נוכלי הרשת "דגים" אתכם - מה תוכלו לעשות?

לאחרונה, פורסמו שורה של מקרים בהם סוכלו ניסיונות הונאה של נוכלים לגנוב כספים באמצעות יצירת אתר אינטרנט הדומה לאתרים של בנקים. לעיתים רשויות החוק מצליחות לעצור את העבריינים אולם לעיתים אחרי שהנזק כבר נגרם. מחקרים מחו"ל מצביעים על היקף הונאות המגיעות לכדי מאות מיליוני דולרים בשנה.

• נסיונות להונאה מקוונת של לקוחות בנק לאומי
• זהירות! הונאת פישינג בעברית בפייסבוק
• נחשפו סיסמאות של משתמשי gmail ויאהו
  

השיטות המתוחכמות ובראשן "הפישינג" מאפשרות לעבריין ללקט מידע על קורבנותיו התמימים שאינם מעלים על דעתם כי זהותם עלולה להיגנב תוך שיעשה בה שימוש לצרכים פליליים.

דגים את הצרכן התמים ועושים בחשבונותיו שפטים

רו"ח גיא מונרוב, שותף במשרד אלקלעי מונרוב, המתמחה מעילות בבקרה וניהול סיכונים המשמש גם חבר הנהלת האיגוד הישראלי לביקורת ואבטחת מערכות המידע בישראל מסביר, כי פישינג (Phishing) היא שיטה שבאמצעותה הנוכלים גונבים מידע מקורבנות פרטיים ועסקיים, תוך יצירת מצג שווא, בד"כ ע"י התחזות לגוף קיים עימו הקורבן מצוי בקשר יומיומי ( בנקים, חברות ביטוח, חברות כרטיסי אשראי וכו').

לדברי רו"ח מונרוב, תכלית הזיוף היא לאפשר לעבריין להשיג גישה ישירה לאינפורמציה סודית של הלקוח, בין אם מדובר בקוד אישי, פרטי כרטיס אשראי, מספרי אימות עסקאות וכו'. על פי רוב ינסו 'התוקפים' לגרום למשתמש לפעול באופן מיידי באמצעות פניות דוגמת "חשבונך מושעה!", או "פעולה מיידית נחוצה! או אף "זיהינו פעילות חריגה בחשבונך- לשם אבטחת החשבון אנא הכנס לקישור וודא את פרטי הפעולות שבוצעו". לאחר שהקורבן עושה זאת, הנוכל מעתיק את פרטיו המזהים לצורך שימושים כגון העברת כסף מחשבון לחשבון, הזמנת סחורה באמצעות כרטיס האשראי וכו'.

פארמינג : ניצול פרצות באבטחת המידע

נוכלים מקצועיים מכירים פרצות באבטחה באתרים של גורמים המחזיקים במידע בעל ערך, כגון בנקים, חברות ביטוח וכו'. גם מחשבים פרטיים אוגרים לא פעם מידע בעל ערך, עובדה שידועה לנוכלים המאפשרת להם לפרוץ ביתר קלות וללקט מידע. לדברי רו"ח גיא מונרוב, הנוכל מפנה את הצרכן לכתובת אינטרנט שהוכנה מבעוד מועד באמצעות משלוח הודעה מהמחשב של החברה ששרתיה נפרצו. הצרכן אינו משער כי ההפניה מקורה במעשה נוכלות וכך, הוא מועבר לאתר מזויף שדומה באופן כמעט אבסולוטי לאתר המקורי. העובדה כי כתובתו של האתר המזויף דומה לכתובת של האתר המקורי, מקשה מאוד על הזיהוי.

כך, הצרכן מקליד את פרטיו האישיים לרבות מספר כרטיס אשראי ומכאן הדרך לעשות שימוש פלילי במידע – הינה קצרה ביותר.  אך מה יעשה הלקוח שנפל קורבן למעשה עוקץ ? מהן זכויות לקוח שפרטי כרטיס האשראי שלו נגנבו?

עו"ד מיכאל הרצברג, מומחה לדיני בנקאות ושותף במשרד עוה"ד י. ריכטר, הרצברג, יוגב, אשר שימש יועץ משפטי של בנק ישראל, מסביר כי כל עסקה שנעשית בכרטיס אשראי והלקוח מכחיש אותה, חובת בעל העסק להוכיח שהעסקה אכן נעשתה על ידי בעל הכרטיס שאלמלא כן, עליו לזכות את הלקוח.

לדבריו, ככלל, כאשר מדובר על הונאה בכרטיס אשראי במסגרתה מחייבים לקוח על עסקאות שלא עשה, מעניק חוק 'כרטיסי חיוב' הגנה ללקוח גם אם יש לו רשלנות תורמת, מתוך ראיה שהשימוש בכרטיסי אשראי כל כך נפוץ בחיים המודרניים ולכן יש הצדקה לפזר סיכונים.

בכל הנוגע לפעולות בנקאיות, העקרון הוא שהבנק חייב בזהירות מירבית ולנקוט בכל האמצעים הסבירים למנוע ממתחזים גישה לחשבונות הלקוח. עם זאת, אם הלקוח אשם בכך שנכנסו לחשבון שלו, בכך שלא השגיח או לא התריע, יתכן כי הבנק לא יחויב כלל בפיצוי. לדבריו, במקרים של הונאות כמו פישיניג, הנזק שעלול להיגרם ללקוחות הבנק כה גדול ולכן הטיפול חורג מהיחסים עם הבנק ומחייב טיפול מערכתי של המשטרה ובנק ישראל.

לדברי עו"ד מיכאל הרצברג "העיקרון השולט הוא שהבנק צריך לפעול רק לפי הוראות הלקוח ולצורך זה, אם הלקוח לא נוכח בעת מתן ההוראה לוודא באופן סביר כי אכן הלקוח נתן הוראה. לכן, אם הבנק ביצע פעולה בחשבון הלקוח ללא הוראת הלקוח בדרך כלל הבנק ישא באחריות.

"אחד המקרים יוצאי הדופן הוא באם ההוראה ניתנה בשימוש בשם משתמש (user name) נכון ותוך שימוש בסיסמא הנכונה. במקרה זה חזקה היא שהלקוח הוא שהשתמש באלה או הרשה לאחר להשתמש בשמו באלה. יחד עם זאת, הלקוח יכול להוכיח כי לא הוא עשה את השימוש ושם המשתמש והקוד "נגנבו" ממנו. אם כך, ובמקרה של מחלוקת עם הבנק, יבחנו אם הלקוח אחראי ל"זליגת" המידע אם לאו.

"בכמה מהסכמי ההתקשרות של לקוח עם הבנק, קיים סעיף לפיו, יש חזקה חלוטה במקרה כזה שהלקוח נתן את ההוראה, אך ביה"ד לחוזים אחידים פסק כבר שזה סעיף שעשוי להיחשב כסעיף מקפח ואין לו תוקף מוחלט. יצויין, כי בדרך כלל בפעילות באינטרנט בחשבון הבנק של הלקוח, רוב הפעולות שהלקוח יכול לעשות הן במעבר בין חשבונות שלו (למשל, לרכוש ניירות ערך מתוך חשבון העו"ש) כך, שלא יגרם נזק ממשי, בדרך כלל, ללקוח".

ופישינג נכנס לתוך ההגדרה הזו?

"כן ,מקרה של פישיניג הוא דוגמא מצוינת לכך, שכן אם הלקוח קיבל פניה באמצעות דואר אלקטרוני ממתחזה והתפתה לתת פרטים מזהים היכולים לשמש את הגנב להוציא ממנו כספים במרמה, יתכן והוא לא יוכל להיפרע מהבנק שכן יתכן והבנק יתגונן בטענה שיש בכך משום רשלנות של הלקוח. עם זאת, אם מדובר בהונאה בסדר גודל, והבנק לא נקט בזמן צעדים לחסום את התופעה, ויותר מלקוח אחד נפגע, יוקל על אותו לקוח ספציפי לתבוע מהבנק להשיב את כספו" אומר הרצברג.

האם הבנק צריך להתריע על קיומה של תרמית מתגלגלת במידה ונודע לו עליה?

לדברי עו"ד הרצברג, "על הבנק להתריע בכל האמצעים ולהודיע ללקוחות על כך, כדי להקטין את הנזק לציבור.

למשל באתר של הבינלאומי, בטרם כניסה לחשבון, מודיע הבנק שכדי להימנע מהונאה מקוונת הבנק אינו שולח בקשות לפרטים אישיים באמצעות דוא"ל ומסביר מהי הונאה מקוונת".

יש מספר עצות ברזל שיסייעו לכך, אומר רו"ח גיא מונרוב:

• גופים פיננסים אינם שולחים הודעות דוא"ל הכוללות דרישה לרישום מידע אישי – סודי. לפיכך, אין לספק כל מידע רגיש כתגובה לבקשה שנשלחה אליכם בדוא"ל.
  

• מוטב שלא להקיש על הלינק שנשלח אליכם במסגרת הדוא"ל. מומלץ להקליד את כתובתו של האתר ולבחון אותו. במידה ומתעורר ספק לגבי אמיתות האתר, ניתן לשגר בקשה למנהל האתר על מנת שיבהיר את עילת הפניה אליכם. כמובן שאין להסתפק בכך – וכל אימת שמתעורר חשד, יש ליצור קשר עם מוקד שירות הלקוחות של הגוף הפיננסי ששלח את ההודעה על מנת להסיר ספק כי עסקינן בהונאה.
  

• אתרי הבנקים השונים מאפשרים לבחון את הפעולות שביצעתם בכרטיס האשראי. זאת, בכפוף לעדכון הנתונים על ידי חברת כרטיסי האשראי. מומלץ שלא להמתין עד תום החודש ולבחון מידי מספר ימים את החיובים.
  

• אל תאחסנו סיסמאות במחשבכם. קל מאוד למצוא אותן.
  

• הקפידו שסיסמאותיכם תהיינה קשות לפיצוח. כולם כבר מכירים את תאריכי יום ההולדת שלכם, תאריכי יום הנישואין ומספר הטלפון הסלולארי שלכם. אל תהפכו מספרים אלה לסיסמת הכניסה שלכם לאתרים בכלל ולאתרי הבנקים בפרט.
  

• חברות התוכנה משקיעות סכומי עתק על מנת לסתום ככל שניתן את הפרצות המאפשרות לנוכלי רשת להונות את הצרכן. יש להקפיד לפעול ולעדכן את תוכנות האנטי וירוס, הדפדפן ומערכת ההפעלה.
  

• השתמשו בתוכנות הגנה מפני פישינג.