מנגנון הזיהוי שאמור לבלום את מרבית הונאות הפישינג

התפתחותו המואצת של עולם הפינטק מהווה כר פורה לעבריינות ומדאיגה את בנק ישראל

עו"ד אסף הראל / צילום: יונתן אופק
עו"ד אסף הראל / צילום: יונתן אופק

"גניבת זהות ומנגנוני אימות זהות הופכים לאחד מנושאי המפתח בשוק הפינטק. ככל שאמצעים להעברת תשלומים ברשת הופכים לנפוצים יותר - כך גם גדלים האיומים", כך אומר עו"ד אסף הראל, שותף במשרד גורניצקי ושות', המרכז את תחום הסייבר והגנת הפרטיות במשרד.

הראל אומר את הדברים בעקבות האזהרה החריגה שפרסם בנק ישראל בשבוע שעבר בנושא התגברות הניסיונות לבצע הונאות, ונתן כדוגמה מספר מקרים שבהם נעשו ניסיונות התחזות לחברת התשלומים פייפאל לצורך גניבת פרטי הלקוחות.

"בנק ישראל אינו לבד בנושא. גם הבנק המרכזי בהולנד פרסם אזהרה על ניסיונות פישינג ביחס לשירותי פייפאל. בנקים מרכזיים מוצאים לנכון להתערב בהונאות שכאלה, שכן מדובר בשירותי תשלומים שיש להם קשר עם ענף הבנקאות וכרטיסי האשראי", אומר הראל.

נזכיר כי בהונאות מסוג פישינג, ההאקר פונה ישירות אל הלקוח ומנסה תוך התחזות לדלות ממנו פרטים אישיים כגון מספר כרטיסי אשראי וסיסמאות לחשבון הבנק, וזאת בכדי לבצע פריצה ולגנוב כספים.

"ככל שהשימוש בפתרונות מעולם הפינטק (סטארט-אפים פיננסים - ע.א) בתחום התשלומים יילך ויגבר - כך גם האיומים יגברו. הכלים שמציע עולם הפינטק הופכים ליותר נגישים לאנשים בעולם, והצד הפחות חיובי הוא שהם יכולים להוות כר פורה לעבריינות. יחד עם זאת, בישראל אין היקפי עבריינות וגניבות זהות כמו בארה"ב, ששם זה הפך לנפוץ".

הראל מציין כי אחד האמצעים הפשוטים להתגונן מפני מתקפות פישינג כמו זו שנעשתה בפייפאל, הוא הפעלת אימות דו-שלבי (two tier authentication). "מנגנון אימות דו-שלבי כולל משהו שהלקוח יודע ומשהו שיש לו. למשל, על מנת לקבל אישור כניסה עליו גם להקליד סיסמה שהוא יודע וגם קוד שהוא יקבל לטלפון הנייד שלו. האימות הדו-שלבי פותר הרבה מבעיות הפישינג, כי גם אם הלקוח נפל בפח ומסר פרטי זיהוי, אז כשאותו גנב ייכנס לחשבון שלו הוא יצטרך להזין את הקוד שנשלח לנייד של הלקוח, ואז זה כבר יותר מורכב כי הוא יצטרך לפרוץ גם אליו", מסביר הראל.

מה עמדת הרגולטורים בישראל בנושא הפתרון הזה?

"הרגולטור בישראל מכיר בחשיבות האמצעי הזה. במאי 2018 ייכנסו לתוקף תקנות אבטחת מידע חדשות שיחולו על חברות המחזיקות מידע אישי, כגון חברות בתחום הרפואה. עובדים באותן חברות שירצו לקבל גישה מרחוק למאגר המידע של החברה, יוכלו להיכנס אליו רק באימות דו-שלבי. להערכתי, ככל שיגברו האיומים על גניבת הזהויות כך נראה את הרגולטורים מחילים את המנגנון הזה על מגוון רחב יותר של עסקים המציעים שירות לציבור הרחב".

מה לגבי זיהוי ביומטרי? הוא לא אמין יותר?

"הזיהוי הביומטרי אמנם מאפשר אימות חד-ערכי של הלקוח, אבל מצד שני אם נגנב הקובץ שמכיל את טביעת האצבע זו בעיה יותר גדולה, כי בניגוד לסיסמה את טביעת האצבע אי-אפשר לשנות".