כותרות TheMarker >
    ';

    פוסט-פקטום

    עולם המסחר האלקטרוני ובעיקר הטרנדים, השיטות והמושגים בהונאות הקורות בענף הזה הם מרתקים - שילוב של בילוש באינטרנט ואנליזה מתקדמת. הבלוג מיועד לתת הצצה לתוך העולם הזה.

    באינטרנט (ובבנקים) מאמינים בחינוך

    2 תגובות   יום רביעי, 23/7/08, 10:01

     

    ברקליס בנק, אחד הבנקים הגדולים בבריטניה, פרסם אתמול סרט הדרכה שנושאו כיצד יכולים צרכנים נבונים להימנע מהונאות ברשת. ברקליס מדווח על ירידה של עשרות אחוזים בהפסדים מהונאה בין 2006 ל-2007 בזכות חינוך הציבור ובזכות הפעלת טכנולוגית PINsentry (של חברת Gemalto ההולנדית) המאפשרת זיהוי לקוחות באמצעות Token (המוצר הוצג בועידת RSA ואני מניח, אם כי לא מצאתי לכך עדויות, שהמוצר הזה קשור גם לקידום הפעילות העיסקית של Cyota-לשעבר בשוק האירופאי). הרשת כולה מוצפת ממש במאמרי הדרכה על הביטחון האישי וגם הבלוג הזה "חטא" בנושא פעם או פעמיים. עצוב קצת לחשוב שהכסף והמאמצים האלה מושקעים כמעט לשווא. למה חינוך צרכנים הוא חשוב, אבל לאורך זמן אינו המסלול האופטימלי ליצירת ערך לסוחרים ומוסדות פיננסים? יש לכך שתי סיבות עיקריות.

     

    הסיבה הראשונה נעוצה בקונים והיא קצב האימוץ של טכנולוגיות חדשות. האינטרנט מלא בקונים מסוגים שונים ולמרות שחלקם טכנולוגים ומעודכנים רובם פשוט אינם. "הזנב הארוך" של הקונים מורכב לא רק מאנשים "טובים" אלא גם מאנשים שלא יתאימו לקטגורית המשתמש החכם. זו הסיבה בגללה בנקים בארה"ב אינם מעוניינים באימוץ טכנולוגיות הצ'יפים החדשות - הם מודעים לכך שמאמץ ההטמעה יעלה הרבה כסף וכנראה לא יוכיח את עצמו לאורך זמן. לדוגמה, בחינה של דו"ח ההונאה השנתי של Cybersource מראה כי מדי שנה סוחרים מקוונים מכריזים על נכונותם לאמץ טכנולוגיות וידוא ברמת המנפיקים (החברות המנפיקות כרטיסי אשראי ומנהלות את תנועת הכספים, וגם משמשות כמחייבות של הכרטיסים לאחר הקנייה) כמו VBV של ויזה, אולם באופן עקבי אחוז האימוץ המעשי נשאר כמעט זהה. כמובן שהמסקנה המתבקשת היא כי רבים מהסוחרים מוותרים על שירותי VBV כל שנה, קרוב לוודאי מכיוון שהקונים עצמם אינם מאמצים אותם - תהליך של ביצה ותרנגולת שאינו מתכנס כרגע וצפוי שלא יתכנס בעתיד (אלא אם כן אנחנו מעוניינים להשקיע במהלך חובק עולם להכשיר את סבתא חיה, שקונה מצלמה לנכד שלה דרך Walla, לגורו טכנולוגי שנמצא בחזית הפיתוחים למניעת הונאה).

     

    הסיבה השניה היא הדינמיקה של הגנבים. לא רק שקצב האימוץ נמוך בקרב הלקוחות אלא שהגנבים, שברירי האחוז שגורמים כמעט את כל נזקי ההונאה, צריכים לפצח את השיטה רק מספר מועט של פעמים. כך היא הופכת לחסרת יעילות במניעת הונאה, ומעשית - לשיטה שמקשה על קונים לגיטימים לקנות. רגע, בואו נחזור על זה: האם בכך שאני מציב עוד מגבלות אבטחה, אני פוגע ברווחים שלי? התשובה היא כן. לא רק בגלל ההימנעות ממכירה היכן שאפשר (ראו פוסט קודם) אלא גם, ואולי בעיקר, כיוון שגנבים מצויידים הרבה יותר מאנשים לגיטימים לעבור את מחסומי האבטחה הסטנדרטים. השאל שאלה פשוטה יחסית: כדי לקנות בעזרת חשבון פרוץ אתה נדרש לדעת שם משתמש וסיסמה, לספק אימייל, לספק פרטי כרטיס ואולי לענות על כמה שאלות "אישיות" (כמו מספר ת.ז.) או לשלוח מסמכים סרוקים. כמה מהגנבים הרציניים יושבים מול המחשב כשכל הפרטים הנ"ל מוכנים אצלם לשליחה מיידית, אולי אפילו בצורה חצי אוטומטית? נכון, אחוז ניכר, אולי כולם. רגע, וכמה אנשים "טובים" ויתרו על קנייה כיוון שנדרשו לשלוח צילום של תעודת הזהות או לספק פרט שאינם זוכרים כרגע? כמה אנשים ויתרו על קנייה בגלל שלא זכרו את הסיסמה לחשבון שלהם? בינגו!

     

    כמובן שאיני טוען שחינוך צרכנים הוא מיותר. יש חשיבות בחינוך ויש חשיבות בפעילות מניעתית כדי לנסות לסכור את כמות המידע האישי הזמין ברשת. אולם יש לשקול את התועלת במאמצים כאלה לעומת התועלת בכלי זיהוי וחסימה של גנבים בתוך המערכת - מחסומים קשיחים וקשים למעבר. הרי האינטרנט חודר בצורה מאסיבית לתוך החיים של העולם כולו ותמיד יהיה אחוז ניכר מהאנשים שייפול לפחים שטומנים לו אוספי המידע. אם נחסום את הPhishing יבוא סוג אחר של איסוף מידע (אולי Vishing? אולי Shmishing? קשה לעקוב אחרי השמות) ויספק לגנבים את תנאי הפתיחה שהם צריכים. הפתרון צריך להימצא לא רק, ולא בעיקר, בחינוך הצרכנים ובהצבת מחסומים המקשים בעיקר על קניות לגיטימיות. הוא צריך להימצא ביכולת משופרת וקשיחה להפריד גנבים מאנשים לגיטימים. חלק מהתובנות והטכנולוגיות האלה קיימות היום, וכמובן שלא הייתי כותב את זה לולא הייתי בטוח שאנשים בתעשייה שאני מעורב בה, כולל אותי, יודעים איך ליישם אותן. כמובן שבסופו של דבר נדרשת מומחיות ייחודית כדי להבין מה הם המחסומים הנכונים (ולא, הכוונה אינה לבדיקת AVS אוטומטית או בדיקה האם הכתובת קיימת במאגרי מידע מפוקפקים).

    דרג את התוכן:

      תגובות (2)

      נא להתחבר כדי להגיב

      התחברות או הרשמה   

      סדר התגובות :
      ארעה שגיאה בזמן פרסום תגובתך. אנא בדקו את חיבור האינטרנט, או נסו לפרסם את התגובה בזמן מאוחר יותר. אם הבעיה נמשכת, נא צרו קשר עם מנהל באתר.
      /null/cdate#

      /null/text_64k_1#

      RSS
        24/7/08 09:05:
      צטט: oopsy 2008-07-24 01:02:33


      מה שוות מערכות זיהוי ברקע ללא מודעות וחינוך הלקוחות ???

       

      הרי אם הילד משתף את הסיסמה של הבנק שרשומה בקוץ באימיול הרי היא זמניה לכל אחד.

       

      וכמון אם אין אנטיוירוס מעודכן (ולמרות שיש ניתן כידוע להשתיל טרויאני) והושתל טרויאני אצל 10000 לקוחות ,

       

      עד כמה תעזור המערכת האם תמנע כרגע מ כל ההלקוחות להכנס  ?

       

      ואם ההאקר שחפץ בכניסה לחשבון ישתשמש בפרוקסי עם VM למינהם כך שלא יזוהה אותו מחשב אז מה שווה המערכת ברקע ?

       

      לכן השילוב המנצח הינו שימוש במודעות הצרכנים ושימוש בכלי הגנה בהסיסים במחשב הלקוח (כמו שנעשה גם ע"י אותו בנק חיוב הלקוחות ב אנטיוירוס)  ובנוסף מערכת איתור הונאות.

       

      זהו השילוש הקדוש מודעות הגנת המחשב האישי ואיתור הונאה בבנק.

       

      לא ביקשתי לבטל מודעות לקוחות או אבטחה של המחשב האישי - ציינתי שההשקעה בתחום היא גדולה מהתועלת. נכון, אם הילד מפיץ את הסיסמה אפשר לפרוץ בקלות למערכת - אם הדבר היחיד שמגן על המערכת הוא הסיסמה. זו בדיוק הנקודה שלי - לו היתה לוגיקה נכונה שמגנה על המערכת, יכול להיות (אולי, לא בטוח) שלא היה אפילו צורך בסיסמה.

       

      גם אם יש אנטיוירוס מעודכן, כמה אנשים מריצים אותו? וכמה אנטיוירוסים הם יותר מעודכנים מכותבי הטרוג'אנים? ומה הקשר לחסימה של כל הלקוחות? אתה ממחיש בדיוק את הנקודה שלי - מערכות הגנה ראקטיביות (=לומדות לאחר מעשה ומונעות מקרים שקרו בעבר) לעולם יהיו חלשות וגם יאלצו את מפעיליהן לנקוט בחסימות מסוגים שונים (למשל - לא לאפשר העברות לצד ג' מהחשבון המקוון) או לבטח פעולות של הקונים ולצבור הפסדים.

       

      לגבי הפרוקסי, אנחנו נכנסים כאן לפרטים טכנים שאי אפשר לדון בהם בפורום ציבורי.

       

      בטווח הקצר יתכן שעדיין יש צורך בהגנה על פרטים ובאבטחת המחשב האישי. בטווח הארוך - המושג "השילוש הקדוש" (לא ידעתי שאבטחת מידע הפכה לדת חדשה) עשוי לאבד מההגמוניה שלו.

        24/7/08 01:02:


      מה שוות מערכות זיהוי ברקע ללא מודעות וחינוך הלקוחות ???

       

      הרי אם הילד משתף את הסיסמה של הבנק שרשומה בקוץ באימיול הרי היא זמניה לכל אחד.

       

      וכמון אם אין אנטיוירוס מעודכן (ולמרות שיש ניתן כידוע להשתיל טרויאני) והושתל טרויאני אצל 10000 לקוחות ,

       

      עד כמה תעזור המערכת האם תמנע כרגע מ כל ההלקוחות להכנס  ?

       

      ואם ההאקר שחפץ בכניסה לחשבון ישתשמש בפרוקסי עם VM למינהם כך שלא יזוהה אותו מחשב אז מה שווה המערכת ברקע ?

       

      לכן השילוב המנצח הינו שימוש במודעות הצרכנים ושימוש בכלי הגנה בהסיסים במחשב הלקוח (כמו שנעשה גם ע"י אותו בנק חיוב הלקוחות ב אנטיוירוס)  ובנוסף מערכת איתור הונאות.

       

      זהו השילוש הקדוש מודעות הגנת המחשב האישי ואיתור הונאה בבנק.

      ארכיון

      תגיות

      פרופיל

      אוהד סמט
      1. שלח הודעה
      2. אוף ליין
      3. אוף ליין