הבנקים בישראל עוברים לשימוש בכרטיסים חכמים ולפחות על פי הכתבה ב-Ynet נראה כי לאומי קארד היא סוג של סנונית ראשונה. המעבר לכרטיסים חכמים אמור להוריד את כמות ההונאות בכ-80% ועל פי נתונים מהעולם נראה כי אכן זה יהיה המצב. בסוף הכתבה מצוין כי החברה אף תתמוך בקידום "נקודות מכירה" (point of sale) ואני רק יכול להניח שהכוונה היא לשימוש בקוד האישי (PIN) בנקודת המכירה, בדומה לקיים בחו"ל (כלומר שבנקודת המכירה יהיה מתקן נייד קטן אותו נושא המוכר ומאפשר הכנסת כרטיס לתוכו והקשת קוד אישי). הנושא של שימוש בקוד אישי בנקודת המכירה כבר העלה בחו"ל ספקות (בעת החלה פרויקט Chip&PIN באנגליה) עקב החשיפה למתקפות בנקודות המכירה. במאמר מעולה של מספר חוקרים בולטים בתחום אבטחת המידע (ביניהם רוס אנדרסון ורונלד ריווסט) הם מציינים כיצד גישה חדשה זו פותחת עולם חדש של מתקפות. לא אפרט כאן את כל המתקפות, אך אציין שהן כוללות הוספת רכיב מאזין לנקודות מכירה, החלפת נקודות מכירה ושרשור נקודות מכירה לביצוע הונאת רכישה.
בנוסף מראים החוקרים כי בפרוטוקול EMV (בו נעשה שימוש בחו"ל וייעשה גם שימוש בארץ) יש כשלים המאפשרים בהטמעה לא טובה דיה להאזין לקודים אישיים של כרטיסים ולפקודות המועברות לכרטיסים ממחשבי הבנק (הם מדגימים זאת על מערכת ספציפית שהם בחנו).
החוקרים מפרטים עוד עולם חדש של מתקפות תחת השם phish and chips שמתייחס למתקפות phishing עתידיות על כרטיסים חכמים.
אם יש משהו שניתן ללמוד מכל הסיפור זה שלא משנה מה הטכנולוגיה, תמיד ישנן מתקפות.
אני אישית חושב שעדיף לשדרג את הכרטיסים לכרטיסים חכמים, אך להישאר עם חתימה על הכרטיס ולהשאיר את הקוד האישי לכספומטים בלבד.
אני מקווה להעלות בקרוב פוסט שיתייחס לסוגיות דומות אך בהקשר של תעודת זהות חכמה, פרויקט שמקדם משרד האוצר.
בבלוג זה
בכל הבלוגים
