האיומים הבימומטריים כבר כאן ופושעי הסייבר נמצאים צעד אחד לפחות לפני המערכת הפיננסית
מאת:
מערכת Telecom News, 27.9.16, 13:09
נערכה חקירה באשר ליכולת של עברייני סייבר לניצול טכנולוגיות אימות, שמתכננים הבנקים להפעיל במכשירי כספומט.
במשך שנים היו מכשירי כספומט על הכוונת של פושעי הסייבר, שניסו להשיג נתונים של כרטיסי אשראי. הכל החל עם ה"סקימרים" (
Skimmers) הפרה-היסטוריים – מכשירים בעבודת יד, שחוברו לכספומט, והיו מסוגלים לגנוב נתונים מהפס המגנטי ואת קוד הכרטיס, בסיוע לוח מקשים מזויף או מצלמת רשת.
עם אימוץ כרטיסי האשראי משובצי השבב והקוד, שכמעט בלתי אפשרי לשכפל, התפתחו המכשירים למה שמכונה "שימרים" -(
Shimmers): הם נראים באופן כללי אותו דבר, אך מסוגלים לאסוף מידע משבב המכשיר ולספק מספיק נתונים כדי לערוך מתקפת המשך ברשת. תעשיית הבנקים הגיבה עם פתרונות אימות חדשים, שחלקם מבוססים על ביומטריה.
עפ"י חקירה, שערכה מעבדת קספרסקי בתוככי עולם עבריינות הסייבר, קיימים כבר
לפחות 12 מוכרים ברשת האפלה המציעים יכולות סקימרים לגניבת טביעות אצבע.
לפחות 3 מהמוכרים כבר מפתחים מכשירים, שיכולים להשיג נתונים באופן בלתי חוקי ממערכות זיהוי ורידים בכף היד וזיהוי קשתית.
הגל הראשון של סקימרים ביומטריים זוהה במסגרת "בדיקות קדם מכירה" בספטמבר 2015. עדויות, שנאספו ע"י החברה, הראו, שבמהלך הבחינה הראשונית, המפתחים גילו מספר בעיות. עם זאת, הבעיה המרכזית הייתה שימוש במודול
GSM להעברת נתוני הביומטריה – שהיה איטי מידי כדי להעביר את כמות הנתונים הגדולה שנאספה. כתוצאה מכך, גרסאות חדשות של סקימרים יעשו שימוש בטכנולוגיות מהירות יותר להעברת נתונים.
ישנם גם עדויות לדיון מתמשך בקהילות מחתרתיות לגבי
פיתוח אפליקציות ניידות המתבססות על שימוש במסכות פנים מזויפות. עם אפליקציה כזו, תוקפים יוכלו להשתמש בתמונה של אדם אותה הורידו מהרשת החברתית ולעשות בה שימוש כדי להונות מערכות לזיהוי פנים.
כלים המסכנים נתונים ביומטריים הם לא איום הסייבר היחיד על מכשירי כספומט. האקרים ימשיכו לערוך התקפות מבוססות קוד זדוני, התקפות
blackbox והתקפות מהרשת, כדי ללכוד נתונים שלאחר מכן ישמשו כדי לגנוב כסף מהבנק עצמו ומלקוחותיו.
אולגה קוחטובה, מומחית אבטחה במעבדת קספרסקי: "הבעיה עם ביומטריה היא, שבשונה מסיסמאות או קוד זיהוי, אותם ניתן לשנות במקרה ונחשפו, לא ניתן לשנות את תביעת האצבע או את הקשתית. לכן, אם הנתונים נחשפו פעם אחת, לא יהיה בטוח יותר להשתמש באותה שיטת אימות פעם נוספת. זו הסיבה, שחשוב ביותר לשמור נתונים כאלה מאובטחים ולשדר אותם בדרך מאובטחת.
נתונים ביומטריים מתועדים גם בדרכונים ביומטריים ובויזות. כך, שאם עבריין גונב דרכון ביומטרי, הוא מחזיק ברשותו לא רק את המסמך, אלא גם הנתונים הביומטריים של אדם. הוא למעשה גונב את הזהות שלו".
דו"ח הסוקר את איומי הסייבר הבאים על מכשירי כספומט ואמצעים, שניתן להטמיע כדי להגן על בנקים מאיומים אלה –
כאן.