$
סייבר ואבטחת מידע

מעבדת קספרסקי: האיומים הביומטריים כבר כאן

מעבדת קספרסקי מפרסמת דוח הסוקר את איומי הסייבר הבאים על מכשירי כספומט

שירות כלכליסט 14:5829.09.16
עוד לפני שהחלו הבנקים וארגונים פיננסים רבים אחרים ליישם פתרונות שונים מבוססי ביומטריה כתוספת לשיטות האימות הקיימות שלהם, ואפילו כחלופה מלאה עבורן, מתברר כי – כרגיל - פושעי הסייבר נמצאים כבר צעד אחד לפחות לפני המערכת הפיננסית. כך עולה מחקירה שביצעו מומחי מעבדת קספרסקי באשר ליכולת של עברייני סייבר לניצול טכנולוגיות אימות שמתכננים הבנקים להפעיל במכשירי כספומט.

 

במשך שנים היו מכשירי כספומט על הכוונת של פושעי הסייבר שניסו להשיג נתונים של כרטיסי אשראי. הכל החל עם ה"סקימרים" (Skimmers) הפרה-היסטוריים – מכשירים בעבודת יד שחוברו לכספומט, והיו מסוגלים לגנוב נתונים מהפס המגנטי ואת קוד הכרטיס, בסיוע לוח מקשים מזויף או מצלמת רשת.

 

עם אימוץ כרטיסי האשראי משובצי השבב והקוד, שכמעט בלתי אפשרי לשכפל, התפתחו המכשירים למה שמכונה "שימרים" (Shimmers): הם נראים באופן כללי אותו דבר, אך מסוגלים לאסוף מידע משבב המכשיר, ולספק מספיק נתונים כדי לערוך מתקפת המשך ברשת. תעשיית הבנקים הגיבה עם פתרונות אימות חדשים, שחלקם מבוססים על ביומטריה.

 

על פי חקירה שערכה מעבדת קספרסקי בתוככי עולם עבריינות הסייבר, קיימים כבר לפחות שנים עשר מוכרים ברשת האפלה המציעים יכולות סקימרים לגניבת טביעות אצבע. לפחות שלושה מהמוכרים כבר מפתחים מכשירים שיכולים להשיג נתונים באופן בלתי חוקי ממערכות זיהוי ורידים בכף היד וזיהוי קשתית.

הגל הראשון של סקימרים ביומטריים זוהה במסגרת "בדיקות קדם מכירה" בספטמבר 2015. עדויות שנאספו על ידי חוקרי מעבדת קספרסקי הראו כי במהלך הבחינה הראשונית, המפתחים גילו מספר בעיות. עם זאת, הבעיה המרכזית הייתה שימוש במודול GSM להעברת נתוני הביומטריה – שהיה איטי מידי כדי להעביר את כמות הנתונים הגדולה שנאספה. כתוצאה מכך, גרסאות חדשות של סקימרים יעשו שימוש בטכנולוגיות מהירות יותר להעברת נתונים.

 

ישנם גם עדויות לדיון מתמשך בקהילות מחתרתיות לגבי פיתוח אפליקציות ניידות המתבססות על שימוש במסכות פנים מזויפות. עם אפליקציה שכזו, תוקפים יוכלו להשתמש בתמונה של אדם אותה הורידו מהרשת החברתית ולעשות בה שימוש כדי להונות מערכות לזיהוי פנים.

 

"הבעיה עם ביומטריה היא, שבשונה מסיסמאות או קוד זיהוי, אותם ניתן לשנות במקרה ונחשפו, לא ניתן לשנות את תביעת האצבע שלך או את הקשתית. לכן, אם הנתונים שלך נחשפו פעם אחת, לא יהיה בטוח יותר עבורך להשתמש באותה שיטת אימות פעם נוספת. זו הסיבה שחשוב ביותר לשמור נתונים שכאלה מאובטחים ולשדר אותם בדרך מאובטחת. נתונים ביומטריים מתועדים גם בדרכונים ביומטריים ובויזות. כך שאם עבריין גונב דרכון ביומטרי, הוא מחזיק ברשותו לא רק את המסמך, אלא גם הנתונים הביומטריים של אדם. הוא למעשה גונב את הזהות שלו", אמרה אולגה קוחטובה, מומחית אבטחה במעבדת קספרסקי.

 

כלים המסכנים נתונים ביומטריים הם לא איום הסייבר היחיד על מכשירי כספומט. האקרים ימשיכו לערוך התקפות מבוססות קוד זדוני, התקפות blackbox והתקפות מהרשת, כדי ללכוד נתונים שלאחר מכן ישמשו כדי לגנוב כסף מהבנק עצמו ומלקוחותיו.

 

לדוח הסוקר את איומי הסייבר הבאים על מכשירי כספומט, ואמצעים אשר ניתן להטמיע כדי להגן על בנקים מאיומים אלה, ראו - Securelist.com.

 

וידיאו - https://youtu.be/nRbqBLBlLLs?list=PLPmbqO785Hlv10fOKEkcmBwAsq-ytasFD

בטל שלח
    לכל התגובות
    x