פרצת אבטחה באתר של בנק לאומי לא נפתרה כבר למעלה מחודש

פרצת אבטחה באתר של בנק לאומי מאפשר להאקר לנצל את תמימותם של המשתמשים ובתנאים מסויימים, לגנוב את פרטי ההתחברות ולהתחזות להם.מבדיקה שביצע אתמול (ג') "כלכליסט" עולה כי ניתן ליישם את הפרצה באמצעים פשוטים יחסית. הפרצה מתבססת על כך שהאתר הראשי של הבנק אינו מוצפן (כתובת האתר משתמשת בפרוטוקול http ולא https) ודרכו ניתן להתחבר לחשבון הלקוח.   

הפרצה מטופלת על ידי הבנק, אולם למרות הערכות מקצועיות כי מדובר בפתרון שדורש מספר ימים בלבד, הבעייה טרם נפתרה למרות שדבר קיומה ידועה בבנק כבר למעלה מחודש ימים.

האקר שיודע כיצד ליירט את התקשורת בין מחשב המשתמש לאתר הבנק יכול לקבל לידיו את שם המשתמש והסיסמה. למשל על ידי יצירת "נקודת אינטרנט אלחוטי חמה" במקום ציבורי ופיתוי משתמשים להתחבר אליה במקום לנקודת אינטרנט אלחוטי ציבורית.

כל מה שנדרש ההאקר לעשות הוא לנתב את התקשורת של הגולש דרך אפלקיציות שמאפשרות לגנוב נתונים משודרים כולל שמות משתמש וסיסמאות. בגלל שהאתר של בנק לאומי עובד בפרוטוקול שאינו מצפין את המידע לא נדרש שום מאמץ מצד ההאקר על מנת לפענח אותו.  לאחר מכן ניתן להתחבר לחשבון של הלקוח ולקבל מידע אישי של בעלי החשבונות או, במידה והלקוח נתן הרשאות לכך, לבצע פעולות בנקאיות.

זו אינה התקלה הראשונה ממנה סובל אתר בנק לאומי בחודשים האחרונים. באוקטובר שעבר קרס האתר פעמיים במשך שלושה ימים ומאלפי לקוחות נמנעה גישה לחשבונות המקוונים שלהם. מהבנק נמסר אז שהיה מדובר בתקלה טכנית.

תגובת בנק לאומי : "מדובר בחשיפה המוכרת לנו ומטופלת. לאומי משקיע משאבים רבים להגנה על הפעילות הדיגיטלית של הבנק ולקוחותיו. הבנק מפעיל מגוון של יכולות ומנגנוני הגנה שהשילוב ביניהם מקנה רמת הגנה גבוהה ובטוחה לפעילות".