סוף עידן הסיסמאות החד פעמיות לשם אימות זהות המבצע בעסקאות אונליין? רוב חברות הסלולר בישראל בדרך לעבור לסוג אחר של אימות זהות למי שמשלים עסקה או נכנס לאתר עם מידע מאובטח באינטרנט. הן עושות זאת אחרי גל של הונאות גניבת קווי סלולר ופרטי אשראי, שמקורן ב"חטיפת" הקוד החד פעמי הנשלח לצרכנים בעסקאות שנערכות במובייל או בדסקטופ.
כרגע אמצעי הבטיחות הנפוץ: שליחת קוד חד פעמי לטלפון של הצרכן עבור זיהוי מבצע העסקה אונליין (OTP - one time password) - נחשב לפרוץ. במסגרת ההונאות שגרמו לאובדן הביטחון באמצעי האימות הזה, נוכלים הפילו צרכנים בפח וגרמו להם למסור בתמימותם לנוכלים את קוד האימות שנשלח בסמס או בהודעת פוש לטלפון שלהם, דרך לינקים לאתרי פייק או בשיחות טלפון. הנוכלים מיירטים הודעות ועוקבים אחר מיקום צרכנים (מתקפות SS7) ומניידים קווי טלפון (SIM swap) - כדי לפרוץ לטלפון ולהשתלט על זהויות וכרטיסי אשראי.
3 צפייה בגלריה
שליחת קוד חד פעמי לטלפון של הצרכן עבור זיהוי מבצע העסקה אונליין - נחשב לפרוץ
(צילום: shutterstock)
היחידה שלא הצטרפה: סלקום
פלאפון ופרטנר הן הראשונות להשיק את השירות החלופי לקוד החד פעמי, שירות שנקרא "אימות מהיר", אותו פיתחה חברת Unibeam (יוניבים) הישראלית. ל-applet של UNIBEAM קוראים SIA (SIM Identity Authentication) והוא פתרון שמאפשר אימות לקוח דטרמיניסטי, ברמת הרשת הסלולרית, באמצעות מנגנוני ההצפנה המובנים בכרטיס הסים (SIM) או האיסים (eSIM) ובמכשיר הסלולרי עצמו.
הליך האימות הזה מאפשר זיהוי ודאי של לקוחות וכניסה מאובטחת לאתרים ולשירותי תשלום ללא קודים חד פעמיים וללא סיסמאות ומגן מפני הונאות גניבת זהות. עד שהנוכלים ימצאו דרך לעקוף גם את זה כמובן.
3 צפייה בגלריה
בקשה מאובטחת נשלחת לסים/איסים ומייצרת הודעת פופ אפ בטלפון של המשתמש/ת
(צילום: shutterstock)
פלאפון הודיעה ראשונה על ההצטרפות לשירות, והפתרון של Unibeam כבר מותקן וזמין ל-100% מלקוחות החברה. פרטנר תטמיע בשבוע הקרוב את הפלטפורמה וגם חברות הסלולר HOT מובייל ורמי לוי תקשורת בדרך להצטרף לשירות. לקוחות סלקום יישארו בינתיים עם האימות בסמס, משום שהחברה כרגע לא מצטרפת לשירות.
אם כך, רוב חברות הסלולר כנראה יצטרפו לאירוע, אבל זה לא מספיק, כי הן רק ספקיות התשתית. צריך שגם נותני השירותים עצמם יתחברו ויטמיעו את השירות ויחלו להשתמש בו: חברות אשראי, בנקים, מערכת ההזדהות הלאומית, ביטוח לאומי, חברות ביטוח, אתרי מכירות אונליין וקופות חולים, בין היתר. כל אלה עדיין עושים שימוש אינטנסיבי במשלוח קוד חד פעמי. חלקם כבר מתכווננים להצטרף לשירות, חלקם יטמיעו אותו בנוסף למנגנונים קיימים, אחרים מתלבטים לגבי נחיצותו.
איך זה עובד?
הפתרון של Unibeam הוא Multi-Factor Authentication – אימות זהות רב גורמי ורב שכבתי. היא כבר מיישמת אותו בעולם, למשל ב-AT&T יש לה כבר 120 מיליון משתמשים, היא עובדת גם עם ורייזון ו-T מובייל ויש לה משרדים גם בלונדון, וושינגטון וסאו פאולו.
האימות המהיר נעשה באמצעות הצלבה של שלושה מזהים חד-חד-ערכיים של הלקוח. אחד מהם זה מזהה הסים שלו, המספר הסיריאלי שיושב על כרטיס הסים. השני זה מזהה מכשיר הסלולר ("הברזל") והשלישי זה המספר הסלולרי. Unibeam עושה הצמדה של שלושת המזהים האלה. ברגע שאחד מהם משתנה (החלפת סים, מכשיר, מספר) – החברה מזהה שיש פה חוסר התאמה ומרימה דגל. כיוון שאלה זיהויים ודאיים, לא הסתברותיים, הזיהוי נחשב לדטרמיניסטי.
זה עובד כך: כשאחד היוזרים (משתמש) מנסה להתחבר לשירות או להשלים העברת כספים, האפליקציה או האתר שולחים בקשה לשרת החברה. השרת מחלץ את מזהה המכשיר ויוצר קשר עם שרת Unibeam או Telco עבור אימות הזהות.
בקשה מאובטחת נשלחת לסים/איסים ומייצרת הודעת פופ אפ בטלפון של המשתמש/ת (כשחלק מהגורמים בשוק טוענים שהודעת הפופ אפ של Unibeam היא לא שגרתית, לא מוכרת לצרכנים בתצורה שלה ומזכירה את הודעת פיקוד העורף במתקפה הראשונה של איראן).
ברגע שהמשתמש מאשר או דוחה את ההודעה – נשלחת תגובה בחזרה לשרת החברה, שמאמת את פרטי הסים ואת פרטי המכשיר הסלולרי כדי להשלים את אימות הזהות. פרטי הסים ומכשיר הטלפון מאומתים. וכך אימות הזיהוי מושלם.
בכל פעם שהיוזר מנסה להתחבר או להשלים העברת כסף, השרת של החברה בודק ומצליב את הפרטים האלה. אם הכל תואם, בקשת היוזר מאומתת. אם אחד הפרטים לא תואם או שהיוזר דוחה את הודעת הפופ אפ, אימות הזיהוי נכשל וההתחברות או העברת הכסף תידחה.
חברות האשראי ימשיכו להשתמש במנגנוני אבטחה נוספים כמו זיהוי ביומטרי
האם גם פה, נוכלים ימצאו דרך לעקוף את אמצעי האבטחה? סמנכ"לית השיווק של Unibeam דנה פולג אמרה ל-ynet: "עד היום אנחנו לא מכירים פריצות לסים, כי זה לא כמו משהו שיושב בענן שאפשר לגנוב, זה לא בסיס נתונים. זה ממש יושב על 'הברזלים' וזאת הצפנה קריפטוגרפית. אז אני לא אגיד לך שזה במאה אחוז בלתי ניתן לפריצה, אבל זה מאוד מאוד קשה לפריצה".
לחברות האשראי יש פרוטוקול נוסף שמספק שכבת אימות נוספת לזיהוי הלקוח בעסקאות מסחר דיגיטלי, בשם 3DS או 3D Secure והיא נחשבת לאימות מוגבר. הפרוטוקול הזה פועל ככה: הלקוח מכניס פרטי אשראי לאתר. בית העסק שמפעיל את האתר, שולח הודעה למנפיקת כרטיס האשראי של הלקוח עם נתוני הלקוח כדי שזו תוודא שהבעלים החוקי של החשבון יזם את העסקה.
בעבר, בשלב זה, מנפיק האשראי שלח Pin חד פעמי באופן שדמה ל-OTP ולא היה מספיק מאובטח. כיום, לפי בנק ישראל, גרסה 2.2 ומעלה של הפרוטוקול "מציעה מגוון פרמטרים ושיטות של אימות מוגבר, כגון: מיקום המשתמש בעת ביצוע העסקה, אופי העסקאות הקודמות שביצע, גובה התשלום בעסקאות קודמות, סוג המטבע שבו נעשה שימוש, מידע ספציפי אודות המכשיר שממנו בוצעה העסקה, מידע אודות הדפדפן לרבות כתובת ה-IP ועוד.
"לאור שקלול הנתונים מעריך הפרוטוקול את הסיכון בעסקה ובהתאם לכך יכול לבקש ממבצע התשלום פרטים ותהליכי אימות נוספים כמו OTP על מנת לאמת את זהותו. בתהליך אימות המבוסס 3-D Secure מסר האימות יהיה דינאמי כך שסכום העסקה ובית העסק יוצגו למשלם.
"תהליכים אלו בפרוטוקול יכולים למעשה לזהות את המשלם ולאמת את זהותו, ברקע, מבלי שהמשלם ידע שהאימות מתבצע (לדוגמה: זיהוי המכשיר הספציפי שממנו מתבצע התשלום ושהמשלם הוא זה שביצע את הכניסה לאותו מכשיר באמצעות קוד או זיהוי ביומטרי אחר)".
בנוסף, חברות אשראי כמו MAX למשל, משתמשות באפליקציה שלהן גם בזיהוי ביומטרי: לקוחות יכולים להזדהות בסריקת פנים או טביעת אצבע.
לפי פולג, 3DS ומנגנונים ביומטריים באים בנוסף למה ש-Unibeam מציעה. "לחברות אשראי זה יחסוך את ה-3DS שעולה להן הרבה כסף, במיוחד כשהן מפעילות את זה על עסקאות בסכומים נמוכים. אנחנו יכולים לתת להן פתרון בסכומים הנמוכים ואת ה-3DS הן יפעילו על עסקאות שמעל 1,000 או 10,000 שקל".
כל האתרים צריכים הגנה מוגברת כזאת?
"רשתות סופרמרקט אמרו לנו שהם פחות צריכות את זה, כי אין אצלן הונאות כאלה. יש אתרים שהם יותר מוטי הונאות. זה מתאים גם לאתרים שהיום שולחים הודעת סמס ורוצים חוויית לקוח חלקה יותר, בלי שהלקוח יקליד קוד וגם בלי שתקבלי הודעת פופ אפ. הכל יקרה מאחורי הקלעים והלקוח לא שותף לזה".
מה באמת אתם שואלים בהודעת הפופ אפ שכלולה בתהליך?
"האם את מי שאת. בנקים בארה"ב למשל, בוחרים להכניס פנימה איזושהי שאלה על נתון מידע אישי. כמו מאיזה החשבונות הבאים הפעילים אצלנו יש לך ליסינג לאאודי. זה באמת תלוי בתעשייה. הקמעונאים הולכים על משהו פשוט כי הם לא רוצים לשבש את הקנייה. קופות חולים מעדיפות כן להקפיץ פופ אפ כי אחרת אנשים ירגישו שזה לא בטוח".
