בשנים האחרונות הפך מספר הטלפון שלנו להרבה יותר ממספר שבאמצעותו ניתן ליצור עמנו קשר: הוא הפך בפועל לאמצעי הזיהוי המרכזי והחשוב ביותר שלנו בעולם הדיגיטלי. הוא מהווה שם משתמש וסיסמה גם יחד, ולעתים גם תעודת זהות בעת שימוש בשירותים הרגישים ביותר.
אנחנו, למשל, מקשרים את חשבונות אפל, טוויטר, פייסבוק, גוגל, אמזון או אינסטגרם שלנו למספר הטלפון שלנו, ומזדהים באמצעותו באפליקציות מסרים כמו וואטסאפ וטלגרם. אנחנו נרשמים באמצעותו לאפליקציות, ואפילו נכנסים בעזרתו לאתרים של חברת האשראי או קופת החולים שלנו.
מצד אחד, הדבר נוח וחוסך את הצורך לזכור סיסמאות. מצד שני, מספר הטלפון מעולם לא תוכנן להיות מזהה ייחודי עבור אדם, ולכן יותר ויותר מומחים מודאגים שההסתמכות הגוברת על מספר הטלפון כאמצעי לאימות זהות, מעלה סיכונים רבים הקשורים לאבטחת מידע והגנה על פרטיות. "מספר הטלפון הפך למספר הזהות החדש שלכם", כתב ב-2017 החוקר הפרטי תומס מרטין. "זה כמו הצצה לסלון של החיים שלכם".
אמצעי הגנה פרוץ
בישראל, שורה של אתרים ואפליקציות של גופים גדולים במשק, ובהם חברות כרטיסי אשראי, קופות חולים, חברות ביטוח, וחברות כבלים, מאפשרים כניסה ואימות זהות באמצעות קוד חד־ פעמי (OTP) שנשלח דרך סמס במקום סיסמה. לאחר הרשמה ראשונית, צריך להזין מספר טלפון ופרט זיהוי נוסף (למשל, תעודת זהות), כדי להיכנס לחשבון האישי.
גם ענקיות טכנולוגיה כמו אפל, גוגל, פייסבוק ואחרות משתמשות במספר טלפון כשכבת הגנה נוספת בנוסף לסיסמה, או כגיבוי לצורך שחזור סיסמה שנשכחה.
ואולם העובדה שמספר טלפון הפך לאמצעי זיהוי בשירותים כה רגישים, נהפכת בעייתית בשל העובדה שהוא לא נחשב כאמצעי מאובטח במיוחד, כשקל "לגנוב" מאתנו מספר טלפון.
הדרך המוכרת ביותר לעשות זאת מכונה "SIM swapping" (החלפת סים) או "חטיפת סים". למעשה מדובר בגניבת מספר טלפון מאדם במטרה להתחזות לו ולגנוב ממנו מידע. ההאקר מקבל בעלות על המספר שלכם, וכך יכול לקבל במקומכם שיחות או הודעות סמס שמיועדות אליכם. בדרך זו, האקרים יכולים להיכנס בשמכם לחשבון מקוון שדורש הזדהות באמצעות מספר טלפון.
באחרונה נידון סטודנט אמריקאי בן 20 לעשר שנות מאסר בגין גניבת 5 מיליון דולר במטבעות קריפטו, באמצעות חטיפת סים. בשנה שעברה הזהירה חברת הסלולר האמריקאית טי־מובייל את לקוחותיה מפני מתקפה נרחבת מסוג זה.
השיטות לבצע מתקפות דומות לא בהכרח מתוחכמות. למשל, האקרים יכולים להתקשר למוקד השירות של חברת סלולר, להתחזות ללקוח, ולבקש להעביר את מספרו לכרטיס סים חדש שנמצא בבעלותם. האקרים אחרים מגייסים "חפרפרות", ומשלמים לעובדים בתוך חברת הסלולר כדי להעביר את המספר לסים החדש.
בעבר, חוקרים אף גילו חולשות ברשתות סלולר המאפשרות ליירט הודעות סמס. שירותים המספקים זאת נמכרים ברשת האפלה במאות דולרים. עוד שיטות מסתמכות על השתלת וירוסים בטלפון של המשתמש. "אנחנו יודעים על מתקפות שבהן האקרים משתילים על הטלפון סוס טרויאני, וכך מקבלים הודעות סמס שמיועדות לאותו מותקף", אומר לוטם פינקלשטיין, ראש מחלקת מודיעין סייבר בצ'ק פוינט. "היעד שלהם הוא חשבונות הענן, הבנק והחשבונות שדורשים הזדהות כפולה ושולחים קוד אימות בסמס".
כל התרחישים האלה מעמידים בסימן שאלה את האמינות של שיטת הכניסה באמצעות קוד חד־פעמי להודעת טקסט. האקרים עלולים לשים על הכוונת לקוחות ישראלים, להשתלט על מספר הטלפון שלהם, להיכנס לחשבונותיהם הרגישים בחברות האשראי, חברות הביטוח וקופות החולים - ולגנוב משם מידע.
"מספר טלפון מעולם לא היה אמור להיות מזהה ייחודי או אישי לאדם", אומר עו"ד יהונתן קלינגר, מומחה לטכנולוגיה ומשפט. "המנגנון לא יכול להיות בלעדי: צריכות להיות שכבות אבטחה נוספות, כמו זיהוי ביומטרי או סיסמה".
באירופה כבר התייחסו לנושא: במהלך 2019 אמורות להיכנס לתוקף תקנות PSD2, שהן חלק מרגולציה חדשה שאמורה להקל על כניסתם לשוק של גופים פיננסיים חדשים. לפי התקנות, עבור פעולות מסוימות הקשורות לתשלומים דיגיטליים, אין להסתפק רק בשליחת קוד חד־פעמי בסמס לצורך אימות זהות.
"כדי לתת גישה לפעולות מסוימות ורגישות יש צורך באימות באמצעות שלושה גורמים", מסבירה עו"ד ענת אבן־חן, שותפה ומרכזת תחום הרגולציה במשרד ברנע. "משהו שאתה יודע (כמו סיסמה), משהו שיש לך (כמו טלפון) ומשהו שהוא חלק ממך (כמו זיהוי ביומטרי של טביעות אצבע ופנים). אנחנו בישראל עדיין מאחור, והאימוץ של השיטות האלה יהיה הדרגתי. הגופים השונים לא יעשו השקעה בתחום ללא לחץ מהרגולטור — לחץ שכרגע אינו קיים".
ואכן בישראל אין התייחסות ספציפית של הרגולציה לנושא שימוש בקוד חד־פעמי דרך סמס. למשל, הרגולציה של בנק ישראל על חברות האשראי והבנקים מבוססת על עקרונות ולא על כללים, ואינה קובעת מה אמצעי הזיהוי והאימות הספציפיים שיידרשו עבור כל פעילות. ההוראות קובעות עקרונית כי הגדרת רמת הסיכון לכל פעילות וקביעת אמצעי הזיהוי והאימות הנדרשים, נתונות להחלטת הבנקים וחברות האשראי.
"הגופים נמצאים במרוץ, ואם חברה אחת מאפשרת אימות באמצעות סמס, סביר שגם אחרים יאפשרו זאת", מוסיף עו"ד שאול אדרת, ראש תחום בלוקצ'יין וחוזים חכמים בפירמת שבלת ושות'. "הרגולטור נותן כללים עקרוניים, אבל לא משהו מעבר לזה".
מנגד, גורם בכיר באחד הגופים הפיננסיים דוחה את הטענות. "אנחנו לא מכירים מישהו שאומר שצריך להמעיט בשימוש בסיסמה חד־פעמית בסמס, אלא להיפך, שיש להרחיב את השימוש באימות דו־שלבי", אומר הגורם. "ברוב החברות מבחינים בין פעולה רגישה - כמו שחזור קוד סודי - לפעולה שאינה רגישה, כמו צפייה במידע. על מנת לבצע פעולות רגישות, צריך אמצעי זיהוי ואימות נוספים. בכל מקרה, אין פתרונות קסם: גם אמצעי אימות זהות אחרים אפשר לעקוף", הוא מוסיף.
עוד ב-TheMarker
הרדיו יעקוף את הפרינט - ולמה מהפכת דור 5 בסלולר לא תגיע לישראל
אקזיט פנים-ישראלי בתחום המלונאות: פורנובה רוכשת את הוטלס BI
האם זיהוי ביומטרי הוא פתרון?
רבים מאמינים שפתרון טוב יותר יכול להיות אמצעי זיהוי ביומטריים, שמשלבים גם נוחות, גם אמינות וגם בטיחות. לדברי אבירם סיבוני, מנכ"ל חברת מולטיסנס שמספקת פתרונות ביומטריים לזיהוי לקוחות, כניסה לחשבון אישי, למשל באתר של חברת אשראי או בנק, באמצעות קוד לסמס, אינה מספיק מאובטחת - פשוט כי אין דרך לדעת שהאיש שמחזיק בטלפון וקורא את ההודעה הוא אכן בעל החשבון. לכן לטענתו, יש להשתמש באמצעי זיהוי ביומטרי - כמו טביעת אצבע או זיהוי פנים.
מולטיסנס ההולנדית, שהוקמה על ידי ישראלים, נכנסה באחרונה לפעילות עם לקוחות בישראל. היא הקימה ביחד עם קבוצת תקשוב וחברת MED1 חברה בשם מולטיסנס ישראל בע"מ, שתשווק ותפיץ פתרונות - כמו זיהוי פנים בעזרת מצלמת סמארטפון, זיהוי דיבור, טביעת אצבע וזיהוי דופק - ללקוחות ישראלים. היא פעילה בתחומי הבנקאות, הביטוח, מרכזי השירות הטלפוניים, בקרת כניסה לאירועים ועוד.
משתמש שנכנס לאתר של בנק ששילב את הטכנולוגיה של מולטיסנס, מתבקש לבצע הזדהות ביומטרית לפני שהוא מקבל לנייד את הקוד המאפשר כניסה לחשבון. "אנחנו מייתרים לחלוטין את הסיסמאות", אומר סיבוני, "וגם אין צורך בשליחת הודעות סמס, שאותן קל מאוד ליירט".
מולטיסנס אינה היחידה. יש מגוון חברות בישראל ובעולם שמציעות אמצעי אימות ביומטריים, שעשויים לצבור תאוצה ככל שתגדל ההבנה שמספרי טלפון אינם מספיק אמינים ובטוחים.