הונאות באשראי: אתגר קשה אך ניתן לשליטה
החגים בפתח וקצב גיהוצי כרטיס האשראי מתגבר. למרות שלל הסכנות האורבות למחזיקי הכרטיס, בחברות האשראי מנסים להרגיע: "במוצר הזה יש הונאות, זה חלק מהעסק ולמרות זאת, אין כמעט מקרים שהחברה לא תגן על הלקוח". כיצד תימנעו משיטות הנוכלים?
הקניות לקראת חגי תשרי בעיצומן. מאות אלפי כרטיסי האשראי של הציבור הישראלי עובדים שעות נוספות בקניונים, בחנויות וברכישות באינטרנט. ואולם, שימוש בכרטיס טומן גם לא מעט סכנות.
בשנים האחרונות השתכללו שיטות ההונאה השונות. חברות כרטיסי האשראי מחזיקות מחלקות שלמות הכוללות מומחים בתחומי אבטחת המידע וניהול סיכונים, חלקם בוגרי יחידות מודיעין בצה"ל, כדי להתמודד עם שלל ההונאות המתרחשות מדי יום.
מעתיקים את הפס המגנטי
באילו סכנות מדובר? ניתן לחלק את ההונאות השונות לשלושה סוגים: גניבה של כרטיסים, זיוף של כרטיסים – זיוף של הפס המגנטי ושימוש במספר כרטיס אשראי.
הבעיה המסורתית והוותיקה ביותר היא גניבה של הכרטיס והיא מתרחשת לא מעט, כמו גם זיוף הפס המגנטי המתבצע באמצעות העתקה של הפס: עובד בבית העסק מחזיק מכשיר קטן בו הוא מעביר את הכרטיס (במקביל להעברת הכרטיס לצורך הרכישה עצמה) ושומר את הפרטים הנמצאים בפס המגנטי.
שיטה דומה היא התקנת מכשיר קטן על הפתח של הכספומט, דרכו עובר הכרטיס. הנוכלים משכללים את השיטה ומוסיפים מצלמה זעירה שמצלמת את הלקוח מקיש את הקוד הסודי – כך יש הם משיגים שתי ציפורים במכה.
דוגמא מוחשית לכך ארעה מספר פעמים בשנים האחרונות על ידי אזרחים רומנים ש"חגגו" על הכספומטים של כמה סניפים בגוש דן. "פה יש כלל חשוב שצריך להקפיד עליו", אומר ישי ורטהימר, מנהל מחלקת ניהול סיכוני אשראי בכאל. "אם הכספומט נראה לך קצת שונה באיזור הפתח של הכרטיס - פשוט להימנע". ורטהימר מציין כי כמה בנקים בארץ שינו את פתח כניסת הכרטיס, כדי למנוע התקנות כאלה.
רכישות באינטרנט - חלונית דורשת הזדהות
התפתחות הרכישות באמצעות האינטרנט, הביאה להתמודדות עם הונאות חדשות של שימוש בכרטיס. בכל חודש מתקבלות לא מעט פניות בחברות כרטיסי האשראי המדווחות על רכישות שונות שנעשו ברשת ולא על ידי בעל הכרטיס. את הנזק העיקרי משלמים בתי העסק, ואלו הובילו ליצירת טכנולוגיות חדשות המזהות את הלקוח טרם ביצוע הרכישה המקוונת.
כך טכנולוגיה הנקראת 3D Secure, שאומצה על ידי חברות כרטיסי האשראי הבינלאומיות והישראליות בשמות שונים כגון Verified by Visa ו-MasterCard SecureCode - דורשת מהלקוח להזדהות באמצעות קוד סודי (בחלון קטן המופיע בעת ביצוע הרכישה), כדי לבצע את ההעברה הכספית. ההצטרפות לשירות נעשית בעיקר בהרשמה מראש באתר חברת כרטיסי האשראי. חלק מהחברות מאפשרות רישום גם תוך כדי הרכישה.
סכנות נוספות המתרחשות בעולם המקוון הם "פישינג" ופעילות של האקרים. שיטת הונאת הפישינג המבוססת על שכפול אתרי 'דמה' הזהים לחלוטין לאתרים לגיטימיים, כמו אתרי בנקים או אתרי חברות אשראי. במהלך גלישה באתרים אמינים, קופצת הודעת דואר אלקטרוני. הודעות מסוג זה נראות כהודעות המגיעות ממקורות שניתן לבטוח בהם, אך כוללות קישורים לאתרי אינטרנט מזויפים. באמצעות אתרים אלה, נוכלים מנסים לדלות מהגולש פרטים אישיים - מספרי כרטיסי אשראי, סיסמאות, חשבונות בנק ועוד.
"צריך לשים את החששות בפרופורציה"
"התחזות ישירות מול הלקוח היא בעיה לא קטנה", אומר ורטהימר ומזכיר אירוע שפורסם בחודש מרס השנה, כאשר נוכל, שנעצר על עבירות הונאה שונות, פרסם במקומונים מודעות למכירת כרטיסים להופעתו של הזמר ג'סטין ביבר, באמצעות כרטיס אשראי מזוייף וזאת תוך כדי ששהה במעצר. במודעות הושאר מספר טלפון נייד. לאנשים שהתקשרו לאסיר הוא מסר, כי יש בידיו כרטיסים למופע ודרש את מספר כרטיס האשראי. בדרך זו הוא השיג פרטים של 18 כרטיסי אשראי. "מדובר בפניה ישירה של הלקוח. במקרים כאלה, לצערנו על הלקוח תמיד אפשר לעבוד", מוסיף ורטהימר.
בעיה נוספת מולה מתמודדים יחידות האבטחה של חברות כרטיסי האשראי היא עבודה של האקרים וניסיונות "לחלץ" מידע על לקוחות ופרטים על אמצעי התשלום. דוגמה לכך היא הפריצה לשרתי חברת סוני בחודש אפריל השנה, על ידי האקרים וחשיפת פרטי האשראי של עשרות אלפי לקוחות.
האם יש סכנה לכספו של הלקוח?
בחברות כרטיסי האשראי מנסים להרגיע ומדגישים כי ברוב מוחלט של המקרים ניתן ללקוח כיסוי מלא במקרה של הונאה. "כאשר לקוח עשה עסקה באינטנרט וזה לא הוא, הוא מקבל את הכסף. את כל החששות צריך לשים בפרופורציה", אומר גיל טופז סמנכ"ל כאל וראש אגף ניהול סיכונים.
"המוצר הזה יש בו הונאות, זה חלק מהעסק". מוסיף ורטהיימר, "לקוח שעושה עסקה, אני כמעט לא מכיר מקרים שהחברה לא תגן עליו. צריך להיות מאוד רשלן בשביל שזה יקרה. יש ללקוח 30 יום לפנות אלינו. את רוב העבודה אנחנו עושים בעצמנו".
כיצד עובד שיתוף הפעולה בין חברות כרטיסי האשראי הבינלאומיות בתחום הזה?
"חברות כרטיסי האשראי הבינלאומיות (מסטרקארד, ויזה וכו') הקימו מועצה משותפת לפני מספר שנים, הם החליטו לעשות סדר והמציאו תקן לכל מי שעוסק בכרטיסי אשראי, המנפיקות וגם בתי העסק.
"התקן הזה אומר אלו פרטים מותר לשמור ובאיזה צורה (הצפנה). התקן הזה מטיל חובות שעולים הרבה מאוד כסף. הם מאוד נוקשים, ואי עמידה בתנאים שלהם גוררת קנסות. לבתי העסק אין היום שום ברירה.
"במה שנוגע לאבטחה בהגנה על נתוני הכרטיס, במובנים מסויימים אין ספק שהן (חברות האשראי הבינלאומיות) נמצאות הרבה מעבר לדרישות של בנק ישראל. והסיבה היא שהן מסתכלות על כל העולם. הן רואות פריצות הן רואות שנגרמים נזקים. הן רואות אירועים שמשפיעם על מיליוני לקוחות והן פוחדות שאנשים יחששו להתשמש בכרטיסי אשראי. אנחנו מחוייבים לעדכן אותם באירועים חריגים".
"מי שגונב, גונב מכולם"
בשנים האחרונות החלו לאמץ באירופה את טכנולוגיית ה EMV (ראשי תיבות של שמות שלוש חברות כרטיסי האשראי הבינלאומיות) - תקן של כרטיסים חכמים המכילים שבב אלקטרוני. בניגוד לפס המגנטי – שבב כזה לא ניתן לשכפל ובנוסף, בכל פעם שמתבצעת רכישה בכרטיס בחנות – הלקוח נידרש להקיש את הקוד הסודי, כך שאם מישהו גונב את הכרטיס, הוא לא יכול להשתמש בו.בישראל ניתן להנפיק כרטיסים כאלו - ישראלים רבים המשתמשים בכרטיס האשראי שלהם באירופה נדרשים לשבב, אולם הטכנולוגיה אינה נפוצה עדיין בארץ (למרות לחץ שמפעילות חברות כרטיסי האשראי הבינ"ל).
האם יש שיתוף פעולה בין החברות הישראליות (ישראכרט, כאל ולאומי-קארד)?
"מי שגונב, גונב מכולם", אומר ורטהימר. היכולת שלנו לשתף מידע עם חברות אחרות היא מוגבלת. כשיש חקירה של פרשיה אנחנו עושים את זה ביחד, היתה כנופיה ששמה מכשיר מזוייף וקלטה פסים מגנטים. החקירה יחד עם המשטרה היתה משותפת. באיזור הזה אין תחרות. אנחנו גם נפגשים בכנסים בינלאומיים".
הגבלת כרטיס חשוד - החלטה לא פשוטה
כיצד מתקבלת החלטה להגביל כרטיס של לקוח, עקב חשד להונאה?
בחברת כרטיסי האשראי מסבירים כי למעשה מדובר בניהול איזונים – מניעת סיכונים אך במקביל נסיון להימנע ככל הניתן מפגיעה בנוחות של הלקוח.
"אנחנו מנהלים את הסיכון אנחנו לא הופכים אותו לאפס. המטרה היא לצמצם אותו למינימום ולתת שירות טוב ללקוח. למשל בארה"ב ברירת המחדל היא שבמקרה של חשד להונאה, לא ניתן להתשמש בחו"ל, צריך אישור לפני וזה על חשבון הנוחות של הלקוחות. המשחק בניהול סיכונים הוא בין מאזנים מסויימים", מסביר ורטהימר.
"לפעמים יש מצב שאתה בטוח במאה אחוז שהיתה הונאה ואז אתה עוצר את הכרטיס. אם לקוח עושה באמצע הלילה באפריקה עסקה במאה אלף שקל אין ספק שזה עסקה חשודה. אנחנו צריכים להיות כמה שיותר מדוייקים כדי שכולם יהיו מרוצים. אנחנו נמדדים באיזורים האפורים. היתה לנו לקוחה שעשתה עסקה באלפי שקלים במספרה בטורקיה. כמה אנשים מסתפרים במחיר כזה? התברר שזו היתה לקוחה חרדית שרכשה פאות לעסק".
"קח עוד דוגמה. אנחנו מזהים פעילות חשודה בכרטיס של לקוחה שנמצאת בברזיל. עכשיו יש בעיה, מה עושים? היא בטיול עוברת ממקום למקום. נתנו לה את הטלפון שלנו. בכל פעם שהיא רצתה לבצע פעולה, היא יצרה איתנו קשר ואישרנו לה. זה מתח בין הצד השירותי לסיכונים".
טיפים לשימוש בכרטיס
למרות הסיכונים, מסתבר שלמחזיק הכרטיס יש הגנות שימנעו ממנו לשלם את המחיר, אולם יש צורך בשימוש נכון בכרטיס והקפדה על כמה כללים. בעזרת טופז וורטהימר, הנה מספר טיפים לשימוש נכון, שעשויים למנוע מכם עגמת נפש:
- לא מוצאים את הכרטיס? אל תחששו להודיע שמא יבטלו לכם אותו. החברה יכולה להשהות את הפעילות בלבד. לאחר מכן, אם יימצא הכרטיס, ניתן להחזיר אותו לפעולה.
- נוסעים לחו"ל? קחו את מספר החירום של חברת כרטיסי האשראי. במקרה שמדובר בנסיעה ארוכה וכן כזו הכוללת יעדים רבים, עדכנו את חברת כרטיסי האשראי.
- נוסעים לאירופה? לא מעט בתי עסק שם עובדים עם כרטיס חכם הדורש גם הקשת קוד סודי בעת הקניה. ודאו שאתם זוכרים את הקוד.
- הקפידו לעבור על החשבון החודשי הנשלח בדואר, או באתר האינטרנט של החברה.
- לפני שמכניסים את כרטיס האשראי למכונה למשיכת מזומנים – שימו לב אם משהו נראה לכם מוזר. מכשיר חשוד וכדו'. אם כן, אל תכניסו את הכרטיס ודווחו על כך מיד.
- מבצעים עסקאות באינטרנט? ודאו כי יש לכם תוכנות הגנה מעודכנות (כגון אנטי וירוס). זה נכון גם ללקוח הפרטי וגם לבית העסק.
- השתמשו במערכת ההגנה ברכישות באינטרנט הדורשות הזדהות מילוי פרטים וסיסמה בכל ביצוע רכישה. בבחירת סיסמא הגדירו סיסמה איכותית. אל תבחרו בסיסמאות פשוטות כגון תאריכי לידה, שם בן הזוג וכדומה. ודאו כי אתר האינטרנט מאומת ומוצפן על ידי תעודה דיגיטלית.
- בסיום הקניה ברשת, יש לבצע ניתוק יזום מהמערכת באמצעות לחיצה על כפתור "יציאה מהמערכת", ולסגור את הדפדפן.
- אין לשמור סיסמאות או פרטים רגישים בקבצים על המחשב. תוכנות שיתוף קבצים עלולות לחשוף קבצים אלו לגורם עוין.
- לעולם אין למסור את הקוד הסודי שלכם, אם מישהו מבקש זאת בטלפון או באינטרנט.
- חברות כרטיסי האשראי מאפשרות להירשם לקבלת התראות שונות על פי בחירת הלקוח באמצעות סמס, בחלק מהמקרים - ללא תשלום. שווה לבדוק.