אאא

ביום בהיר אחד התברר כי כרטיס האשראי שלך נחסם ללא התראה מראש. לאחר בירור מול חברת האשראי, עולה כי הם קיבלו מידע שלילי לגבי חיובים בכרטיס הקושרים אותו להונאת בנקים וחברות אשראי, ומכיוון שכך, נחסם כרטיס האשראי שלך באופן אוטומטי. נאמר שעליך ליצור קשר עם חברת האשראי ולפעול על מנת שהמידע השלילי שיש עליך יוסר עד שתוכח זהותך האמיתית.

ארנק סלולרי הוא מונח לשירות תשלומים באמצעות מכשיר סלולרי, במקום לשלם במזומן, צ'קים או בכרטיס אשראי. לקוח יוכל להשתמש במכשיר המובייל שלו לתשלום עבור שירותים דיגיטליים ומוצרים.

הארנק הוא קונספט לאי שימוש בכסף מזומן שהומצא כבר ב-2007, אך רק לאחרונה, כתוצאה ממהפכת הטלפונים החכמים, הטכנולוגיה החלה להיות בשימוש נרחב.

תשלום סלולרי

התשלום מבוצע ע"י הקלדה ראשונית של נתוני האשראי לתוך אפליקצית הארנק בסלולר, האפליקציה שומרת את הנתונים על המכשיר באמצעות אלגוריתמי הצפנה חזקים (כגון: AES 256, 3DES). בעת הקנייה נתוני האשראי עוברים פיענוח ונשלחים למוכר באמצעות רכיב NFC) Near Filled Communication), כלומר הצמדת המכשיר לקורא חכם בקופה, או באמצעות שירות צד שלישי שאליו נשלחים הנתונים הרגישים באינטרנט בתווך מוצפן ומאומת (כגון: SSL) המחזיר אישור על הקנייה למוכר.

 (צילום: shutterstock)
תשלום באמצעות רכיב ה-nfc (צילום: shutterstock)

לקופות ישנות יותר תבוצע סריקה של ברקוד חד ערכי וחד פעמי לעסקה, שיופיע על מסך המכשיר וישמש לחיוב כרטיס האשראי.

עם שוק ששוויו 617 מליארד דולר ועם צפי של 448 מיליון לקוחות עד 2016 (לפי מכון המחקר גרטנר). חברות פרטיות, חברות סלולר, יצרניות סלולר, בנקים וכד' כבר החלו בפיתוח של ארנקים סלולריים. למשל Google אשר פיתחה ארנק סלולרי לתשלום באתרי אינטרנט ובקופות באמצעות רכיב ה NFC, אפל שפיתחה ארנק סלולרי לשימוש בחנות, וסלאריקס הישראלית שפיתחה אף כן ארנק סלולרי המאפשר לשלם בקלות חשבונות ולהעביר כסף לכל מי שבידו טלפון סלולרי.

כמו כן בנק הפועלים ובנק לאומי גם כן פיתחו ארנק סלולרי ללקוחות החברה מול מועדון הלקוחות שלהם. מהצד השני חברת VeriFone המייצרת קופות פיתחה קופה שניתן לשלם בה באמצעות רכיב ה NFC.

היכן האבטחה

שוק כה גדול וחסר כל פיקוח ורגולציה הינו בחזקת "פירצת אבטחה הקוראת להאקר", בנוסף על מגוון האיומים הקיימים כבר היום בסמארטפון הופכים את הארנק הסלולרי למטרה קלה ומשתלמת במיוחד. ועל כן תצורת האבטחה המומלצת הינה הגנה בשכבות: אפליקציית הארנק, הזדהות ואימות הנתונים וסביבת הארנק בסמארטפון.

• עשו לייק לעמוד הפייסבוק של 'דיגיטל' ותישארו מעודכנים

 (צילום: shutterstock)
פרצת אבטחה קוראת להאקר (צילום: shutterstock)
הגדלה

פיתוח מאובטח: אי שימוש במתודולוגית פיתוח מאובטח לאפליקציות ארנק סלולרי (דוגמת OWASP, NIST), עלול לגרום לפרצות בתוך הארנק ולדליפת מידע.

הזדהות ואימות הנתונים: אי שימוש בהזדהות חזקה כשם משתמש וסיסמא (שבעה תווים לפחות, מספרים ואותיות) לארנק, עלול לגרום לגניבה ולשימוש בזהות בעל הארנק. אך גם זיהוי המוכר אינה פחות חשובה שכן אין להעביר את פרטי האשראי לגורם שאינו מאושר ומוסמך (הסמכת תקן PCI לאבטחת כרטיסי אשראי).

תוכנות זדוניות: מניעת התקנה של תוכנות זדוניות ולא מוכרות. סוסים טרויאנים, כגון תוכנת ה "Eurograbber" אשר התגלתה רק בתחילת השנה והצליחה לגנוב 42 מיליון דולר מלקוחות בנקים בכך שצפתה בנתוני הזדהות רגישים של לקוחות שהגיעו להם בהודעות SMS מהבנק. תוכנות KeyLogger (כגון: ikeymonitor) המסוגלות להאזין לכל
הקלדה במכשיר ולשלוח את הנתונים להאקר שמאזין בצד השני. או אפליקציות המתחזות לארנקים חכמים שנועדו לקלוט את נתוני האשראי ולמעשה רק מעבירות את הנתונים למפתחים שלהם.

האחריות על אבטחת המידע הינה של החברות המפתחות את הארנק הסלולרי, וכן על חברות האשראי, אך גם ובעיקר שלנו הקונים ובעלי הארנקים. חברות אבטחת המידע כבר החלו לפתח אפליקציות במגוון התחומים שהוזכרו, ולתת מענה למתקפות ידועות על ארנקים סלולרים, החל מאנטי וירוס לסמארטפון, ועד לחבילת אבטחה סלולרית הכוללת חומת אש, חסימת מידע רגיש או מחיקה מרחוק במקרה של גניבת המכשיר - כלים המגנים עליך ועל המידע שלך בסמארטפון.

ליאור מזור הוא יועץ אבטחת מידע בתחום אבטחת כרטיסי אשראי