גנבו לך את הארנק הסלולרי

מאת: ליאור מזור, יועץ אבטחת מידע בקבוצת קומסק

ביום בהיר אחד התברר כי כרטיס האשראי שלך נחסם ללא התראה מראש. לאחר בירור מול חברת האשראי, עולה כי הם קיבלו מידע שלילי לגבי חיובים בכרטיס הקושרים אותו להונאת בנקים וחברות אשראי, ומכיוון שכך, נחסם כרטיס האשראי שלך באופן אוטומטי. נאמר לך שעליך ליצור קשר עם חברת האשראי ולפעול על מנת שהמידע השלילי שיש עליך יוסר, עד שתוכח זהותך האמיתית.

ארנק סלולרי הוא מונח לשירות תשלומים באמצעות מכשיר סלולרי, במקום לשלם במזומן, צ'קים או בכרטיס אשראי, לקוח יוכל להשתמש במכשיר המובייל שלו לתשלום עבור שירותים דיגיטליים ומוצרים. הארנק הוא קונספט לאי-שימוש בכסף מזומן שהומצא כבר ב-2007, אך רק לאחרונה כתוצאה ממהפכת הטלפונים החכמים, הטכנולוגיה החלה להיות בשימוש נרחב.

תשלום סלולרי
התשלום מבוצע על ידי הקלדה ראשונית של נתוני האשראי לתוך אפליקציית הארנק בסלולר, האפליקציה שומרת את הנתונים על המכשיר באמצעות אלגוריתמי הצפנה חזקים (כגון:AES 256, 3DES).  בעת הקנייה נתוני האשראי עוברים פענוח ונשלחים למוכר באמצעות רכיב NFC (ר"ת Near field Communication), כלומר הצמדת המכשיר לקורא חכם בקופה, או באמצעות שירות צד שלישי שאליו נשלחים הנתונים הרגישים באינטרנט בתווך מוצפן ומאומת (כדוגמת SSL), המחזיר אישור על הקנייה למוכר. לקופות ישנות יותר תבוצע סריקה של ברקוד חד-ערכי וחד-פעמי לעסקה, שיופיע על מסך המכשיר וישמש לחיוב כרטיס האשראי.

עם שוק ששוויו 617 מיליארד דולר ועם צפי של 448 מיליון לקוחות עד 2016 (לפי גרטנר), חברות פרטיות, חברות סלולר, יצרניות סלולר, בנקים וכד', כבר החלו בפיתוח של ארנקים סלולריים. כמו לדוגמה גוגל (Google), אשר פיתחה את ה-Google Wallet, ארנק סלולרי לתשלום באתרי אינטרנט ובקופות באמצעות רכיב ה-NFC. אפל (Apple) פיתחה ארנק סלולרי לשימוש בחנות אפל (Passbook), סלאריקס הישראלית פיתחה אף היא ארנק סלולרי המאפשר לשלם בקלות חשבונות ולהעביר כסף לכל מי שבידו טלפון סלולרי. בנוסף גם בנק הפועלים ובנק לאומי פיתחו  ארנק סלולרי ללקוחות הבנק מול מועדון הלקוחות שלהם, ולאחרונה נוסף לרשימה גם הארנק האלקטרוני של פלאפון ולאומי קארד. מהצד השני, חברת VeriFone המייצרת קופות, פיתחה קופה שניתן לשלם בה באמצעות רכיב ה-NFC.

היכן האבטחה?
שוק כה גדול וחסר כל פיקוח ורגולציה הינו בחזקת "פירצת אבטחה הקוראת להאקר". בנוסף על מגוון האיומים הקיימים כבר היום בסמארטפון, הארנק הסלולרי הופך למטרה קלה ומשתלמת במיוחד. ועל כן, תצורת האבטחה המומלצת הינה הגנה בשכבות: אפליקציית הארנק, הזדהות ואימות הנתונים וסביבת הארנק בסמארטפון.

פיתוח מאובטח: אי-שימוש במתודולוגיית פיתוח מאובטח לאפליקציות ארנק סלולרי (כגון: OWASP, NIST) עלולה לגרום לפרצות בתוך הארנק ולגרום לדליפת מידע.

הזדהות ואימות הנתונים: אי שימוש בהזדהות חזקה כשם משתמש וסיסמה לארנק (שבעה תווים לפחות, מספרים ואותיות), עלולה לגרום לגניבה ולשימוש בזהות בעל הארנק. אך גם זיהוי המוכר אינה פחות חשובה, שכן, אין להעביר את פרטי האשראי לגורם שאינו מאושר ומוסמך (הסמכת תקן PCI לאבטחת כרטיסי אשראי).

תוכנות זדוניות: מניעת התקנה של תוכנות זדוניות ולא מוכרות. סוסים טרויאנים, כגון תוכנת ה "Eurograbber" אשר התגלתה רק בדצמבר 2012, ממש על סף תחילתה של השנה הנוכחית, הצליחה לגנוב 47 מיליון דולר מלקוחות בנקים בכך שצפתה בנתוני הזדהות רגישים של לקוחות שהגיעו  בהודעות SMS מהבנק. תוכנות KeyLogger (כגון: ikeymonitor) המסוגלות להאזין לכל הקלדה במכשיר ולשלוח את הנתונים להאקר שמאזין בצד השני. אפליקציות המתחזות לארנקים חכמים שנועדו לקלוט את נתוני האשראי ולמעשה רק מעבירות את הנתונים למפתחים שלהם.

שורה תחתונה: האחריות על אבטחת המידע הינה של החברות המפתחות את הארנק הסלולרי, וכן על חברות האשראי, אך גם ובעיקר שלנו, הקונים ובעלי הארנקים. חברות אבטחת המידע כבר החלו לפתח אפליקציות במגוון התחומים שהוזכרו ולתת מענה למתקפות ידועות על ארנקים סלולרים, החל מאנטי וירוס לסמארטפון ועד לחבילת אבטחה סלולרית הכוללת חומת אש, חסימת מידע רגיש או מחיקה מרחוק במקרה של גניבת המכשיר. כלים המגנים עליך ועל המידע שלך בסמארטפון.