האם פרטי כרטיס האשראי שלכם נגנבו? בואו לבדוק
בהלה המונית נוצרה הבוקר (ג') בישראל בעקבות פריצת הענק של האקרים סעודים שהתרחשה הלילה בה נחשפו והופצו ברשת פרטי אשראי של אלפי ישראלים.
לצערם של הישראלים וחברות האשראי ההאקר המיומן שלקח אחריות על הפריצה מזוהה עם התנועה ההאקטיביסטית אנונימוס והוא לא מתכוון לעצור בקרוב, בהודעה על החשיפה באתר Pastebay הוא כתב כי "היעד הוא להגיע למיליון רשומות של כרטיסים המהווים שישיית מאוכלוסיית ישראל".
מלבד ההיסטריה, האירוע הטראומתי העלה שוב את חוסר האונים של הגולש הפשוט מול כוחה של הרשת והמלחמה הקיברנטית. למה זה קורה ואיך נמנעים מזה? כל התשובות.
המטרה של ההאקרים
נראה כי גם בזירה הווירטואלית העימות עובר לעורף ופוגע באזרחים התמימים כשהמטרה הראשונית של הפורצים היא פגיעה בחוסן המערכת הכלכלית של ישראל ועשיית דה-לגיטימציה לכרטיסי האשראי שלה.
ואכן, אם קוראים את ההודעה עד סופה, מגלים כי לצד ההיבט המסחרי – כלכלי של גניבת הכרטיסים עומדת גם מטרה פוליטית: "מה יוצא לנו מהפריצה?" כתוב בהודעה: "צפייה ב-400,000 אנשים מתאספים מול חברות כרטיסי האשראי והבנקים בישראל ומתלוננים על הכרטיסים הגנובים. צפייה בבנקים ישראלים גורסים 400,000 כרטיסי אשראי ומנפיקים אותם מחדש (יקר כל כך, הא?). התבוננות באנשים בעולם רוכשים עבור עצמם דברים באמצעות כרטיסי אשראי ישראלים והופכים אותם ללא אמינים בעולם כמו כרטיסי האשראי הניגרים ועוד הרבה...תהנו מהעבודה שלנו ואל תהססו לפנות אלינו".
"אני לא יודע אם במקרה זה מדוברבאקט פוליטי או מסחרי", מסביר דייגו שייקביץ, סמנכ"ל מכירות ושיווק בחברת ספיידר המספקת פתרונות אבטחת מידע.
"מהניסיון שלנו בחברה אני יכול לומר כי האקרים כיום פועלים במרבית המקרים למטרות עסקיות.
האקינג היום הוא מקצוע שמכניס הרבה מאוד כסף. כבר לא מדובר בנער מתבגר שפורץ לאתרים בשביל לשנות את דף הבית שלהם", הוא מוסיף.
איך הם עושים את זה?
על פי ההודעה הרשמית של ההאקר הסעודי נגנבו פרטים מפורטים על כל בעל כרטיס הכוללים שם, כתובת, עיר, מיקוד, מספרי תעודת זהות, מספר הטלפון הנייד, מספר הטלפון בבית, מספר כרטיס אשראי (כולל השנה, חודש, ספרות הביקורת -CVV) וכנראה גם פרטי כניסה לאתרי הקניות של אותם לקוחות כולל שם וסיסמה.
"הדרכים לאסוף נתונים אלו מגוונות מאוד ויכולות לכלול מעבר לפריצת בסיסי נתונים גם שיטות פישינג מתוחכמות כאשר הגולש בכלל לא מודע לכך שהוא מוסר פרטים להאקר וגם שימוש בקוד זדוני המושתל באתרים פופולריים וגונב פרטים של גולשים", מסביר שייקביץ.
מכאן עולה כי על בעלי האתרים יש אחריות כבדה מאוד לאבטח את המידע שהם מקבלים ולשמור את הפרטים שלנו.
האם ניתן להתגונן מפני מקרים כאלה?
אחריות של בתי העסק
האחריות של בית העסק שנפגע היא לעמוד בתקן אבטחת מידע בשם PCI המצמצם היתכנות אירועים מסוג זה.
שייקביץ מסביר: "במרבית המקרים בהם נגנבים פרטים של כרטיסי אשראי מקור הבעיה הוא בחברות גדולות. בשל הצורך לחייב את הלקוח בצורה מחזורית כל חודש הן מחזיקות בסיס נתונים עם פרטי כרטיסי אשראי ובסיסי נתונים אלו מהווים יעד לפריצה עבור האקרים בגלל פוטנציאל הרווחים הטמון בהם".
הוא מוסיף: "יש בעולם תקן שיצרו חברות האשראי הגדולות בשם PCI המחייב את בתי העסק לעמוד בסטנדרטים מחמירים של אבטחת מידע. השאלה היא האם העסק משקיע ומיישם את התקן או לא".
כך תימנעו מפריצה
1. באופן כללי יש להיות חשדניים כלפי גורמים המבקשים מכם את כרטיס האשראי. לא חשוב אם מדובר בדוכן בקניון או באתר קניות שנראה רציני ומושקע, יש לשאול שאלות ולוודא ככל הניתן את זהות העסק העומד מאחורי הבקשה. רצוי לשאול האם העסק עומד בתקן אבטחת המידע PCI ולבקש אסמכתא עדכנית מהמוכר או נציג שירות הלקחות.
גם במקרה של אתר אינטרנט הבדיקה נעשית באופן דומה, שולחים שאלה דרך לינק ליצירת קשר ומקווים לתשובה מהירה. נכון לעכשיו לא ידוע על מאגר מידע שכולל את כל בתי העסק בישראל שכוללים את התקן.
2. מומלץ מאוד להשתמש בשירותים ייעודיים לרכישות בטוחות באינטרנט שהמפורסמת והגדולה ביניהם היא פייפאל.
3. כדאי לבצע בדיקה של חיובי האשראי ורישום לשירותים בזמן אמת כמו הודעות SMS על עסקאות, אפליקציות לסלולר או שימוש באתר האינטרנט של חברת האשראי או הבנק.
4. החלפת סיסמאות ושמות משתמש לאתרי קניות ושירותים מקוונים כמו דואר אלקטרוני וגם הרשתות החברתיות.
5. כרטיס אשראי זמני ללא פרטים אישיים: אחת האופציות הנוחות עבור משתמשים שחוששים למסור את פרטי כרטיסי האשראי שלהם היא כרטיס זמני, ויזה נטען, Isracard.web ו- SecureV (כמובן אלה רק המלצות להניח ויש חברות נוספות שמספקות שירות דומה).
ויזה נטען - כרטיס ויזה נטען הוא כרטיס אנונימי המונפק ללא שם ומספר חשבון בנק. הנפקת הכרטיס אינה מחייבת חשבון בנק או הזדהות ומילוי טפסים. זהו כרטיס ויזה הניתן לטעינה חד פעמית בסניפי בנק הדואר עד לסכום מקסימלי של 1000 שקלים. הסכום המינימלי לטעינה הינו 250 שקלים.
הכרטיס הוא בינלאומי ומאפשר לבצע עסקות בכל בית עסק בארץ ובחו"ל המכבד כרטיסי ויזה, למעט בתי עסק בענפים הבאים: דלק, מלונאות, חברות השכרת רכב, מכשיר השכרת וידאו אוטומטיים, חלפני/העברות כספים והימורים.
Isracard.web - כרטיס וירטואלי אנונימי של קבוצת ישראכרט המאפשר לך לבצע רכישות ברשת האינטרנט בלי לחשוף את פרטי הקניה ופרטיך האישיים. הפרטים של כרטיס האשראי נשמרים במערכת מאובטחת ומוצפנת באתר ישראכרט. ניתן לשלוט בהוצאות ולבדוק את היתרה בכרטיס האנונימי באתר האינטרנט בצורה פשוטה ובטוחה.
SecureV - שירות Secure V הוא שירות לקניה בטוחה באינטרנט המוצע ע"י קבוצת ישראכרט. Secure V מגן על כרטיסכם בעת קניה באינטרנט בעזרת סיסמה. כל קניה באתרים התומכים בשירות תאושר רק לאחר שהזנתם את סיסמתכם האישית. כך תהיו מוגנים מפני שימוש לא מורשה בכרטיס מסטרקארד/ויזה שלכם באינטרנט, ושקטים יותר בעת קניה אינטרנט. עם שירות Secure V רק אתם יכולים לחתום על הקבלה בסיום כל קניה באמצעות הסיסמה וההודעה האישית הידועות רק לכם, ובכך לאשר את קניותיכם באינטרנט.
חושדים שנפגעתם? פעולות ראשונות שעליכם לבצע
1. במקרה של חשד יש להתקשר לחברת האשראי ולבדוק חיובים אחרונים וחריגים, אם לא היו פעולות חשודות יש לחזור ולבדוק את הכרטיס שוב כמה שעות אחרי ואחר כך שוב במהלך הימים הבאים.
2. להחליף מיידית את כל הסיסמאות ושמות המשתמש באתרים, שירותים ורשתות חברתיות.
3. יש לכם ג'ימייל? בידקו את ה-IP האחרון ממנו נכנסו לחשבונכם –איך עושים את זה? בתחתית עמוד הג'ימייל יש כפתור בשם Last account activity פיתחו אותו ותראו את המחשבים האחרונים מהם נכנסו לחשבונכם.