שתף קטע נבחר

איך הבנק מגן עליכם מהונאות?

תוכנות האנטי וירוס והדפדפנים שלנו אמורים למנוע פישינג או נסיונות אחרים לגנוב את סיסמת הבנק שלנו. כשזה לא מצליח, הבנקים נכנסים לתמונה. איך זה עובד?

דמיינו את התרחיש הבא: אתם נכנסים לאתר שנראה כמו אתר הבנק שלכם, מכניסים את השם והסיסמה, לא מצליחים להגיע לחשבון, ופתאום החשבון נחסם. מישהו מתחיל לחטט בחשבון שלכם, לראות אילו פעולות ביצעתם, ומנסה למשוך כספים ולפגוע בכם כלכלית. איך נלחמים בזה?

 

בעשור האחרון, וגם קצת לפני, מפעילים הבנקים בישראל, כמו בעולם, אתרי אינטרנט המאפשרים לקבל מידע על החשבון, לבצע

תשלומים, להעביר כספים - והשימוש העיקרי - לבצע פעולות בניירות ערך.

 

החוליה החלשה בשרשרת הזו היא המחשב שלנו ואנחנו. נוכלים ועבריינים מנסים לגנוב כסף ולחדור לחשבונות הבנק מרחוק, על ידי גניבת הסיסמה מאיתנו בשלל דרכים שלא מצריכות פעילות פריצה מתחוכמת. ברגע שהסיסמה אצלם - צריך רק להיכנס ולהתחיל להעביר כספים.

 

פגיעה בחשבון שלנו היא הבעיה העיקרית, אך גם פגיעה בפרטיות וגישה לנתונים מאוד אישיים שלנו בחשבון הבנק, יכולה להיות תוצאה של חדירה לחשבון.

 

מי מאיים עלינו?

דיוג (Phishing) היא אחת מדרכי הנוכלות הוותיקות ברשת. בפשטות - נוכל מעלה לרשת עמוד שנראה כמו אתר הבנק שלכם (או שירות המייל, או הפייסבוק, או כל שירות "רשמי" לצורך העניין) מבקש שתכניסו את השם והסיסמה בטענה שהם עומדים לפוג, לוודא שהחשבון שלכם פעיל או שקר כלשהו , ולמעשה אוסף את פרטי החשבון שלכם.

 

אם הדפדפן ותוכנת האנטי וירוס עדכניות, הדיוג אמור להיעצר עוד לפני שנעשה. זאת בנוסף לשיקול הדעת ולתשומת לב שלנו שמישהו מנסה לרמות אותנו. ובכל זאת, אנחנו עשויים ליפול. זו רק אחת מהדרכים בהן פועלים הנוכלים.

 

את הסיסמאות של הגולשים ניתן לאסוף גם באמצעות תוכנות כמו Keylogger, המתעדת את כל מה שאתם מקלידים - בלי שידעתם על כך, או סוס טרויאני ששואב מידע מהמחשב ומעביר אותו הלאה.

 

אפשר לגנוב את הסיסמה גם באמצעות תוכנות לשיתוף קבצים. כך, אם שמרתם מסמך ובו הסיסמאות שלכם, ובלי כוונה מישהו מבני המשפחה חלק את התיקיה, הפורצים מחפשים אחר מסמכים מהסוג הזה.

 

הבנק נכנס לתמונה

הבנקים מפצירים בנו לשנות את הסיסמאות מדי מספר חודשים, לשמור אותן במקום בטוח, לעדכן את תוכנות האבטחה ולהיזהר באופן כללי, אבל מה הם עושים מהצד שלהם?

 

הבנקים הגדולים בישראל מפעילים מערכי אבטחה בהיקפים שונים - ודואגים ללקוחות במקרה ואלה נפלו קורבן לנוכל. ראשית, העברות כספים הוגבלו ל-6,000 שקלים ביום על ידי בנק ישראל, וכמובן שבמקרה של פריצה ניתן לעקוב אחרי הכסף ולבטל פעולות אלה, כדי להחזיר את החשבון למצבו הקודם.

 

ביקרנו במרכז האבטחה של בנק לאומי שפועל 24 שעות ביממה, שבעה ימים בשבוע, ובו מתקבלות התרעות על כל מיני נסיונות נוכלות. כך, הבנק יכול לסייע גם לתפוס נוכלים במקרים מסויימים. בבנק דיסקונט, שעם נציגיו קיימנו ראיון בדוא"ל, אמרו כי הו מפעיל מספר מעגלי הגנה הכוללים הזדהות, הצפנה, מערכות לאיתור פרצות וכולי.

 

בבנק הפועלים סירבו להתראיין לכתבה ושלחו אותנו לקרוא את עמוד אבטחת המידע באתר.

 

איך מגינים עלינו מפני נוכלים?

שלמה פרגמנט, סגן ראש מערך תפעול ומנהלה בבבנק לאומי, מסביר כי אחת הדרכים להילחם בנוכלות היא מערכת חכמה שלומדת את הלקוח, את המאפיינים שלו ואת סוג הפעילות שלו והשעות בהן הוא מתחבר.  כך למשל, אם אתם בודקים את החשבון מהעבודה

מדי יום, ופתאום תתחברו באמצע הלילה, סביר להניח שהמערכת תתריע.

 

כמו כן, המערכת יודעת לזהות העברות ופעולות בחשבון שנראות חריגות - כמו מספר העברות ברצף. כמובן שוככל שהגולש משתמש יותר במערכת, קל יותר ללמוד את המאפיינים שלו - והמערכת לא תחסום או תתריע באופן שרירותי אם פתאום הצטרכתם להעביר כסף בלילה.

 

כך או אחרת, פרגמנט מסביר שבמקרים כאלה, כמו במקרים בהם נעשה נסיון לשכפל כרטיס כספומט ולמשוך כספים ממקומות חריגים, הבנק אף יתקשר ללקוח לוודא שהוא ביצע את הפעולה שבוצעה בחשבון - וכך יוכל ליידע אותו אם היה נסיון פריצה, וכמובן לנסות לאתר את הפורץ. זאת, במקביל להתראות שאפשר לקבל ב-SMS.

 

גם בדיסקונט אומרים כי "הבנק מפעיל מספר מערכות ניטור אשר מאפשרות מדידה של התנהגות אבנורמלית לצורך איתור של גורמים עויינים".

 

מאתרים את הנוכלים, מורידים את האתר

ואיך מתמודדים עם הפישינג? למרות המודעות הגדולה, לקוחות עדיין מתפתים להכניס את שם המשתמש והסיסמה שלהם, מסביר פרגמנט שמזכיר שהבנק אף פעם לא שולח מיוזמתו מייל ומבקש להכניס את הסיסמה.

 

מערך ההגנה של הבנק, על פי משה פירסט, מנהל ענף ניהול ואבטחת נתונים, יודע לזהות באמצעים נסיונות כניסה על ידי נוכלים שגנבו סיסמאות על ידי "אמצעים שונים ומגוונים" - אותם, כמובן, הוא לא יכול לפרט.

 

בבנק גם פוקחים עין כאשר מופצים מיילים המנסים לגנוב סיסמאות - או כאשר מגלים שלקוח ביצע פעולה חריגה, כך ומנטרים את

האירועים בזמן אמת - ומנסים לעצור אותם.

 

פרגמנט אומר כי הבנק יודע לזהות כתובות חשודות ולעקוב אחריהן, כאשר מתבצע ניסיון לפישינג. כמו כן עובדים בבנק לאומי מול חברות אבטחה וחברות לאחסון אתרים להורדת האתר הפוגעני. במקרים מסויימים מדובר בעמוד שהושתל באתר לגיטימי ללא ידיעתו.

 

בלאומי אף טוענים כי הצליחו במקרים מסויימים להוריד אתר עוד בשלב ההקמה ולפני שנשלח מייל הקורא להכניס בו סיסמאות. בדיסקונט אומרים כי "הבנק פועל במספר מעגלים אקטיביים בכדי להתמודד ביעילות עם תופעת גניבת הזהות", אך לא מפרטים מעבר לכך.

 

האם הבנק עוקב אחרי?

בנוגע לבעיות האחרות שאין פישינג, אומר פרגמנט כי "ברגע שיש חשד שהלקוח חשוף פונים אליו ומתריעים". פירסט מוסיף כי הבנק בוודאי לא ניגש למחשבים של הלקוחות, אבל הבנק נעזר בחברות חיצוניות שיש להן אמצעים לבדוק אם לקוחות חשופים.

 

פרגמנט אומר שאין להאקרים ולנוכלים שיטה שכיחה יותר מהאחרות לנסות לגנוב סיסמאות, ומדובר בעניין תקופתי. בכל פעם מנסה קבוצת האקרים לתקוף לקוחות בשיטה אחרת, וכי הבנק דואג לעודד מודעות אצל הצרכנים.

 

בבנקים הגדולים אומרים כי אמצעים אלה מביאים לכך שהאירועים האלה נתפסים בזמן, ובסופו של דבר - הלקוחות מוגנים ולא נפגעים. 

 

לפנייה לכתב/ת
 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
שומרים על הכסף
צילום: Index Open
מומלצים