האם תשלום בנייד הוא בטוח יותר? לא מה שחשבתם

כרטיסים עם פס מגנטי היו הדבר הכי חם לפני כ-20 שנים, אך האבטחה שלהם הייתה חלשה, והדרישה לתוספת של חתימה ידנית הוסיפה טרחה נוספת לתהליך הרכישה. בנוסף, בכרטיסים האלה לא הייתה הצפנת נתונים, מה שאפשר לעבריינים לסרוק את הכרטיס ולשכפל אותו.

כרטיסים מבוססי-צ׳יפים הופיעו כמחליפים לכרטיסים האלה, והם מציעים אבטחה משופרת באמצעות הצפנת נתונים. בכרטיסים האלה נדרשת הכנסה של הכרטיס לטרמינל תשלום ואימות באמצעות קוד אישי, מה שמסמן על מעבר לשיטות תשלום מאובטחות יותר. מנקודת מבט אבטחתית, כרטיסים מבוססי-צ׳יפים הם התקדמות ברורה, מכיוון שהם דורשים אימות ומציעים אבטחה משופרת על בסיס הכרטיס עצמו הודות להצפנה. עם זאת, גם הכרטיסים האלה היו חשופים להעתקה או לגניבת מידע, אך ביצוע פשעים כאלה הפך למסובך יותר עם הכרטיסים האלה לעומת כרטיסים עם פס מגנטי.

תקן ה-NFC

בחברת אבטחת המידע ESET מסבירים כי תקשורת לטווח קרוב, או NFC, שהיא התפתחות של תקן הזיהוי באמצעות תדר רדיו (RFID), הופיעה כתקן חדש לתשלום לאחר שנת 2015. באמצעות הטכנולוגיה הזאת, הכרטיסים מבוססי-הצ׳יפים המקוריים הפכו לשימושיים עוד יותר, מכיוון שכעת במקום להכניס אותם למסופי תשלום ולמכשירי כספומט, כל מה שנדרש הוא הצמדה להתקן תשלום תומך NFC כדי להעביר את התשלום.

מה נכלל בהגדרה של מכשיר תשלום? נוסף על כרטיסים נטולי מגע, כיום גם טלפונים יכולים להציע את האפשרות הזאת באמצעות שירותים כמו Apple Pay או Google Pay, שמאפשרים לכם להשתמש בטלפון להעברת תשלומים לאחר העלאת פרטי הכרטיס שלכם לשירות.

התהליך שמאפשר את התשלום באמצעות תקן NFC פועל באופן דומה יחסית ל-Bluetooth או למערכות תקשורת אלחוטית אחרות, והוא משתמש בגלי רדיו כדי להפעיל ולאמת את המידע המועבר. הנתונים מפוענחים לאחר מכן באמצעות אנטנה. במקרה הספציפי של העברת תשלום, המסוף מקבל מידע מהטלפון, והמידע הזה מעובד ומאושר כדי לבצע את ההעברה.

בשל הטווח הקצר במיוחד של תקן NFC, הוא לא שימושי להעברת כמויות נתונים גדולות. בניגוד ל-Wi-Fi או Bluetooth, הוא איטי יותר ושני המכשירים נדרשים להיות קרובים אחד לשני. זה דומה במידה מסוימת להעברת קבצים באמצעות אינפרא-אדום הזכורה מהעבר, שפעלה באופן דומה אך הייתה הרבה פחות נוחה מכיוון שלא עבדה לעיתים קרובות: היה עליכם להיות מדויקים מאוד בנוגע למיקום הטלפונים, והחיישנים היו צריכים כמעט לגעת אחד בשני (הנה מדריך ישן שמסביר כיצד זה פועל).

עד כמה NFC בטוח?

אם היישום העיקרי של התקן הזה הוא סיוע בהעברת תשלומים ללא מגע, ניתן להניח שהתקן הזה בטוח לחלוטין, לא?

הוא כן, פחות או יותר. בהשוואה לשיטות תקשורת אלחוטית אחרות, הרבה יותר קשה ליירט את התקשורת בשל הקרבה הנדרשת כדי ליצור תקשורת בין שני מכשירים, אך זה לא אומר שהוא חסין לחלוטין מפני סוגים מסוימים של מתקפות סייבר.

אחת משיטות ההתקפה הנפוצות ביותר הנוגעות לתקשורת אלחוטית הן מתקפות ״אדם בתווך״ (Man in The Middle – MiTM). כדי שמתקפה כזאת תוכל להתבצע, יש צורך בכלי מסוים (ציוד, אתר מזויף, כתובות דוא״ל) שיירט את התקשורת בין שני מכשירים או משתמשים, ולאחר מכן יצפין את הנתונים הנדרשים ויעביר אותם לתוקף. זו אחת הסיבות לכך שרשתות אלחוטיות ציבוריות הן כל כך מסוכנות – לא נדרש הרבה כדי להקים נקודה חמה מזויפת עם שם זהה לשם העסק או המיקום, ומכיוון שהרבה אנשים ירצו להשתמש ברשתות כאלה, עבריין יוכל ליירט את הנתונים המגיעים ממכשירים שמשתמשים בנקודות החמות האלה בקלות רבה.

האם מתקפות ״אדם בתווך״ רלוונטיות לתקשורת בתקן NFC? במידה מסוימת. אמנם האיום קיים מבחינה טכנית, אך הוא לא ישים בשטח, ממספר סיבות: הראשונה, כדי ליירט תקשורת NFC, הקורא צריך להיות די קרוב לכרטיס או לטלפון כדי שהנתונים הנדרשים יתקבלו. השנייה, ההאקר יזדקק לכלי מיוחד כדי לעשות זאת בהצלחה. למען האמת, יהיה הרבה יותר פשוט לגנוב את הכרטיס או הטלפון עצמם.

ככלל, ניתן לפרוץ מסופי תשלום. אך, בניגוד לשכפול כרטיס פשוט, תקשורת NFC מוצפנת ומצורף אליה סמן ייחודי (טוקן), מה שאומר שיהיה קשה לשכפל כרטיס, מכיוון שהמידע שבו מוסתר.

עם זאת, אל תניחו שאנשים לא ינסו להיתקל בכם פיזית ״בטעות״ כדי לקבל את פרטי הכרטיס, ומכיוון שמתקפות על מפתחות אלחוטיים לרכבים עדיין, כרטיסי אשראי וטלפונים עדיין נמצאים בסכנה.

אל תתייחסו לאבטחה כמובנת מאליה

אמנם טכנולוגיית NFC היא בטוחה יותר, במיוחד בנוגע להעברת תשלומים, אך זה לא אומר שהיא חסינה לחלוטין, שכן גורמים זדוניים יכולים לנצל חולשות מסוימות בקלות רבה כדי להשיג את מה שהם רוצים.

לדוגמה, בשנת 2021 חוקר הדגים מתקפה שבה הוא השתמש באפליקציית Android כדי ״לנופף לשלום״ למכשירי כספומט עם אפשרות NFC כדי לפרוץ אליהם. זה היה אפשרי הודות לבאגים מסוימים בתוכנה שבמכשירים אלה, וייתכן שמצב דומה קיים גם במסופי תשלום מסוגים אחרים.

פגמים במערכות ופרצות אבטחה יהיו קיימים לעולם, ולכן ספקי ביטוח סייבר דורשים התקנת טלאי אבטחה כתנאי מקדים לכיסוי ביטוחי.

בנוסף, מכיוון שתשלומים מבוססי NFC תוכננו במטרה להיות נוחים יותר, אין צורך באימות נוסף (כמו קוד אישי) כמו זה שנדרש בכרטיסים מבוססי-צ׳יפים למשל. כך, אם מישהו מצליח לגנוב את כרטיס האשראי עצמו, הוא יוכל לבצע תשלומים ללא רשותכם מבלי להידרש להזנת קוד (עד סכום מסוים), והסכום הזה עשוי להיות גבוה – בהתאם למגבלות שהגדרתם.

תשלומים בטלפון – האם הם בטוחים יותר?

כפי שהוזכר לפני כן, גם בטלפונים יש יכולות NFC. אך האם הם בטוחים יותר? מכיוון ש-Apple Pay, Google Pay ושירותים אחרים דורשים אבטחה נוספת בדמות קוד אישי, טביעת אצבע, סריקת פנים או אמצעי אימות אחר שעשוי להיות זמין במכשיר שלכם, אכן יש אבטחה נוספת לעומת כרטיס תומך NFC. בנוסף לכך, שני שירותי התשלום עובדים רק לאחר הפעלה יזומה, וכך הסיכוי לכך שמישהו פשוט יבצע תשלום מהמכשיר שלכם קטן בהרבה. בנוסף, שימוש ב-Apple Pay או Google Pay לא מעביר את פרטי החשבון שלכם, ובמקרה של אובדן המכשיר, די קל לכבות את השירותים האלה מרחוק.

בדומה לכך, שעונים חכמים הם יעילים מאוד למשימות רבות, אך הפעלת האפשרות לביצוע תשלומים באמצעותם עשויה להיות בעייתית, בעיקר מכיוון שאין צורך באימות נוסף מלבד הזנת קוד אישי כדי לפתוח את נעילת השעון. ההנחה היא שהעובדה שהשעון נמצא על פרק כף היד של בעלי השעון היא סוג מסוים של אימות. עם זאת, כדאי לזכור שניתן לגנוב שעונים, ואם הם מוגנים רק על ידי קוד אישי בן 4 ספרות (כפי שנהוג במרבית השעונים), ייתכן שהשיטה הזאת לביצוע תשלומים אינה בטוחה מספיק.

כיצד תוכלו להפוך את התשלומים נטולי המגע שלכם לבטוחים יותר

חברת אבטחת המידע ESET מציעה מספר דרכים שיאפשרו לכם להפוך את התשלומים נטולי המגע שלכם לבטוחים יותר:

· נסו להשתמש בחוסמי RFID – אלו כרטיסים קטנים או ארנקים שיוצרים מחסום בין הכרטיס שלכם ובין העולם החיצוני, וכך מצמצמים את האפשרות למתקפות שסורקות את תוכן הכרטיס.

· הגדירו מגבלות תשלום נמוכות יותר – ניתן לעשות זאת דרך הבנק או האפליקציה של הבנק, שם תוכלו להגדיר מהו הגבול העליון של סך התשלום שניתן לבצע בתשלום נטול מגע.

· השתמשו בתשלומים מהטלפון – אמנם באפליקציות האלה יכולים להיות פגמים, אך הן עדיין בטוחות יותר מכרטיסים נטולי מגע, הודות לדרישות האימות הנוספות.

· השתמשו בכסף מזומן – סביר להניח שאין צורך בהסבר נוסף במקרה זה. עם זאת, ייתכן שתחששו מנשיאת כמויות כסף גדולות בארנק שלכם, שיכול להיגנב.

· הימנעו משימוש בשעונים חכמים – בשל האבטחה הנמוכה יותר שלהם, הפעלת האפשרות לתשלום באמצעות שעון חכם עשויה ליצור בעיות.

· השיגו כרטיס נטען – אם אתם מודאגים באופן כללי מנושא התשלום הישיר, השיגו כרטיס נטען לטיולים והשתמשו בו במקום כרטיס האשראי או הטלפון שלכם בזמן שאתם בחופשות.

אלו רק חלק מהשיטות בהן תוכלו להשתמש כדי לבצע תשלומים באופן בטוח יותר. כמובן, אין פתרון אבטחה שיכול לכסות אתכם באופן מלא לחלוטין, אך גם צעדים קטנים ופשוטים מסייעים רבות בהקטנת הסיכוי לתקריות מצערות.

'בחדרי' גם ברשתות החברתיות - הצטרפו!