השבוע התפרסמו בכל כלי התקשורת כתבות על הונאת הענק של ברנרד מאדוף, מייסד קרן ההשקעות בנסדא"ק, אשר על פי החשד מעל בכספי המשקיעים בהיקף חסר תקדים של כ 50$ מיליארד!!
ע"פ חלק מהמקורות נטען כי מאדוף ניהל למעשה קרן שהייתה פלטפורמה להונאת פונזי (מכונה לעתים הונאת "פירמידה") ולפיה משקיעים וותיקים נהנו מרווחים גבוהים על חשבונם של משקיעים חדשים. ההונאה התגלתה בעקבות המשבר האחרון והקושי בגיוס משקיעים חדשים, אשר הביא לקשיים בהחזר חובות למשקיעים הוותיקים.
בחלק מכלי התקשורת הועלתה הטענה כי שימוש בפתרונות וכלי אבטחת מידע היו יכולים למנוע הונאה שכזו. בין השאר דובר על שימוש בטכנולוגיות של anti-phishing, הזדהות חזקה של הלקוחות וכדומה.
עד כמה שהצלחתי להבין מה בדיוק קרה בהונאה הזו, אני חושב שאף אחד מהפתרונות שהוזכרו לא היו יכולים למנוע הונאה מסוג כזה. הסיפור הזה הוא הונאה מסוג אחר. נבדוק אחד אחד:
הונאות "דיוג" (PHISHING) הן התחזות לאתר מוכר לצרכי גניבת זהות של צרכנים. גניבת סיסמא של לקוח בנק חוסכת להאקר את הצורך בפריצת מערכות מוגנות והוא יכול להכנס בדלת הקידמית לחשבון הלקוח. איך זה עובד? אני כלקוח בנק טיפוסי יכול לפתוח את המייל שלי ביום בהיר ולקבל הודעה מהבנק על עדכון פרטיי כלקוח, בלינק שמצורף נפתח דף שנראה בדיוק כמו דף הכניסה לאתר הבנק, שני קליקים נוספים ואני מגיע למסך בו אני נדרש להקיש את שם המשתמש שלי, את הסיסמא ופרטים נוספים. אני לא חושד בדבר, כי אני מזהה את אתר הבנק כמהימן, הבעיה היא שמדובר בזיוף מתוחכם ובאתר שמתחזה בדיוק מדהים לאתר הבנק שלי. בהונאה כמו זו של מאדוף ההונאה בוצעה ע"י הגוף עצמו ולא ע"י מתחזה. לכן לא ניתן למנוע את המעילה.
מה לגבי הזדהות חזקה? שימוש בפתרונות להזדהות חזקה נועדו להבטיח זיהוי חד-חד ערכי של הלקוח כשהוא מבצע אינטראקציה עם מערכות רגישות של ארגון או מוסד כלשהו. גם כאן מדובר בכלי שנועד להגן על הגוף מפני התחזות של האקרים ל"לקוחות" ולא בסיטואציה הפוכה, כמו בהונאת מאדוף.
לסיכום: אם היה מדובר בגוף מוכר שמאדוף השתמש בו כדי למשוך לקוחות דרך האינטרנט, אז זה נקרא פישינג וניתן היה למנוע זאת. המקרה הזה הוא דוגמא לנוכלות שאכיפה מדוייקת יותר של רגולציות קיימות הייתה יכולה להביא למניעתה. חלק מהאחריות, לדעתי, מוטל גם על לקוחות הקרן עצמם: אפשרות אחת היא שהם ידעו איפה הם משקיעים, אבל לא היו עם היד על הדופק כדי לפקח על ההשקעה שלהם (האחריות המלאה היא עליהם). אפשרות אחרת היא שהם לא ממש הבינו לאן הלך הכסף שלהם (עדיין, אם אין לך מושג איפה הכסף שלך מושקע, בעיה שלך).
הרגולציה צריכה להוות בשני המקרים גורם מפקח ומונע כדי לא לאפשר פעילות של גוף מוכר ורשמי שנוהג בצורה פלילית בכספי משקיעיו. המשקיעים מצידם צריכים לוודא מה בדיוק קורה עם הכסף שלהם.
אבטחת מידע בהקשר הזה נועדה לצמצם את האיום בתווך שבין הלקוח לגוף ששומר על כספו. אין שום טעם לחפש פתרונות אבטחת מידע אם הצד שאמור ליישם אותם הוא הצד הרע במשוואה.
רשומות
