חוקרי אבטחה מבית ThreatFabric התגלה
טקטיקה חדשה לפדיון כספים גנובים בשם "Ghost Tap". תוכנית זו מאפשרת לפושעי סייבר להשתמש בטכנולוגיית NFC כדי לבצע עסקאות אנונימיות בנתוני כרטיסי אשראי גנובים המקושרים לשירותי תשלום ניידים כגון Google Pay ו- Apple Pay.
מהות השיטה היא העברת ממסר של תעבורת NFC בין מכשירים, המאפשרת לבצע עסקאות במרחק ניכר מהמיקום בפועל של הכרטיס. פושעים משתמשים בכלים זמינים כמו NFCGate, שפותחו במקור למטרות מחקר. גישה זו מאפשרת להרחיב את הפעולות באמצעות "פרדות" לביצוע רכישות במיקומים גיאוגרפיים שונים תוך זמן קצר.
כדי ליישם את Ghost Tap, הרמאים מקשרים כרטיסים גנובים למכשירים על ידי השגת קודי OTP דרך אתרי דיוג או תוכנות זדוניות לנייד. לאחר מכן, נתוני הכרטיס מועברים למכשיר הפרד, אשר מבצע רכישות בחנויות. הדבר מקשה על גילוי פושעים מכיוון שהעסקאות נראות כמו עסקאות רגילות ממכשיר בודד.
הבעיה המרכזית של הבנקים ומערכות התשלומים היא הקושי בזיהוי עסקאות אלו. השימוש במצב "מטוס" וסכומי רכישה קטנים מקשים על פעילות מערכות נגד הונאה. יחד עם זאת, פושעים יכולים להוציא במהירות סכומים גדולים על ידי חלוקתם להרבה עסקאות קטנות.
הפופולריות הגוברת של התקפות NFC נובעת מהיעדר מנגנוני זיהוי יעילים. כדי להילחם בתוכניות כאלה, המוסדות הפיננסיים זקוקים למערכות ניטור משופרות שיכולות להסביר מיקומי מכשירים ומסוף לא תואמים, כמו גם התנהגות חשודה של לקוחות.
Ghost Tap מדגים כיצד כלים טכנולוגיים שנוצרו למטרות מחקר הופכים להונאות חזקות. המאבק באיומים מסוג זה דורש שיתוף פעולה בין מוסדות פיננסיים, מפתחי טכנולוגיה ורשויות אכיפת החוק. רק מאמצים משותפים יסייעו לעצור את ההתפתחות של תוכניות כאלה.
גוגל הקדישה 15 שנים לבניית תרבות פנימית שמטרתה למזער את הסיכון לתביעות משפטיות. כפי שנודע לפי הגשת כתבי בית המשפט בשלושה תיקי הגבלים עסקיים, עובדי החברה קיבלו הוראה שיטתית להימנע מנושאים חמים, לא להשתמש בסרקזם, ולשקול היטב את הערותיהם.
בנוסף, בשנת 2008 הציגה החברה מחיקה אוטומטית של היסטוריות הצ'אט, וכל העובדים עודדו להוסיף עורכי דין כנמעני מייל, גם אם הנושאים שנדונו לא נוגעים לחוק.
שופטים שדנו בתיקים מתחו שוב ושוב ביקורת על גוגל על שיטות כאלה. אחד מהם, ג'יימס דונאטו, כינה זאת "תרבות מערכתית של דיכוי ראיות", וציין שהתנהגות כזו מאיימת על שלמות הצדק.
משרד המשפטים האמריקאי ציין גם כי גוגל נמנעת מיצירת בסיס תיעודי המתאים להליכים. באחד המקרים נחשף כי החברה השמידה הודעות באופן שיטתי באמצעות כלי מסרים מיידיים עם פונקציית מחיקת היסטוריה אוטומטית.
פעולות כאלה לא מצאו חן בעיני הרגולטורים. ועדת הסחר הפדרלית (FTC) ומשרד המשפטים הזכירו לחברות שתקשורת אלקטרונית חייבת להישמר כמסמכים מחייבים מבחינה משפטית, במיוחד לנוכח האיום בהתדיינות משפטית.
גוגל אומרת שהשינויים נועדו "למטב" תהליכים ולמזעור מידע מיותר. ואולם, ממסמכים שהוצגו בבית המשפט עולה כי החברה ניסתה באופן שיטתי לטשטש עקבות מהדיונים.
חלק מעובדי גוגל, שחששו מאחריות, המשיכו לעקוף את הכללים החדשים. לדוגמה, לאחר שינוי מדיניות שמירת ההודעות בשנת 2023, חלק מהעובדים עברו לשליחים סגורים לתקשורת לא רשמית.
תיקי ההגבלים העסקיים נגד גוגל מתמקדים במידה רבה בדומיננטיות של החברה בשווקי הפרסום המקוון ומנועי החיפוש. יחד עם זאת, מדגישים בתי המשפט כי הפרקטיקות הנ"ל פוגעות באמון בתאגידים גדולים, ויוצרות אשליה של סודיות.
מומחים משפטיים סבורים כי לאסטרטגיה כזו הייתה השפעה הפוכה: במקום להגן על המוניטין, היא העלתה ספקות לגבי השקיפות של החברה. זה מערער את האמון בגוגל ומגביר את החשדות לגבי חוסר הגינות שלה.
אלכסנדר אנטיפוב
קישור למקור
