ATO והסכנה בגניבת פרטי משתמש

פשיעה מקוונת נעשית מתוחכמת ככל שהעולם הדיגיטלי מתפתח. אחד הביטויים המדאיגים של התופעה הוא מתקפות ATO - השתלטות על חשבונות משתמשים (Account Takeover). אלה לא רק קשות לאיתור, אלא גם גורמות לנזקים משמעותיים, הרבה מעבר לגניבת סחורה או חיובים חוזרים.

בשנת 2023, לפי נתוני AARP & Javelin Fraud Study, פשע מקוון של גניבת פרטי משתמשים ייצר הפסדים של 23 מיליארד דולר בשוק האמריקאי. היום, כשהטכנולוגיה משתפרת ונפח העסקאות הדיגיטליות רק גדל, הסכנה הזאת לא הולכת להעלם אלא רק להתעצם ולהשתכלל.

אז מה זה ATO, איך זה נראה בפועל, ואיך אפשר להגן על המשתמשים ועל העסק שלכם מפני זה?

אישה מנטרת נתונים במחשב ובמכשיר הסלולר
תמונה מ- Shutterstock

 

כיצד מתרחש ATO?

כשיוזר כלשהו מצליח להתחבר לחשבון של משתמש אחר, זה נחשב ATO. אירוע כזה יכול לקרות במקרה של פריצת אבטחה למערכת, דרכה דלף מאגר של פרטי התחברות, כלומר פרטי שם משתמש וסיסמה. הבעיה? ברוב המקרים, הפרטים האלה לא שלמים. כאן נכנסים לפעולה הבוטים, שהם תוכנות אוטומטיות שסורקות את המידע ומנסות לבצע אלפי כניסות במהירות שיא, עד שמצליחות לאמת את אחד הפרטים.

ומה שמחמיר את המצב, זו העובדה  שרוב האנשים נוטים  להשתמש באותם פרטי התחברות ביותר מאתר אחד. לכן,  אם אדם המבצע פשע מקוון הצליח לאמת סט אחד של פרטים, הוא בעצם מקבל גישה גם לחשבונות נוספים של אותו המשתמש.

 

איך נראית מתקפת ATO בפועל?

יש לא מעט שימושים שניתן לעשות  עם חשבון שנפרץ. הבולט בהם  הוא מתקפת כופר, בה מאיימים לחשוף או למחוק מידע רגיש אלא אם ישולם סכום כסף נכבד. שימוש זה פחות נפוץ בעולם ה- eCommerce מאחר והחשבון לא מכיל מידע רגיש.

בעולם ה ecommerce, התוקפים פשוט מנסים לרכוש מוצרים עם פרטי המשתמש שגנבו, ואף עשויים לשנות כתובת משלוח על מנת  לגנוב מוצרים פיזיים.

הבעיה שרבים מהתרחישים הללו  עוברים מתחת לרדאר באתרים בהם לא קיימת שכבת אבטחה מתאימה. 

 

אז איך מתגוננים מ- ATO?

מתחילים מוקדם, עוד במעמד ההרשמה וההתחברות לאתר דואגים לבצע אימות זהות של המשתמש, על מנת לראות שלא גנב פרטים ומנסה להונות בעזרתם את המערכת.

כלי מוכר שנעשה בו שימוש נקרא  Two-Factor Authentication, וגם יכול היות מכונה " Two-Step verification " או בעברית "אימות דו-שלבי". אימות דו-שלבי, הוא אחד הכלים היעילים ביותר למניעת הונאות מסוג ATO. גם אם תוקף מצליח להשיג את הסיסמה של המשתמש דרך פישינג, דליפת מידע או ניחוש, הוא עדיין יזדקק לאמצעי אימות נוסף, כמו קוד חד-פעמי שנשלח לטלפון הנייד או למייל של המשתמש. כך נוצרת שכבת הגנה נוספת שמקשה מאוד על התחזות ובפועל עוצרת את מרבית ניסיונות ההונאה והפריצה לחשבונות אישיים.

כלי מוכר נוסף למנוע הונאות רשת, הוא הצלבת פרטי משתמש בתהליך הרישום  אל מול דאטה מאומתת רשמית של רשויות. . כך שכל ניסיון להונות בעזרת פרטים ממוצאים או חצי נכונים ייכשל באיבו.

קיימות כיום מערכות אבטחה שיודעות גם במעמד ההתחברות, לזהות משתמשים שהתנהגותם חשודה למשל, אם משתמש מנסה להתחבר וטועה בסיסמה מספר פעמים - המערכת תחסום את החשבון. הקלדה שגוייה של הסיסמה מספר רב של פעמים עשויה להצביע על ניסיון לפרוץ למשתמש בעזרת ניחוש מושכל של הסיסמה, ולכן המערכת חוסמת את החשבון באתר עד לבירור מעמיק יותר.

במקרים מסוימים המערכת יודעת גם לשלוח התרעה למייל או לנייד של בעל החשבון כדי לדווח לו על ניסיונות התחברות חשודים לחשבונו.

 

איך מונעים שימוש בפרטי אשראי גנובים?

השלב הרגיש הבא הוא שלב התשלום. פושע עם פרטי אשראי גנובים יכול להירשם ולהתחבר כמשתמש חדש ומאומת ולשלם עם כרטיס אשראי לא שלו. אחד מפתרונות האבטחה למעמד התשלום הוא שכבת הגנה של קוד אימות נוסף בניסיון התשלום שנשלח לנייד של בעל כרטיס האשראי, מה שמכונה פרוטוקול אבטחה 3ds dimension secure) 3) תקשורת ואימות פרטים בין מקבל התשלום, מנפיק הכרטיס והתווך ביניהם. קוד האימות נשלח על ידי חברת האשראי לבעלים המקורי של הכרטיס או שמדובר בקוד אימות של סיסמה שהגדיר בעל הכרטיס מול חברת האשראי ורק הוא וחברת האשראי מכירים.

 

 

לסיכום

ATO הוא נושא מהותי מאוד באבטחת אתרים ומחייב שכבות אבטחה חזקות, על מנת שמור על המשתמשים ועל המותג שלכם. הגנה על המשתמשים שלכם היא גם הגנה על המותג שלכם. השתלטות על חשבון גולש היא חוויה לא נעימה שתיזכר והשלכותיה יכולות ללוות אתכם הרבה אחרי שההזמנה בוטלה.