מאת: איתי אמויאל, מנהל המכירות של המגזר הפיננסי בישראל, יוון וקפריסין בחברת F5
עולם הבנקאות עבר תמורות עצומות בעשור האחרון והטמיע בתוכו אלמנטים מתרבות הצריכה היומיומית של הציבור הרחב. עם זאת, מספר רב של משתמשים מעוניינים לבצע פעולות בנקאיות ופיננסיות מבלי לבקר בסניף הבנק ומבלי להשתמש באפליקציה הבנקאית, דבר שהביא לפריחתו של מודל ה"קנה עכשיו, שלם מאוחר יותר" (BNPL – Buy Now Pay Later) ולמהפכה בתעשיית התשלומים. מודל זה גם הביא לפתחו של המשתמש איומי סייבר הדורשים תכנית הגנה מדויקת והדוקה.
כיצד פועלות מערכות BNPL?
שירותי BNPL, המוצעים על ידי חברות פינטק או בנקים, מאפשרים לקמעונאים לספק לצרכנים מנגנון תשלום חלופי, הכולל מסגרת אשראי ופריסת תשלומים ללא ריבית. תהליך התשלום כולל סריקת קוד QR, שימוש בטלפון לאישור העסקה או הזנת סיסמה חד פעמית שנשלחה לטלפון. קיימים ספקים רבים ל-BNPL, בהם שמות בולטים דוגמת Affirm, Afterpay, Zip, Pay in 4 של PayPal, Sezzle ועוד.
שירות BNPL הפך לאטרקטיבי יותר מפתרונות אחרים, כגון כרטיסי אשראי, הלוואות, או תכניות מימון, בשל חווית לקוח טובה, שכן הוא משחרר את הלחץ מהצרכן בעת ביצוע קניות און-ליין או ברשתות הקמעונאות הפיזיות ומועיל הן לעסקים והן לצרכנים. אולם, ההצלחה של BNPL, תלויה בשמירה על חווית משתמש, דבר שניתן לבצע אם מקפידים על שלושה עקרונות חשובים: חווית תשלום פשוטה הדורשת כמה קליקים; חווית משתמש עקבית בכל אתרי האינטרנט; תשלום ללא דמי שימוש; ולבסוף – אשראי מידי, ללא תהליך אישור ארוך.
לאבטחת הסייבר יש חלק משמעותי בשמירה על חווית משתמש טובה, כמובן. אולם, השיטות שמאפשרות זאת הן לרוב אותן שיטות שבהן נוכלים משתמשים כדי לבצע הונאות.
טכניקות הונאה בפעולה
תוקפים משתמשים בטכניקות שונות כדי לרמות את מערכות ה-BNPL. התעשייה הבנקאית והפיננסית כבר מכירה כמה מהשיטות שבהן משתמשים התוקפים:
- השתלטות על חשבון: שירותי BNPL בדרך כלל מספקים ברירת מחדל של קו אשראי לחשבון חדש, כאשר מסגרת ההלוואות בדרך כלל גדלה עם גיל החשבון והיסטורית העסקאות והתשלומים. נוכלים יוצרים חשבונות מזויפים כדי לנצל אשראי ברירת מחדל. הם משתמשים בשילוב של טכניקות, כולל פישינג, זליגת הרשאות (credential stuffing) ו'שיבוט' כרטיסי SIM (SIM card cloning) כדי להרוויח כסף על חשבון מישהו אחר.
- ניצול לרעה של קו האשראי המוגדר כברירת מחדל עבור חשבונות חדשים: רוב מערכות ה-BNPL מאפשרות לצרכנים להירשם בפשטות על ידי מתן עותק של מסמכים להוכחת זהות (כגון רישיון נהיגה) ו/או כתובת עדכנית (כגון חשבונות חשמל). רמאים יוצרים חשבונות מזויפים באמצעות מסמכים דומים שהושגו מהודעות דואר גנובות או פריצות למידע, ולאחר מכן משתמשים באותה הרשמה פשוטה כדי לקבל את קו האשראי להיכרות המוצע לצרכנים לגיטימיים. במקרים מסוימים, רמאים משתפים פעולה עם סוחרים כדי להמיר את קו האשראי הזה לכסף מזומן.
- החזרים בכרטיס אשראי גנוב: רוב שירותי ה-BNPL מאפשרים לצרכנים להסדיר הלוואות באמצעות כרטיסי אשראי. נוכלים מנצלים את התכונה הזו ומשלמים את חובותיהם באמצעות פרטי כרטיסי אשראי גנובים. עבור הסוחר, עסקאות כאלה מובילות להחזרים והוצאות אחרות לצורך יישוב ההונאה.
תכנון הגנה חזקה
כדי לעמוד בפני מנגנוני התקיפה השונים בהם משתמשים נוכלים, ספקי שירותי BNPL נדרשים ליישם מספר בקרות אבטחה של מניעה ואיתור. הללו צריכים לכלול מנגנונים לזיהוי המשתמש וכוונתו. הנה חלק מהבדיקות הנחוצות למערכות BNPL:
אימות המשתמש במהלך תהליך ההרשמה: רוב מערכות ה-BNPL מאפשרות תהליך הרשמה ללא מאמץ, כאשר המשתמש מעלה מסמכים כדי להוכיח את זהותו. תהליך זה צריך להיות חסין מטעויות אך ללא מורכבות יתרה. לכן, מערכות BNPL צריכות לכלול אימות ביומטרי (כלומר, טביעת אצבע, פנים או גורמים אחרים) עם בדיקת liveness. יש לכלול גם בדיקות של מסמכים מזויפים (כגון הולוגרמות או אי התאמה של גופנים) כחלק מתהליך ההרשמה על מנת למנוע יצירת זהות מזויפת.
איתור ומניעת השתלטות על חשבון: שירותי BNPL נדרשים להגן מפני השתלטות על חשבונות של משתמשים חוקיים. הדבר דורש סדרה של בדיקות הכוללות:
- זיהוי ניסיונות אוטומטיים וידניים שלcredential stuffing ויישום אמצעי נגד, כגון הגבלת תעריפים והקפאת חשבונות על בסיס זמן ההתחברות.
- איסוף וניתוח מידע נוסף בקונטקסט של המשתמש, דוגמת מכשיר משתמש, מיקום ושעה ביום, תוך שילוב מידע זה עם גורמי אימות אחרים.
- הטמעת מערכת אימות רב-גורמי חזקה מבוססת סיכונים.
הגנה מפני שימוש בכרטיסי אשראי גנובים: הטמעה ואכיפה של פרוטוקול 3D Secure עבור כרטיסי אשראי לשיפור מניעת הונאות כרטיסי אשראי.
איתור חריגות: איסוף טלמטריה על נתוני עסקאות של המשתמש, כולל מידע על נקודות קצה, ושימוש באלגוריתמים של למידת מכונה כדי לזהות חריגות בעסקאות, כמו שיתוף פעולה בין קונה-מוכר.
בסופו של דבר, מערכות BNPL מגדילות את כוח הקנייה של הצרכנים עם פנייתם לקהל הרחב ומתן הלוואות ללא ריבית, ואף מספקות יתרון על פני מנגנוני הלוואות אחרים שהמגזר הפיננסי משתמש בהם. זהו מודל חדשני המתאים לדינמיקה הנוכחית של השוק – עם זאת, נוכלים אינם צריכים לשנות יותר מדי כדי להצליח. שיטות, כמו השתלטות על חשבון והונאת חשבון חדש, כבר הזיקו בעבר לדירוג האשראי של משתמשים באמצעי תשלום אחרים וכעת הם מהווים איום דומה על משתמשים במערכות BNPL.
הרגולציות על חברות פינטק משתנות בין אזורים שונים בעולם, אך חברות נדרשות לפרוס בקרות אבטחה כדי להגן מפני שימוש לרעה במערכת, בהן זיהוי וחסימת כוונות זדוניות מבני אדם ובוטים, הטמעת מערכות אימות והרשאה מבוססות סיכונים, פיתוח תהליכי הצטרפות חכמים המשלבים בינה מלאכותית כדי לנטרל שימוש במידע גנוב, ניטור פעילויות חריגות במחזורי החיים של חשבונות ועסקאות ועוד.