כאשר שמע על תחקיר "next" בו חשפנו כי ניתן לזייף בקלות כרטיסי קופות חולים ולהוציא מידע רפואי כמעט על כל אדם, פנה נריה כהן מחברת CardLatch, חברה שמתמחה בהגנה והצפנה של נתונים מכרטיסי אשראי, למערכת "next", וסיפר כי ניתן לזייף גם כרטיסי אשראי גם כאשר הם נמצאים אצלכם בכיס.
איך פורצים כרטיס אשראי שיש לו שבב חכם, הצפנות והגנות?
"חשוב לציין שבארץ עדיין לא נכנסה פריצה של הצ'יפ EMV, ולכן בשביל לפרוץ בארץ, צריך את הפס המגנטי. לא צריכים את הכרטיס פיזית, אלא אפשר לקחת מתוך האפליקציה שנמצאת על השבב, נתונים שלא מצריכים זהות וכאלה שלא מוצפנים, ומהם לבנות את הכרטיס המגנטי. בחלק מהכרטיסים, מספיק להתקרב לבן אדם, לשאוב ממנו את הנתונים שאינם מוצפנים, לגזור אותם, לייצר מהם פס מגנטי, וכמו שראינו - לייצר את הכרטיס".
צריך ידע כדי לשכפל כרטיסי אשראי?
"כדי לייצר פס מגנטי לא צריך הרבה ידע, והוא לצערי גם חשוף באתרים השונים, מי שירצה - ידע לחפש".
איך מתגוננים?
"אנחנו חברת CardLatch באים מעולם הצופן, חלק נכבד מהחברה הם אנשים שהגיעו ממצו"ב- יחידת ההצפנה בצבא שאחראים על כל הצופן במשרד הביטחון, ואנחנו יודעים לייצר הגנה גם על הנתונים וגם על כל התווך והתהליך, כלומר מהכרטיס ועד ביצוע הפעולה".
תגובת ישראכרט:
"טכנולוגיית ה-EMV פותרת את בעיית ההעתקה של הפס המגנטי, היות שהיא איננה מאפשרת ביצוע עסקאות בפס מגנטי, אלא תוך אימות הכרטיס. ישראכרט ערוכה לשימוש בטכנולוגיה זו באופן מידי. כשהרגולטורים בישראל יאשרו זאת, הפס המגנטי ייצא משימוש. מחזיקי הכרטיסים מוגנים מנזקים מתוקף חוק כרטיסי החיוב".
תגובת כאל:
"הנפקת כרטיסים נעשית בהתאם לתקני האבטחה המחמירים של הארגונים הבינלאומיים. הטמעת תשתית ואימוץ תקן EMV בישראל תוביל להפחתת סיכוני זיוף כרטיסי אשראי. לקוחות החברה מוגנים מזיוף הכרטיס והם יזוכו".
תגובת מקס:
"חברת מקס נערכה והנפיקה לכל לקוחותיה רק כרטיסים חכמים בתקן EMV. תקן זה כמקובל בעולם, מבטיח אפשרויות תשלום חדשניות, מגוונות ומאובטחות. אנחנו מצפים להחלטת הרגולטורים לפיה כל בתי העסק בישראל יחויבו לכבד עסקאות רק על גבי תקן זה".
נריה, האם באמת שבב ה-EMV יציל את המצב?
"אין ספק שהאפליקציה שיושבת על השבב נותנת איזו חוזקה מסוימת, אבל גם בה אנחנו יודעים להגיד בוודאות שמצאנו חולשות".