מערך הסייבר הלאומי: הארנק הדיגיטלי - איך ניתן להגן עליו?
מאת:
מערכת Telecom News, 1.6.21, 17:40
איך ניתן להגן על המידע והגישה לחשבון ומה חשוב לדעת על הארנק הדיגיטלי? סקירת כל שיטות התשלומים במשק ואופן ההגנה עליהן, ובמיוחד ההגנות שיש לנקוט בעת שימוש בארנק דיגיטלי בסמארטפון.
בארנק שלך יש כרטיס אשראי של חברה כזו או אחרת? חשבת פעם אילו מנגנוני הגנה מופעלים כשנעשה שימוש לרעה בכרטיס? רובנו משתמשים בכרטיסים אלה בתדירות יומית בחנויות, ברשת האינטרנט ולעיתים גם מבצעים הזמנות טלפוניות.
בעבר נעשה שימוש רק במספר הכרטיס, לאחר מכן נוספה הגנה בדמות 3 הספרות בגב הכרטיס כדי לזהות בעלות על הכרטיס, והיום ניתן לוודא בעלות של מבצע הרכישה באמצעות קוד סודי במעמד הרכישה או הצמדה של הכרטיס לקורא ייעודי. לכל שיטה יש את החולשות והבעיות שלה, נסקור את השיטות ואופן ההגנה שלהן:
מספר כרטיס: זהו אמצעי התשלום הוותיק ביותר. בעבר למעט המספר המובלט על גבי הכרטיס לא היה אף מידע אחר. בעת ביצוע תשלום, הכרטיס היה מוכנס למעין רכיב הדומה למגהץ מצדו האחד ומצדו השני היו מכניסים אליו נייר (3 העתקים עם נייר קופי ביניהם) מפנקס התשלומים של בית העסק.
כאשר היו "מגהצים" את הכרטיס המספר שלו היה נכתב על גבי הנייר עם פרטי העסקה ופרטי בית העסק. כל הפנקסים של בית העסק היו מועברים לסניף בנק בו מנוהל חשבון הבנק של בית העסק, משם במחלקת המסלקה הפנקסים מתחלקים לפי בנקים וחברות אשראי, שהנפיקו את הכרטיס, הפנקסים מועברים לגופים הרלוונטיים ובתוך מספר ימים היה בית העסק מזוכה בחשבונו בסך התשלומים שהתקבלו.
Secure3D ו-3 ספרות בגב הכרטיס: מעט אנשים מכירים את מקור הופעה של 3 ספרות בגב הכרטיס הנקרא
cvv2 או
cvc2. המספר הזה הוא סכום בדיקה למספר הכרטיס. בימים אלה ניתן לבצע רכישות באשראי גם כאשר הכרטיס לא נמצא פיזית בבית העסק, עסקאות מסוג זה נקראות
CARD NOT PRESENT ולעיתים מופעלות ברכישות בחנויות
Online במרשתת או בעסקאות טלפוניות.
עם גידול ההונאות באמצעות גניבה או שכפול של הכרטיסים, חברות אשראי הקשיחו את מנגנון אימות לעסקאות תוך כדי הקפאת עסקה למספר שניות, באותה העת נשלח קוד חד פעמי למספר הנייד של בעל הכרטיס , ורק לאחר הזנת הקוד בשדה של חברת האשראי העסקה מאומת ומאושררת - זהו המנגנון -
3D Secure.
שיטת פעילות עם פס מגנטי של הכרטיס: שיטה פשוטה ליישום. רוב האזרחים מודעים, שהשיטה פחות בטוחה היות וניתן באמצעים טכנולוגים לא מתוחכמים ובקלות יחסית לשכפל את המידע הנמצא על גבי הפס המגנטי. כדי לאמת את זהותו של בעל הכרטיס, בעלי העסק ברחבי העולם היו דורשים חתימה של מבצע העסקה על ש׳ק בנקאי והיו משווים אותה לחתימה שבגב הכרטיס.
איזה מידע קיים בפס המגנטי? כל מידע המודפס על גבי הכרטיס, מידע נוסף אודות הכרטיס אם בעל שבב חכם או לא ועוד מספר פרמטרים טכנולוגיים. כל המידע הזה מועבר בצורה מוצפנת לבנק או חברת האשראי, שהנפיקה את הכרטיס ומבוצע אימות לנתונים אל מול רכיב הנקרא
HSM (hardware security module) הפועל בכל אחד מהבנקים וחברות האשראי.
קוד סודי: כחלק משיפור הגנות של פרטי האשראי והחלפת פס מגנטי (וביטולו בעתיד) פעלו חברות האשראי
europay, visa ו-
mastercard להקמת התאגדות בינלאומית ויצרו שיטת חיוב וביצוע עסקאות הנקרא
EMV. כרטיס אשראי רגיל הנושא בתוכו שבב קטן הפועל באמצעות טבלת מצבים. לדוגמא: כרטיס הוכנס לקורא כרטיס = יש לאמת את הקוד הסודי (הקוד שמור על גבי שבב קטן בתוך הכרטיס עצמו ואיננו ניתן לחשיפה או חילוץ), אם הקוד תקין ניתן להמשיך לפעולה הבאה למשל בחירת סכום, כמות תשלומים וכו׳.
NFC - הצמדת הכרטיס לאמצעי התשלום: ביצוע תשלומים באמצעות הצמדת הכרטיס לאמצעי התשלום. זאת השיטה הנקראת
NFC. גם בשיטה זו נצפו לא מעט בעיות, לדוגמא זמן החזקת הכרטיס אל מול מכשירי הקליטה חשף פרטים המוטבעים על גבי הכרטיס וגורם זדוני בקלות היה יכול להעתיק את המידע. בדוגמא אחרת הוכח, שבאמצעות מקלת
NFC משופר ניתן לקרוא מידע של הכרטיס גם כשהוא מתוך הארנק או תיק.
שיטת הארנקים הדיגיטליים
כתחלופה לכלל השיטות הגיעה שיטת הארנקים הדיגיטליים. אפליקציות כגון ביט, פייבוקס ואחרות וגם שירות
apple pay, שהושק לאחרונה בישראל.
הארנק הדיגיטלי מכיל את פרטי האשראי המלאים ללא הקוד הסודי, ושומר את פרטי האשראי בזיכרון מוצפן במכשיר הסלולרי. אפליקציות כמו ביט ופייבוקס מאפשרות לבצע העברה לאנשי קשר או לקבוצות רכישה ואינן מאפשרות ביצוע תשלום בחנויות ע"י הצמדת המכשיר אל המקלט אלא באמצעות העברה בלבד, להבדיל אפליקציות כגון
google pay ו-
apple pay המאפשרות ביצוע תשלום ע
"h הצמדה של המכשיר לקולט ה-
nfc של בית העסק תוך הפעלת מנגנון הזדהות אל מול המכשיר הסלולרי.
לדוגמא: כדי לפתוח את הטלפון מהנעילה נדרש להזין קוד אזי בעת ההצמדה תתבקשו להקיש את הקוד (לא של הכרטיס אלא של המכשיר) או באמצעות תביעת אצבע או באמצעות תווי פנים. כך, בעצם נוצר מנגנון רב שכבות לשמירת פרטי האשראי.
מהן ההגנות העיקריות שיש לנקוט בעת שימוש בארנק דיגיטלי במכשיר טלפון:
יש לוודא ולהפעיל הזדהות חכמה בעת גישה למכשיר (טביעת אצבע, תווי פנים, תבנית או קוד סודי).
יש לוודא ולהפעיל הזדהות חזקה בעת גישה לשרותיי ארנק דיגיטלי במכשיר הסלולרי.
מומלץ להשתמש בכרטיס ייעודי לכל ארנק דיגיטלי.