקה או הפניה. באמצעות יירוט הקוד הזה, פושעי סייבר יכולים ליזום עסקאות בעצמם, ולהשתמש בקוד הייחודי כדי לאמת את העסקה - כאילו היו משתמש לגיטימי.
התקפות מסוג זה יכולות לשמש גם לסיכול התרעות הנשלחות ללקוחות מטעם הבנק, למשל על הוספת מוטב חדש בחשבון, או עדכון על שינויים אחרים שבוצעו בו.
שיטות יירוט הקוד הנ"ל כבר מזמן מצאו את דרכם לטלפונים הסלולריים וכיום אנו מוצאים דוגמאות לאפליקציות זדוניות אשר "מאזינות" לסמסים המתקבלים, ומעבירים אותם לתוקף במידה והן מתגלות כהודעת זיהוי מסוג Out-of-Band.
יתרה מכך, טרויאנים בנקאיים רבים - הזמינים כיום למכירה בשוק השחור, מציעים תוספים המאפשרים לבצע התקפה מסוג הזרקת HTML (HTML Injection Attack)- כאשר משתמש של מחשב נגוע מנסה לגשת לאתר הבנק שלו, הטרויאני יוסיף שדות נוספים לעמוד ההתחברות באופן אוטומטי, כגון בקשה לקבל מספרי כרטיסי אשראי וקודים לכספומט.
בנוסף, מספר תוספים טרויאנים שנמצאים בפיתוח בידי ההאקרים מבקשים את מספר הטלפון הסלולרי של המשתמש, סוג המכשיר, וספק הסלולר. תוספים אלו ממחישים את ההתעניינות הרחבה שקיימת בעולם הסייבר התחתון בניצול פלטפורמות סלולריות.
האופי הנייד של מכשירים סלולריים, והמידע אשר מאוחסן בהם או נגיש באמצעותם, הוא בדיוק מה שהופך אותם לפגיעים כל כך. אם מכשיר סלולרי אובד או נגנב, סביר להניח שהמשתמש יתקשר לספק הסלולר שלו על מנת לדווח על כך, אבל בדרך כלל לא יחשוב להתקשר לבנק שלו.
כיום, בנקים מנסים ליישם את הצלחתם בניהול סיכונים בערוץ המקוון המסורתי, לערוץ הסלולרי החדש יחסית. הצעד הראשון בהפיכת המגמה בתחום ההונאות הוא להבין כיצד לאבטח הלקוחות בפני מתקפות סלולריות, ואז לנצל את מלוא היתרונות הטמונים בהזדמנויות שמציע הערוץ הזה.
הכותב הינו אחראי פיתוח עסקי של שירותי ניהול איומי סייבר ב-RSA, חטיבת אבטחת המידע של EMC