מאות נסיונות זיוף: נחשפה הסיבה להשבתת ההזדהות עם כרטיס אשראי באתר רשות המסים
פרצת אבטחה חמורה: שר האוצר סמוטריץ' חשף כי מאות ניסיונות התחזות דרך מנגנון הזדהות רגיש ברשות המסים בחודשים האחרונים הובילו להשבתה יזומה של השירות מול חברות האשראי. בעוד ההזדהות בעזרת כרטיסי כאל ו-MAX חזרה לפעול, עם ישראכרט טרם הושגו הסכמות מול רשות המסים
שירות ההזדהות באמצעות כרטיס אשראי באתר רשות המסים, שמאפשר בין היתר פתיחת אזור אישי והגשת בקשות להחזרי מס, הושבת במשך כמה שבועות בחודשים פברואר ומאי. רשות המסים הגדירה זאת אז כ"תקלה". כעת מתברר שמדובר בהשבתה יזומה בעקבות פרצת אבטחה חמורה שהתגלתה במערכת - כך חשף אתמול (ד') שר האוצר בצלאל סמוטריץ' במענה לשאילתה שהגיש ח"כ יצחק פינדרוס (יהדות התורה).
לדברי סמוטריץ', ההשבתה בוצעה בעקבות ניסיונות התחזות נרחבים דרך מנגנון ההזדהות באשראי, שאותרו במערכות חברות האשראי. ההערכות בענף הן שמדובר בלפחות מאות מקרים. "זאת לא תקלה. הורדנו את האפשרות בכוונה בגלל פרצת אבטחה. אני אברור את מילותיי - אני לא רוצה, מה שאני לא יכול לפרט, בסדר?" אמר סמוטריץ', ובהמשך דבריו חזר ואמר: "אני לא אכנס לפרטים אבל זיהינו ניסיונות התחזות בזמן מסוים ובהיקף גדול, וזה חשף איזושהי פרצת אבטחה בחלק מהחברות. היינו חייבים להפסיק את השירות באופן מיידי", אמר סמוטריץ'.
לצד האפשרות להזדהות בכרטיס אשראי, קיימות באתר רשות המסים גם דרכי זיהוי אחרות, כמו באמצעות טופס 106 או נתוני דיווח למס הכנסה. מי שאין ברשותו את הפרטים הללו נדרש כיום להגיע פיזית ללשכת מס הכנסה או לבצע תהליך דרך הדואר.
עד כה, רשות המסים התייחסה למצב כתקלה. בתחילת מאי נמסר מטעמה כי "עקב תקלה בהליך מול חברות האשראי במסגרת ההזדהות באתר רשות המסים, זמנית לא ניתן לעשות שימוש בפרטי כרטיס אשראי על מנת להפיק קוד משתמש קבוע". כעת, כאמור, מתברר שזו לא תקלה אלא השבתה מכוונת. לטענת הרשות, הכוונה הייתה ל-"תקלה תהליכית", כלומר בעיה בתהליך האימות שאיפשרה את ניסיונות ההונאה.
לפי סמוטריץ', מדובר לא רק בחשש להונאות רגילות אלא גם בסיכון ביטחוני: "זה יכול להיות נוכלים כלכליים, וזה יכול להיות גם כל מיני אויבים שיש לנו שיש להם יכולות סייבר גדולות מאוד. ועכשיו התחלנו שיח עם חברות האשראי כדי לסגור את הפרצה. היא לא פרצה אצלנו, היא פרצה בכל מיני הצלבות ודברים שרצים – שוב, אני לא רוצה באופן טבעי לתת פרטים". עם זאת, ברשות המסים וגם בענף טוענים כי החשדות הן בעיקר בהונאות על רקע פלילי ולא במתקפות סייבר. מנגד, ברשות המסים וגם גורמים בענף טוענים שהרקע הוא פלילי, וברשות המסים הגישו תלונה במשטרה כנגד ניסיונות ההונאה.
ככלל, גם גופים ממשלתיים אחרים, כגון ביטוח לאומי, מאפשרים הזדהות דרך כרטיס אשראי, ולא ברור מדוע דווקא ברשות המסים התגלתה פירצת אבטחה. המנגנון הקיים כולל תהליך שמדמה עסקת אשראי זעירה: רשות המסים פתחה מספר סוחר (בית עסק) ומשתמשת במסופים כדי לשדר בקשות לאישור עסקה נדחית של שקל אחד דרך כרטיסי האשראי של המשתמשים. הבקשה הזו נשלחה לחברות האשראי, שאישרו את העסקה בהתאם למנגנון אישור העסקאות הכללי שלהן (הבוחן את מסגרת האשראי וחשד להונאה). כלומר, אישור עסקה מצד חברת כרטיסי אשראי כמוהו כאישור לזהות בעל הכרטיס.
במהלך דבריו חשף סמוטריץ' כי האפשרות להזדהות חזרה לפעול דרך כרטיסי כאל ו-MAX, לאחר שהחברות הגיעו להסכמות מול רשות המסים. לקוחות ישראכרט לעומת זאת עדיין לא יכולים להשתמש בשירות, והשר ביקר את התנהלות החברה: "ישראכרט כאילו אומרת: די, מספיק. אני חושב שהיא טועה — גם משפטית וגם מוסרית. לקוחות כאל ו־MAX יודעים שחברות האשראי שלהן רוצות בטובתן ומוכנות להשקיע גם כשזה לא ממש פעולה מולם אלא מול מס הכנסה". לדבריו, מתקיים כעת שיח מול ישראכרט במטרה להגיע להסכמות.
עם זאת, ככל הידוע כאל ו-Max לא ביצעו שינויים כלשהם באופן פעולתם, ולכן לא ברורה הסיבה לפער בין החברות. ברשות המסים לא מתייחסים לכך.
מישראכרט נמסר כי: ״השירות הופסק ע״י רשות המסים. ישראכרט ערוכה לחדשו בכל עת בכפוף להחלטתם".
מרשות המסים נמסר: "מיד לאחר שנחשפו על ידי רשות המסים ניסיונות זיוף זהות בתהליך ההזדהות נקטה הרשות בסדרת פעולות מניעה ובהן בין היתר הורדה זמנית של האפשרות להזדהות באמצעות כרטיס אשראי. במקביל הוגשה תלונה למשטרת ישראל שחוקרת את העניין. לאחר הסדרה שנעשתה על ידי גורמי המקצוע מול חברות האשראי, האפשרות להזדהות תוך שימוש בכרטיס אשראי חזרה, למעט בשלב זה כרטיסי האשראי של חברת ישראכרט שם עדיין טרם הוסדר העניין".
