"יש מי ששומר על כרטיס האשראי שלכם"

לקוח בן 90 שחורש את הברים בלילינבלום? לקוח דתי שקונה פתאום בשבת? כרטיס חבר מועדון שאנשים מנסים להשתמש בו ככרטיס אשראי והכספומט נאלץ לבלוע? צוות ניהול סיכונים ורגולציה של לאומי קארד, העוסק במניעה ואיתור הונאות אשראי, כבר ראה הכל ואף יותר מכך.

"היקף ההונאות בישראל נמוך"

"יש מי ששומר על כרטיס האשראי שלכם - גם בעולם הפיזי וגם באינטרנט", אומר תומר אלקובי, מנהל מחלקת ניהול סיכונים ורגולציה של לאומי קארד. "למחלקה שלנו וללקוח יש מטרה משותפת. ועובדה - היקף ההונאות בישראל נמוך משמעותית מזה שקיים באירופה ובעלום כולו".

בוחנים את אמינות ההכחשה

אלקובי הוא האיש שיורה לצוות שלו להתקשר אליכם ביום בהיר אחד, ולשאול האם תדלקתם היום באילת, ירושלים וקצרין? ואם תשיבו שממש לא, הצוות שלו הוא זה שיודיע לכם כי נפלתם קורבן לעבירת אשראי. אם אי פעם נאלצתם להכחיש עסקה - הוא האיש שבחן את אמינות ההכחשה.

יחד איתו עובדים נבות אורן, מנהל תחום איתור ומניעת הונאות בלאומי קארד, ושמואל קהאן מנהל תחום בקרת בתי עסק וניתוח הונאות בלאומי קארד. תחתם ישנו צוות שעובד 24 שעות ביממה, 7 ימים בשבוע, ואין קץ למקרים המשונים שהם נתקלים בהם.

לקוח בן 70 שפוקד ברים?

"במידה ואנו מזהים פעילויות לא אופייניות בכרטיס בארץ או בעולם, ניצור קשר עם הלקוחות", הוא מסביר. "אם את מאמתת את הפעולה, הכל בסדר. אם לא - אנו חוסמים את הכרטיס, שולחים כרטיס חדש ומזכים בסכום ההונאה במידה ונגרם נזק ללקוח בגין פעולות שאינן בוצעו על ידו".

מהי פעילות לא אופיינית?

"למשל, לקוח שמעולם לא נסע לחו"ל ופתאום קונה בלי הכרה בחנויות לכלי עבודה בחו"ל והוא בכלל בן 90. או רמטכ"ל שקונה במזרח ירושלים. היה לנו לקוח דתי שאנחנו יודעים שאף פעם לא עושה עסקאות בשבת, ופתאום ראינו שעשה עסקה בשבת. זה לא סביר. מישהו שמעולם לא השתמש באינטרנט פתאום 20 עסקאות באינטרנט. עסקה בקריית שמונה ובאילת בהפרש של שעה. היה לנו לקוח בן 70 שלילה אחד ראינו שהוא היה בשסק, במישמיש ובפיצוציות - חרש את כל רחוב לילינבלום. אז מן הסתם משהו כאן נראה חשוד.

"אם דיווחו לנו על 40 גניבות בברזיל נשים עין על כל הלקוחות שלנו ששוהים בברזיל. לנוכלים יש מיסקונספציה שחברות האשראי נחות בשיש שבת או בחו"ל אבל אנחנו עובדים כל הזמן".

הונאות אשראי - קווים לדמותן

את כרטיס האשראי אפשר לגנוב בלא מעט דרכים. לפי אלקובי, הונאות בכרטיסי אשראי מתחלקות ל-3 משפחות עיקריות.

"המשפחה השנייה היא שימוש שאינו פיזי בכרטיס,כלומר רק במספר שלו, בטלפון או באינטרנט. את נמצאת בקופה, מוציאה את הכרטיס, ומישהו רושם את המספר שלו. בחו"ל מוציאים לפעמים חשבוניות עם 16 הספרות של כרטיס האשראי, בניגוד לארץ, כאן הנהגנו שיטה של 4 ספרות בלבד למניעת העניין הזה".

חשוב לדעת שמחשבוניות או מחשבונות אי אפשר לדלות מידע על כרטיס האשראי שלכם, הודות לשיטת ארבע הספרות. כמו כן, לא יוכלו להשתמש במספר הכרטיס שלכם מבלי לדעת את תוקפו ואת מספר הזהות שלכם. באינטרנט יבקשו מכם פעמים רבות את 3 ספרות שחקוקות בגב הכרטיס. אבל אמני הונאה, כך מסתבר, הם לעיתים מתוחכמים מכך.

"הם יכולים לעמוד מאחוריכם בתור לכספומט ולצלם אתכם בדור השלישי", אומר אלקובי. "מי שהשיג את כל פרטי האשראי שלכם יכול לעשות איתו עסקאות באינטרנט. לא בכל האתרים מבקשים פרטים מלאים. להערכתי, זה מה שקרה במקרה של הרמטכ"ל שלנו. ראיתי את סוג הדברים שרכשו שם. באותו אופן עושים גם הזמנות טלפוניות.

שכפולים של כרטיסי אשראי 

"משפחה שלישית של הונאות הוא זיופים ושכפולים של כרטיסי אשראי. אחרי מעשה כזה, ישנם שני אנשים שמסתובבים עם אותו כרטיס אשראי - את והנוכל. גם הנוכל, בדיוק כמוך, יכול למשוך כסף מהכספומט ולבצע עסקאות, ורק פירוט אשראי חשוד, או עין טובה של מחלקת הביטחון של חברת האשראי יעוררו את תשומת הלב לכך".

זה יכול לקרות ברגעים הארוכים בהם המלצר או המתדלק נוטל את כרטיס האשראי שלך ונעלם איתו לאי שם. כשהוא חוזר, יתכן שהעתיק את הנתונים המגנטיים שלו.

"היו כמה פרשיות כאלה בארץ" אומר אלקובי. "היו כספומטים שמישהו התקין מעליהם מתקן סריקה. מי שלקח ממך את הכרטיס עבור תשלום, יכול להעבירו במקביל במכשיר שנמצא בבית העסק או בכיס שלו. הוא מעתיק את הנתונים, נותן לך בחזרה את הכרטיס ואת כלל לא שמה לב מה קורה. כשהוא מגיע הביתה, הוא פורק את כל הנתונים שהעתיק וצורב אותם על כל פסלטיק שיש בו פס מגנטי, והנה - יש לו כרטיס משוכפל לשימוש כאוות נפשו.

"זו רמה גבוהה ומתוחכמת של הונאה, אבל בארץ מספר הזיופים שואף לאפס. לפי הנתונים העולמיים של ויזה, אובדן וגניבה זו עדיין ההונאה המובילה. אבל הזייפנים הם האוכלוסייה הקשה ביותר שמולה אנו משקיעים את רוב המשאבים".

הונאת האשראי בארה"ב: גם ישראלים נפגעו

אלקובי ועמיתיו מנסים לעקור את ההונאות משורשיהן ולכן הם דואגים שבתי עסק בארץ לא ישמרו את פרטי האשראי שלכם. בניגוד למה שקרה בפריצה לשרתי חברת הסליקה הארטלנד בארה"ב.

"אותה חברת סליקה שמרה את כל נתוני כ.האשראי כולל נתוני הפס המגנטי אצלה בבסיס הנתונים", הוא מסביר. "הגיעו האקרים, חדרו לבסיס הנתונים, ושאבו משם את הנתונים כולל הפס המגנטי. עכשיו הם יכולים לזייף מכל הבא ליד - יש להם 130 מיליון כרטיסים - פוטנציאל לשכפול מכל המנפיקים בעולם".

אצלכם בחברה היו לקוחות שנפלו קורבנות לתרמית הזו?

"מדובר בסולק השישי בגודלו בארה"ב, עם בתי עסק גדולים ואסטרטגיים ותיירותיים, ולכן סביר להניח שהיו ישראלים שנפגעו. המקרה התפרסם לראשונה בינואר, וכבר אז כל חברות כרטיסי האשראי נקטו תהליכי מניעה, איתרו את כל הלקוחות שהיו בסיכון שעברו באותם בתי עסק וטיפלו בהם מיד. מי שחשבנו שאולי הוא בסיכון, החלפנו לו את הכרטיס. אבל אצלנו מדובר בלקוחות בודדים. הנזק היה אפסי מבחינתנו וכך, אני מניח, בחברות אשראי אחרות כאן.

"מה שקרה בהארטלנד, זו הדאגה מספר אחת של חברות האשראי הבינלאומיות שהיא שמירת הנתונים בבתי העסק. כל חברות כרטיסי האשראי בעולם התאחדו וקבעו את ה-PCIDSS - תקן עולמי לאבטחת נתוני כרטיסי האשראי. התקן לא מאפשר שמירת נתונים רגישים בבית העסק. אסור לבתי עסק לשמור את נתוני הפס המגנטי, ואת המספר הקטן מאחור, כך שגם אם האקר יפרוץ לבסיסיהם, הוא לא יוכל לשחזר כרטיסים. נתונים שכן מותר להם לשמור, מחוייבים בהצפנה, כדי להקשות על האקרים.

"בית עסק בארץ מקבל את התקן כעבור תהליך של שנתיים. אנחנו דורשים ממנו למלא שאלון בנושא אבטחת מידע, והוא מחויב לעשות בדיקות חדירות לאותם שרתים שנמצאים בבעלותו. אם התוצאות לא מספקות, בית העסק מתבקש להכין תוכנית לתיקון הפערים, בלוח זמנים מוגבל. בתי עסק וחברות משקיעים משאבים רבים באבטחת מידע - באי שמירת נתונים רגישים ובמניעת זליגה של מה שכן שומרים, כי אם תהיה פריצה מי ירצה לקנות אצלם שוב?

"לעולם לא נשאל לקוח מה המספר הסודי שלו"

"שלום לך גברת איקס, כרטיסך נמצא ברמת סיכון גבוהה לפעילות חשודה. על מנת למנוע המשך שימוש בכרטיס, הינך מתבקשת לאשר שהכרטיס ברשותך וכהוכחה, שלחי באופן מיידי את הקוד הסודי, תוקף ומספר הכרטיס שלך".

לפי אלקובי, זו הדוגמא הטיפוסית ביותר למה שמכונה "אינטרנט פישינג".

"יש המון לקוחות תמימים שמתפתים לדבר הזה", הוא אומר. "נגיד שאת מנויה לאתר של בנק לאומי ומנהלת את כל החשבון שלך באינטרנט. מחר בבוקר מישהו שולח לך מייל עם אותו ויזואל כמו הבנק, באותו גופן וסגנון הודעה.

איך אדע שזה לא מייל מהבנק או חברת האשראי?

"פשוט מאוד. לעולם, לעולם לעולם לא נשאל לקוח מה הקוד הסודי שלו. יותר מכך, הבנקים וחברות האשראי לא יודעים את הקוד הסודי של הלקוח.

"אז ההמלצה שלנו היא לדחות פה אחד כל דוא"ל עם נימה של דחיפות, בקשה לעדכון או למסירת פרטים. להתקשר לבנק או לחברת האשראי ולברר. גם אם מתקשרים אליכם ואומרים 'מדבר תומר מחברת כרטיסי האשראי ואני זקוק לקוד הסודי' אל תשתפו פעולה. אם הוא רוצה פרטים אחרים: התקשרו לחברה ודאו שבאמת דיברתם עם נציג החברה.

"המסחר באינטרנט באתרים מוכרים - בדרך כלל בטוח. על בתי עסק באינטרנט יש דרישות חמורות יותר לאבטחה וחשוב לבדוק שהאתר לו אתם מוסרים את פרטי האשראי שלכם הוא אתר מאובטח".

שיטת מצליח

גם בקרב הלקוחות ישנם רמאים לא מעטים. מסתבר שלא כל כך קל להתקשר לחברת האשראי ולהכחיש עסקאות על ימין ועל שמאל.

"יש לא מעט מקרים של לקוחות שמנסים לתפוס טרמפ על העניין", אומר אלקובי. "היה לנו לקוח שנקלע למצוקה כספית והתקשר לחברת האשראי ואמר שלא הוא זה שבזבז 3,000 שקל בכרטיס האשראי. הוא יודע שחובת ההוכחה היא עלינו.

"לפני שמזכים לקוח שואלים אותו שאלות. הוא חותם על הצהרה בה מפורטות כל העסקאות שלא ביצע. בדרך כלל מזכים אבל לפעמים מתעורר בנו חשד, כמו במקרה הזה. אז תחקרנו את בתי העסק ויכול לספר שבאחד מהם מצאנו תמונות של אותו לקוח מבצע את אחת העסקאות שהוכחשו. כשהראינו את התמונות ללקוח הוא אמר 'תפסתם אותי'. שיטת מצליח.

יש עוד סוגי הונאות קטנות?

"ישנם בני זוג גרושים שחורשים על הכרטיס רגע לפני הגירושים. ויש גם את הכרטיסים המוזרים שנבלעים בכספומט. אנשים מוצאים ברחוב כרטיס חבר מועדון של המשביר למשל, או של הסופר, מכניסים לכספומט ולוחצים 1234. מקווים שאולי יצא משהו".

היה לכם מקרה שלקוח התריע על הונאה?

"היתה לנו דיילת מאוד ערנית שטסה לדרום אפריקה, משכה סכום של 500 שקל שם והתקשרה אלינו. 'תקשיבו, עמד מאחורי אפריקני שחור עור בכספומט וזה לא נראה לי טוב'. בדקנו וראינו שהכל תקין. אמרנו לה 'זו דרום אפריקה, מי את רוצה שיעמוד בכספומט? והיא התעקשה. אז חסמנו לה את הכרטיס ועקבנו אחרי כל הכרטיסים של הדיילים בטיסה שהיו איתה במלון, ועד מהרה חסמנו גם אותם. מסתבר שכל הכרטיסים שוכפלו וזיופו. היתה לה תחושת בטן טובה".

אם הייתי בבר וחבר שלי חתם על החשבונית במקומי זה בסדר?

" כל עוד את לא מתלוננת זה בסדר. בית עסק לא אמור להיות גרפולוג, אבל לאחרונה בדקנו מקרה של הונאה, וגילינו בבית עסק חשבוניות עם החתימה: 'אני גנב'. בית עסק חייב לשים לב לחתימה כזאת".