סייבר
סייברistock

הונאות אשראי הן תופעות שהולכות ומתפתחות כל העת. כשהפושעים העוסקים בתחום מגלים יצירתיות, חדשנות ונועזות לא שגרתיות, הגדילו לעשות השבוע קבוצת האקרים, שפיתחה 'בוט' ייחודי לבדיקת כרטיסי אשראי גנובים באמצעות אתר ההתרמה של אחת העמותות הגדולות בישראל.

המקרה נחשף ע"י מומחי אבטחה מחברת בטר דיגיטל (Better digital) הישראלית, שחסמו את נסיון ההונאה רחב ההיקף.

כדי להבין מהו אופי מקרה ההונאה המדובר, פנינו לשמואל דרילמן, בעלים ומנכ"ל חברת בטר דיגיטל.

לדברי דרילמן, מדובר במקרה הונאה עם מאפיינים ונתונים לא שגרתיים כלל. בתקופה האחרונה, הוא מסביר, ישנה תופעה נפוצה בה האקרים רוכשים מאות ואף אלפי מספרים של כרטיסי אשראי גנובים ב'דארק נט' (הרשת השחורה), המשמשת כאחת מזירות המסחר הגדולות בעולם הפשע בכלל ובפשיעה הוירטואלית בפרט. לאחר הרכישה, לצורך השימוש בכרטיסים, עורכים ההאקרים ניסוי כלים מול מערכות סליקת האשראי.

כדי להיראות אמינים מול המערכות, שאמורות לחסום מיידית כל אדם פרטי שמתחיל לסלוק עשרות כרטיסי אשראי ביום בהיר אחד – הם מזדהים כתורמים לעמותות גדולות ומוכרות, ומנסים לסלוק את כרטיסי האשראי באמצעות אתר העמותה, ובמידה והתרומה אכן עוברת הם יכולים לבצע שימוש בכרטיס האשראי לצרכיהם.

במקרה הזה, התוקפים גילו יצירתיות וחוש טכני מפותח במיוחד, והם בנו 'בוט' (רובוט אינטרנטי) שלא רק פטר אותם מעבודת ההזנה הידנית של המספרים, אלא אף ניסה לגלות את קוד האבטחה של הכרטיס - ה-cvv (שלוש הספרות האחרונות שבגב הכרטיס), וזאת כשהפעילות כולה מסתתרת תחת חסותה של אחת העמותות הגדולות בישראל, בלי ידיעתה כמובן.

הבוט, אותו הם בנו, הריץ את כל אפשרויות הרצף של שלושת הספרות, עד שהוא זיהה איזה מספר עובר, ואז שמר את המספר לשימוש עתידי, כאשר ההאקרים במקרה זה ביצעו באמצעות הבוט לא פחות מ-64,875 ניסיונות 'תרומה' תוך יממה אחת בלבד.

מומחי אבטחת המידע של חברת בטר דיגיטל זיהו את ניסיון ההונאה בזמן, אבחנו את גורמי הסיכון ופעלו במהירות לחסימת האיומים באמצעות אבטחת אתר האינטרנט של העמותה ותהליך הסליקה מול חברות האשראי.

אם המקרה לא היה מאובחן בזמן, ההאקרים היו יוצאים עם שלל של עשרות ומאות כרטיסי אשראי, כשהם מצוידים אפילו בקוד האבטחה - ספרות ה-cvv של הכרטיסים. מן הסתם, הם היו מנצלים זאת ורוכשים או מעבירים כספים בסכומי עתק באמצעות הכרטיסים, בפרק הזמן שבעלי הכרטיסים לא הספיקו לגלות את הגניבה ולחסום את הכרטיס.

לסיכום מדגיש דרילמן כי כפי שבניהול הכספים ידועה החשיבות של הקפדה על נהלי בטיחות יושרה ושקיפות, לא פחות מכך ואף הרבה יותר – חשובה רמת המקצועיות והאמינות בניהול מערך הדיגיטל של כל ארגון למניעת פרצות מעין אלו העלולות להשליך ישירות על אמינות הארגון.