סייבר והעולם האמיתי: איך תשלום עם הסלולרי הופך אותך לקורבן גניבה?

ברוכים הבאים ל"סייבר והעולם האמיתי" - הצצה בלעדית אל מאחורי הקלעים של איומים ומתקפות. כאן תלמדו פעם אחר פעם איך עובדים ההאקרים ושולחיהם, ואיך מומחי האבטחה מסכלים את הפריצות ולומדים מהן כדי לשבור את המתקפות הבאות

כולם יודעים שיש האקרים ושזה מסוכן ובלאגן - אבל איפה זה פוגש אותך, איפה זה משפיע עלינו אישית? בואו ניקח דוגמה נפוצה ומטרידה: תשלומים במובייל. אתם יודעים במה מדובר - בכל אייפון ואנדרואיד יש אפליקציה שמחליפה את כרטיסי האשראי, ובחנויות פשוט מצמידים את המכשיר למתקן ומשלמים עם הטלפון. 

הצד שלכם: מורידים ומשלמים

שמתם לב כמה נפוצים נהיו תשלומים במובייל בחמש השנים האחרונות? ובצדק - זה נוח, הארנק עושה דיאטה וכבר לא מנפח לכם את התחת בכיס האחורי. וואלה, כולם מרוצים. 

הפשטות היא היתרון הכי גדול: נכנסים לחנות האפליקציות של אפל או גוגל, מתקינים, ממלאים כמה פרטים ואפשר לשלם. אבל קל לפספס את העובדה שברגע שעשיתם תשלום כזה, האקר יכול לשתות לכם את הכרטיס והכסף והנשמה. כל מה שצריך זו פרצת אבטחה אחת, והאקר עירני. איך זה עובד? 

הצד של התוקף: פורצים וחוגגים

ככה: כשנרשמים לאפליקציה, הרי מזינים את פרטי האשראי שלכם, והם אמנם יושבים בענן - בשרתים הסופר-מאובטחים של אפל וגוגל - אבל ההאקר לא צריך לפרוץ לשם, רק לטלפון שלכם. עליו רק לשתול נוזקה שתדע מתי עולה אפליקציית התשלום, תתעד מה הקלדתם או תציע לכם אפליקציית תשלום נגועה מלכתחילה. 

איך הגיעה הנוזקה לטלפון שלכם? לא חסרות אפשרויות: אולי כשנכנסתם לאתר הסטרימינג החינמי של משחקי ה-NBA, ההוא ששלח לכם החבר מהמילואים. אולי כשנכנסתם לאתר הפורנו ההוא שאתם אוהבים, והקלקתם על פרסומת פופ-אפ. אולי דרך מייל נגוע שהתחפש למייל מהבנק וביקש רק שתעדכנו כמה פרטים באיזה לינק - יש מיליון דרכים. 

אז ההאקר השיג את הפרטים הפיננסיים שלכם, וחסרה לו רק החתימה - אימות של עסקה, כדי שאפשר יהיה לשכפל אותו ולהתחיל לשאוב לכם כסף. גם כאן יש מגוון דרכים: למשל, בחנות מפעילים את פיצ'ר ה-NFC של הטלפון, שהוא שידור רדיו לטווח קצר, דרכו הקופה והאפליקציה לוחצים ידיים; לא קשה לתעד את הפעולה הזאת, ולהעביר לפורץ. 

ואז יכול ההאקר להגיד וואלה, איזה יופי! שאבתי את הכרטיס של חפציבה! אני יכול לעשות הוראת קבע לכל החיים לקרן "אמץ פורץ", סניף דרום לבנון! או אולי אמכור את הכרטיס שלה לפדופיל בסין שרוצה לשלם על זוועות בלי שיעשו לו פלואו דה מאני - ומקסימום, יעצרו את חפצי!

והרבה האקרים חושבים בגדול; למשל, לסחוט רשת סופרמרקטים, ולהגיד שאם לא תשלם להם הון בביטקוין ומטבעות אחרים שקשה לנטר - יחשפו רשימה של אלף חפציבות שקנו שם, ויחשפו אותה לתביעות נרחבות. 

ולא רק: יש הרבה מאוד ישראלים שבכלל לא מכבים את ה-NFC, מה אכפת להם, הסוללה תחזיק

ופושע מקומי יכול לשים משדר למשל, בעמדת כניסה לקניון ולשתול נוזקות לכל מי שעובר. 

הצד של המגן: חוסמים ומשפרים 

אוקיי, זה מה שעושים הרעים בסיפור. איך הטובים עוצרים אותם? רשימת מומחים תיכנס לתמונה אחרי שזוהתה המתקפה הזו, ותתחיל שרשרת עולמית עד לפיצוח, חיסול וחיסון. איך זה נראה? 

חוקר נוזקות ינתח את הפריצה, יהנדס לאחור את הנוזקה שהופעלה ויבין באיזו נקודת תורפה 

השתמש הפולש, והאם הותקנה בטלפון, או בקופה - והאם יש גם רכיב פיזי. המתקפה תנותח גם 

בידי חוקרת מודיעין סייבר, שתקטלג את הנוזקה, תעריך כמה המתקפה נפוצה ומה היא מסכנת.

במקביל, צוותי פיתוח בחברות אבטחה יעדכנו את מוצרי הסייבר שלהן כך שיחסמו את הנוזקה אוטומטית גם אצל החנויות והמסופים, וגם אצל יצרני המובייל והתוכנה. 

עכשיו, כל התעשייה תתחיל להתחסן נגד הסייבר-ג'וק הזה: יבוא ארכיטקט סייבר, ויבנה תהליך לשילוב שדרוג האבטחה בחברות השונות. ואיתו תבוא מתודולוגית סייבר ותדאג שהשדרוג לא יתנגש עם הפעילות השוטפת בחברה; בכל זאת, החלפנו מנעולים ויש סיכוי שמישהו יתקע בלי מפתח. 

סיימנו? כמעט: עכשיו תבוא בוחנת חוסן, פנטסטרית, האקרית על מלא - ותנסה לפרוץ ולוודא שהחיסון

מפני נוזקת האשראי עובד. וזהו; אנשי SOC - מרכז ניהול אירועי הסייבר בכל חברה, ילמדו לתפעל מתקפות כאלה בעתיד, ואף אחד לא יגע בכסף של חפציבה. טוב, עד שיבוא הסייבר-ג'וק הבא. 

מאיפה מגיעים המומחים האלה? 

התהליך שתואר פה יכול לקחת חודש, וגם שנה - כך שלא מפתיע שיש כזה ביקוש פראי לכל בעלי התפקידים שהזכרתי גם בארץ וגם בחו"ל. ואצלנו במכללת See Security, שהיא הכי גדולה וותיקה בישראל,  מלמדים את כל המקצועות;  פאן פאקט: יש עשרות מקצועות אבל רק ארבעה מחייבים ידע מוקדם בתכנות. 

אז בואו לשיעור ניסיון ותראו איזה תפקיד מעניין אתכם, ואיך מגיעים אליו - התעשייה רעבה לעובדים חדשים  וזה המקום הכי נכון להתחיל - ולהפוך לאיש או אשת סייבר בעולם האמיתי.