עקיצה דיגיטלית: איך מתמודדים עם ההונאות הבנקאיות החדשות?

>> לסיפורים הכי מעניינים והכי חמים בכלכלה - הצטרפו לערוץ הטלגרם שלנו

איומי הסייבר על הכסף שלנו: האם הבנקים ערוכים?

בנק ישראל מזהיר: ניסיונות הונאה בדיגיטל

שכלול שיטות העוקץ וגניבת כספים מחשבונות הבנק הם תופעת לוואי של המהפכה הטכנולוגית שעוברת מערכת הבנקאות בעולם ובישראל. ניתן כיום לבצע פעולות רבות בערוצים הדיגיטליים, כולל משיכת מזומן מכספומט ללא שימוש בכרטיס האשראי. למהפכה זו יתרונות רבים - היא הופכת את השירות הבנקאי לזמין, מהיר ונוח יותר, וגם מפחיתה עלויות (פעולות בערוצים ישירים זולות יותר מפעולות פקיד). אולם לצד זאת השתכללו גם הסיכונים לדליפת מידע והונאת לקוחות.

הונאות הבנקים החדשות(צילום: shutterstock)

בבנק ישראל מציינים כי בשנתיים האחרונות חלה עליית מדרגה באירועי הסייבר בעולם ובישראל. "עליית המדרגה מתבטאת במספר האירועים, במורכבותם, בתחכום שלהם ובנזק שהם גורמים", נכתב בדו"ח השנתי של הפיקוח על הבנקים שפורסם לפני כארבעה חודשים. לפי הערכות במערכת הבנקאית, מדובר בזינוק בסדר גודל של פי חמישה בניסיונות ההונאה בתוך שנתיים בלבד.

תרחיש האימים הוא כמובן פריצה למערכות המידע של הבנקים, גניבת פרטי הלקוחות ושיבוש הפעילות במערכות הבנקים. אירוע זה למרבה המזל לא קרה עדיין, והאירוע המשמעותי הכי קרוב היה גניבת פרטי לקוחות בלאומי קארד לפני כחמש שנים על ידי עובד לשעבר, בפרשה שהסתיימה ללא נזק ללקוחות.

מוטי בנמוחא, מנהל אגף הסייבר והביטחון בבנק לאומי ולשעבר בכיר ב-8200, אומר כי העובדה שעדיין לא אירע אירוע סייבר משמעותי, אינה ערובה לצפוי בהמשך. "כשהגעתי ללאומי לפני שלוש שנים הופתעתי לגלות עד כמה הבנק לא חוסך משאבים בכל הקשור להגנות סייבר. עם זאת, סייבר זה עולם מאוד חמקמק, ואתה אף פעם לא יודע אם אתה אכן מכוסה עד הסוף לכל סוג אפשרי של תקיפה".

כיום עיקר אירועי ההונאה הם אירועי פישינג, כלומר פנייה ללקוחות באמצעות הודעות SMS, דואר אלקטרוני או שיחות טלפון, והוצאה במרמה של הסיסמאות שלהם לצורך פריצה לחשבונותיהם. בשנים האחרונות יש בישראל עלייה דרמטית בניסיונות לגניבת פרטי לקוחות. הסיבה לכך, ככל הנראה, היא שפעולת פישינג אינה מסובכת במיוחד. בדרך כלל מדובר בסכומי כסף קטנים יחסית, ולרוב הבנק מחזיר ללקוח את הכסף. לכן הנושא לא נמצא בראש סדר העדיפויות של המשטרה, שצריכה להתמודד עם פשעים חמורים יותר, והנוכלים לא נתפסים.

עד כה הנזק הכספי מההונאות הללו אינו דרמטי לבנקים, ולפי הערכות עומד על כמה מאות אלפי שקלים לכלל המערכת הבנקאית בשנה. הבעיה היא בהתרחבות התופעה ובפגיעה באמון הלקוחות בשימוש בערוצים הדיגיטליים. "אנחנו מזהים טרנד של ניסיונות הונאה של לקוחות, שלא מאפיין רק את ישראל", אומר בנמוחא. "לקוח שנכווה מאירוע של הונאה מאבד אמון בערוצים הדיגיטליים, גם אם בסופו של דבר לא נעשה לו נזק כספי. חשוב להבין שתמיד יהיו הונאות וזה לא צריך להשפיע על השימוש או לייצר חשש. בדיוק כמו שקיימות הונאות בכרטיסי אשראי, מתקיימות הונאות גם בדיגיטל. זה רק עניין של קדמה טכנולוגית. לכל דבר שיהיה בו שימוש של ציבור, יהיו את אלו שיחפשו כיצד לבצע הונאות".

על אף שמדובר בצד הפחות סימפטי של עולם הבנקאות, בבנק לאומי החליטו שלא להסתתר והציגו בפנינו את שיטות ההונאה הנפוצות. בנוסף, הבנק חשף דוגמה לשיחה שבמהלכה הוצא במרמה מלקוח הקוד הסודי שלו, וזאת במטרה להגביר את מודעות הציבור ולצמצם את מקרי ההונאה. שיחות דומות עשויות להגיע ללקוחות כל הבנקים.

בכל הקשור להונאות מסוג פישינג, שהן כאמור כיום עיקר ההונאות שמתבצעות בפועל, גם ללקוח יש אחריות. ללא שיתוף הפעולה שלו (שנעשה כמובן באמצעות הונאתו), הפריצה או הגניבה לא יוכלו להתרחש. על כן הגברת המודעות והערנות של הלקוחות תוכל למנוע ברוב הגדול של המקרים את האירועים הללו.

"ממון שישי" ו-ynet מגיש את המדריך המלא למלחמה בהונאות הפישינג.

1 - שליחת הודעות ומיילים מזויפים

מי מאיתנו לא קיבל הודעת דואר אלקטרוני בסגנון: "שלום, יש לי הצעה מיוחדת עבורך, תוכל לקבל עד מיליון דולר, לחץ על הקישור לפרטים נוספים". קל לזהות שהודעות מסוג זה הן הודעות עוקץ. אולם יש גם שיטות מתוחכמות יותר, כמו שליחת הודעות התחזות לבנק עם הצעות שיווקיות מפתות, או הודעות שלפיהן שיש לבצע שינוי בסיסמה. הודעות אלו יכילו לינק, שלחיצה עליו תפתח אתר שנראה כמעט אחד לאחד כמו המסך המבקש הזנת שם משתמש וסיסמה באתר הבנק.

בזמן שהלקוח מזין את פרטיו, הנוכל שהעלה את האתר המזויף מקבל גישה אל הפרטים שהוזנו ויכול לפרוץ לחשבון האמיתי של הלקוח לאחר שהשיג את שם המשתמש והסיסמה.

כדי להימנע מפריצה כזו, ראשית צריך לחשוד בכל הודעת דואר אלקטרוני או SMS שמגיע מהבנק ולא למהר ולענות. אם ההודעה כוללת פנייה כללית ללקוח ללא ציון שמו, או בקשה לעדכן פרטים אישיים, זהו כבר סימן חשוד מאוד. אם ההודעה מכילה קישור יש לבדוק מהו הקישור שנפתח, ואם בסופה של כתובת האתר יש מנעול, זה מעיד על כך שהאתר מאובטח כמו האתר של הבנק. סימנים מחשידים נוספים הם שם הבנק בכתובת האתר שמופיע בשגיאה או עם אותיות או ספרות נוספות.

2 - הונאה טלפונית

שליחת הודעות מזויפות והקמת אתרים מתחזים דורשת מיומנויות טכנולוגיות מסוימות, וגם אחוזי ההצלחה שלהם נמוכים. לעומת זאת שיטה אחרת שהולכת ומתפתחת היא "הנדסה חברתית", שבה נדרש שיתוף פעולה של הלקוח: הנוכל מתקשר ללקוח, מתחזה לנציג הבנק עם הצעה שיווקית או התראה על תקלה בחשבון, ובמהלך השיחה חולב מהלקוח את הסיסמה לחשבון שלו. כיום מספיק שהנוכל יודע את מספר תעודת זהות של הלקוח ומספר הטלפון שלו, וכבר יש לו קצה חוט למבצע עוקץ שבסיומו יוכל למשוך כספים מחשבון הבנק שלו.

אפשרות אחת היא לבצע העברות כספים מחשבון הבנק של הלקוח, אלא שאז נותרות עקבות וניתן להגיע יותר בקלות אל הפושעים. אפשרות פשוטה יותר, שכמעט ולא מותירה עקבות, היא הוצאת כסף במזומן מהכספומט. השיפורים הטכנולוגיים מאפשרים היום הוצאת כספים מהכספומט ללא שימוש פיזי בכרטיס האשראי, אלא בעזרת קוד. המטרה היא לאפשר גם לאנשים ששכחו את הארנק בבית או שכחו את הקוד הסודי להוציא מזומן בעזרת הטלפון הנייד.

איך שיטה זו עובדת? בשלב ראשון משדלים את הלקוח לתת את שם המשתמש שלו, תחת תירוץ שהם זקוקים לאמצעים אלה כדי לזהות את הלקוח (אגב, זהו תמרור אזהרה ראשון - הבנק לא יבקש פרט כזה בטלפון). בעזרת שם המשתמש ומספר הטלפון או תעודת הזהות של הלקוח ניתן לשחזר את הסיסמה שלו.

תהליך זה כרוך בשליחת הודעת SMS ללקוח. הנוכל חייב לדעת מהו הקוד שנשלח ולכן מספר לקורבן שנשלח לו קוד על מנת לזהותו, ומבקש ממנו שיקריא את הקוד. הלקוח שאכן קיבל SMS מוסר את הקוד, מבלי להבין שבזה הרגע הוא איפשר לנוכל להיכנס אל חשבון הבנק שלו. אלא שהשם והסיסמה אינם מספיקים על מנת למשוך את הכסף מהכספומט.

כדי להוסיף אמצעי ביטחון, הבנק מאפשר את משיכת הכסף רק לאחר שנשלחה סיסמה ייעודית לשם כך אל המכשיר הנייד. כדי לעבור את המכשול הזה, נכנסים הנוכלים אל החשבון של הלקוח באמצעות האפליקציה של הבנק, ואז בוחרים בפעולה: "משיכת מזומן ללא כרטיס". בשלב זה נשלחת אל הטלפון הנייד של הלקוח סיסמה שרק איתה ניתן למשוך את המזומן. הנוכלים ממשיכים להונות את הלקוח ואומרים לו: "שלחתי לך סיסמה לנייד על מנת לוודא שזה אתה, אנא אמור לי מהי". הלקוח אכן קיבל את הסיסמה, ובהנחה שמסר אותה בטלפון, בזאת הסתיימה ההונאה - הנוכלים יכולים באותו הרגע למשוך את הכסף מהכספומט.

כדי להימנע מהונאה טלפונית יש לזכור שהבנק לעולם לא יבקש את שם המשתמש או את הסיסמה לכניסה לחשבון הבנק. בקשה של אחד מהנתונים האלה היא סימן אזהרה לכך שמדובר בהונאה. גם אם התקבלה סיסמה בנייד לצורך אימות מול הנציג, יש לקרוא את ההודעה כולה. אם בהודעה נכתב למשל: "הסיסמה לצורך משיכת כסף היא..." סימן ששיחת הטלפון היא הונאה.

3 - ניצול הרשתות החברתיות

אל שיטת ההונאות הטלפוניות מגיע שכלול נוסף. הנוכלים מנצלים לעיתים את הרשתות החברתיות על מנת "לדוג" קורבנות. בשנים האחרונות הפכו עמודי הפייסבוק של חברות מסחריות למעין שירות לקוחות פומבי. לקוחות רבים מפרסמים בעמוד הפייסבוק של החברות חוויית שירות גרועה או תלונה, מתוך ציפייה כי פומביות התלונה והחשש משיימינג יגרום לחברות לחזור אליהם מהר יותר ולטפל במהירות בתלונתם. אלא שיש מי שמנצל זאת לרעה, ובשנה האחרונה נרשמו גם מקרי הונאה בשיטה זו.

המתלונן לעיתים משאיר את מספר הטלפון שלו, ואז הנוכל מתקשר אליו ומתחזה אל נציג הבנק שחוזר אליו בעקבות התלונה. מבחינת הלקוח זה נשמע הגיוני, ולא מעורר חשד שמדובר במתחזה. הנוכל מבקש את שם המשתמש ואת הסיסמה של הלקוח על מנת לאמת שזה אכן הוא, ומשם הדרך לקבלת הקוד להוצאת המזומנים היא קצרה.

על כן צריך להיזהר בתלונות הפומביות - עדיף לכתוב לבנק הודעה פרטית בפייסבוק ולא על הקיר. ואם בכל זאת הפומביות קריטית לכם, אז הקפידו להיות דרוכים כשחוזרים אליכם, וזכרו שאם הבנק רוצה לוודא זיהוי מולכם הוא עושה זאת באמצעות שאלות זיהוי, ולא מבקש לקבל מכם בשיחת טלפון את שם המשתמש או את הסיסמה לחשבון.

הונאות פישינג: כללי זהירות

כך תזהו הודעות SMS או דואר אלקטרוני החשודים כניסיון עוקץ:

• נוסח מאיים או דחיפות, למשל: אזהרה על חסימת החשבון, בעיות או פעילות חשודה שנתגלתה בחשבון

• בקשות לעדכון פרטים אישיים או פרטי חשבון. הבנק לא שולח הודעות כאלה

• פנייה כללית: "לקוח יקר". בהודעות שהבנק שולח, הוא פונה באופן אישי ללקוח עם שמו הפרטי

• כאשר נפתח האתר בלינק שצורף להודעה, יש לוודא כי בסוף הכתובת שלו יש מנעול

• לשים לב אם בשם הבנק יש שגיאת כתיב, תוספת אותיות או ספרות, וכן אם נוסח ההודעה מכיל שגיאות או מנוסח בעילגות

כללי הגנה נגד התחזות טלפונית:

• אין למסור את שם המשתמש או את הסיסמה האישית לאף גורם בטלפון

• לאמת את המידע שנמסר מהנציג. למשל אם הוא אמר שהמנוי נחסם יש לנסות להיכנס לאתר ולראות אם הוא אכן חסום

• לפני מסירת קוד אימות לנציג הטלפוני, יש לבדוק את נוסח ההודעה שהתקבלה ולראות אם היא תואמת לשיחה עם הנציג

כללי הגנה כלליים:

• כאשר מגיע SMS או מייל מהבנק לא למהר להגיב, אלא להתייחס אליו בחשדנות

• אם קיים חשד כלשהו בשיחה עם נציג הבנק, יש לסיים את השיחה ולעדכן באופן מיידי את הבנק

• לא לשמור קובץ המכיל את שם משתמש ואת הסיסמה לאתר הבנק במחשב או בנייד

• מומלץ להתקין תוכנות הגנה במחשב האישי ובמכשיר הטלפון הנייד ולהקפיד על עדכניות מערכת ההפעלה

כאב הראש של הבנקים: פגיעה בתדמית הדיגיטלית

נעקצתם? סביר - אך לא חובה - שהבנק יחזיר לכם את הכסף. בנק ישראל לא מפרסם נתונים על מספר מקרי ההונאה בשיטת הפישינג, אבל מציין שבשנתיים האחרונות חלה עלייה חדה במספר המקרים ובתחכום השיטות. לפי הערכות, מדי שנה נעשים אלפי ניסיונות, אם לא מעבר לכך, לעקוץ לקוחות ולהוציא מהם גישה אל חשבון הבנק. בפועל, רק בכמה מאות מקרים הניסיון מצליח, וגם כאשר הפריצה מצליחה, לא תמיד נגנב כסף.

ההערכה היא שמדי שנה נגנבים לכל היותר כמה מאות אלפי שקלים בשיטה זו, אולם התעצמות המגמה הזו היא זו שמדאיגה. מכיוון שבאופן רשמי בהונאת פישינג הלקוח התרשל כשמסר את פרטי החשבון שלו לגורם עוין, לכאורה הבנק אינו מחויב לפצות אותו. אולם ברוב המקרים הבנקים בוחרים לפצות, בעיקר כי מדובר בנזק כספי זניח לבנק אל מול התוצאה של אובדן האמון בפעילות הדיגיטלית. מדי שנה יש מקרים בודדים שבהם הבנק מסרב לפצות את הלקוח, והם מגיעים בדרך כלל לטיפולו של בנק ישראל.

בשנה הבאה ייכנס לתוקף חוק שירותי תשלום שעוסק בעולם התשלומים המתקדם, ומסדיר גם את נושא פיצוי הלקוח במקרי הונאה, כך שברוב הגדול של המקרים יקבל הלקוח פיצוי. בבנק ישראל הנחו את הבנקים לאמץ כבר היום את רוח החוק, ורמזו לא אחת לבנקים כי הם מצפים שיהיו הוגנים עם הלקוחות במקרה של פגיעה מהונאה.