פושעים בארה"ב מבצעים מתקפות מאורגנות על חנויות שכונתיות כדי לאסוף כמויות עצומות של נתונים אישיים, למרות המעצר של קבוצת פושעים שהשתמשה באותה שיטת תקיפה. אך גם לנו יש ממי ללמוד. פושעים מנצלים חולשות ברשתות האלחוט ובהנדסת אנוש כדי לאסוף כמויות גדולות של נתוני לקוחות
כנופית גנבים נעצרה החודש לאחר שגנבה עשרות אלפי מספרי כרטיסי אשראי ממסעדות בלואיזיאנה ומיסיסיפי במהלך השנה. בנק אחד אמר כי הפסיד מיליון דולר כתוצאה מהמתקפות. באוגוסט נעצרו 11 אנשים ברחבי ארה"ב על מעורבות בפריצה למאגרים של תשעה סוחרים וגניבת למעלה מ-40 מיליון מספרי כרטיסי אשראי. הם הואשמו בתכנון המתקפה הגדולה ביותר של גניבת זהויות שבוצעה אי פעם בארה"ב.
פרשיות אלה דומות מאוד לאירועי גניבת נתונים שאירעו לפני שנתיים - שכללו את החברות TJX, BJ's Wholesale Club, בארנס אנד נובלס ודייב וברסטר שלכולם היתה אחראית קבוצה אחת. אך נראה כי המקרים הולידו גל של חיקויים של אנשים שהשתמשו בפגיעויות מוכרות ברשתות האלחוטיות בבתי העסק כדי לשלוף מספרים של כרטיסי אשראי.
באירלנד התחפשו גנבים לעובדי בנק ושיטו בעלי חנויות בכך שגרמו להם לתת להם גישה למסופי הכרטיסים והצליחו להוריד 20 אלף מספרים של כרטיסי אשראי. גם הם הצליחו לנצל חולשות באבטחה בתוך החנויות, אך שיטת הפריצה שלהם היתה חצופה יותר. ארגון שירותי הסליקה האירי הזהיר כי אנשים המתימרים להיות עובדי בנקים איריים שכנעו כמה בעלי חנויות כי הם מבצעים עבודות תחזוקה על מערכות קופה רושמת (point-of-sale) בשמם של הבנקים. הדבר איפשר להם להכניס מערכות אלחוטיות הדוחפות את המידע לאינטרנט, ולאחר מכן ניצלו את כרטיסי האשראי מעבר לים.
הפרשה גרמה לכך שהבנקים האירים נאצלו להגביל את משיכת הלקוחות שיצאו לחו"ל ל-200 דולרים ביום. המשטרה המקומית מסרה כי הצליחה להשיג תצלומי טלוויזיה במעגל סגור של הפושעים.
המתקפות החדשות מראות שלמרות המעצרים ההמוניים, התשתית בבתי העסק הקטנים עדיין לא מספקת הגנה על נתונים אישיים כה רבים. מועצת תקן האבטחה PCI פרסמה לאחרונה עדכון ורענון לתקנים לבתי עסק המטפלים בכרטיסי אשראי.
תובנות איי פי וי סקיוריטי
פריצה לרשתות אלחוטיות הינה אחת מן הדרכים הקלות ביותר כיום עבור פורצים בכדי לחדור אל רשתות ארגוניות. הסיבות העיקריות לכך הן אבטחתן הלקויה במרבית הארגונים מחד, ונגישותן הקלה עבור פורצים מאידך. בניגוד לרשתות נייחות, אין עוד צורך לחדור פיזית אל הבניין - מספיק להימצא מחוץ לבנייני החברה ולהשתמש במחשב נייד או להסתייע במקלט אלחוטי ובעזרתם לחדור אל הרשת האלחוטית.
נוסף על כך - בארגונים רבים עדיין לא הופנמו הסיכונים הפוטנציאליים הרבים הגלומים ברשתות אלחוטיות ובהתקנים אשר עושים בהן שימוש נרחב (דוגמת iPhones, מכשירים סלולריים אחרים והתקני כף יד נוספים). איי פי וי סקיוריטי מבצעת בדיקות של רשתות אלחוטיות באמצעות כלים של חברה בינלאומית מובילה בתחום ה-Wi-Fi Security אשר לה פתרונות לניטור רשתות אלחוט כנגד נסיונות פריצה וחסימת תוקפים עם גילויים.
החברה ביצעה במהלך החודשים האחרונים מספר פרוייקטים בהם בוצע Security Audit מלא על כלל התקני האלחוט בארגונים, ואשר עם סיומם ניתנו המלצות נקודתיות לגבי האיומים שנתגלו וכן דרכי פתרון מומלצות.
שאלה קוראים
האם יש לכם מדיניות מוגדרת אותה כל העובדים מכירים לגבי איזה התקנים אלחוטיים מותר להם (או לא) לחבר למחשב? באיזה מנגנוני הצפנה אתם משתמשים ברשת האלחוטית ומה יעילותה...!
