הגנה מפני גנבת זהות

[מתחיל בגיל 18]

שלום,

לפני כמה ימים שכחתי את הסיסמא שלי לחשבון ההשקעות (פסגות) אז התקשרתי לשירות לקוחות שלהם, ענתה לי בחורה נחמדה שאלה אותי כמה שאלות ואז הביאה לי את הסיסמא.
הכל היה טוב וכמה ימים אחרי זה חשבתי לעצמי האם כל טמבל שעונה לה על השלושה שאלות יקבל גישה לחשבון עם כמה מאות אלפים ומבמקרים אחרים יכול להיות מליונים, אולי הם משנים את השאלות, אולי זה הפקידה הזאת. התקשרתי שוב, ואותם שאלות בדיוק - איפה נולדה סבתי, ומה השם של האח הגדול ביותר.

מה שהפתיע אותי כשממירים כסף לדולרים (דרך הטלפון כי פסגות עובדים בשיטה מיושנת) הם מאמתים את זהותך עם סיסמא שנתתה להם מראש (צירוף של 5 אותיות) אבל שמשנים סיסמא ומקבלים גישה מוחלטת למשתמש כל מה שצריך זה מידע בסיסי שכל ילד בן 5 עם פייסבוק יכול להשיג.
האם יש דרך להגן מפני זה או האם אני סתם חרדתי מידי?


תודה.

 

[לארוצה]

שלום,

לפני כמה ימים שכחתי את הסיסמא שלי לחשבון ההשקעות (פסגות) אז התקשרתי לשירות לקוחות שלהם, ענתה לי בחורה נחמדה שאלה אותי כמה שאלות ואז הביאה לי את הסיסמא.
הכל היה טוב וכמה ימים אחרי זה חשבתי לעצמי האם כל טמבל שעונה לה על השלושה שאלות יקבל גישה לחשבון עם כמה מאות אלפים ומבמקרים אחרים יכול להיות מליונים, אולי הם משנים את השאלות, אולי זה הפקידה הזאת. התקשרתי שוב, ואותם שאלות בדיוק - איפה נולדה סבתי, ומה השם של האח הגדול ביותר.

מה שהפתיע אותי כשממירים כסף לדולרים (דרך הטלפון כי פסגות עובדים בשיטה מיושנת) הם מאמתים את זהותך עם סיסמא שנתתה להם מראש (צירוף של 5 אותיות) אבל שמשנים סיסמא ומקבלים גישה מוחלטת למשתמש כל מה שצריך זה מידע בסיסי שכל ילד בן 5 עם פייסבוק יכול להשיג.
האם יש דרך להגן מפני זה או האם אני סתם חרדתי מידי?


תודה.

נניח והשיגו את הסיסמה, מה אז? למיטב ידיעתי לא יכולים להעביר נכסים או מזומן בלי לאמת חשבון בשליטתם.

 

[מתחיל בגיל 18]

נניח והשיגו את הסיסמה, מה אז? למיטב ידיעתי לא יכולים להעביר נכסים או מזומן בלי לאמת חשבון בשליטתם.

יכולים למכור/לקנות מניות / חוזים עתדיים לגרום לך לשלם מס על רווחים (אם מוכרים) ועוד הרבה....

 

[Libertad]

התקשרתי שוב, ואותם שאלות בדיוק - איפה נולדה סבתי, ומה השם של האח הגדול ביותר.

זוועה, במיוחד סוג השאלות כי ניתן פשוט לברר אותן. האם ביקשה ממך גם שם משתמש? והאם שם המשתמש הוא רנדומלי?

 

[מתחיל בגיל 18]

זוועה, במיוחד סוג השאלות כי ניתן פשוט לברר אותן. האם ביקשה ממך גם שם משתמש? והאם שם המשתמש הוא רנדומלי?

שום דבר, רק ת.ז ואז את השאלות. (אולי בגלל שהתקשרתי מהטלפון שלי - למרות שלא נראה לי יש קשר...)

 

[Libertad]

שום דבר, רק ת.ז ואז את השאלות. (אולי בגלל שהתקשרתי מהטלפון שלי - למרות שלא נראה לי יש קשר...)

צחוק מעבודה. זה גם אומר שהם שומרים את הסיסמה שלך בצורה גלויה אצלם. אני מקווה לפחות שזו סיסמה ייחודית לחשבון, ושהיא לא במקרה גם הסיסמה לשאר החשבונות שלך ברשת.

 

[האזרח הקטן]

גם נורא שהנציגה יכולה לראות את הסיסמה, כלומר הם שומרים את הטקסט של הסיסמה ולא את ה hash שלה. זה מאוד לא מקובל.

 

[מתחיל בגיל 18]

צחוק מעבודה. זה גם אומר שהם שומרים את הסיסמה שלך בצורה גלויה אצלם. אני מקווה לפחות שזו סיסמה ייחודית לחשבון, ושהיא לא במקרה גם הסיסמה לשאר החשבונות שלך ברשת.

גם נורא שהנציגה יכולה לראות את הסיסמה, כלומר הם שומרים את הטקסט של הסיסמה ולא את ה hash שלה. זה מאוד לא מקובל.

היא לא נתנה לי את הסיסמא שלי, היא נתנה לי סיסמא זמנית שאיתה מאפסים את הסיסמא. (123456) ואז שנכנסים איתה זה אומר לך "תאפס את הסיסמא" ואתה בוחר סיסמא חדשה.
לא חושב שיש חברה שמכבדת את עצמה ששומרת סיסמאות בתור TEXT היום.

 

[Libertad]

היא לא נתנה לי את הסיסמא שלי,

זה לא מה שתיארת.

היא נתנה לי סיסמא זמנית שאיתה מאפסים את הסיסמא. (123456) ואז שנכנסים איתה זה אומר לך "תאפס את הסיסמא" ואתה בוחר סיסמא חדשה.

זו נבלה וזו טרפה.

חברה שמכבדת את עצמה

זה לא מה שתיארת.

 

[KickR]

איפה נולדה סבתי, ומה השם של האח הגדול ביותר.

עדיף לא לחלוק את השאלות בפורום (למשל אם אי פעם בעתיד מישהו בפורום יגלה את זהותך והוא במקרה פושע).

 

[KickR]

לפני כמה ימים שכחתי את הסיסמא שלי לחשבון ההשקעות (פסגות)

זו אחת הסיבות למשל להעדיף חשבון השקעות זר (בארץ לא מצאתי ממש חברות שמשקיעות ב-2FA, או שיש להם סטנדרטים סבירים של אבטחת מידע).
אשמח לשמוע שיש ברוקרים ישראלים שלא גרועים בזה (לא בשבילי, אבל בשביל הגאווה הישראלית).

 

[OnTheVerge]

האם יש דרך להגן מפני זה או האם אני סתם חרדתי מידי?

אתה לא היחיד שהנושא הזה הדיר שינה מעיניו.

אפשר לשקול מעבר ל-IB.

 

[לארוצה]

יכולים למכור/לקנות מניות / חוזים עתדיים לגרום לך לשלם מס על רווחים (אם מוכרים) ועוד הרבה....

כל הדברים האלה הפיכים בסופו של דבר. מסכים שזה לא תקין, אבל אין כאן באמת איזה הצדקה להתקפה למעט פגיעה באדם מסויים שמחזיק נכסים בבית ההשקעות. גם העובדה שמדובר בתהליך ידני מגבילה את היקף הנזק האפשרי. בסופו של דבר מי שישא בעלות הכלכלית יהיה כנראה בית ההשקעות ויש להם את האינטרס למנוע הונאות כאלה. אני מניח שהשיחות מוקלטות, ויהיה קשה לתוקף לברוח מהרשויות אם ירצו לתפוס אותו, במיוחד מאחר ומדובר בהתקפה כנגד אדם פרטני. בסה״כ מדובר בהרבה מאמץ כדי להשיג אפקט חלש יחסית. יהיה לתוקף קל יותר לגנוב זהות ולצבור חובות על שמך.

 

[Libertad]

יהיה לתוקף קל יותר לגנוב זהות ולצבור חובות על שמך.

אם הוא יגנוב לו את הזהות הוא גם יוכל לפתוח חשבון בנק על שמו, ואז הוא יוכל למשוך כספים מהתיק לחשבון הזה.

אין הצדקה לרמה כזאת ירודה של אבטחת מידע.

 

[לארוצה]

אם הוא יגנוב לו את הזהות הוא גם יוכל לפתוח חשבון בנק על שמו, ואז הוא יוכל למשוך כספים מהתיק לחשבון הזה.

אין הצדקה לרמה כזאת ירודה של אבטחת מידע.

אמת, אני סה״כ טוען שכרגע יש דרכים יותר קלות לגנוב כסף מגניבת זהות של בעל חשבון בבית ההשקעות הזה. לדוגמה, כדי לשייך יותר מחשבון אחד צריך להגיע פיזית למשרדים עם תעודת זהות. יש להם צילום של תעודת הזהות ואז קל לראות שלא מדובר באותו האדם, ומי שזה לא יהיה מסתכן במעצר. אם הוא נכנס לסניף בנק כדי לפתוח חשבון חדש, אין סכנה כזו. את המשיכה הוא כבר יכול לעשות מרחוק.

למי שמודאג מומלץ להתקין את האפליקציה של אורדרנט ולהגדיר התראות על פעולות, ככה לפחות מקבלים חיווי בזמן אמת.

 

[האזרח הקטן]

אמת, אני סה״כ טוען שכרגע יש דרכים יותר קלות לגנוב כסף מגניבת זהות של בעל חשבון בבית ההשקעות הזה. לדוגמה, כדי לשייך יותר מחשבון אחד צריך להגיע פיזית למשרדים עם תעודת זהות. יש להם צילום של תעודת הזהות ואז קל לראות שלא מדובר באותו האדם, ומי שזה לא יהיה מסתכן במעצר. אם הוא נכנס לסניף בנק כדי לפתוח חשבון חדש, אין סכנה כזו. את המשיכה הוא כבר יכול לעשות מרחוק.

אני משכתי כספים מבית ההשקעות לחשבון בנק שונה מזה שהיה מקושר אליהם בעת ההצטרפות, על ידי שליחת אישור בעלות חשבון וצילום ת"ז בדוא"ל, לא נדרשתי להגיע אליהם פיזית.

 

[Libertad]

אמת, אני סה״כ טוען שכרגע יש דרכים יותר קלות לגנוב כסף מגניבת זהות של בעל חשבון בבית ההשקעות הזה.

אני בטוח שיש דרכים יותר קלות, הרי זאת עובדה שהמצב שאנחנו מתארים לא קורה לעיתים קרובות (אם בכלל) אחרת כולנו היינו שומעים על זה.

העניין הוא כזה:
1. הכל בסדר עד שכבר לא ("תרבות הסמוך" בישראל).
2. כשחברה מתנהלת כ"כ גרוע בנושא מסוים, זה יכול להעיד על ההתנהלות שלה בכללי. היום זה אבטחת מידע ומחר זה משהו אחר.

 

[לארוצה]

העניין הוא כזה:
1. הכל בסדר עד שכבר לא ("תרבות הסמוך" בישראל).
2. כשחברה מתנהלת כ"כ גרוע בנושא מסוים, זה יכול להעיד על ההתנהלות שלה בכללי. היום זה אבטחת מידע ומחר זה משהו אחר.

מסכים, אבל אולי זה דווקא ניהול סיכונים נכון? יכול להיות שהמחיר של מימוש הגנה חזקה יותר בפני גניבת זהות היום יקר יותר מהנזק שיגרם כשזה יקרה. הרי יש מוקד טלפוני שאמור לאפס את הססמאות, זאת אומרת שהיקף ההונאה מוגבל, ויש מישהו שכנראה ישים לב אם מספר איפוסי הססמה יקפוץ לפתע. יש גם את פרק הזמן שלוקח לכסף לעבור לחשבון הלקוח.
גם מחיר מימוש ההגנה כנראה יהיה יותר זול ככל שעובר הזמן.

Google Will Replace Titan Security Key Over a Bluetooth Flaw

Google will replace any Titan BLE branded security key, after disclosing that a nearby attacker could use it to compromise your accounts.

www.wired.com

Yubico recalls government-grade security keys due to bug

Yubico is recalling a line of security keys used by the U.S. government due to a firmware flaw. The company issued a security advisory today that warned of an issue in YubiKey FIPS Series devices with firmware versions 4.4.2 and 4.4.4 that reduced the randomness of the cryptographic keys it...

www.engadget.com

 

[לארוצה]

אני משכתי כספים מבית ההשקעות לחשבון בנק שונה מזה שהיה מקושר אליהם בעת ההצטרפות, על ידי שליחת אישור בעלות חשבון וצילום ת"ז בדוא"ל, לא נדרשתי להגיע אליהם פיזית.

כנראה שהתבלבלתי עם בית השקעות אחר. זה באמת מפתיע שאף פושע לא מנצל את זה, כי לכאורה יש כאן פשע שאפשר לבצע מרחוק (עד כדי פתיחת חשבון הבנק, אני מניח שפפר ודומיו מאמתים את פותח החשבון בצורה יותר חזקה מזאת של פתיחת חשבון בסניף פיזי).

@מתחיל בגיל 18 פנית לאחראי אבטחת המידע אצלם? https://sophtix.com/he/contact-he/

 

[YPV]

מסכים, אבל אולי זה דווקא ניהול סיכונים נכון? יכול להיות שהמחיר של מימוש הגנה חזקה יותר בפני גניבת זהות היום יקר יותר מהנזק שיגרם כשזה יקרה.

הלוואי וזה היה נכון. בפועל מדובר בהיעדר ניהול סיכונים.

הבעיה היא בתרבות ארגונית לקויה שקיימת ברוב הארגונים בארץ, גם בתחום הפיננסים. אם המנכ"ל הוא לא פריק של אבטחת מידע או ל CISO אין מעמד מספיק חזק בארגון (כמו שזה קורה לרוב), שיקולי אבטחת מידע נדחים מפני שיקולים אחרים, של סמנכ"לים אחרים (לרוב אבטחת מידע נתפסת כגורם מעכב שרק פוגע בביצועים ויעדים שלהם).

הדבר הכי חשוב באבטחת מידע הוא תרבות של הבנה וניהול אמיתי של סיכונים - מראש ולא בדיעבד, כמו שזה קורה לא מעט. כשאין מחויבות הנהלה, כשאין נהלים מתאימים ואין ראיה רוחבית כלל ארגונית, אז מבחינת ההנהלה אבטחת מידע מתמצת במתן תקציב כזה או אחר לרכישת תוכנות אבטחת מידע. וזהו.

מספיק לראות את האירועים האחרונים של גניבת מידע אישי רגיש של לקוחות ישראכרד, גניבת מידע אישי רגיש בלאומי קארד וכו'. לפני מספר שנים גם הייתה פריצה לפעילות ברוקרז' של בנק ירושלים.

מצער לומר, אבל כולנו, כלקוחות בתחום הפיננסי בישראל, משולים לנוסעים שבלית ברירה נאלצים לנסוע ברכב שלא מטופל, לא מתוחזק, שנוהג בו נהג שרשיונו נשלל. נותר לנו רק לקוות שכאשר תקרה התאונה, נצא ממנה יחסית בשלום.