"ליפול ברשת": התקפת CYBER שמנעה שימוש בכרטיסי אשראי

 

דיאגרמה של התקפת DDos מקור התמונה: ויקיפדיה.
הרשאה: Everaldo Coelho and YellowIcon - All Crystal icons were posted by the author as LGPL on kde-look

ביום שבת וביום ראשון (9-10.11.24) לא היה ניתן לשלם באמצעות כרטיסי אשראי בחנויות ובתחנות דלק. זה מנע גם תשלומים באמצעות Bit ו-Paybox, המתורגמים לתשלומים באמצעות כרטיס אשראי. 

הסיבה לכך הייתה התקפת סייבר מסוג DDoS, שפגעה ביכולתם של אתרי האינטרנט של חברות כרטיסי האשראי לטפל בבקשות אמיתיות של לקוחות. 

כפי הנראה, זו התקפה שנעשתה על ידי גורמים עויינים כחלק מהמלחמה האזורית שמדינת ישראל נמצאת בה. 

מה זה DDoS?

DDoS הן ראשי תיבות של Distributed Denial of Service. 

המתקפה משביתה את מערכת המחשב באמצעות יצירת עומס גדול על המערכת. 

זה נעשה באמצעות ניסיונות התחברות בו זמניים למערכת של מספר רב של מתקיפים המנסים להתחבר אליה. 

גם אם המתקיפים אינם מצליחים להתחבר אליה,  המשתמשים הלגטימיים של המערכת אינם מצליחים להתחבר אליה משום שהמערכת עסוקה בבדיקות של המספר הרב של ניסיונות ההתחברות של המתקיפים.

כשמנסים לבצע עסקה באמצעות כרטיס אשראי

כשמנסים לבצע עסקה באמצעות כרטיס אשראי מערכת המחשוב של חברת כרטיסי אשראי צריכה לבצע בדיקות לפני אישור העסקה. 

בין השאר היא צריכה לוודא:

1. שהכרטיס אינו כרטיס שנחסם.

2. שפרטי הזיהוי של בעל הכרטיס הוזנו נכון.

3. שהקוד הסודי שהוזן נכון.

4. שגובה הסכום אינו חורג ממסגרת האשראי. 

את זה אי אפשר לעשות בלי להתחבר למערכת הממוחשבת של חברת כרטיסי האשראי. 

התקפת ה-DDoS מונעת את ההתחברות. 

נזקים ישירים של התקפת DDoS 

לא נעים אבל לא ממש נורא. בבלוג זה תוכלו לקרוא על התקפות מסוכנות הרבה יותר. 

אם יש לכם מספיק כסף מזומן אין בעיה. אפשר לשלם במזומן במקום באמצעות כרטיס אשראי. 

אם אין, או שמלווים ממישהו או שדוחים את ההוצאה הכספית.

נזקים עקיפים

יש גם נזקים עקיפים שעלולים להיות גדולים הרבה יותר לניזוק. 

ללא קשר למתקפת ה-DDoS כל הזמן יש ניסיונות Phishing. 

מתחזה לארגון מוכר מבקש ממשתמשים ללחוץ על קישור או להזין את הסיסמה ואת קוד המשתמש שלהם בקישור שהוא מצרף. 

אם הם מזינים אותם, הרמאי יכול להזדהות בשמם באותו ארגון ולבצע פעולות. 

כאשר יש מתקפת DDoS יהיו יותר משתמשים שיפלו קורבן לניסיון הדיוג. 

בגלל שאינם מסוגלים להתחבר לחברת כרטיסי האשראי, הם עלולים לחשוב שהבעיה היא בקוד המשתמש ו/או בסיסמה שלהם. 

הם עלולים בהסתברות גבוהה יותר להזין את הפרטים האלה. 

במקרה כזה הנזק שיגרם להם עלול להיות גדול בהרבה מהנזק של מתקפת ה-DDoS. 

השורה התחתונה

שמירה על מודעות (Awareness) לסיכונים חשובה תמיד. היא חשובה עוד יותר כאשר התקפת סייבר מסוג מסוים עלולה להגדיל את הסיכוי להתקפה מסוג אחר. במקרה הספציפי הזה התקפת DDoS מגדילה את ההסתברות ל-Phishing.

 

עיגול לרעה

 

הקוראים מכירים בוודאי את עיגול לטובה בעסקאות בכרטיסי אשראי. 

הרעיון פשוט במקום או בנוסף לתרומה לעמותה, הפועלת בתחום שנראה לתורם חשוב, תשלומים בכרטיסי אשראי מעוגלים כלפי מעלה לשקל הבא.

למשל: שילמתם 109.11 שקלים. מחייבים אתכם ב-89 אגורות נוספות שנרשמות אוטומטית לזכותה של העמותה שאתם חפצים לתרום לה. 

לאגורות הנוספות אין משמעות כלכלית לתורם אבל אגורות בודדות מהרבה עסקאות בכרטיס אשראי של הרבה תורמים מגיעות לסכומים משמעותיים עבור העמותה.

 

עיגול לטובה או עיגול לרעה?

 

זה תלוי לאיזו עמותה תרמתם. במובן זה "עיגול לטובה" אינו שונה מתרומה אחרת. תרומות צריך לנהל בדיוק כפי שמנהלים הוצאות.

יש עמותות רבות וטובות הראויות לתרומה, אם תחום עיסוקן קרוב לליבכם.

לצערי, יש גם עמותות אחרות שלהן המלצתי לא לתרום. דין פרוטה כדין מאה ולכן עיגול עבורן עלול להיות עיגול לרעה.

דוגמה קצרה. אם אתם מעוניינים לתרום לילדים חולי סרטן ותרמתם לעמותת "זכרון מנחם" אתם יכולים להיות בטוחים שתרומתכם תנוצל לטובת אותם ילדים.

לעומת זאת, עמותה אחרת, שבפוסט זה בחרתי לא לציין את שמה, כותבת באתר שלה שהתרומות הן לטובת ילדים חולי סרטן, אבל יש גם יעדים אחרים לכספים. אין שקיפות ביחס לאחוז מהכסף שהולך לכל מטרה. 

יצא לי לבחון את העמותה הזו יותר לעומק. זה קרה אחרי שהעמותה לחצה על קשישה, שכבר אינה במיטבה, לתרום לה. אחרי שהלחץ נשא פרי, העמותה שמרה את מספר כרטיס האשראי שלה במאגר של העמותה. 

עמותות חייבות בדוח שנתי לרשם העמותות. בדוח הן מפרטות הוצאות והכנסות. באתר רשם החברות מצאתי שהעמותה הזו לא טרחה להגיש דוח שנתי. 

עיגול לרעה לגמרי אחר

העיגול לרעה שעליו אני כותב בפסקה זו קשור באבטחת מידע בבנקים.

זוהי תרמית ישנה, שעוד עשויות להיות בעתיד תרמיות בעלות דפוסים לא שונים בהרבה, היכולות לפגוע במחזיקי חשבונות בבנקים. 

בעבר הרחוק כאשר עשיתי Penetration Tests למערכות מחשוב של ארגונים אמרתי למנהלים ששכרו את שירותיי, שיותר קל לחדור למערכת כמשתמש פנימי, למשל: פקיד בנק, מאשר כמשתמש אינטרנט חיצוני, למשל: לקוח בנק המתחבר באמצעות האינטרנט. 

על פי מחקרים, שנערכו באותה תקופה, כ-60% מהמקרים של גניבת כספים ו/או מידע פיננסי חסוי על לקוחות ממערכות ממוחשבות של בנקים בוצעו על ידי אנשים,  שהייתה להם גישה מתוך הבנק למערכות (עובדי בנק, עובדי קבלן, ספקים שקיבלו קוד משתמש וסיסמה לעבודה מתוך מרכז מחשבים של בנק). 

גם העיגול לרעה נעשה על ידי עובד בנק. 

 

פרטי המקרה

 

מתכנת מחשבים בבנק בארצות הברית, שהיה אחראי על כתיבת או תחזוקת תוכניות שטיפלו בחשבונות עובר ושב, פתח חשבון בשם של אדם אחר. 

זה היה כרוך כנראה בזיוף תעודות זהות. שם המשפחה שנבחר לא היה מקרי. הוא היה שם נדיר שהתחיל באותיות ZY. 

המשמעות הייתה שזה היה החשבון האחרון בבנק במיון שמות בעלי החשבון על פי שם המשפחה. 

בתכנית המחשב, שמבצעת העברות לחשבון לקוחות בבנק, הוריד את הסנטים (המקביל לאגורות במטבע האמריקאי). את מה שעיגל הכניס לחשבון האחרון לפי אותיות שם המשפחה. 

במשך השנים הצטברו מהעיגול סכומים גבוהים בחשבון. הוא היה מושך אותם מדי פעם. 

כמובן, שכמו בעיגול לטובה, גם בעיגול לרעה בעלי החשבונות לא שמו לב לחוסר בסכומים פעוטים.

סוף גנב להיתפס

במקרה נפתח חשבון חדש בבנק. גם שם משפחתו הנדיר של בעל החשבון התחיל באות Z, אולי אפילו פעמיים באות Z. אינני זוכר את השם אבל חשבון זה הפך לאחרון במיון על פי שם המשפחה. 

האיש לא הבין מהיכן מצטברים הכספים בחשבון שלו. הוא פנה לפקידי הבנק.

כך התגלתה התרמית והמתכנת שנתפס בקלקלתו בילה מספר שנים מאחורי סורג ובריח.

 

כיצד לאתר גניבות של כספים?

לא סביר שתצליחו להתגונן מפני גניבת אגורות בודדות. הדבר הפשוט והמתבקש לאיתור גניבות בסכומים גדולים יותר הוא מעקב אחרי תנועות בחשבונות שלכם. לא רק חשבונות בנק. גם חיובים הכרטיסי אשראי והפקדות מעביד לפנסיה, פיצויים, קרנות השתלמות וקופות גמל. 

לא תמיד זה יספיק אבל תמיד נדרש לבצע את המעקב הזה.

 

ליפול ברשת: עסקאות בכרטיס אשראי ללא מסמך

בפוסט קודם בסדרת הפוסטים "ליפול ברשת", המכוונת בעיקר לאזרחים וותיקים לצורך התגוננות מנפילה ברשת אינטרנטית או דיגיטלית, התייחסתי לסיסמאות. 

בפוסט זה אעסוק בהגנה מפני הוצאת כספים על ידי אחרים באמצעות כרטיסי אשראי.

באופן קצת מפתיע, בהקשר זה דווקא שיחה טלפונית נכנסת מסוכנת יותר מהאינטרנט והדיגיטל.

לפני שנתחיל, אזכיר שגם בכרטיס אשראי יש סיסמאות: 

1. סיסמה למשיכת כסף ממכשיר ATM (בנקומט, כספומט), המשמשת גם להקלדה לצורך אישור עסקאות במכונות סליקה חדשות. 

2. שלוש ספרות בגב הכרטיס. 

שמרו היטב על סודיות שתי הססמאות הנ"ל.

עסקאות עם מסמך ועסקאות בלי מסמך

בכרטיסי אשראי אפשר לבצע עסקאות עם מסמך ועסקאות ללא מסמך.

ההמלצה החד משמעית שלי היא להיזהר יותר בעסקאות ללא מסמך. אם ניתן להימנע מביצוע עסקאות כאלה, זה עדיף.

מהי עסקה עם מסמך?

 

1. עסקה פיזית בבית עסק

משלמים באמצעות כרטיס אשראי. הכרטיס עובר במכונת סליקה. אתם מקבלים אישור מודפס.

באישור המודפס כתוב הסכום שהתחייבתם, כתובים מספר התשלומים ובדרך כלל אפשר גם לקבל קבלה שבה כתוב מה קניתם.

2. עסקה באינטרנט או בדיגיטל

משלמים מרחוק באמצעות כרטיס אשראי. צריך להקליד פרטי כרטיס אשראי ופרטים מזהים. צריך להקליד 3 ספרות בגב הכרטיס. 

מופיע מסך, שבו מצוינים פרטי העסקה. נשלחת אליכם הודעה, למשל: באמצעות דוא"ל ו/או הודעת SMS. 

את ההודעה אפשר לשמור או להדפיס.

את המסך אפשר לשמור או להדפיס. 

בהודעה ובמסך מצוינים פרטי העסקה: סכום, מספר תשלומים ומהות המוצר שרכשתם.

3. Google Pay ו-Apple Pay

באופן אישי טרם השתמשתי בשירותים אלה. הסירו דאגה מליבכם, אשתמש בהם בעתיד.

בלי להכיר את השירותים הללו לעומק, ברור לי שתקבלו הודעה כזו או אחרת, שבה מצוינים פרטי העסקה שביצעתם. אתם יכולים לשמור אותה ואתם יכולים להדפיס אותה.

השורה התחתונה:

בכל עסקה עם מסמך יהיה לכם אישור המציין את פרטי העסקה. 

במקרה של טעות או טעות מכוונת, אפשר לפנות לחברת כרטיסי האשראי בצירוף עותק של המסמך ולדרוש את כספכם בחזרה.

מהי עסקה ללא מסמך?

עסקה שבוצעה באמצעות העברת פרטי כרטיס האשראי שלכם בשיחת טלפון. 

אין לכם שום מסמך, למעט הקלטת השיחה, אם הקלטתם אותה, המוכיחה מה נרכש באיזה עלות ובאיזו פריסה של תשלומים.

השורה התחתונה: 

בעסקה ללא מסמך זו מילה של בעל כרטיס האשראי מול מילה של מקבל התשלום. 

חברת האשראי לא תמהר לבטל את העסקה או להתאים אותה לסכום או לדפוסי התשלום שנקבעו, כל עוד הצד השני יטען אחרת. 

 

שיחות יוצאות ושיחות נכנסות

 

בהקשר של שימוש בכרטיסי אשראי בשיחות טלפון יש הבדל מהותי בין שיחות יוצאות מהטלפון שלכם לשיחות נכנסות.

 

בשיחות יוצאות אתם יודעים למי אתם מתקשרים. כמעט תמיד תתנו את פרטי כרטיס האשראי שלכם למישהו שהתכוונתם לתת לו את הפרטים.

בשיחות נכנסות לעולם לא תדעו האם זה שמתקשר אליכם הוא באמת מטעם החברה או העמותה שרציתם לרכוש ממנה משהו או רציתם לתרום לה? 

 

הסיכון שמישהו יעשוק אתכם הוא סיכון גדול. ככל שאתם פחות במיטבכם, כך גדל הסיכון שיעשקו אתכם.

לא כל מי שהוא אזרח ותיק במיוחד, למשל: חלק מניצולי שואה, הוא במיטבו. יש כאלה המנסים לנצל זאת לטובתם ולרעת האזרח הותיק.  

 

במקרים קשים אלה זה לא רק מילה כנגד מילה, אלא יש גם, לפחות בחלק מהמקרים, הפעלת לחץ לא הוגן מצד המוכר. 

ההמלצה שלי:

אל תבצעו עסקאות באמצעות כרטיס אשראי כאשר מישהו מתקשר אליכם. בקשו ממנו לפנות אליכם בכתב או בדוא"ל משום שאתם אינכם מבצעים עסקאות בכרטיס אשראי בטלפון. 

אם ילחץ עליכם, תזכירו או תמציאו בן או נכד שהוא מומחה לאבטחת מידע במחשבים, שדרש מכם את זה ואתם אינכם יכולים להמרות את פיו. 

 

מקרה 1: מתקשרים מהבנק ומהמשטרה

מקורו של הסיפור הזה הוא בתכנית הטלוויזיה של אריק וייס "הכל כלול"  בערוץ 13. 

זה לא חדש, אבל עכשיו זה יותר מתוחכם. המתקשר מספר לך שהוא מהבנק שלך וביצעו משיכות באמצעות כרטיס האשראי שלך וצריך לבטל אותו. הוא יודע את כל הפרטים עליך ועל כרטיס האשראי שלך, למעט שלוש הספרות שבגב הכרטיס שהוא מבקש ממך להגיד אותן לצורך ביטול הכרטיס. 

על המסך שלך מופיע שהמתקשר הוא מהבנק. אם לא ממהרים להגיד אותן, הוא אומר שהוא מעלה גם את משטרת ישראל על השיחה. 

זה באמת נשמע ונראה כאילו ששוטר מדבר איתכם. 

יש רק בעיה אחת: הבנק לעולם לא יבקש ממך את שלוש הספרות הללו בשיחת טלפון והן אינן נדרשות לצורך ביטול הכרטיס.

אחרי שאומרים אותן, באמת מושכים כסף באמצעות כרטיס האשראי שלכם.

זה המידע היחיד החסר לנוכלים לצורך גניבה מחשבון באמצעות כרטיס אשראי.

מקרה 2: הידיעות האחרונות: אינו מועסק בידיעות אחרונות

לפני כמה עשרות שנים היו בישראל שלושה עיתונים משמעותיים: "ידיעות  אחרונות", "מעריב" ו"הארץ". 

אני הייתי תמים יותר מאשר היום.

"הארץ" היה היחיד שהיה לו שירות של מנויים בתשלום. הם היו מקבלים עיתון הביתה .

הבחור שהתקשר אלי אמר לי את שמו הפרטי ואמר לי שהוא מ"ידיעות  אחרונות".

לדבריו, העיתון החליט לעשות שירות מנויים דומה לזה של "הארץ" והציע לי להצטרף.

אמרתי שאני מוכן להצטרף לחודש ניסיון, בתנאי שהמחיר לא יהיה גבוה יותר מהמחיר בחנות. הבחור הסכים וקיבל פרטי כרטיס אשראי.

העיתון לא הגיע באופן סדיר לתיבת הדואר של ביתי. התקשרתי ל"ידיעות אחרונות". התברר לי שהוא אינו עובד שם ואף לא אחד מכיר אותו. 

מיד פניתי לחברת כרטיסי האשראי, שסיפרה לי שהוא עשה לי מנוי לשישה חודשים ולא לחודש כפי שביקשתי. 

חברת כרטיסי האשראי לא הייתה יכולה על פי חוק לבטל באופן חד צדדי את העסקה ללא הסכמת בית העסק.

בעורמה הצלחתי לאתר את מספר הטלפון של החברה בה עבד הבחור. הודעתי להם שאם לא תבוטל העסקה מידית אפנה למשטרה. 

העסקה בוטלה מהר.

רוצים לדעת מדוע? 

אחרי כשנה עורכת דין, שאני מכיר, סיפרה לי שפגשה את החברה הזו כנאשמת במעשי מרמה חמורים בהרבה. 

לא התחשק להם להיתפס על ידי המשטרה בגלל שרימו אותי ב-200 שקלים.

מקרה 3: מעריב או מעריב לנוער?

הגענו לעידן שבו כל העיתונים הציעו מנוי. עבדתי שעות רבות כעצמאי בתחום מערכות מידע. בני הבכור, אז עדיין ילד, ביקש לעשות מנוי לעיתון לילדים. 

שמחתי שהתקשרו אלי מ"מעריב". 

חסכו לי שיחת טלפון וזמן המתנה.

אמנם התקשרו להציע לי מנוי ל"מעריב" ולא ל"מעריב לנוער" אבל הודעתי להם מיד. שאיני מעוניין במנוי למעריב. אם אקבל את ההטבות שהם מציעים על מנוי ל"מעריב לנוער" אשמח לעשות מנוי. 

ציפיתי שיציעו לי רק חלק מההטבות והייתי מוכן להתפשר. להפתעתי נציגת המכירות, הסכימה ולקחה ממני את פרטי כרטיס אשראי.

 

כעבור כמה ימים הגיע לביתי העיתון "מעריב". צלצלתי ל"מעריב" והודעתי להם שעשיתי מנוי למעריב לנוער ולא ל"מעריב". הם מוזמנים לבוא לקחת את העיתון שנשאר מחוץ לביתי.

גם למחרת צלצלתי למעריב מאותה סיבה. 

מהיום השלישי כבר לא קיבלתי "מעריב" גם לא "מעריב לנוער". 

 

התחילה מלחמה על ביטול החיוב. חברת כרטיסי האשראי לא הייתה יכולה לבטל את העסקה ללא הסכמת בית העסק. מישהו ב"מעריב" החליט לאמץ את גרסת אשת הטלמרקטינג ולהילחם בי. לי זה עלה כסף: זמן, מכתבים רשומים, טלפונים, טלפונים לחברת כרטיסי האשראי וכיו"ב. 

לשכיר בחברה שנמצל את שירותי המשרד של הארגון זה זול.

ניהלתי תיעוד מלא של מה שקרה לקריאת הגשת תביעה בבית משפט לתביעות קטנות. 

לשמחתי חברת כרטיסי האשראי הצליחה לבטל את העסקה לפני התביעה שלי.

היה גם Happy End. 

הבן שלי לא היה יכול לחכות  למישהו חסר הבנה עסקית בדרג ניהולי זוטר ב"מעריב". הוא ביקש ממני לעשות לו מנוי לביטאון חיל אוויר. נעתרתי בשמחה לבקשתו. 

הבן שלי היה מרוצה מהעיתון. "מעריב" הפסיד מנוי ל"מעריב לנוער".

בפסקה זו ובפסקה הקודמת תיארתי מאבק ממושך שלי לביטול עסקה ללא מסמך.

לא כולם בנויים למלחמות הללו. עדיף להימנע מהן מראש, כפי שאני נוהג היום.

פוסטים בבלוג שלי על כרטיסי אשראי

מדוע להימנע מעסקות טלמרקטינג כשאנשי המכירות מתקשרים אליכם?

כרטיסי אשראי: ממה מרוויחות חברות כרטיסי האשראי?

 

סיווג כרטיסי אשראי: החברה העולמית המנפיקה אותם 

 

סיווגים נוספים של כרטיסי אשראי