הבנקאי הטלפוני- כבר לא כל כך בטוח...


[במקור: fusionanomaly.net] 
 
 
מתי דיברתם פעם אחרונה עם בנקאי דרך הטלפון?

בשנת 2008 שמתי לב שבמקום להתקשר מהבית או לחכות בתור לבנקאי ניתן להתקשר לבנקאים הטלפוניים מהבנק עצמו, ובחינם. 
הבנק שלי הציב בכניסה לבנק טלפון פיזי שדרכו יכולתי להתקשר למענה קולי/אנושי ולבצע פעולות. כשבחנתי את הטלפון הבנתי
שניתן ללחוץ על כפתור החיוג החוזר ולשמוע את הסיסמאות האחרונות שהוקשו, הבנתי שבעצם ניתן לשחזר את הססמאות של
הלקוחות ולדבר בשמם עם הבנק, להעביר כספים וכל זאת בעזרת המרה פשוטה של צלילי החיוג למספרים שהוקשו במכשיר הטלפון
על ידי הלקוח האחרון. לאחר שחקרתי את הנושא הבנתי שמדובר בשיטה בשם DTMF שבעזרתה הטלפונים מייצרים צלילים שאותם
מזהות מרכזיות הטלפון, כמו המרכזייה של הבנק שמזהה את הלקוח שהקיש ספרות שהבנק נתן לו לצורך לזיהוי אישי בזמן התקשרות
למערכת. כלשנותר לי בשלב זה היה למצוא מכשירים ניידים שמסוגלים לבצע את הפענוח של הצלילים (Portable DTMF Decoder)
או לחלופין- מקלט ותוכנה שיודעת לפענח את הצלילים על המחשב בביתי.

בשלב זה (שנת 2008) דיווחתי לבנק שלי, ומאחר שגיליתי שהפירצה קיימת גם בבנקים אחרים, דיווחתי גם לבנק ישראל (שנת 2009),
לפני שאמשיך למצב הנוכחי כיום מבחינת הטיפול של הבנקים אפרט מהו הרקע למערכת הטלפוניה הבנקאית המודרנית, ולמה לבנקים
לוקח זמן לשנות את המערכת.
 

אחד מצעדי הייעול אשר הוכנסו על ידי בנקים רבים בארץ ובעולם, היה פתיחת מוקד טלפוני אנושי אשר מאפשר שיחה עם מוקדן דרך
הטלפון' ואף ביצוע פעולות דרך מענה קולי. שירות זה נועד לייעל את ההמתנה של הלקוח בבנק, ולחסוך משאבי אנוש וכסף, תוך מתן
שירות ללקוח בכל מקום שיהיה בו. מוקדים אלו החליפו את הבנקאי, ובמקרים רבים אף הפסיקו את האופציה לדבר עימו טלפונית, צעד
נלווה לכך היה חובה של הקמת מערכות לאבטחת מידע דרך מרכזיות הטלפון אשר יאמתו את זהות הלקוח המתקשר וזאת מאחר שהוא
נאלץ לדבר עם בנקאי טלפוני, ולעתים אף ללא שיחה עם גורם אנוש דרך מענה קולי כולל ביצוע פעולות.

אמצעי זה בוצע על ידי הזדהות בעזרת הקשת תעודת זהות וסיסמה אשר רק הלקוח קיבל, וכך הבנקאי הטלפוני (או לחלופין- המערכת 
הממוחשבת) ידע שהוא מדבר עם הלקוח הנכון, ולא עם מתחזה שהתקשר בשמו. מצב זה גרם לבנקים וללקוחות לחשוב שאם הלקוח
בלבד יודע את הסיסמה הסודית למערכות הבנק (שבדרך כלל הייתה ארבעה עד שישה ספרות) הרי שביצוע פעולות בחשבון הנם
צעד בטוח ללקוח ולבנק. הבנקים הטמיעו את השירות החדש וסיפקו ללקוחות שירות חדש ובצידו פיתוי- הלקוח ישלם עמלות נמוכות
במיוחד בזמן השימוש במערכת, ובנוסף יוכל לבצע פעולות דרך הטלפון בכל שעה אפשרית ומכל מקום, גם מסניף הבנק תוך שימוש
בטלפון פיזי שהבנק סיפק וזאת תוך ביצוע שיחת חינם וחיסכון של המתנה מיותרת בתור ועמלות ביצוע פעולה מול הפקיד.

וכאן אני חוזר למצב כיום, מצב אשר דורש שינוי מצד הבנקים ומודעות של הלקוחות.

כאשר אתם מתקשרים מטלפון ציבורי של בזק, הטלפון מתוכנת שלא לשמור את ההקלדות שבוצעו בו, מצב זה הנו לצורך שמירה על
פרטיות המשתמשים, חשבתם פעם מה קורה בבנק? כאשר הלקוח מקיש את תעודת הזהות והסיסמה מהטלפון שנמצא בבנק, טלפון
אשר ברוב המכריע של הבנקים הנו דגם זול ופשוט, הטלפון מבצע שמירה אוטומטית של המספרים האחרונים שהוקשו בו בתוך
המכשיר, פעולה זו שומרת במכשיר את המספרים שהקישו לקוחות הבנק בטלפון שהבנק סיפק לשימוש הלקוחות, טלפון זה בתוך
המכשיר, פעולה זו שומרת במכשיר את המספרים שהקישו לקוחות הבנק בטלפון שהבנק סיפק לשימוש הלקוחות, טלפון זה הנו טלפון ציבורי שכל לקוח ואדם שנכנס לבנק יכול לגשת אליו ולהשתמש בו.

כעת לאחר שהבנו שהסיסמה שהוקשה לצורך גישה לבנקאי שלנו נמצאת בתוך הטלפון בבנק, כל שנותר הוא ללמוד איך לחלץ אותה
משם.

הצלילים שהוקשו בטלפון ניתנים לשחזור על ידי הקשה על כפתור החיוג החוזר ('Redial') מאחר שצלילים אלו הנם צלילים שכל טלפון
מתוכנת לייצר, כל שנותר הוא להשתמש בתוכנה שיודעת לפענח צליל זה.

ישנה תוכנה מאוד פשוטה לשימוש בעזרת מכשירי IPhone אשר מבצעת את העבודה, תוכנה זו נקראת DTMFdec, את התוכנה
ניתן להוריד בעזרת החנות של Apple ה-App-store או בעזרת תוכנה מקבילה בשם Installous.

כעת לאחר שהורדנו את התוכנה כל שנותר הוא לקרב את מכשיר האייפון בזמן שהתוכנה פועלת, או את שפופרת מכשיר הטלפון
בבנק למיקרופון של אוזניות ה-IPhone, ולאחר מכן ללחוץ על כפתור החיוג החוזר בטלפון מסניף הבנק. בשלב זה על צג מכשיר
ה-IPhone יופיעו הספרות שהלקוח האחרון הקיש, הספרות הראשונות הן מספר תעודת הזהות שלו, והסיסמה, במידה והוא ניווט
במערכת בעזרת הקשה על מספרים- גם המספרים האלה יופיעו בצד. כשנתונים אלו בידיכם אתם יכולים להתקשר לבנק (עדיף
מתוכנת Skype או מטלפון אינטרנטי אחר, לצורך זיהוי מינימלי שלכם) ולהתחיל לבצע פעולות בחשבון של הלקוח המזדמן אשר
התקשר לבנק, מהטלפון שהבנק סיפק לו, וזאת מסניף הבנק עצמו שאמור להיות המקום המאובטח ביותר ללקוח (ולבנק).
  
מסתבר שכיום לא צריך לשדוד בנק בשביל לקחת ממנו כסף, נראה שיש כספות פתוחות בבנק אשר מפתח מונח לצידן וכל שנותר
הוא לקחת את המפתח להיכנס ולצאת עם הכסף בלי שימוש בכוח וכל זאת בעזרת הבנק עצמו. בעיה זו של שימוש בטלפונים לצורך
זיהוי לקוחות הנה רגישה אף יותר, וזאת עקב הקלות שבה ניתן להחליף את השפופרת של הטלפון, להכניס לתוכה משדר ולקבל את
כל הספרות שהוקשו יחד עם השיחה עצמה לכל מקום שהמשדר מגיע. אני בטוח שידוע לכם על קוראי-שפתיים ומשדרים שמודבקים
לכספומטים לצורך שיכפול כרטיס אשראי, אך פענוח של אותות DTMF הנו זול יותר, פשוט יותר לביצוע, ובעל נקודות רבות הנגישות
לפענוח קל ומהיר.
 
שיחות אלו יכולות להיות בנוגע לנתונים הפיננסיים עם הקוד הסודי והסיסמה של הלקוחות, אך יחד עם זאת גם נתונים בריאותיים
מקופות החולים (שגם שם מותקנים לעתים טלפונים לשימוש לצורך קביעת תורים).

 
לגבי פתרונות, חשבתי על מספר פתרונות אפשריים ואני אציג את הפיתרון המהיר, פרצות נוספות שהופכות אותו לבלתי יעיל, ואסיים
בהצגת חלק מהפתרונות האפשריים לתיקון המצב.
  
הפתרון הראשון שלי היה לבצע נטרול של כפתור החיוג החוזר בטלפון שבבנק. בגדול אני חושב שצריכה להיות הסתכלות מחודשת
על נושא השימוש בטכנולוגית ה-DTMF כשיטה לזיהוי לקוחות וזאת עקב מורכבות הבעיה. בשימוש בטכנולוגיה זו. כפי שהזכרתי 
קודם ניתן להחליף את פומית מכשיר הטלפון בבנק שמשמש את הלקוח באחרת זהה חיצונית עם משדר מובנה,תוך קבלת הנתונים
על ידי שימוש במקלט במיקום מרוחק ,שיטה זו מבהירה לנו שגם שיתוק האופציה לשימוש בכפתור החיוג החוזר לא תפתור את הבעיה,
ולכן דרוש פתרון מקיף ויסודי.


אזכיר בקצרה ארבע  דרכים נוספות להמחשת הבעייתיות  בשיטת הזיהוי הנהוגה כיום:
  • פענוח ישירות מהמכשיר בבנק בעזרת הצמדה של מפענח נייד חיצוני. (לדוגמה: מכשיר IPhone עם תוכנה ייעודית לפענוח)
  • פענוח בעזרת החלפה חד פעמית של פומית מכשיר הטלפון תוך שימוש במשדרים מסוגים שונים לצורך קליטת האותות או השיחות כולן. (לדוגמה: בניית מכשיר סלולרי פנימי, משדר אודיו פשוט, מפענח מובנה עם יכולת לשלוח מספרים מעובדים).
  • פענוח האותות על ידי ניתור אותות הטלפונים האלחוטיים בעזרת סורק תדרים, וזאת יחד עם חיבור שלו אל מחשב ותוכנת DTMF Decoder.

כפי שהדגמתי ניתן לבצע פענוח DTMF בעזרת דרכים מגוונות, חלקן מוכרות וחלקן פחות. לדעתי ניתן להמשיך בשימוש בשיטה זו
של התקשרות לבנקאי מרוחק לאחר הטמעת מערכת מקיפה של זיהוי לקוחות בעזרת הטלפון.

אני ממליץ בין היתר היתר על:
  • שימוש במחולל סיסמאות דינאמי (Token/OTP) כפי שנמצא בשימוש באוניברסיטאות ובחברת PayPal.
  • שימוש מוגבר בשאלות הזדהות בזמן ההתחברות.
  • הטמעת מערכת לזיהוי קול המתקשר.
  • הקשחת מכשיר הטלפון בבנק לדגם ללא אופציה להחלפת השפופרת.

לאחרונה התכוונתי להרצות בנושא מתוך מחשבה שהנושא טופל, בדקתי מדגמית את בנק הפועלים וגיליתי שהפירצה עדיין קיימת
שם, לאחר מכן בדקתי את בנק לאומי והתברר שגם הוא השאיר את הטלפון פרוץ. בנק דיסקונט כפי שהבנתי מחזיק טלפונים שונים
בסניפים השונים ולכן בחלק מהסניפים הבעיה הייתה קיימת, ואילו באחרים הבעיה כלל לא הייתה. אני לא אכנס לנושא הבנק שלי
אבל נראה שגם שם החליטו לחסוך בנושא הטיפול בבעיה, וזאת למרות שלאחר הפנייה בכתב שהייתה לי לבנק קיבלתי שיחה נציג
אבטחת המידע של הבנק (עוד בשנת 2008...) לא ברור לי למה, אבל בנק ישראל, למרות הפנייה שלי אליו, כבר בשנת 2009
הזניח את הנושא וזאת עד לפנייה החוזרת שלי לאחרונה (כבר 2011, למי שלא שם לב...).


לצורך העברת הבעיה לכלל הבנקים ישירות לאנשי אבטחת המידע השתדלתי להעביר להציף וליידע את הבנקים לגבי הבעיה ישירות בעזרת גורמים שונים. עקב קבלת מסרים שונים לגבי אופי הטיפול בבעיה, ומאחר ששיטת ההזדהות דרך טלפון ציבורי ללא תשלום
(בנק, קופות חולים..) בעייתית, החלטתי לפרסם את הבעיה. אני רוצה להאמין שאכן הולך להתבצע מהלך כולל של טיפול בבעיה,
אבל יתכן שחלק מהבנקים ינסו להסתפק בנטרול כפתור החיוג החוזר, ולחסוך את הטיפול השורשי בפרצה עקב העלויות הכספיות,
וזאת למרות הפגיעה הפוטנציאלית בביטחון הפיננסי של הלקוחות.

חשוב לי שהלקוחות ידעו לשים לב ולהיזהר בזמן ביצוע פעולות טלפוניות בנקאיות, ומאחר שלא מדובר על בעיית תוכנה מקומית
לבנק אחד, או לבנקים בישראל בלבד הגעתי למסקנה שאין מנוס מלפרסם את הבעיה לאחר יידוע לגביה של כל הגורמים הנוגעים
לנושא במערכת הבנקאית בישראל.
 
נכון לעכשיו כפי שהבנתי בנק הפועלים ובנק לאומי מטפלים בבעיה של שחזור הספרות ע"י הקשה על כפתור החיוג החוזר מסניף
הבנק.

 
 
 
הפוסט הבא נכתב ע"י אמיתי דן, חוקר סוגיות של אבטחת מידע, תוך התמקדות בהשלכות של הטמעת חידושים טכנולוגיים
אל תוך מערכות מסורתיות, אמיתי אוהב טכנולוגיה לא פחות ממחשבים, ולכן הוא תמיד מחפש דרכים לשלב את אותו הידע,
דבר שלדעתו מקנה יתרון על מתכנת או על איש אבטחת מידע שהגישה וההבנה שלו באמצעים אלקטרוניים הינה ממוצעת
ברב המקרים.
 
בכדי ליצור קשר עם אמיתי אפשר לשלוח הודעות לתיבת המייל: 
 
 
 
מצורפים לינקים להדגמות הטכנולוגיה:

תוכנות להורדה למכשיר האייפון:
קטעי ווידאו:


אמצעי האזנה להטמנה בתוך שפופרת טלפון: 


האזנה לשיחות לבנק גם מהסלולר, ומהטלפון האלחוטי בבית:
תוכנת פענוח DTMF:

קיט זול לבניית מפענח DTMF נייד:

מפענחי DTMF להפעלה:




תגובות על 'הבנקאי הטלפוני- כבר לא כל כך בטוח...':



#1 

cp77fk4r:
תודה רבה לאמיתי דן על המחקר המעניין שביצע ועל ההחלטה לשתף אותו איתנו. :)
08.03.2011 00:09:57

#2 

Hero (אורח):
חוץ מ - פי אה אין מילים לא עולה לי דרך אחרת לתאר זאת
08.03.2011 00:43:59

#3 

Hero (אורח):
אשמח לראות גם מאמרים על הנושאים האלו כמו כן גם אלקטורניקה כזו או טכנולגיה (:
ובקשר לתגובה הקודמת אמרתי את זה לא בגלל השעה (:
08.03.2011 00:52:07

#4 

Sro (אורח):
סחטין על המחקר.
שמעתי על הבעיה הזו לפני בערך חודש (אולי יותר) בכנס של חברי forums.hacking.org.il. הוא פרסם את זה בעוד מקום, תרגם מאמר, או "רק" בדק את הנושא בארץ?
לגבי הסיום, האקר זה מי שחוקר דברים באופן כללי, ולא רק מחשבים. יעידו על כך כל פורצי המנעולים...
כללית לגבי הבנקים, המצב די מייאש. הבנק שלי דורש מספר אמצעי זיהוי, שמאגר מידע ממוצע, מכיל אותם. בנוסף, ניתן לחייג לבנק, ולא הבנק לבנאדם, כך שניתן פשוט לזייף את המספר של המתקשר (גם את זה באחד הכנסים החביבים של הפורום) ולהשתמש עם זה ביופי של SE.
לגבי טכנולוגיה לזיהוי קול, אני נגד. כשאהיה צרוד ממש אכעס עליהם :)
בכל אופן, תודה על הפוסט, כיף לקרוא (ולהגיב).
08.03.2011 04:32:43

#5 

cp77fk4r:
בקשר לרב השאלות שלך- נחכה לאמיתי, בקשר למה שאמרת על הזיוף של ה-CallerID והנדסה חברתית- לא הבנתי, לא שמור להם מספר הנייד שלך לצורכי זיהוי, כך שבמקרה אם תתקשר ממספר ״שונה״ זה יקפיץ נורה אדומה- לפחות לא בבנק שלי. אני אומר את זה כי לא פעם יצא לי להתקשר ממספרים שונים וכל עוד הכנסתי את הפרטים הנכונים ועניתי על מספר שאלות שאם הייתי תוקף לא היה לי קשה לנחש את התשובה אליהן בעזרת היגיון פשוט (״מדובר בבן אדם צעיר- רב הסיכויים שאין לו משכנתא...״, או כמובן- מהיכרות שטחית / מחקר קצר על הקורבן) - לא עשו לי בעיות.
08.03.2011 06:19:36

#6 

sdimant:
פששששש, סחטיין על המחקר!
עוד לא סיימתי לקרוא אבל הערה קטנה השורה הזאת: "בתוך
המכשיר, פעולה זו שומרת במכשיר את המספרים שהקישו לקוחות הבנק בטלפון שהבנק סיפק לשימוש הלקוחות, טלפון זה" מופיעה פעמיים
08.03.2011 10:11:59

#7 

אמיתי (אורח):
לגבי פרסום הדברים, לא פרסמתי את הנושא בפורום פומבי פיזי אבל אכן דיברתי על הנושא עם מספר אנשים.

אתה צודק שבחודשיים האחרונים השתדלתי להציף את הנושא, לצורך הגברת המודעות וטיפול בבעיה ודבר זה כלל פעולה במספר מישורים.

אני מקבל את התיקון שלך לגבי ההגדרה של מיהו האקר.
בזמן העבודה על הנושא נתקלתי לא פעם בחוסר מודעות לשילוב של טכנולוגיה פיזית עם תוכנה ולכן לדעתי יש יתרון למי שמשלב את הנושאים.

אני מצאתי את הבעיה בישראל ולכן חשוב היה לי לטפל בתיקון שלה לוקלית לפני כל דבר אחר

 
08.03.2011 10:18:21

#8 

שמיל (אורח):
פשוט ואלגנטי- מבריק! :)
08.03.2011 12:09:59

#9 

iTK98se (אורח):
למיטב ידעתי אי אפשר לפענח שיחות סקייפ (משתמשת בקידוד [צופן] קנייני) ושיחות גוגל-טוק (מפתחות פומביים שנשמרים בשרת הראשי).

ובכל מקרה יש מצלמה מעל הטלפון, אז יוכלו לזהות
אותך :).
08.03.2011 12:46:02

#10 

iTK98se (אורח):
במפתחות פומביים (ציבוריים ליתר דיוק) אני מתכוון
לשימוש במפתחות א-סימטרים.
08.03.2011 12:51:09

#11 

The5elEm3nT (אורח):
מבריק ביותר מזמן לא התלהבתי כך ממאמר.
מקווה לטיפול מינימאלי מצד הבנקים, ואם כמה משתמשים יהיו יותר זהירים - מה רע.
08.03.2011 16:23:26

#12 

אמיתי (אורח):
לגבי המצלמה בבנק, צריך לדעת לאן להסתכל..
בנוגע לסקייפ ותוכנות SIP מוצפנות, אתה צודק שזה אתגר כיום בעייתי לפענח את ההצפנה, מה שכן וכפי שמובא בכתבה שאני מצרף, תמיד ניתן להאזין לאותות מעמדת הקצה( מחשב נגוע בסוס טרויאני) ובמקרה זה הצליל שמופק במחשב איננו מוצפן. 

הצעת עבודה שמצאתי בתחום:
http://allforfreelancers.com/getafreelancer/2009/05/DTMF-Decoder-For-Skype-NET-C-C-429079.html

לגבי האזנה לסקייפ ללא פיענוח
http://m.calcalist.co.il/internet/articles/0,7340,L-3359352,00.html
08.03.2011 18:10:23

#13 

Dm12 (אורח):
מאמר מעניין מאוד, כמו אחת התגובות הקודמות כאן- אשמח מאוד לשמוע עוד על הנושא / מקרים דומים. תודה רבה על השיתוף! לפי איך שהתרשמתי ממקרים דומים בעבר, ייקח הרבה מאוד זמי עד שיתקנו את זה באופן גורף בכלל הבנקים או המוסדות שהם יש את הפירצה הנ״ל. כל הכבוד אמיתי!
08.03.2011 18:19:36

#14 

Dw4rf (אורח):
נקודה מאד מעניינת! אם כי אני חושב שהחלפה של השפורפרת המקורית באחת זהה היא פעולה ״רועשת״ מדי, אני מאמין שמדובר בעמדה שיש עליה לפחות מצלמת אבטחת אחת. פוסט מרתק. תודה רבה!
09.03.2011 07:38:36

#15 

iTK98se (אורח):
לא חסרים גניבות שהם עבודות פנים. לכן עובד הבנק יכול להגיע מוקדם (הוא גם יודע מה המצלמה בדיוק מצלמת) ולבצע את הפעולה.

שוב, המאמר הביא את הנושא למודעות, אבל כמו כל
שאר הדברים במדינה שלנו, עד שלא יתבצע מקרה חמור
של מעילה, זה לא באמת יגיע למודעות הרחבה של
הציבור.
09.03.2011 20:18:29

#16 

בן גל (אורח):
אני מסכים עם itk98se, לפי ההתרשמות שלי, באירגונים כאלה, במיוחד בארץ- עד שלא ירוקנו חשבונות ללקוחות והכל יפורסם בעיתונות- לא יתוקן שום דבר.
10.03.2011 18:37:42

#17 

אמיתי (אורח):
יש פעולות שכבר התחילו לבצע,לדעתי החלפה של שפופרת טלפון הינה פחות רועשת מהדבקה של פאנל מזויף על כספומט,ויותר זולה ממנה. ונראה שהדבקה של פאנל מזוייף על הכספומט הפכה להיות יותר ויותר נפוצה.

לגבי עבודות פנים,אי אפשר למנוע מעילה במערכת,אבל ניתן למזער אותה על ידי מיון טוב של העובדים במקומות רגישים יחד עם בדיקות פוליגרף.

אני לא חושב שהמילה מעילה מגדירה נכון את הבעיות שהצבעתי עליהן,הבעיה היא חוסר המודעות לנושא.

לגבי המודעות לבעיה,אני השתדלתי לפנות לאן שראיתי לנכון וללחוץ על מי שנוגע לדבר כדי שיטפלו בבעיה.

החדרת המודעות של לקוחות לנושא,אחרי שהבנקים בישראל כבר מודעים לדבר ולכאורה גם טיפלו בו, היא הסיבה שהפוסט הזה פורסם.

העולם גדול...

אגב רעש,אני מצרף לינקים ששם ניתן פעולה רועשת יותר של כיסוי כספומט בקורא כרטיסי אשראי(ATM (Skimmer שמשדר את נתוני הכרטיסים לשרת חיצוני.

http://krebsonsecurity.com/2011/03/green-
skimmers-skimming-green/

http://krebsonsecurity.com/2010/01/would-you-have-spotted-the-fraud/
12.03.2011 23:29:25

#18 

cp77fk4r:
הסיבה היחידה שבגללה, לדעתי, החלפת השפורפרת היא פעולה _הרבה_ יותר רועשת מהדבקת שפתיים מגנטיות על כספומט היא שעמדות הטלבנק האלה נמצאות בתוך הארגון, לעומת כספומטים שנמצאים ברחוב.יכול להיות שעל כל כספומט שמציבים באמת יש מצלמה שמתעדת 24 שעות, אבל כמו שאני מכיר את הארגונים בארץ, אף אחד לא מסתכל על המצלמה הזאת 24 שעות. משתמשים בה בכדי לבצע פורנזיקה על אירועי פשיעה באופן רטרואקטיבי.

בקשר ללינקים- תודה רבה! :)
12.03.2011 23:37:06

#19 

שמיל (אורח):
אני די נוטה להסכים עם סיפי.
לפני מספר שנים הסתובבה בארץ קבוצה של נערים שהייתה מדביקה קוראי שפתיים על כספומטים באיזור גוש דן, תפסו אותם רק לאחר שהם השתמשו במספרי האשראי הגנובים, ולא בעת הדבקת השפתיים.
13.03.2011 00:39:28

#20 

אמיתי (אורח):
שכנעתם אותי שזה רועש יותר,אבל עדיין זה אפשרי.

אני מצרף לינק לתמונה של טלפון מוקשח הדומה לזה שאגד מטמיעים כנקודת מידע.

http://www.vikingelectronics.com/products/view_product.php?pid=124#

אני מנסה לחשוב על פתרונות אחרים אבל אולי מה שיעזור כאן זה שיחת חינם מהסלולר לבנק : )
13.03.2011 03:21:30

#21 

cp77fk4r:
שמיל, תרשום, אחד-אפס. ;)
13.03.2011 06:27:27

#22 

שמיל (אורח):
רושם רושם... (;
13.03.2011 07:04:30

#23 

iTK98se (אורח):
תעדכנו אותי אם אני טועה, אבל בשני המקרים (גניבת פרטי הכרטיס אשראי דרך "הדבקת שפתיים" וגניבת פרטי החשבון דרך "הטלפון של הבנק") כספו של הלקוח מבוטח, ככה שהמפסיד היחיד הוא בעצם הבנק? מכאן שהפתרון (שמסרב לבוא) יכול להגיע אך ורק מהבנק (להם יש את היכולת לתקן את הבעיה והם "היחידים" אשר יסבלו). המודעות היחידה שאפשר לעורר אצל הציבור הוא מעקב אחרי החשבונות שלהם וחיפוש אחר אבנורמליות.
13.03.2011 07:58:42

#24 

בן גל (אורח):
דיון מעניין.
זה שבשני המקרים הכסף שלך מבוטח לא מקנה לבנק לממש שירותים באופן מרושל... וכן- בכל המקרים הדומים, הפתרון הטוב ביותר הוא להיות עירני בקשר לפעולות בחשבון הבנק שלך.
13.03.2011 19:26:19

#25 

אמיתי (אורח):
רציתי להוסיף מספר דברים, 
הבנק אמור להחזיר את הכסף,אך ישנה תקופת ביניים שבה החשבון מרוקן,חריגה ממסגרת אשראי,והשלכות נוספות שקשה  להעריך ( אתה בחול כשהחשבון נפרץ).

בנוסף יש את הנושא של הריגול העסקי, ושם לא מתבצעת פעולה אקטיבית של העברת כספים, מה שמתבצע זה האזנה לחשבון,ופעולות שמטרתן לקבל אינפורציה מבלי להזיק כחשבון עצמו.

ההשלכות בהמשך הן הבעייתיות.
עם ציוד מתאים ניתן להאזין למכשירי טלפון ביתיים מרוחקים מהמכשיר הסורק, ולכן עמדת סריקה הממוקמת על מגדל דירות Booster להגברת הקליטה של האנטנה,יכולה לתת לנו להגיע למספר רב של טלפונים קוויים ביתיים ושלא.

גם מול חברת אשראי יש זיהוי טלפוני ..
14.03.2011 14:22:30

#26 

bugmeister (אורח):
תוכנה לניתוח DTMF לאנדרואיד
http://goo.gl/V4239V
05.12.2013 11:02:10



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.