Connect with us

מתקפות סייבר

אמצעים לגניבת זיהוי ביומטרי בכספומטים כבר נמכרים בשוק השחור

פורסם

ב-

atm-skimmer

עדות נוספת לסיכון הקיים במעבר לזיהוי ביומטרי עולה לאחרונה ברשת האפלה, כשעברייני סייבר מתחילים למקור סקימרים לגניבת טביעות אצבע בכספומטים.

במשך שנים היו מכשירי כספומט על הכוונת של פושעי הסייבר שניסו להשיג נתונים של כרטיסי אשראי. הכל החל עם ה"סקימרים"  (Skimmers) הפרה-היסטוריים – מכשירים בעבודת יד שחוברו לכספומט, והיו מסוגלים לגנוב נתונים מהפס המגנטי ואת קוד הכרטיס, בסיוע לוח מקשים מזויף או מצלמת רשת. עם אימוץ כרטיסי האשראי משובצי השבב והקוד, שכמעט בלתי אפשרי לשכפל, התפתחו המכשירים למה שמכונה "שימרים" (Shimmers): הם נראים באופן כללי אותו דבר, אך מסוגלים לאסוף מידע משבב המכשיר, ולספק מספיק נתונים כדי לערוך מתקפת המשך ברשת. תעשיית הבנקים הגיבה עם פתרונות אימות חדשים, שחלקם מבוססים על ביומטריה.

על פי חקירה שערכה מעבדת קספרסקי בתוככי עולם עבריינות הסייבר, קיימים כבר לפחות שנים עשר מוכרים ברשת האפלה המציעים יכולות סקימרים לגניבת טביעות אצבע. לפחות שלושה מהמוכרים כבר מפתחים מכשירים שיכולים להשיג נתונים באופן בלתי חוקי ממערכות זיהוי ורידים בכף היד וזיהוי קשתית.

הגל הראשון של סקימרים ביומטריים זוהה במסגרת "בדיקות קדם מכירה" בספטמבר 2015. עדויות שנאספו על ידי חוקרי מעבדת קספרסקי הראו כי במהלך הבחינה הראשונית, המפתחים גילו מספר בעיות. עם זאת, הבעיה המרכזית הייתה שימוש במודול GSM להעברת נתוני הביומטריה – שהיה איטי מידי כדי להעביר את כמות הנתונים הגדולה שנאספה. כתוצאה מכך, גרסאות חדשות של סקימרים יעשו שימוש בטכנולוגיות מהירות יותר להעברת נתונים.

ישנם גם עדויות לדיון מתמשך בקהילות מחתרתיות לגבי פיתוח אפליקציות ניידות המתבססות על שימוש במסכות פנים מזויפות. עם אפליקציה שכזו, תוקפים יוכלו להשתמש בתמונה של אדם אותה הורידו מהרשת החברתית ולעשות בה שימוש כדי להונות מערכות לזיהוי פנים.

Advertisement

"הבעיה עם ביומטריה היא, שבשונה מסיסמאות או קוד זיהוי, אותם ניתן לשנות במקרה ונחשפו, לא ניתן לשנות את תביעת האצבע שלך או את הקשתית. לכן, אם הנתונים שלך נחשפו פעם אחת, לא יהיה בטוח יותר עבורך להשתמש באותה שיטת אימות פעם נוספת. זו הסיבה שחשוב ביותר לשמור נתונים שכאלה מאובטחים ולשדר אותם בדרך מאובטחת. נתונים ביומטריים מתועדים גם בדרכונים ביומטריים ובויזות. כך שאם עבריין גונב דרכון ביומטרי, הוא מחזיק ברשותו לא רק את המסמך, אלא גם הנתונים הביומטריים של אדם. הוא למעשה גונב את הזהות שלו", אמרה אולגה קוחטובה, מומחית אבטחה במעבדת קספרסקי.

 

לדוח הסוקר את איומי הסייבר הבאים על מכשירי כספומט, ואמצעים אשר ניתן להטמיע כדי להגן על בנקים מאיומים אלה, ראו – Securelist.com.