הבנקאי הטלפוני - כבר לא כל כך בטוח...

מתי דיברתם פעם אחרונה עם בנקאי דרך הטלפון?

בשנת 2008 שמתי לב שבמקום להתקשר מהבית או לחכות בתור לבנקאי ניתן להתקשר לבנקאים הטלפוניים מהבנק עצמו, ובחינם. הבנק שלי הציב בכניסה לבנק טלפון פיזי שדרכו יכולתי להתקשר למענה קולי/אנושי ולבצע פעולות. כשבחנתי את הטלפון הבנתי שניתן ללחוץ על כפתור החיוג החוזר ולשמוע את הסיסמאות האחרונות שהוקשו, הבנתי שבעצם ניתן לשחזר את הססמאות של הלקוחות ולדבר בשמם עם הבנק, להעביר כספים וכל זאת בעזרת המרה פשוטה של צלילי החיוג למספרים שהוקשו במכשיר הטלפון על ידי הלקוח האחרון. לאחר שחקרתי את הנושא הבנתי שמדובר בשיטה בשם DTMF שבעזרתה הטלפונים מייצרים צלילים שאותם מזהות מרכזיות הטלפון, כמו המרכזייה של הבנק שמזהה את הלקוח שהקיש ספרות שהבנק נתן לו לצורך לזיהוי אישי בזמן התקשרות למערכת. כלשנותר לי בשלב זה היה למצוא מכשירים ניידים שמסוגלים לבצע את הפענוח של הצלילים (Portable תוכנה ייעודית לפענוח Decoder) או לחלופין- מקלט ותוכנה שיודעת לפענח את הצלילים על המחשב בביתי.

בשלב זה (שנת 2008) דיווחתי לבנק שלי, ומאחר שגיליתי שהפירצה קיימת גם בבנקים אחרים, דיווחתי גם לבנק ישראל (שנת 2009), לפני שאמשיך למצב הנוכחי כיום מבחינת הטיפול של הבנקים אפרט מהו הרקע למערכת הטלפוניה הבנקאית המודרנית, ולמה לבנקים לוקח זמן לשנות את המערכת.

אחד מצעדי הייעול אשר הוכנסו על ידי בנקים רבים בארץ ובעולם, היה פתיחת מוקד טלפוני אנושי אשר מאפשר שיחה עם מוקדן דרך הטלפון’ ואף ביצוע פעולות דרך מענה קולי. שירות זה נועד לייעל את ההמתנה של הלקוח בבנק, ולחסוך משאבי אנוש וכסף, תוך מתן שירות ללקוח בכל מקום שיהיה בו. מוקדים אלו החליפו את הבנקאי, ובמקרים רבים אף הפסיקו את האופציה לדבר עימו טלפונית, צעד נלווה לכך היה חובה של הקמת מערכות לאבטחת מידע דרך מרכזיות הטלפון אשר יאמתו את זהות הלקוח המתקשר וזאת מאחר שהוא נאלץ לדבר עם בנקאי טלפוני, ולעתים אף ללא שיחה עם גורם אנוש דרך מענה קולי כולל ביצוע פעולות.

אמצעי זה בוצע על ידי הזדהות בעזרת הקשת תעודת זהות וסיסמה אשר רק הלקוח קיבל, וכך הבנקאי הטלפוני (או לחלופין- המערכת הממוחשבת) ידע שהוא מדבר עם הלקוח הנכון, ולא עם מתחזה שהתקשר בשמו. מצב זה גרם לבנקים וללקוחות לחשוב שאם הלקוח בלבד יודע את הסיסמה הסודית למערכות הבנק (שבדרך כלל הייתה ארבעה עד שישה ספרות) הרי שביצוע פעולות בחשבון הנם צעד בטוח ללקוח ולבנק. הבנקים הטמיעו את השירות החדש וסיפקו ללקוחות שירות חדש ובצידו פיתוי- הלקוח ישלם עמלות נמוכות במיוחד בזמן השימוש במערכת, ובנוסף יוכל לבצע פעולות דרך הטלפון בכל שעה אפשרית ומכל מקום, גם מסניף הבנק תוך שימוש בטלפון פיזי שהבנק סיפק וזאת תוך ביצוע שיחת חינם וחיסכון של המתנה מיותרת בתור ועמלות ביצוע פעולה מול הפקיד.

וכאן אני חוזר למצב כיום, מצב אשר דורש שינוי מצד הבנקים ומודעות של הלקוחות.

כאשר אתם מתקשרים מטלפון ציבורי של בזק, הטלפון מתוכנת שלא לשמור את ההקלדות שבוצעו בו, מצב זה הנו לצורך שמירה על פרטיות המשתמשים, חשבתם פעם מה קורה בבנק? כאשר הלקוח מקיש את תעודת הזהות והסיסמה מהטלפון שנמצא בבנק, טלפון אשר ברוב המכריע של הבנקים הנו דגם זול ופשוט, הטלפון מבצע שמירה אוטומטית של המספרים האחרונים שהוקשו בו בתוך המכשיר, פעולה זו שומרת במכשיר את המספרים שהקישו לקוחות הבנק בטלפון שהבנק סיפק לשימוש הלקוחות, טלפון זה בתוך המכשיר, פעולה זו שומרת במכשיר את המספרים שהקישו לקוחות הבנק בטלפון שהבנק סיפק לשימוש הלקוחות, טלפון זה הנו טלפון ציבורי שכל לקוח ואדם שנכנס לבנק יכול לגשת אליו ולהשתמש בו.

כעת לאחר שהבנו שהסיסמה שהוקשה לצורך גישה לבנקאי שלנו נמצאת בתוך הטלפון בבנק, כל שנותר הוא ללמוד איך לחלץ אותה משם.

הצלילים שהוקשו בטלפון ניתנים לשחזור על ידי הקשה על כפתור החיוג החוזר (‘Redial’) מאחר שצלילים אלו הנם צלילים שכל טלפון מתוכנת לייצר, כל שנותר הוא להשתמש בתוכנה שיודעת לפענח צליל זה.

ישנה תוכנה מאוד פשוטה לשימוש בעזרת מכשירי IPhone אשר מבצעת את העבודה, תוכנה זו נקראת DTMFdec, את התוכנה ניתן להוריד בעזרת החנות של Apple ה-App-store או בעזרת תוכנה מקבילה בשם Installous.

כעת לאחר שהורדנו את התוכנה כל שנותר הוא לקרב את מכשיר האייפון בזמן שהתוכנה פועלת, או את שפופרת מכשיר הטלפון בבנק למיקרופון של אוזניות ה-IPhone, ולאחר מכן ללחוץ על כפתור החיוג החוזר בטלפון מסניף הבנק. בשלב זה על צג מכשיר ה-IPhone יופיעו הספרות שהלקוח האחרון הקיש, הספרות הראשונות הן מספר תעודת הזהות שלו, והסיסמה, במידה והוא ניווט במערכת בעזרת הקשה על מספרים- גם המספרים האלה יופיעו בצד. כשנתונים אלו בידיכם אתם יכולים להתקשר לבנק (עדיף מתוכנת Skype או מטלפון אינטרנטי אחר, לצורך זיהוי מינימלי שלכם) ולהתחיל לבצע פעולות בחשבון של הלקוח המזדמן אשר התקשר לבנק, מהטלפון שהבנק סיפק לו, וזאת מסניף הבנק עצמו שאמור להיות המקום המאובטח ביותר ללקוח (ולבנק).

מסתבר שכיום לא צריך לשדוד בנק בשביל לקחת ממנו כסף, נראה שיש כספות פתוחות בבנק אשר מפתח מונח לצידן וכל שנותר הוא לקחת את המפתח להיכנס ולצאת עם הכסף בלי שימוש בכוח וכל זאת בעזרת הבנק עצמו. בעיה זו של שימוש בטלפונים לצורך זיהוי לקוחות הנה רגישה אף יותר, וזאת עקב הקלות שבה ניתן להחליף את השפופרת של הטלפון, להכניס לתוכה משדר ולקבל את כל הספרות שהוקשו יחד עם השיחה עצמה לכל מקום שהמשדר מגיע. אני בטוח שידוע לכם על קוראי-שפתיים ומשדרים שמודבקים לכספומטים לצורך שיכפול כרטיס אשראי, אך פענוח של אותות DTMF הנו זול יותר, פשוט יותר לביצוע, ובעל נקודות רבות הנגישות לפענוח קל ומהיר.

שיחות אלו יכולות להיות בנוגע לנתונים הפיננסיים עם הקוד הסודי והסיסמה של הלקוחות, אך יחד עם זאת גם נתונים בריאותיים מקופות החולים (שגם שם מותקנים לעתים טלפונים לשימוש לצורך קביעת תורים).

לגבי פתרונות, חשבתי על מספר פתרונות אפשריים ואני אציג את הפיתרון המהיר, פרצות נוספות שהופכות אותו לבלתי יעיל, ואסיים בהצגת חלק מהפתרונות האפשריים לתיקון המצב.

הפתרון הראשון שלי היה לבצע נטרול של כפתור החיוג החוזר בטלפון שבבנק. בגדול אני חושב שצריכה להיות הסתכלות מחודשת על נושא השימוש בטכנולוגית ה-DTMF כשיטה לזיהוי לקוחות וזאת עקב מורכבות הבעיה. בשימוש בטכנולוגיה זו. כפי שהזכרתי קודם ניתן להחליף את פומית מכשיר הטלפון בבנק שמשמש את הלקוח באחרת זהה חיצונית עם משדר מובנה,תוך קבלת הנתונים על ידי שימוש במקלט במיקום מרוחק ,שיטה זו מבהירה לנו שגם שיתוק האופציה לשימוש בכפתור החיוג החוזר לא תפתור את הבעיה, ולכן דרוש פתרון מקיף ויסודי.

אזכיר בקצרה ארבע דרכים נוספות להמחשת הבעייתיות בשיטת הזיהוי הנהוגה כיום:

• פענוח ישירות מהמכשיר בבנק בעזרת הצמדה של מפענח נייד חיצוני. (לדוגמה: מכשיר IPhone עם תוכנה ייעודית לפענוח)
• פענוח בעזרת החלפה חד פעמית של פומית מכשיר הטלפון תוך שימוש במשדרים מסוגים שונים לצורך קליטת האותות או השיחות כולן. (לדוגמה: בניית מכשיר סלולרי פנימי, משדר אודיו פשוט, מפענח מובנה עם יכולת לשלוח מספרים מעובדים).
• פענוח האותות על ידי ניתור אותות הטלפונים האלחוטיים בעזרת סורק תדרים, וזאת יחד עם חיבור שלו אל מחשב ותוכנת DTMF Decoder.
• ניתור של אותות WiFi ואינטרנט ופענוח של תעבורת הנתונים המתבצעת דרך תוכנות VoIP כגון Google-talk ו-Skype.

כפי שהדגמתי ניתן לבצע פענוח DTMF בעזרת דרכים מגוונות, חלקן מוכרות וחלקן פחות. לדעתי ניתן להמשיך בשימוש בשיטה זו של התקשרות לבנקאי מרוחק לאחר הטמעת מערכת מקיפה של זיהוי לקוחות בעזרת הטלפון.

אני ממליץ בין היתר היתר על:

• שימוש במחולל סיסמאות דינאמי (Token/OTP) כפי שנמצא בשימוש באוניברסיטאות ובחברת PayPal.
• שימוש מוגבר בשאלות הזדהות בזמן ההתחברות.
• הטמעת מערכת לזיהוי קול המתקשר.
• הקשחת מכשיר הטלפון בבנק לדגם ללא אופציה להחלפת השפופרת.

לאחרונה התכוונתי להרצות בנושא מתוך מחשבה שהנושא טופל, בדקתי מדגמית את בנק הפועלים וגיליתי שהפירצה עדיין קיימת שם, לאחר מכן בדקתי את בנק לאומי והתברר שגם הוא השאיר את הטלפון פרוץ. בנק דיסקונט כפי שהבנתי מחזיק טלפונים שונים בסניפים השונים ולכן בחלק מהסניפים הבעיה הייתה קיימת, ואילו באחרים הבעיה כלל לא הייתה. אני לא אכנס לנושא הבנק שלי אבל נראה שגם שם החליטו לחסוך בנושא הטיפול בבעיה, וזאת למרות שלאחר הפנייה בכתב שהייתה לי לבנק קיבלתי שיחה נציג אבטחת המידע של הבנק (עוד בשנת 2008…) לא ברור לי למה, אבל בנק ישראל, למרות הפנייה שלי אליו, כבר בשנת 2009 הזניח את הנושא וזאת עד לפנייה החוזרת שלי לאחרונה (כבר 2011, למי שלא שם לב…).

לצורך העברת הבעיה לכלל הבנקים ישירות לאנשי אבטחת המידע השתדלתי להעביר להציף וליידע את הבנקים לגבי הבעיה ישירות בעזרת גורמים שונים. עקב קבלת מסרים שונים לגבי אופי הטיפול בבעיה, ומאחר ששיטת ההזדהות דרך טלפון ציבורי ללא תשלום (בנק, קופות חולים..) בעייתית, החלטתי לפרסם את הבעיה. אני רוצה להאמין שאכן הולך להתבצע מהלך כולל של טיפול בבעיה, אבל יתכן שחלק מהבנקים ינסו להסתפק בנטרול כפתור החיוג החוזר, ולחסוך את הטיפול השורשי בפרצה עקב העלויות הכספיות, וזאת למרות הפגיעה הפוטנציאלית בביטחון הפיננסי של הלקוחות.

חשוב לי שהלקוחות ידעו לשים לב ולהיזהר בזמן ביצוע פעולות טלפוניות בנקאיות, ומאחר שלא מדובר על בעיית תוכנה מקומית לבנק אחד, או לבנקים בישראל בלבד הגעתי למסקנה שאין מנוס מלפרסם את הבעיה לאחר יידוע לגביה של כל הגורמים הנוגעים לנושא במערכת הבנקאית בישראל.

נכון לעכשיו כפי שהבנתי בנק הפועלים ובנק לאומי מטפלים בבעיה של שחזור הספרות ע”י הקשה על כפתור החיוג החוזר מסניף הבנק.

הפוסט הבא נכתב ע”י אמיתי דן, חוקר סוגיות של אבטחת מידע, תוך התמקדות בהשלכות של הטמעת חידושים טכנולוגיים אל תוך מערכות מסורתיות, אמיתי אוהב טכנולוגיה לא פחות ממחשבים, ולכן הוא תמיד מחפש דרכים לשלב את אותו הידע, דבר שלדעתו מקנה יתרון על מתכנת או על איש אבטחת מידע שהגישה וההבנה שלו באמצעים אלקטרוניים הינה ממוצעת ברב המקרים.

בכדי ליצור קשר עם אמיתי אפשר לשלוח הודעות לתיבת המייל:

מצורפים לינקים להדגמות הטכנולוגיה:

תוכנות להורדה למכשיר האייפון:

• http://dtmf-decoder.appspot.com
• http://dreadtech.com/software/dtmfdecoder
• http://itunes.apple.com/app/dtmf-reader/id392514798?mt=8

קטעי ווידאו:

• http://www.youtube.com/watch?v=UohQudD8rnA&NR=1
• http://www.youtube.com/watch?v=JzjALFW7FK0

אמצעי האזנה להטמנה בתוך שפופרת טלפון:

• http://www.spynet.co.il/משדר-מקלט-אלחוטי-להאזנה-לחלל-עד-800-מטר/p-161.htm
• http://www.2spy.co.il/he/productPage.asp?product_id=71

האזנה לשיחות לבנק גם מהסלולר, ומהטלפון האלחוטי בבית:

• http://www.advanced-intelligence.com/telephone.html

תוכנת פענוח DTMF:

• http://www.tapiex.com/PhoneToneDecoder.htm

קיט זול לבניית מפענח DTMF נייד:

• http://www.quasarelectronics.com/3153-audio-dtmf-tone-decoder-display-rs232-output.htm

מפענחי DTMF להפעלה:

• http://www.metrotelcorp.com/99-0550.htm
• http://www.sandman.com/digit.html