חפש מאמרים:
שלום אורח
22.12.2024
 
   
מאמרים בקטגוריות של:

   
 

אבטחה באמצעות הטלפון הסלולארי

מאת: ראובן ברמןפטנטים14/07/20151908 צפיות שתף בטוויטר |   שתף בפייסבוק

כשני מיליון ישראלים נוהגים לפקוד את חשבון הבנק שלהם באופן תדיר באמצעות אתר האינטרנט של הבנק, וחלקם אפילו מבצעים בצורה זו פעולות בחשבון הבנק שלהם, כגון מסחר בניירות ערך. אולם בפתיחתו של חשבון הבנק לעבודה דרך האינטרנט יש משום נטילת סיכון, שכן גורם בלתי מורשה יכול להשיג גישה לחשבון הבנק, ולרוקן אותו. פורצים יותר מתוחכמים נוהגים למשוך מחשבון הבנק של הקורבן סכום זעיר באופן חד פעמי או קבוע, על מנת שלא למשוך את תשומת לבו של בעל החשבון.

אחת הדרכים המוכרות להשגת פרטי הכניסה לחשבון בנק, כגון מספר חשבון וסיסמה, נקראת "חכת דייג", או בכינויה הבינלאומי Phishing, והאיות השגוי בא במטרה לרמוז על כך שהמדובר במעשה הונאה. חכת הדייג היא דבר דוא"ל (דואר אלקטרוני) הנשלח כהודעת "זבל" (SPAM) למספר גדול של נמענים, בתקווה שלפחות חלק מהם יבלע את הפיתיון. במכתב שנשלח כביכול על ידי הבנק מודיעים לנמען כי התגלתה בעיה בחשבון הבנק שלו ובעקבותיה עליו להיכנס לחשבון דרך האינטרנט על מנת לבצע פעולה זו או אחרת. לנוחיותו של הנמען הודעת הדואר מכילה קישורית, וכל מה שעליו לעשות הוא להקיש עליה על מנת להגיע לאתר האינטרנט של הבנק. אלא שהקישורית לא מובילה אל אתר האינטרנט של הבנק, אלא לאתר האינטרנט של הפורץ. האתר של הפורץ אמנם נראה כמו אתר האינטרנט של הבנק, אבל הוא לא. המשתמש התמים, הדג שעלה בחכת הפורץ, מקיש את הפרטים המזהים כולל הסיסמה, והפלא ופלא אתר האינטרנט מודיע לו שברגע זה ממש מתבצעות פעולות תחזוקה באתר האינטרנט של הבנק ועליו לחזור ולהיכנס לחשבון שלו מאוחר יותר. פרטי הכניסה לחשבון הבנק, כולל הסיסמה, מגיעים לפורץ, והוא יכול לחגוג על חשבונו של הדג שעלה בחכה...

דרך אחרת להשגת פרטי הכניסה לחשבון בנק היא על ידי תוכנת סוס טרויאני. זו תוכנה שרצה על המחשב של הקורבן, ושולחת את תמונת המסך או התווים שהמשתמש מקיש אל המחשב של הפורץ באמצעות האינטרנט. יש דרכים רבות לשתול את תוכנת הסוס הטרויאני במחשב של הקורבן, כמו למשל להטמיע את הסוס הטרויאני בתוכנות חינמיות (Freeware).

אבל חשבון הבנק הינו רק צרה אחת. צרה לא פחות צרורה היא כרטיס האשראי. לכל ישראלי בוגר יש היום לפחות כרטיס אשראי אחד, איתו הוא נוהג לעשות קניות. כידוע, קניות באמצעות כרטיס אשראי ניתן לבצע גם טלפונית או דרך האינטרנט, כלומר ללא הצגה פיסית של כרטיס האשראי. ואפשרות זו חושפת את הכרטיס לשימוש לרעה על ידי גורמים פליליים. אמנם אנו מציצים מדי פעם בתדפיס של חברת האשראי ועוברים על רשימת העסקאות שבצענו במטרה לגלות עיסקה לא מוכרת, אבל האם מישהו יכול לאמר בוודאות שהוא אכן היה זה ששילם עבור כל פעולות התדלוק שמופיעות בחשבון שלו, או שהיה מי שחגג על חשבונו?

המומחים לאבטחה מזהירים אותנו שנבקש את הבנק שלא לאפשר הוצאת כספים מחשבון הבנק שלנו על ידי העברה לחשבון אחר. מגבלה כזו אמנם תבטיח שלא ירוקנו את חשבון הבנק שלנו, אבל זה עדיין לא יפתור בעיות אבטחה אחרות. מכל מקום הזמן שמשתמש צריך להשקיע על מנת לוודא שלא פרצו לחשבון הבנק שלו הוא נכבד, וגם אם המשתמש הקדיש את הזמן הזה, עדיין אין בכך בכדי להבטיח שבחשבון שלו לא נעשות פעולות על ידי גורם בלתי מוסמך.

אבל, מסתבר שלבעיות אלה יש פתרון. היום הטלפון הסלולארי הפך להיות אביזר אישי המצוי כמעט אצל כל אחד, ובשל כך הוא יכול לשמש כערוץ יחסית בטוח להעברת סיסמה מנותן השירות הפיננסי אל בעל חשבון הבנק / כרטיס האשראי. באמצעות כלים המצויים בטלפון הסלולארי, כגון מסרון (SMS) והשמעת הודעה, ניתן להעביר מהחברה הפיננסית אל הלקוח סיסמה חד פעמית שאיתה הוא יוכל לקבל שירות חד פעמי, כגון כניסה לחשבון הבנק שלו דרך האינטרנט, ביצוע רכישה באמצעות האינטרנט, משיכת כסף מהכספומט, וכדומה.

למשל, כאשר בעל חשבון הבנק נכנס לאתר האינטרנט של הבנק, ומקיש את מספר החשבון שלו, מחשב הבנק שולח אל הטלפון הסלולארי שלו סיסמה חד פעמית באמצעותה הוא מקבל היתר כניסה לחשבון. או למשל בד בבד עם מתן האישור לבית העסק על ביצוע עיסקה בכרטיס האשראי של לקוח, המחשב של חברת האשראי שולח אל המכשיר הסלולארי של בעל הכרטיס מסרון (SMS) ובו פרטי העיסקה שאושרה. בעל כרטיס האשראי מקבל הודעה על שימוש בכרטיס האשראי שלו בו זמנית עם ביצוע העיסקה, או לכל היותר זמן קצר לאחר מכן, וכתוצאה מכך מתאפשר לו לבדוק את נכונות העיסקה כשפרטיה עדיין טריים בזכרונו. לכן, שימוש לא חוקי בכרטיס האשראי עשוי להתגלות על ידי בעל הכרטיס די מהר, דבר שהופך את השימוש בכרטיס אשראי גנוב כמעט לבלתי אפשרי. יש טכנולוגיה קצת יותר מתקדמת לפיה בעל כרטיס האשראי מתבקש לאשר את העיסקה לפני ביצועה באמצעות ממשק למשתמש. למשל, הלקוח מקבל אל הטלפון שלו שיחה מהמחשב של חברת האשראי שבה מושמעת הודעה קולית בנוסח "הקש אחת אם אתה מאשר את העיסקה, הקש אפס אם אינך מאשר". פשוט להפליא ויעיל להפליא.

השימוש בטכנולוגיה שתוארה לעיל גורמת לכך שעל מנת לעשות שימוש בלתי חוקי בכרטיס האשראי או חשבון הבנק, הפורץ צריך גם לדעת את פרטי כרטיס האשראי / חשבון בנק, וגם לגנוב לבעליו את הטלפון הסלולארי. אבל מאחר והשימוש במכשירים סלולאריים בחיי היום-יום הוא אינטנסיבי, גניבתו או אובדנו מתגלה די מהר על ידי בעליו, ולכן הזמן שעובר מרגע הגניבה עד שהחברה הסלולארית מתבקשת לנעול את המכשיר הוא יחסית מהיר, ובשל כך הסיכוי שגורם לא מורשה יוכל לעשות שימוש בסיסמאות הנשלחות אל הטלפון הוא יחסית נמוך. קשה להאמין שזה יעצור את הפריצות באופן מוחלט, אבל זה בהחלט צעד נגד הפשטות הבלתי נסבלת של הפריצה לחשבונות בנק של קורבנות תמימים.

למרות שהשימוש בערוץ הסלולארי לצרכי אבטחה הינו יחסית חדש, מסתבר שהוא בכל זאת מוכר בארץ. לפני מספר חודשים שמתי לב שאחת מחברות הטלפונים הסלולאריות מיישמת את הערוץ הסלולארי על מנת להעביר סיסמה חד פעמית כל אימת ששולחים מסרון באמצעות אתר האינטרנט של החברה. כלומר, הרעיון של שימוש בטלפון סלולארי לצרכי אבטחה אינו חדש לציבור בישראל, וודאי ובוודאי למומחי האבטחה של המוסדות הפיננסיים. ומי שמתאמץ מעט יותר יוכל למצוא גם מסמכי פטנטים המציגים את הרעיון. למשל, הבקשה האמריקנית לפטנט מספר 20040203595 שפורסמה באוקטובר 2004 אומרת:

"ההמצאה הנוכחית מכוונת לשיטה ומכשיר עבור מערכת אימות משתמש העושה שימוש בטלפון סלולארי. לפי תצורה אחת, מערכת האימות משמשת לאכסון סיסמאות של משתמש. כאשר המשתמש שוכח את סיסמה, המשתמש יכול לקבל את הסיסמה על ידי שיחה ללא חיוב אל מערכת האימות באמצעות המכשיר הסלולארי שלו, לפני הכניסה למערכת. הטכנולוגית הנוכחית לזיהוי של מתקשר באמצעות טלפון סלולארי המסופקת על ידי חברות סלולאריות מזהה בעליו של טלפון סלולארי והיא משמשת לאימות המשתמש המתקשר אל מערכת האימות." (פיסקה 10)

"לפי תצורה אחרת, מערכת האימות אינה מאכסנת את הסיסמאות, אלא יוצרת, לפי דרישה, סיסמה אקראית התקפה לזמן מוגבל. --- הסיסמאות  יכולות להיות מאוד פשוטות, למשל מספר תלת ספרתי, ואמורות להיות הרבה יותר בטוחות באופן התפעול והשימוש שלהן מאשר השימוש העכשווי בסיסמאות." (פיסקה 11)

וזו רק דוגמא אחת מיני רבות.

אבל עם כל ההתלהבות אני לא מרגיש הקלה, כי משום מה מוסדות פיננסיים לא ששים ליישם את החידושים שהטכנולוגיה מציעה, והם מעדיפים להיצמד לדפוסי האבטחה הישנים. למשל, היום יש תחליף הרבה יותר בטוח לכרטיס המכיל פס מגנטי, והכוונה ל"כרטיס חכם", Smartcard. זה למעשה כרטיס פלסטיק המכיל מעבד זעיר וזיכרון "מאובטחים", כלומר לא ניתנים לשכפול באמצעים "רגילים", אלא רק באמצעות ציוד מאוד מתוחכם, אם בכלל. כך רמת האבטחה שמספק הכרטיס החכם הינה הרבה יותר גבוהה מאשר רמת האבטחה שמספק כרטיס האוגר את המידע שבתוכו בפס מגנטי. חברות הטלפון עמדו על היתרונות של הכרטיס החכם, וכבר שנים שכרטיסי חיוג בטלפון ציבורי ברחבי העולם מתבססים על כרטיס חכם, ללמדך שמחירו שווה לכל נפש. אבל למרות שהטכנולוגיה מוכרת ונמצאת בשימוש זמן רב, המוסדות הפיננסיים בכל זאת דבקים בצורה המסורתית של כרטיס הפס המגנטי. אז אם טכנולוגיה אלמנטארית כמו כרטיס חכם לא מיושמת על ידי המוסדות הפיננסיים בארץ, איזה סיכוי יש לטכנולוגיות אחרות?

 





 
     
     
     
   
 
אודות כותב המאמר:

ראובן ברמן הוא עורך פטנטים.

מאמרים נוספים של ראובן ברמן ניתן למצוא באתר של אדיסון עורכי פטנטים www.epal.co.il, טל. 074-7042000

 
     
   
 

מאמרים נוספים מאת ראובן ברמן

מאת: ראובן ברמןפטנטים28/08/152464 צפיות
אם זו ההיכרות הראשונה שלך עם תחום הפטנטים, אלה עשר הנקודות שכדאי לדעת.

מאת: ראובן ברמןפטנטים16/07/151803 צפיות
המאמר מתאר את הפרקים של בקשת פטנט, כפי שהתגבש בעולם במשך השנים

מאת: ראובן ברמןקנין רוחני14/07/152232 צפיות
עורך הפטנטים ראובן ברמן מחברת אדיסון עורכי פטנטים www.epal.co.il מסביר בצורה פשוטה מהו פטנט, התנאים לרישום פטנט, תהליך הרישום, ועוד.

מאמרים נוספים בנושא פטנטים

מאת: Daniel.Bפטנטים26/03/171562 צפיות
רישום פטנטים מבוצע אצל רשם פטנטים של מדינה מסוימת. ניתן לרשום המצאה חדשנית כפטנט אבל קבלת פטנט על אפליקציה מסובכת יותר מקבלת אישורים על המצאות אחרות. בארה"ב מקובל יותר לאשר פטנטים על אפליקציות, אך לא כן באירופה. רישום פטנט בישראל הוא בדומה לנהוג באירופה אם כי בשנים האחרונות מאושרים באופן יחסי יותר פטנטים על אפליקציות.

מאת: Daniel.Bפטנטים26/03/171757 צפיות
פטנט הוא זכות שניתנת לממציא לבלעדיות על המצאתו. זוהי זכות מוגבלת בזמן שמתקבלת לאחר הגשת בקשה לרישום הפטנט ושמוגבלת גם למדינה שבה הוגשה הבקשה, אם כי ישנן אמנות בין-לאומיות המקלות על רישום הפטנט גם במדינות החברות באמנה.

מאת: רוני הכהןפטנטים01/08/161904 צפיות
איך עוברים על פני הדברים ההכרחיים על מנת שזה יהיה עורך מקצועי לפי כל אמות המידה הסטנדרטיות במדינת ישראל?

מאת: ראובן ברמןפטנטים28/08/152464 צפיות
אם זו ההיכרות הראשונה שלך עם תחום הפטנטים, אלה עשר הנקודות שכדאי לדעת.

מאת: ראובן ברמןפטנטים16/07/151803 צפיות
המאמר מתאר את הפרקים של בקשת פטנט, כפי שהתגבש בעולם במשך השנים

מאת: רוני הכהןפטנטים19/11/142264 צפיות
פטנט חדש לבית הוא הזדמנות לשפר את איכות החיים, אם יש לכם רעיון טוב זה הזמן לקדם את התהליך, פיתוח פטנטים הוא תחום בו כל אחד יכול להצליח בעזרת ליווי מקצועי תומך.

מאת: בני דואניפטנטים30/09/143010 צפיות
לאורך שנים מדברים על המוח היהודי כאל אחד הדברים הבולטים ביותר בעולם. הממציאים הכי גדולים, הפרופסורים החכמים ביותר ובכלל, רבים מאנשי העסקים המצליחים בעולם, כולם יהודים וכולם מתגאים בהיותם צאצאים של אברהם אבינו.

 
 
 

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש  ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported

christian louboutin replica