ביום שכזה, בו דאגת רבים מאזרחי מדינת ישראל נעה בין פחד מאובדן כספים מחשבון הבנק ועד חוסר אמון בסחר מקוון, אנו מאמינים כי חשוב להסביר כיצד גניבות אשראי מתבצעות, ואיך ניתן למנוע אותן.

ראשית, נציין כי פשיעה קיברנטי (Cyber-Crime), כלומר פשיעה אינטרנטית, דומה במאפיינים רבים לפשיעה ה"קלאסית" שאנחנו מכירים. במקום שבו נמצא כסף או משאב מוגבל אחר אשר אנשים רבים רוצים, נמצא את אלו שמנסים "לרמות" ולהשיג אותו בצורות לא לגיטימיות, ולעיתים אף באלימות. קשה לומר האם פשיעה זו מסוכנת יותר או מסוכנת פחות מפשיעה "קלאסית" והתשובה כמובן תלויה בהגדרה של "הסכנה". עם זאת, באמצעות אימוץ התנהגות צרכנית נבונה, והתנהלות תקינה של הגופים האוגרים את המידע האישי שלנו, ניתן לצמצם באופן משמעותי את ממדי התופעה.

כדי להבין את האירוע האחרון בצורה טובה יותר, נצטרך להבין כיצד אתרים אלו פועלים. לאחר שמלאנו את פרטי כרטיס האשראי שלנו ואת פרטינו האישיים באתר אינטרנט כזה או אחר, הנתונים עוברים באמצעות האינטרנט אל בעל האתר אשר מבצע אגירה שלהם ב"מסד נתונים" (Data Base). מסד נתונים הוא מעין טבלה גדולה המסודרת על פי קריטריונים מסוימים ומאפשרת לאתר האינטרנט ולמערכות נוספות, גישה פשוטה ומהירה לנתונים.
ובקצרה, הנתונים שלנו נמצאים תחילה במחשב שלנו, לאחר מכן עוברים באינטרנט ולאחר מכן נשמרים במאגר המידע של האתר.

בכל אחד מהשלבים קיימת סכנה לגניבת המידע. לדוגמה, אם על המחשב שלנו קיימת תוכנה זדונית ("וירוס") המיועדת למצוא פרטי כרטיס אשראי, יתכן והמידע הרגיש יועבר לפושעים, גם אם האתר מולו ביצענו את העסקה יהיה מאובטח לחלוטין. עם זאת, על פי הערכות, מקור האירועים האחרונים של גניבת כרטיסי האשראי הייתה בפריצה למסדי הנתונים של אתרי אינטרנט ישראלים, כלומר, בשלב האחרון בשרשרת.

כיצד מתבצעת פריצה למסדי נתונים

לצורך פריצת מסדי נתונים, פושעים משתמשים בכמה שיטות, אולם אחת השיטות הנפוצות ביותר בסוג זה של אירועים היא מתקפה בשם SQL Injection. במתקפה זו, התוקף מצליח לנצל בעיית אבטחה באתר האינטרנט כדי לתקשר באופן ישיר עם מסד הנתונים. ניתן להמשיל זאת לגנב אשר הצליח לחמוק מאחורי עובדי בית העסק, אל מגירות תיקי הלקוחות ולהעתיק מהם מידע כרצונו.
מתקפות אלו ניתנות למניעה בשתי דרכים עיקריות

1. שיפור אבטחת האתר אשר תמנע מאותם הפושעים לתקשר באופן ישיר עם מאגר המידע הרגיש.
2. אגירת מידע בצורה מאובטחת ומוצפנת. בצורה זו, גם אם פורץ יצליח לחדור למסד הנתונים, יהיה לו קשה, עד בלתי אפשרי, לנצל את המידע שנגנב.

כאשר אירועים של גניבת כרטיסי אשראי המונית מתרחשת, מתעורר לרוב החשד כי בעלי האתר כשלו הן באבטחת האתר והן באבטחת מאגר המידע.

כיצד אנו כלקוחות יכולים להיזהר
ראשית, אין צורך לוותר על רכישות מקוונות מאתרי אינטרנט. בשורה התחתונה מדובר בצורת מסחר בטוחה ויעילה. גניבות והונאות מתבצעות גם בסחר לא מקוון, ועשויות להיות חמורות יותר כאשר התשלום נעשה באמצעות כסף מזומן.

ובכל זאת, ריכזנו עבורכם מספר טיפים לקניות מקוונות בטוחות יותר:

• השתדלו למסור את המידע המינימאלי הנדרש. אם השם האמצעי, תאריך הלידה או הכתובת אינם הכרחיים, אל תנדבו אותם.
• היזהרו במיוחד מאתרים אשר אינם עושים שימוש בהצפנת SSL. אומנם שימוש ב-SSL אינו אומר בהכרח כי הנתונים נאגרים בצורה מוצפנת, אך אי שימוש ב-SSL הוא לרוב דגל שחור אשר מצביע כי האבטחה באתר ירודה.
  בעתיד הקרוב נפרסם הסבר מעמיק יותר על הצפנה זו, ועל הדרכים לזהות האם היא נמצאת או לא נמצאת בשימוש.
• היזהרו מאתרים הנראים חובבניים. לעיתים, עיצוב מרושל מעיד על רשלנויות נוספות הנסתרות מעינינו. העדיפו לשלם באמצעות שירותים מסוג Paypal או Google Ceckout. בשירותים אלו, מזהה הלקוח אינו מספיק לצורך גניבה, ולכן הם נחשבים לבטוחים יותר.
• במידה ולא ניתן לשלם באמצעות שירותים מסוג Paypal, העדיפו לשלם באמצעות כרטיס אשראי יחיד. כך תוכלו לעקוב בצורה נוחה יותר אחר החיובים ולזהות הונאות (או טעויות).
• היזהרו מאתרים מפוקפקים. אתרי הימורים ופורנוגרפיה הם מטרה פופולאריות עבור פושעים מקוונים.

יש לציין כי הניסיון מלמד שגם אם נוקטים בכל האמצעים הללו, לעיתים נגנבים פרטים אישיים, כולל פרטי כרטיס אשראי. לצערנו אין אנו יכולים להיות מוגנים לחלוטין בפני אירועים כאלו, כיוון שהמידע נמצא מחוץ לשליטתנו. עם זאת, כמו שכבר ציינו, סכנה שכזאת קיימת גם בעולם הלא מקוון ואינה ייחודית לסחר אלקטרוני. מסיבה זו אנו ממליצים לא להשתמש בסיסמה קבועה לכל שירותי האינטרנט בהם אתם משתמשים, ולבדוק היטב את חיוב כרטיס האשראי שלכם.

בעקבות אירועי גניבת האשראי הגדולה מה-3.1.12 יצרנו עבורכם מערכת פשוטה אשר תעזור לכם לבדוק האם מספר כרטיס האשראי שלכם נגנב.
שימו לב כי מערכות בדיקה מסוג זה אשר הופיעו באתרים רבים מאז הפריצה, עשויות בעצמן להוות איום אבטחתי. מסיבה זו, במערכת שאנחנו מספקים אין צורך להזין את מספר כרטיס האשראי במלואו או פרטים מזהים נוספים.
בנוסף, מאגר המידע אינו שמור בצורה גלויה על שרתינו אלא בצורה מאובטחת.

במידה ופרטי כרטיס האשראי שלכם נגנבו או נוצלו במסגרת האירוע האחרון או באירוע אחר, הודיעו על כך במהרה לחברת כרטיס האשראי. לרוב, כאשר דיווח זה מגיע לחברת האשראי בתוך 30 יום, כספכם יוחזר לכם.

בניגוד לפרסום חברות האשראי אנו ממליצים לכם לבדוק בעצמכם האם כרטיס האשראי שלכם נגנב או נוצל, ולא לחכות לפניה של חברת האשראי. יחד עם זאת, במידה והכרטיס שלכם לא מופיע במאגר הכרטיסים הגנובים, אין אנו רואים סיבה לפנות לחברת כרטיסי האשראי וליצור עומסים מיותרים על מוקדי הפניות. שימו לב שרשימות הכרטיסים הגנובים רלוונטית אך ורק לסדרת פריצות האחרונה. פרטי כרטיסים אשר נגנבו בעבר או ייגנבו בעתיד, לא מופיעים או יופיעו ברשימה זו.