אם בעבר כדי לבצע עבירות הונאה ומרמה היה צריך לגנוב תעודה אמיתית, להשקיע בזיוף ידני או לרכוש ציוד כמו מצלמות ומדפסות מיוחדות, הרי שהיום תחום ההונאה ברשת כבר ממוסחר, והכלים העומדים לרשות עברייני הרשת הם מגוונים ומתבססים על הטכנולוגיות הכי חדשניות בשוק.
כדי לזייף תעודת זהות למשל, רק צריך לקנות מאגרי מידע של תמונות ומידע אישיים המוצעים למכירה בדארקנט או אפילו ברשתות החברתיות. בעלות לא גבוהה אפשר להשיג בקלות טמפלטים של תעודת זהות מכל מדינה בעולם וביוטיוב, יש לא מעט סרטוני הדרכה מושקעים שמלמדים כיצד לזייף תעודות רשמיות. כל אלה עושים את חיי ההאקרים לקלים – העלויות הנלוות לתעשיית הזיופים שוליות, ואין צורך בהכשרה מיוחדת.
חברת Au10Tix (אותנטיקס) מתמחה באימות זהויות משתמשים ומשמשת חברות ענק רבות ביניהן פייפאל, אובר ו-AIRBNB, ופועלת כדי למנוע בדיוק מקרים כאלה. "זהויות סינתטיות זה סוג של פרנקנשטיין", מסביר רון עצמון, יו"ר ומייסד החברה. "לוקחים חלקים שונים של דברים אמיתיים שיש להם אחיזה במציאות. למשל השם שלך, הכתובת שלי, תעודת זהות של מישהו נוסף ופנים של מישהו אחר. זה בעצם שימוש בנתונים אמיתיים לשימוש והיכולת לזהות שהזהות הזו מזויפת היא בעייתית".
למה?
"בוא נגיד שהכתובת שאתה גר בה היא איינשטיין בתל אביב, ומישהו משתמש בפרטים האחרים שלך כמו שם ותעודת זהות, אבל כותב כתובת אחרת. זה מספיק כי יש סבירות שבאמת עברת כתובת קיימת ושלא הספקת לעדכן. בעצם לוקחים פרטים מזהים אמיתיים שונים ובונים איתם זהות חדשה. זו זהות סינתטית".
מה זה נותן לגונבי זהויות?
אין ספור אפשרויות. למשל אפשרות ללכת לחברת הביטוח, להתחזות ולקבל החזרים על טיפוליים רפואיים. ברמה היותר מסוכנת, זה משמש עבריינים להלבנת הון. אחת הדרכים היא לנסות ולהשתלט על חשבונות סוחרים באתרים כמו אמזון".
איך עושים את זה?
"נגיד שיש לך חנות באמזון וארנק אלקטרוני בפייפאל, שם יש את הכספים. באחד המקרים שאני מכיר באופן אישי, הזייפן התקשר לחברת הסלולר של אותו בן אדם וטען שהוא איבד את הפלאפון וביקש סים קארד חדש ואמר שהוא שינה כתובת. הוא זיהה עם אחד הפרטים שיש לו כמו תעודת זהות. הוא קיבל את הסים החדש, נכנס לאתר של בנק ובמקש "לאפס סיסמה" – הם שולחים לו SMS לאימות של הקוד וזהו – הוא השתלט על החשבון".
עצמון מסביר שהתופעה נפוצה בכל העולם. "אסיה, אירופה וארה"ב - כל מדינה בעניין 'מלוכלכת' היום. בימים אלה למשל טורקיה הפכה ליעד מועדף על הזייפנים בגלל הנפילה של הלירה הטורקית, אנשים מנסים לחלץ את הכסף שלהם מטורקיה מפני שארדואן עושה להם חיים קשים. הם מחפשים דרכים שונות ומשונות לפתוח חשבונות כדי להוציא משם כסף, מה שפוגע בלירה אפילו יותר".
בישראל, החברה עובדת עם חברת הקורקינטים בירד, שם בני נוער מתחת לגיל 16 מנסים בכל מיני דרכים לזייף את גילם כדי שיוכלו להשתמש בהם. "אותם אנחנו תופסים בקלות כי בני נוער הם לא ממש מתוחכמים. אנחנו די מצליחים לחסום אותם ברמה המידית".
ומה ברמה הבינלאומית?
"יש תנועה ישראלית, אבל היא לא 'מככבת' בניסיונות התקיפה. יש מדינות יותר חזקות מישראל שמתמחות בזה".
אותנטיקס החלה את דרכה לפני 20 שנה כיחידת פיתוח קטנה בחברה לאבטחת שדות תעופה, כשהטכנולוגיה התמחתה בזיהוי של דרכונים מזויפים שנמכרו לממשלות, אבל אז הם גילו כי הכסף הגדול נמצא בתחום של אימות זהויות במערך הבנקאות ובשירותי תשלום אונליין.
"ניסינו להבין איך בעולם הדיגיטלי אפשר לתת מעטפת הגנה דומה לזו שמקבלים בסורק בשדה תעופה למשל. איך אפשר לעשות את זה בסלולרי או בדסקטופ", הוא מסביר. "לפני מספר שנים פיתחנו יכולות להשוות בין פנים לתעודה ברמה מאוד גבוהה ובהמשך גם פיתחנו יכולות דאטה שיעזרו לנו לאמת נתונים. לפני שנתיים יצרנו פלטפורמה שדרכה לקוחות מרחבי העולם שולחם סיגנלים זה לזה כדי ליצור הגנה כוללת - כלומר יצרנו פלטפורמה בה כולם מדברים עם כולם כדי להגן אחד על השני".
לסיום, נתן עצמון כמה עצות לגולשים כדי לשמור על הזהות שלהם. "קודם כל - לא ללחוץ על כל לינק, גם אם הוא נראה הכי שקוף ובטוח בעולם. למשל אם מישהו עושה פורוורד מקבוצת וואטסאפ למשהו או פתאום מגיע SMS של זכאות להלוואה. ההודעות אלה מהאנשים שלא מכירים הן הדבר הכי מפתה אבל צריך להיזהר כי בעולם של היום, ברגע ששחררת נתונים - זה כבר בחוץ. אז תחשבו פעמיים לפני שלוחצים ובטח לפני שאתם משתפים בנתונים אישיים כמו כתובת, תעודת זהות וכו'".
"אם אתה נותן נתונים, תבדקו שהאתר מוכר, תבדקו שיש SSL ב-URL שזה אומר שהעברת הנתונים מאובטחת וגם תחשוב: 'האם אני צריך באמת לתת את הנתון הזה?'. אני אישית למשל עושה הפרד ומשול - את הדברים האישים עושה בכתובת אחת ודברים שקשורים להרשמות וכו' באימייל שונה".