אוכלים במסעדות ? פרצת אבטחה
אתמול בערב , יצאנו אני ובת זוגתי לארוחת ערב חביבה באחת המסעדות האהובות עלינו , כדי לטעום קצת מהמטבח היפני המשובח. ואכן היה כך , האוכל היה מעולה והחשבון היה גבוה יחסית כבכל מקום שבו השף לובש בנדנה עם אותיות מדיאלקט לא נודע.
ובכן , בסוף הארוחה הגשתי את כרטיס האשראי שלי על מנת לשלם את החשבון , וכפי שקורה מידי פעם - קיבלתי את נייר החשבון בצורה שאני מאוד מתנגד אליה , ומופיעה במקומות רבים אשר רובם - מסעדות.
על מה בעצם אני מדבר ...
כאשר המלצר או בעל העסק מעביר את כרטיס האשראי שלך , מתבצעת סליקה מיידית של החשבון אל מול חברות אשראי שונות כגון SHVA או חברות אחרות אשר ייעודן הוא בעצם לבצע טיוב עסקאות אשראי בזמן אמת על מנת לגבות ולתקף את העסקה אל מול הלקוח ללא ביצוע עתידי. כלומר - פרטי האשראי מועברים בזמן אמת ונבדקים , ולאחר מכן אין בהם עוד צורך.
במסעדה שאכלנו אתמול ( וזו לא המסעדה היחידה שראיתי את זה בה ) הוגש לנו החשבון לחתימה כאשר הפרטים הבאים היו עליו :
תוקף הכרטיס
מס מלא !!! של כרטיס האשראי
וברגע שהייתי חותם עליו - גם שמי.
למעשה , כל אדם בעל גישה לאותה פיסת נייר שהייתי משאיר בעוזבי את המסעדה , או מלצר ממורמר - יכלו בקלות לקחת ממני את הפרטים ולרכוש בצורה מקוונת באינטרנט או בכל מקום אשר נדרשים רק פרטים מזהים של כרטיס - לרכוש על חשבוני ככל שיעלה על רוחם ועד גובה הקרדיט המגיע לי. מובן שאת מס תעודת הזהות היו צריכים להשיג , אבל בואו נהיה כנים - זה לוקח 5 דקות גם למי שאינו מכיר ברזי כריית המידע.
מה שהיה צריך לקרות בפועל , הוא שהפתק אשר אני מקבל מכיל רק 4 ספרות אחרונות מפרטי כרטיס האשראי שלי , ועל פי כן לא ניתן לגלות את כל המספר - וזה אכן מה שקורה ברוב בתי העסק . אבל בשל חוסר זהירות של הלקוח , וחוסר אמינות מסויים מאת המסעדן - קורה מצב בו אחד הפרטים החשובים ביותר שאדם נושא עמו - הופך לאלמנט קל לגניבה.
מובן שמדובר בחוסר מודעות ותכנון לקוי של מערכות הסליקה , אבל אולי פה מתחיל הפתרון - תוציאו גרסאות מעודכנות לקופות הרושמות ! חברות שונות אשר זה כל ייעודן לא יכולות לתת לחברות אשר אותן הן משרתות לפגוע במוניטין שלהן על ידי חשיפת מידע רגיש בצורה כל כך פשוטה.
ובכן , בסוף הארוחה הגשתי את כרטיס האשראי שלי על מנת לשלם את החשבון , וכפי שקורה מידי פעם - קיבלתי את נייר החשבון בצורה שאני מאוד מתנגד אליה , ומופיעה במקומות רבים אשר רובם - מסעדות.
על מה בעצם אני מדבר ...
כאשר המלצר או בעל העסק מעביר את כרטיס האשראי שלך , מתבצעת סליקה מיידית של החשבון אל מול חברות אשראי שונות כגון SHVA או חברות אחרות אשר ייעודן הוא בעצם לבצע טיוב עסקאות אשראי בזמן אמת על מנת לגבות ולתקף את העסקה אל מול הלקוח ללא ביצוע עתידי. כלומר - פרטי האשראי מועברים בזמן אמת ונבדקים , ולאחר מכן אין בהם עוד צורך.
במסעדה שאכלנו אתמול ( וזו לא המסעדה היחידה שראיתי את זה בה ) הוגש לנו החשבון לחתימה כאשר הפרטים הבאים היו עליו :
תוקף הכרטיס
מס מלא !!! של כרטיס האשראי
וברגע שהייתי חותם עליו - גם שמי.
למעשה , כל אדם בעל גישה לאותה פיסת נייר שהייתי משאיר בעוזבי את המסעדה , או מלצר ממורמר - יכלו בקלות לקחת ממני את הפרטים ולרכוש בצורה מקוונת באינטרנט או בכל מקום אשר נדרשים רק פרטים מזהים של כרטיס - לרכוש על חשבוני ככל שיעלה על רוחם ועד גובה הקרדיט המגיע לי. מובן שאת מס תעודת הזהות היו צריכים להשיג , אבל בואו נהיה כנים - זה לוקח 5 דקות גם למי שאינו מכיר ברזי כריית המידע.
מה שהיה צריך לקרות בפועל , הוא שהפתק אשר אני מקבל מכיל רק 4 ספרות אחרונות מפרטי כרטיס האשראי שלי , ועל פי כן לא ניתן לגלות את כל המספר - וזה אכן מה שקורה ברוב בתי העסק . אבל בשל חוסר זהירות של הלקוח , וחוסר אמינות מסויים מאת המסעדן - קורה מצב בו אחד הפרטים החשובים ביותר שאדם נושא עמו - הופך לאלמנט קל לגניבה.
מובן שמדובר בחוסר מודעות ותכנון לקוי של מערכות הסליקה , אבל אולי פה מתחיל הפתרון - תוציאו גרסאות מעודכנות לקופות הרושמות ! חברות שונות אשר זה כל ייעודן לא יכולות לתת לחברות אשר אותן הן משרתות לפגוע במוניטין שלהן על ידי חשיפת מידע רגיש בצורה כל כך פשוטה.
| Link 
אז אל תאכל במסעדות.
נתת את הכרטיס למלצר, הוא יכול להעתיק את המספר המלא והשם? יותר מזה, הוא יכול להעתיק את ה-PIN של 3 ספרות בחלק האחורי של הכרטיס? יכול. אז המלצר/קופאי/מסעדן הוא לא גורם איום כי אם הוא כזה הוא יכול לנצל את הכרטיס שלך גם קודם.
שנית, אם אתה חותם את שמך המלא זו בעיה שלך, תחתום בקשקוש כמו כל אחד אחר. אגב אין לזה שום משמעות מכיון שלרוב כשאתה קונה בטלפון הם לא בודקים את השם, רק ת.ז., וזה נתון שאין כרגע למלצר המרושע שלנו.
שלישית, אני לא יודע כמה אתה מכיר את סכמת המספור של כרטיסי אשראי, אבל בחלקם החלק היחיד שסודי הוא 4 הספרות האחרונות, היתר הם לעתים לפי סכמה קבועה שקל לפענח.
ואחרון חביב - בשביל זה יש לכרטיס האשראי ביטוח, בדיוק בשביל שימושים בלתי חוקיים כאלה.
Posted by
Anonymous |
1:39 PM
נראה לי שאתה טועה קצת -
תמיד יש את מספר הכרטיס על הטופס לאישור. לא חושב שראיתי אי פעם טופס ללא המספר.
אתה מתכוון לספח - עותק של הלקוח - שאכן מכיל פחות ופחות את מספר הכרטיס המלא.
אודי
Posted by
Anonymous |
11:53 AM
בדיקת מערכת התגובות [מותר?]
Posted by
Anonymous |
12:10 AM
עכשיו אחרי הבדיקה אני יכול לבשר לך שיש בעיה בתגובות בפוסטים שנכתבו אחרי הפוסט הזה.
לטיפולך.
Posted by
Anonymous |
12:12 AM