תעשיית הזהויות הגנובות והמזויפות מעלה הילוך, ושם המשחק הוא מהירות

בדיקת זיהוי ואימות היא שלב חשוב בקניות וקבלת שירותים ברשת, אך משתמשים לא מגלים סבלנות לתהליכים איטיים שאינם שקופים להם. איך הופכים את התהליך לאוטומטי, מהיר ואמין?

הכלים העומדים לרשות עברייני הרשת מתבססים על הטכנולוגיות הכי חדשניות בשוק (צילום: Dreamstime)

מאת גבי קוזקוב, מנהל הפיתוח בחברת אותנטיקס

העולם הפך אוטומטי ואנחנו התרגלנו לשירותים שנעשים מרחוק ובשקיפות למשתמשים. אלו כבר לא רק קניות, אלא גם שירותים ממשלתיים, רפואיים, פיננסיים, חינוכיים, טיפוליים ועוד. למרבה הצער, גם פושעי הסייבר מתקדמים עם תהליך הדיגיטציה ומפגינים תחכום וחדשנות – הם מהירים, מדויקים ומצליחים למצוא פרצה חדשה על כל אחת שאנחנו סוגרים.

לא רק תקיפות סייבר הולכות וגוברות – תחום גניבת הזהויות ויצירת זהויות פיקטיביות צומח במהירות, והוא פוגע ללא אבחנה בחברות מסחריות מכל הסוגים ובאנשים פרטיים. זהו לא ענף פלילי שולי: סוחרים מקוונים מוציאים כ-8% מההכנסות השנתיות שלהם על התמודדות עם הונאה; 80% מהונאות כרטיסי אשראי נעשות באמצעות זהויות סינתטיות ועולות לבנקים וחברות האשראי כ-6 מיליארד דולר בשנה; ועל פי חברת אבטחת המידע נורטון, 55 מיליון אנשים פרטיים נפגעו כתוצאה מגניבת זהות. בני 60 ומעלה הם הקורבנות הנפוצים ביותר, ואחד מתוך 50 ילדים הוא קורבן לגניבת זהות.

לרוץ מהר יותר

אם בעבר כדי לבצע עבירות הונאה ומרמה היה צריך לגנוב תעודה אמיתית, להשקיע בזיוף ידני או לרכוש ציוד כמו מצלמות ומדפסות מיוחדות, הרי שהיום תחום ההונאה ברשת כבר ממוסחר, והכלים העומדים לרשות עברייני הרשת הם מגוונים ומתבססים על הטכנולוגיות הכי חדשניות בשוק. כדי לזייף תעודת זהות למשל רק צריך לקנות מאגרי מידע של תמונות ומידע אישיים המוצעים למכירה בדארקנט, בעלות לא גבוהה אפשר להשיג בקלות טמפלטים של תעודת זהות מכל מדינה בעולם וביוטיוב יש לא מעט סרטוני הדרכה מושקעים שמלמדים כיצד לזייף תעודות רשמיות. כל אלה עושים את חיי הפצחנים (האקרים) לקלים מתמיד – העלויות הנלוות לתעשיית הזיופים שוליות, ואין צורך בהכשרה מיוחדת.

איך זה עובד בפועל? הפצחנים מאמצים תבניות מזויפות ומריצים סקריפטים באמצעות בוטים שמנסים, בתהליך אוטומטי וחזרתי, לחדור עם אותו תיעוד למספר רב של ארגונים עסקיים. ניסיונות החדירה יכולים לארוך כמה ימים עד שבועות, ולפי המידע שאספנו כל תבנית שמופיעה באוקראינה לדוגמה, תופץ ביעילות לכל העולם בתוך שבועיים. כדי לעמוד בקצב הזה אנחנו משתדלים לרוץ מהר יותר, להיות מעודכנים בתעשיית ההונאה ולפתח עוד שכבות טכנולוגיה מתקדמות יותר. ההשראה? טכנולוגיות שבעבר שימשו לאבטחת נכסים אסטרטגיים.

האבולוציה של גניבת הזהויות

טכנולוגיות מתקדמות בשוק מאפשרות לזהות שימוש חורג בזהות מסוימת או בזהות החשודה כמזויפת ביעילות שאי אפשר להשיג בזיהוי ידני. אבל כדי לגלות זיוף דיגיטלי דרושים כלים דיגיטליים עמוקים יותר, כיוון שהזייפנים התמקצעו.

האבולוציה של גניבות הזהות החלה בגניבה פיזית של כרטיס אשראי ותעודות מזהות ששימשו לפתיחת חשבונות בנק, ריקון חשבונות קיימים ורכישת מוצרים ושירותים. אבל כל זה לא נחוץ יותר: הפצחנים עברו להשתמש בזהויות פיקטיביות שהם יוצרים בעצמם כמו פאזל – מחברים תמונה של אישה מארה"ב למשל עם ת.ז של גבר מאיטליה ויוצרים זהות חדשה שלמעשה אינה קיימת, אך בפועל מאפשרת להם לגנוב בשקט, כי מי יזכור שהתמונה הזאת הופיעה אתמול או לפני כמה חודשים תחת שם אחר ועם נתונים אחרים?

כך הפצחנים זיהו פלח שוק נוח ומשתלם – על פי ITRC, עלות גניבת זהות למשתמש קצה עומדת על 800 דולר. אבל יש לכך עוד השלכות: ילדים שזהותם נגנבה מבלי שההונאה התגלתה, יתקלו בקשיים בקבלת אשראי והלוואות כבגירים. מעשים פליליים שנעשים באמצעות זהות גנובה עלולים לגרום להעמדה לדין פלילי של הקורבנות, אם ההונאה לא התגלתה.

מרוץ חימוש קלאסי

ההונאות הללו גורמות גם להפסדים ולפגיעה במוניטין של חברות מסחריות, ולכן הן חייבות להעביר את המשתמשים שלהן תהליכי אימות. הבעיה היא שתהליכים אלה לא תמיד מהירים מספיק עבור המשתמשים. למשל, כשאתם מזמינים מונית או ארוחת צהריים באפליקציה, אתם מצפים שהכל יתקתק, אך בזמן ההזמנה מתבצע תהליך אימות שאתם בעצם לא יודעים עליו, ואם משהו מתעכב יותר מדי זמן סביר שתנטשו אותו.

כדי למנוע עזיבת משתמשים יש לבצע את כל בדיקות הזיהוי והאימות במהירות ובשקיפות מלאה למשתמשים. מכונה עושה את זה מהר וביעילות בהשוואה לבדיקות ידניות-אנושיות, ובשוק אפשר למצוא טכנולוגיות אוטומטיות לאימות זהויות שמטרתן לחשוף מקרי הונאה במהירות ובלי להפריע או להאט את חוויית המשתמש.

הפתרונות האלו משלבים מגוון טכנולוגיות מתקדמות המסייעות בניטור, איתור וזיהוי של גניבת זהויות. בין הטכנולוגיות ניתן למנות יכולות OCR, זיהוי מסמכים, עיבוד תמונה, עיבוד פנים ביומטרי, אימות גיל, למידת מכונה, שימוש ברשתות נוירונים כדי לזהות זהויות סינטטיות מזויפות, יכולות מתקדמות להצלבת מידע מאירועים שונים על ציר הזמן וכן היתוך מידע אלקטרוני (EDV) שנשאב ממאגרי תוכן ברחבי העולם, לצורך מתן אינדיקציה על זהויות המצויות ברשימות שחורות בינלאומיות (AML ,PEP ,OFAC).

לעומת טכנולוגיות אלה, פתרונות אחרים בשוק המבוססים על זיהוי ידני לא יכולים להגיע ליעילות של גילוי ועיבוד מידע בכמויות גדולות ובטווחי זמן קצרים. מערכות אוטומטיות מסוגלת לגלות יותר הונאות, גם רטרואקטיביות, ובהן הונאות שנעשו על ידי זהויות גנובות או סינטטיות ושמעולם לא נחשפו.

אסור לנו להתעלם מהעובדה שאנחנו מצויים במרוץ חימוש קלאסי. תעשיית ההונאה שועטת קדימה ואם ניתן להם להוביל את המרוץ הזה, הנזקים יהיה קולוסאליים. במבט לעתיד, האתגרים של הכוחות שמבקשים לשמור על העולם הדיגיטלי בטוח רק מתעצמים עם כניסתם לשימוש של טכנולוגיות ושירותים חדשים. המשימה של חברות המתמחות בגילוי הונאות היא לאפשר לאנשים ליהנות מהתועלת והיתרונות של העולם החדש, ובאותה העת לשמור עליהם מהאיומים הנלווים.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

3 תגובות על "תעשיית הזהויות הגנובות והמזויפות מעלה הילוך, ושם המשחק הוא מהירות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אבי
Guest

כמה אנחנו מוגנים?
מה דעתכם הקושי לזייף תעודה ביומטרית ישראלית?

nope
Guest

לא קל מאוד, אבל ממש לא קשה לצערנו
זה בהנחה שהמאגר הביומטרי לא פרוץ (כי בנקודה כלשהי הם כבר המשיכו את הפיתוח שלו בדלתיים סגורות ולא הסכימו לפרסם אותו כדי לא לקבל ביקורת ממומחי אבט"מ ישראליים)

מישהו
Guest

פרוץ רצח

wpDiscuz

תגיות לכתבה: