בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

למה הודעות SMS מזוהות עלולות לסכן אתכם

התרגלתם לכך שהודעות טקסט מגיעות עם שם השולח, גם אם מדובר בגוגל או ביד2? מסתבר שזה עלול להקל מאוד על הונאות באמצעות מסרונים

2תגובות
רויטרס

בשנים האחרונות יותר ויותר הודעות SMS מגיעות עם שם השולח, גם אם הוא בכלל לא נמצא בספר הטלפונים שלנו. השינוי הקטן הזה עלול לשמש האקרים עבריינים כדי להתחזות לשירותים שונים כמו למשל לאתר יד2.

זיוף מסרונים (שליחת הודעות בשם מישהו אחר) אינו דבר חדש, אך פעם, על מנת לשלוח הודעה בשמו של אדם אחר היית צריך לדעת בדיוק כיצד הוא רשום ברשימת אנשי הקשר, אחרת הטלפון לא היה מציג אותו באותה צורה. אבל היום כדי לזייף הודעה מגוגל למשל, כל מה שצריך לעשות הוא לשנות את שם הזיהוי של ההודעה שיוצג כהודעה מ- "Google" וכך גם תתקבל ההודעה במכשירכם.

אם כבר קיבלתם הודעה מקורית של החברה, ההודעה המזוייפת תצורף לשרשור ההודעות הקיימות שקיבלתם ממנה שבמכשירכם, וכך יהיה קשה אף יותר לזהות שמדובר בזיוף.

יוגב מזרחי

הבעיה היא שבעוד שבשנים האחרונות הפכנו להיות חשדנים באימייל וברשת, בגלל ריבוי ניסיונות ההונאה והכמויות הרבות של הספאם, רוב האנשים עדיין לא רגילים לחשוד בלינקים שנשלחו בהודעות SMS.

לאחרונה נתקלתי בשירות חדש (ומצוין) באתר יד2, בשם yad2pay, שמאפשר לאנשים לקבל תשלום בכרטיס אשראי במכירת מוצר יד שנייה.
 
איך השירות עובד?

ראשית, המוכר צריך לסמן במודעה כי הוא מוכן לקבל תשלום באשראי. לאחר שקובעים פגישה בין המוכר לקונה, המוכר ממלא פרטים של הקונה ואת חשבון הבנק של עצמו.

לאחר מכן נשלחת לקונה הודעת SMS ובה קישור לצורך הכנסת פרטי אשראי לתשלום. הקונה ממלא את הפרטים ולאחר שליחתם, מתקבלת הודעת SMS למוכר המאשרת את העסקה. המוכר מקבל מיד2 את הכסף לחשבונו לאחר שני ימי עסקים והקונה משלם באשראי ליד2.

אז מה הבעיה פה?

יוגב מזרחי

 1. כמוכר זדוני אני יכול לזייף את הודעת ה-SMS אשר תישלח לקונה, הקונה יקבל אותה באותו הרגע ובשם יד2 (או בשם המספר בו הם משתמשים לשליחת ההודעה), כך שאינו ירגיש בדבר. בהודעה אני אכין קישור המפנה לעמוד מזוייף (שכפול של העמוד האמיתי המתקבל מיד2 להזנת פרטי האשראי), העמוד יבצע דיוג (phishing) לפרטי האשראי המוזנים בו ובכך אוכל לקבל את פרטי האשראי המלאים של המשתמש ולהעביר אותם הלאה לסיום התהליך או לחלופין להציג שגיאה ולשלוח שוב הודעה לתשלום.
    
2. כקונה זדוני במעמד הפגישה, לאחר קבלת הודעת ה-SMS עם הקישור להזנת פרטי האשראי, אני יכול לא באמת למלא אותם ולאחר דקה או שתיים לשלוח הודעה מזויפת למוכר בשם יד2 ובה תוצג הודעה על אישור העסקה. כך שמבחינת המוכר הכל בסדר, אני אקח את המוצר, אבל תשלום?

חשוב לציין כי הבעיה אינה בעיית אבטחה נקודתית בשירות של יד2, אלא בהסתמכות על העובדה שהודעת SMS מהווב את האישור לעסקה, אני משוכנע שקיימים בחוץ המון שירותים שנסמכים על הודעת SMS כהוכחה לקיום עסקה, רכישה או כל דבר אחר וכנראה שגם אצלם קיימת בעיה.

יוגב מזרחי

מה ניתן לעשות

ראשית חשוב לציין כי ביד2 קיים שירות המאפשר למוכר לא לפרסם את מספר הפלאפון שלו אלא להשתמש במספר שיד2 מספקים לו, וכך יהיה על הקונה להשיג תחילה את מספר הפלאפון של המוכר כדי לשלוח לו את ההודעה.

צריך להתחיל להתייחס להודעות ה-SMS כמו לכל הודעה במייל. לא לפתוח קישורים מהודעות SMS שאינכם בטוחים לגביהן, וכמובן שלא לספק מידע. במקרה של יד2, כדאי להימנע משליחה של מספר הטלפון שלכם שלא לצורך. 

מיד2 נמסר בתגובה:

שירות yad2pay הושק לפני כשנה על ידי אתר יד2 ולאומי קארד.

התשלום במסגרת השירות נעשה באופן מאובטח, ללא חשיפת פרטי כרטיס האשראי או חשבון הבנק של הצדדים בעסקה. על מנת למנוע מקרי הונאה, זיוף או תרמית, אתר יד2 וחברת לאומי קארד דואגים לחדד ולהנחות בזמן אמת את משתמשי השירות בכל שלבי תהליך התשלום. אנו ממליצים לגולשי האתר אשר עושים שימוש בשירות, לקרוא בקפידה את ההנחיות הנלוות לתהליך. במקביל, חברת לאומי קארד מבצעת באופן שוטף בקרות שונות אחר פעילות כרטיסי האשראי על מנת להבטיח שימוש נכון ובטוח ללקוחותיה.

יצוין, כי ככל שמתגלה שימוש לא חוקי בשירותים ובפלטפורמות השונות שמציע האתר, אתר יד2 משתף פעולה עם נציגי החוק למיגור התופעה.


יוגב מזרחי הוא חוקר אבטחה וממקימי אתר Hacked-DB, שעוקב אחר דליפות מידע ברשת



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו