X

חשבון הבנק בסכנה: אל תעשו שופינג באינטרנט - עד שתכבו את ההגדרה הזו

מחדל אבטחה חמור בדפדפן גוגל כרום חושף את פרטי האשראי שלכם לגניבה מיידית • כך תבצעו את השינויים הנדרשים כדי לנעול את החשבון מפני האקרים וגורמים עוינים

שגיב יהב
, עודכן
0השמעה
תכבו את הכפתור הזה . צילום: Gemini

נתוני האבטחה של דפדפן גוגל כרום במובייל חושפים מחדל מהותי בניהול פרטי האשראי של המשתמשים. הגדרות ברירת המחדל של הדפדפן מאפשרות לו לשמור את קוד ה-CVC (שלוש הספרות בגב הכרטיס), בניגוד לפרוטוקולי האבטחה המקובלים הדורשים הזנה ידנית של קוד זה בכל רכישה. המשמעות היא גישה כמעט חופשית של אפליקציות זדוניות או גורמים שיניחו ידם על מכשיר לא נעול לביצוע משיכות כספים ללא כל חסם נוסף.

פירצת ה-CVC והגדרות ברירת המחדל

הנוחות שבקניות בנייד הפכה לסיכון אבטחה ישיר בשל הנטייה של כרום "לאגור" נתוני תשלום רגישים. קוד האבטחה (CVC), שאמור להישמר בזיכרונו של המשתמש בלבד, נשמר תחת תפריט "אמצעי תשלום" (Payment methods) בדפדפן. גוגל מפעילה הגדרה זו כברירת מחדל כדי להאיץ את תהליך הצ'ק-אאוט, אך בפועל היא מבטלת את שכבת ההגנה המרכזית שנועדה לוודא כי המחזיק בכרטיס הוא זה שמבצע את העסקה.

כדי לבלום את החשיפה, על המשתמשים לגשת באופן יזום להגדרות הדפדפן ולבטל את האפשרות "Save security codes". פעולה זו מאלצת את המערכת למחוק את הקודים השמורים ולחזור למודל של הזנה ידנית. ויתור על שניות בודדות של נוחות הוא הכרחי כדי למנוע מצב שבו פריצה למכשיר או התקנת תוכנה זדונית הופכת לגישה ישירה לחשבון הבנק.

האקרים (אילוסטרציה), צילום: אי.פי

רשלנות בזיהוי המשתמש בעת מילוי אוטומטי

מעבר לשמירת הקודים, כרום מאפשר מילוי אוטומטי של פרטי אשראי מבלי לדרוש אימות זהות מוגבר. במרבית המכשירים, האפשרות "Confirm identity for autofill" כבויה כברירת מחדל. המשמעות היא שכל אדם שאוחז במכשיר פתוח יכול להשלים רכישות באתרים שונים, שכן הדפדפן אינו דורש טביעת אצבע או זיהוי פנים (Face ID) לפני הזרקת נתוני הכרטיס לשדות התשלום.

הפעלת שכבת האבטחה הביומטרית היא צעד בסיסי שגוגל נמנעת מלהפוך לחובה, ככל הנראה כדי לא ליצור חיכוך בתהליך הקנייה. המשתמש נדרש להבין כי ללא הפעלה ידנית של הגדרה זו, המכשיר שלו נותר חשוף לחלוטין לשימוש לרעה במקרה של אובדן או גניבה, גם אם המכשיר עצמו ננעל לאחר זמן מה.

כרטיסי אשראי, צילום: GettyImages

אגירת מידע אישי וכתובות למטרות מעקב

הדפדפן אינו מסתפק בפרטי אשראי, אלא אוגר באופן שיטתי גם כתובות מגורים, מספרי טלפון וכתובות דואר אלקטרוני תחת הגדרת "Addresses and more". מידע זה, שנשמר לצורך מילוי טפסים מהיר, נגיש לרשתות פרסום ולעוקבים (Trackers) שיכולים לאסוף את הנתונים ולבנות פרופיל מדויק על המשתמש.

חשיפת הכתובת הפיזית ומספר הטלפון לא רק פוגעת בפרטיות, אלא מהווה כלי עבודה עבור גורמי פישינג (Phishing) המשתמשים במידע כדי ליצור הודעות הונאה אמינות יותר. ניקוי המידע השמור וביטול המתג המאפשר שמירה עתידית של כתובות הם פעולות הכרחיות למי שמבקש לצמצם את טביעת הרגל הדיגיטלית שלו ולמנוע הצפה של הודעות ספאם וניסיונות הונאה ממוקדים.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
גוגל כרוםגניבת כרטיסי אשראיהאקרים

כדאי להכיר