למה הבנקים בישראל מעודדים גניבת סיסמאות
למה הבנקים בישראל מעודדים Phishing ? או איך לגנוב סיסמאות .
נניח שחפצה נפשך לראת פרטים בנקאיים כאלה או אחרים של לקוחות בנק מסויים... מה צריך לעשות ?
וכן כל מה שאתה צריך זה גרפיקאי טוב שיעתיק עבורך את חזות אתר הבנק שאתה רוצה לתקוף.
כעת יש לכתוב מייל שמציע מבצע הנחות לרגל החג הקרוב ובמסגרתו יוכל הלקוח לקבל פטור מעמלות לחודש אם ירשם למבצע. את המייל יש להפיץ בתפוצת NATO . (כמה שיותר כמו כל Phishing Attack)
מסתבר שאנשים סומכים על מה שהם רואים (יש מספיק מחקרים שמוכיחים זאת) ולכן אם האתר שלנו יהיה מספיק דומה לאתר הבנק ישמחו לקוחות רבים להרשם למבצע.
ברישום הם יספקו לנו את כל הפרטים שלהם: שם משתמש, Password, מספר מזהה ומספר הנעליים של סבתא שלהם. כעת האתר שלנו יודה ללקוח והסיפור נגמר.
רוב הלקוחות לא יודעים מה זה SSL ואיך הוא עובד ולכן העובדה שאין לנו SSL לא רלוונטית. האמת שאנו יכולים לייצר לנו סרטיפיקט ולבצע SSL תוך ידיעה שהדפדפן לא יסמוך עליו ושוב הלקוח לא יודע מה זה סרטיפיקט ולכן הוא לא ידע מה לעשות עם ההזהרה שיוציא הדפדפן (7IE קצת השתפר בתחום) והופ אנו בפנים.
כיצד מונעים התקפה כזו ?
משתמשים ב - CardSpace (זה יקרה בעתיד אני מאמין) או כעת עוברים ל – Two Phase Login !
הבנק מבקש מכל לקוח תמונה פרטית שלו, אותה הוא יאחסן בבנק.
תהליך ההזדהות מחולק לשני חלקים:
1. הלקוח מספק Username ומספר מזהה וכו' והבנק מגיב בהצגת התמונה.
אנו מניחים כי לתוקף אין גישה לתמונה. וכך הבנק מוכיח שהוא באמת הבנק באמצעי אנושי וברור.
2. רק אז מספק הלקוח את הסיסמה.
למה לא משתמשים ב - Two Phase Login ? על טיפשות כבר שמעתם ?
אין לי שום דבר עקרוני בעד תמונות…
אני חושב שיש צורך לבצע תהליך אוטנטיקציה שיוכיח ללקוח הפשוט שהוא מדבר מול הבנק. ללקוח הפשוט תמונה יכולה להיות פתרון אך גם כל "אינפורמציה אחרת (Claim) יכולה לעשות את העבודה.
SSL לא מספיקה כי ללקוח הפשוט היא לא רלוונטית נקודה. (מיקרוסופט כבר הבינה זאת ולכן היא מקדמת סרטיפיקט חדש שמכיל תמונות (לוגו) ואינפורמציה נוספת שלקוח פשוט יכול להבין.
פירוק תהליך האוטנטיקציה לשניים יקשה מאוד Phishing וזאת המטרה.
לגבי עלות תועלת זאת שאלה שצריך לשאול בכלל על אבטחה ...
מנו כהן-ישר