הפעם זה התחיל בסופר
בדרך ליציאה, הבחנתי בעמדה שבה הוצגו אריזות ריקות של כרטיסי אשראי, לאחר בחינה של המוצר תהיתי האם ניתן יהיה לרכוש טעינה של הכרטיסים תוך שימוש ביתרת ה'תן ביס', וזאת לצורך עזרה יעילה לידידה בבידוד, התשובה בקופה הראשית הייתה שאין על מה לדבר, ורק מזומן או אשראי יאפשרו לרכוש כרטיסים נטענים אלו.
לאחר כניסה לאתר רשת המזון מתוך עניין ולצורך קריאה על השירות, הבנתי שמדובר בכרטיסים בשם easyway מסוג מסטרקרד אשר מונפקים על ידי אחד הבנקים.
קצת רקע, כרטיסי אשראי נטענים (Prepaid cards) הם לדעתי מוצר מבורך, שמאפשר בין היתר קניה עם סיכונים מופחתים, והתנהלות ללא מזומן גם לאנשים שמוגבלים מבחינה פיננסית, המחיר הוא עמלות גבוהות של רכישת הכרטיס וטעינה שלו.
בארצות הברית מדובר בשירות נפוץ מאוד, וניתן להיכנס לבית מרקחת ולצאת עם כרטיס נטען חד פעמיים אנונימי בצורה קלה ויעילה, תוך שימוש במזומן ללא צורך בהזדהות.
בארץ, עד לאחרונה הייתה ספקית גדולה אחת ששיווקה את המוצר במגבלות הרגולציה המקומית (רכישה והטענה מול הזדהות מלאה עם תעודת זהות) ולמיטב ידיעתי מלבד ספקיות קטנות לא הייתה להם תחרות של ממש.
אחד מהבנקים בישראל הצטרף לשוק זה, ובמקביל לכרטיסי Prepaid אחרים שהוא משווק כמו כרטיסי שכר נטענים לעובדים ללא חשבון בנק, הושק גם כרטיס נטען בשיתוף אחת מרשתות המזון הגדולות בארץ, וכך גם אני הכרתי את השירות, יש לציין שרשת המזון לא קשורה ישירות לבעיה שמצאתי, אך לקוחותיה כמו גם לקוחות אחרים שהחזיקו בכרטיסים היו בסיכון פוטנציאלי.
לאחר שהבנתי שהבנק הוא המנפק, נכנסתי לאתר הבנק לקרוא על המוצר ולקבל פרטים נוספים
כשקראתי את השאלות והתשובות בעמוד העזרה הייעודי הנותן שירות לכלל כרטיסי הprepaid שהבנק מנפיק (כרטיס שכר, כרטיס אש"ל לעובדים וכרטיס אנונימי חד פעמי) שמתי לב למשהו מוזר, כמענה לשאלה "כיצד ניתן לבדוק את היתרה ופעולות אחרונות שבוצעו בכרטיס?" הבנק מפנה לאתר בכתובת easyway.com
למרות שמיתוג הכרטיסים אכן נקרא easyway, הדומיין היה נראה חשוד, לא ישראלי (com.) ולא מעורר ביטחון.
בנוסף, כמענה לשאלה "מה ניתן לעשות במקרה בו הכרטיס נגנב או אבד?" הבנק הפנה ללינק אחר השייך לבנק
easyway.bankjerusalem.co.il.
למרות שלא התכוונתי לבדוק את אבטחת השירות, הבנתי שככל הנראה יש כאן טעות אנוש שעלולה לעלות בבטיחות הלקוחות, אם באמת הבנק מפנה לכתובת שאיננה נכונה ומישהו זדוני יאתר את הטעות של הבנק וינצל זאת לרעה תוך פתיחה של אתר המתחזה לכזה שמספק שירותים למחזיקים בכרטיסי האשראי שהבנק מנפיק.
לאחר גלישה לכתובת easyway.com הגעתי לעמוד לא מאובטח שמראה פרסומות, ואת הכיתוב:
"!The domain easyway.com may be for sale by its owner"
נראה שהבעלים של הדומיין משתמש בשירות של חברה מתווכת לצורך איתור רוכש פוטנציאלי
כניסה ללינק מפנה לאתר שדרכו נמסרות ההצעות לרכישת הדומיין, ולכאורה הוצעו 26 הצעות עד כה ולכן ההצעה הבאה חייבת להיות 25,000$.
בדיקת whois עכשווית והיסטורית לא הראתה קשר לבנק, וגם בדיקות ארכיון האינטרנט לא הביאו לתוצאה המיוחלת.
בשלב זה הבנתי שכדאי שהבנק יקבל פניה בנושא, ויתקן את הקישור לדומיין שהשתרבב לאתר הבנק.
Timeline:
07.03.2021
איתור ואבחון הבעיה
08.03.2021
פניה הועברה לבנק ירושלים דרך ה CERT במערך הסייבר הלאומי והתקבל מיד אישור קבלה
09.03.2021
יום לאחר מכן הועברה תשובה שהבנק טיפל בנושא (כפי שאכן בוצע).
