דילוג לתוכן הראשי

פרצה חמורה בישראכרט מאפשרת ללקוחות לקבל כסף על חשבון החברה!

דמיינו שחברת האשראי תיתן לכם כסף (לא לא לא אני לא מדבר על קאשבק), בטעות לגמרי וככה סתם בלי סיבה, עכשיו תפסיקו לדמיין כי זה קורה! באמצעות שימוש באפשרות להעברת כספים ותשלומים דרך כרטיס האשראי גורם זדוני יכול לקבל במרמה כספים מחברת ישראכרט ולנצל שגיאה שגורמת לכך שישראכרט מחלקת כסף בטעות במקום לגבות.

כיום קיימת אפשרות להעברת כספים ותשלומים דרך כרטיסי האשראי, כפי שמבצעים זיכוי כספי לכרטיס האשראי בביטול עסקה, כך גם ניתן לזכות כרטיס אשראי למטרת משיכת והעברת כספים ובעצם להעביר כסף ללקוח בשיטה שנקראת  Quasi-cash או Cash advance, שיטה זו נמצאת בשימוש נרחב בביצוע תשלומים ברחבי העולם, בה בעצם מפקידים כסף לכרטיס האשראי וחברת האשראי מפקידה לחשבון הבנק של הלקוח.

במהלך ביצוע העברות כספים בדרך הנ"ל התגלתה פרצה חמורה מאוד שגורמת לחברת ישראכרט הפסדים כספיים גדולים, ההפסד נוצר מכך שכתוצאה מזיכויים בכרטיסי אשראי במט"ח (דולר ויורו למשל) החברה למעשה *משלמת עמלה ללקוחות* במקום לגבות עמלה עבור המרת מט"ח, העמלה בגובה 2.9% משולמת כ-"בונוס" ללקוח בכל עסקה!, תשואה שלא תקבלו באף מקום בעולם 😊 . בעת משיכת כספים לכרטיס האשראי חברת ישראכרט מבצעת בטעות זיכוי גם לעמלת ההמרה כמו שקורה במקרים של ביטול עסקה וזאת למרות שאין עסקת מקור שבוטלה ובכך מפסידה בצורה כפולה, הן את הרווח שהייתה אמורה להשיג והן את הכסף שהיא משלמת  ללקוחות כעמלה בזיכוי שיוצא מ-"כיסה" של החברה *למי שלא ידע, כשאנו קונים למשל בעלי אקספרס ומשלמים בדולרים עבור מוצר שעלה 1,000 ₪ אנו משלמים בעצם 1,029 ₪ בגלל אותה עמלה.

מטה חברת כרטיסי האשראי ישראכרט. הנושא דווח למנהלים בכירים מספר פעמים, אך לא תוקן.  צילום: (אוראל כהן)

ניתן לראות בדוגמא הבאה שתי משיכות יום אחרי יום, שבה בכל אחת ישראכרט העבירה לחשבון 220 ₪ יותר מסכום המשיכה ("בונוס" ללקוח) והפסידה 220 ₪ נוספים, שאותם הייתה אמורה לגבות כעמלה, סה"כ 880 ₪ הפסד לישראכרט ורווח ללקוח של 440 ₪ בשתי עסקאות קטנות! (סוד קטן זה עובד גם בסכומים גדולים בהרבה ואפשר לבצע את זה ללא הפסקה)

  עקב הזיכוי של העמלה הופקדו 7828 ₪.  במקום  7388 ₪  בכל עסקה.


כמובן שגורם זדוני יכול בצורה זו למשוך כסף לכרטיס ואז להעביר את הכסף ולמשוך אותו שוב ושוב, בכך לעשות רווח על חשבון החברה, לישראכרט הנושא ידוע והחליטו להשאיר זאת כך בכל מקרה, למרות כמות גדולה של עסקאות שמבוצעות כך.

הנושא נבדק בחברת אשראי מתחרה אחרת ונראה שבחברות אשראי אחרות זה מבוצע בצורה תקינה והמערכת מזהה שזוהי פעולת זיכוי ללא עסקת מקור ולא ביטול עסקה ומבצעים חיוב של העמלה מהלקוח ולא נותנים לו "בונוס", הנוסח הבא שמופיע בפרוט "זיכוי ללא עסקת מקור בתאריך XX.XX.XX הומר לש"ח בשער יציג ומסכום זה קוזזה עמלת עסקה במט"ח 2.8%" , מצורפת דוגמא לעסקה שכזו בחברה אחרת.

הפרצה דווחה לחברת ישראכרט בצורה ישירה ונבדקה כבר מספר פעמים במשך תקופה ארוכה מאוד ולא תוקנה עד לרגע זה בצורה מודעת.

ניתן לתקן זאת בשינוי סימון חיוב העמלה משלילי לחיובי ולא ברור מדוע לא מבוצע תיקון, קיים חשש שזה מנוצל באופן מכוון, בעיקר עקב הימצאות הפרצה במשך תקופה כה ארוכה, פשטותה והנראות הבולטת שלה.

יש לכך משמעויות גדולות בעיקר בגוף מרכזי וציבורי שחלק ניכר ממנו בבעלות גופים מוסדיים וקרנות פנסיה.

מישראכרט נמסר- "שהם מודעים לעניין הזה ומדובר מבחינתם בהחלטה עסקית ולא בפרצה".

קשה לי להגדיר החלטה להפסיד כסף כ-"החלטה עסקית" היות והם מפסידים סכומי עתק בכל חודש כבר מספר שנים.

ליאור בן דוד,  יזם, חוקר ומרצה בתחום הסייבר והבלוקצ'יין, חבר בוועדה לנושאי סייבר באיגוד הדירקטורים, בעלים של חברת סייבר ופיתוח, מלווה סטארטאפים כמנטור וכיועץ, בעל תואר שני במנהל עסקים בתכנית EMBA  של בר אילן ומוסמך CISSP  , מתנדב ב-"ידידים" 😊 מעביר דיווחים שוטפים על פרצות אבטחה ומעביר הדרכות לדירקטוריונים לבקרה נאותה על סיכוני סייבר בארגון, ממציא ובעלים של פטנט של מטען חכם.


 


 

 

 

תגובות

MOST VIEWED

האוצר הדיגיטלי שכולם מחלקים בחינם

מכרנו את ספר הטלפונים והפרטיות שלנו- נכתב בשנת 2016 ונותר רלוונטי :) האוצר הדיגיטלי שכולם מחלקים בחינם- הוא לא אחר מספר הטלפונים שלך.... בשנים האחרונות מתחת לאף של כולנו חברות רבות כמו : Truecaller ו- Sync.me אגרו את המידע הזה בצורה מוצלחת כך גם החברות המוכרות יותר לכולנו כמו: גוגל ופייסבוק (וואטסאפ).
פרטיהם האישיים של אזרחים ישראלים רבים- כולל קטינים חשופים!- פרצה באתרי ספריות עירוניות,  מכללות מוכרות ו בתי ספר. התגלו פרצות חמורות באתרי האינטרנט של כ-200 ספריות עירוניות ומוסדות לימוד מוכרים, המשתמשים בשרות חיצוני של חברת "אידאה" מערכות (IDEA Information Systems) המספקת שרות באמצעות אתר " קטלוג המידע הישראלי "  פרצות אלו אפשרו לתוקפים לגשת לפרטים אישיים של אזרחים רבים, בתוכם גם קטינים, בנוסף גם ניתן לראות את היסטוריית השאלת הספרים וסטאטוס השכרות. הפרצות דווחו למערך הסייבר ולרשות להגנת הפרטיות. פרצות אלו התגלו ע"י אושרית אלבלח בוגרת קורס הסייבר "אדירים" והחוקר ליאור בן דוד.  במערכות אלו איפשרו להתחבר עם אמצעי זיהוי יחיד על ידי הקשת "סיסמה" בלבד שניתנה למשתמשים בצורה עוקבת ולא סיסמה אמיתית שנקבעה על ידי המשתמש, מה שאומר שמספיק להקליד את הספרה "3" והתחברת למערכת בתור המשתמש השלישי, מחדל זה אפשר לכל אחד להתחבר  בשמם של אלפי משתמשים עקב פשטות זו ושימוש בנתון יחיד כפי שניתן לראות בדוגמא: באמצעות שימוש בתוכנות מסוימות אף ניתן להעתיק את...