הסחיטה בלאומי קארד: האם כרטיס האשראי שלנו בטוח?
בחברת כרטיסי האשראי לאומי קארד מנסים להתאושש מהטלטלה ומדגישים כי אין סכנה ללקוחות, אולם עדיין נותרו לא מעט שאלות פתוחות: כיצד הצליחו הנוכלים להגיע למידע? מדוע לא עודכנו הלקוחות? והאם אין חשש שגם פרטים של לקוחות חברות האשראי האחרות נגנבו? מנהלי החברה מבקשים להרגיע
יממה לאחר שנחשפה פרשת הסחיטה בחברת כרטיסי האשראי לאומי קארד, מבקשים מנהלי החברה להרגיע את אלפי הלקוחות החוששים.
"חשוב לי לומר שהלקוחות היו בטוחים", אומרת תמר יסעור, יו"ר דירקטוריון לאומי קארד ומנהלת החטיבה הבנקאית בבנק לאומי בראיון ל ynet. "בכל אירוע של הונאה, הבעיה היא של חברת האשראי ולא של הלקוח. יש לנו מערכות טובות לנטר מידע של הונאות ויש לנו קווי הגנה שלא היו מאפשרים פעולות בכרטיסים הללו".
בחברה אמנם מנסים להרגיע וטוענים כי אין כל סכנה ללקוחות, אולם נראה כי גם להם לא ברור עדיין מה בדיוק היקף המידע שנגנב על ידי אותם נוכלים.
"נתונים בסיסיים בלבד"
יש לציין כי עובד במחלקת אישורים של חברת כרטיסי אשראי עשוי להיחשף במשמרת אחת של כמה שעות לפרטי כ-300 כרטיסי אשראי, במסגרת העסקאות אליהן הוא נדרש בעבודתו.
"תכל'ס אין אפשרות לפקח על זה", אומר ל ynet עובד לשעבר במחלקת האישורים של לאומי קארד, שביקש להישאר בעילום שם. "הכל שם עובד על אמון. העובדים נחשפים לפרטים של מאות כרטיסים מדי יום, גם מצלמות לא יעזרו". אולם לדבריו לא מדובר רק בכרטיסים של החברה בלבד.
בכל בית עסק יש חברת כרטיסי אשראי אחת שסולקת את הכרטיס, היא אחראית להעביר את הכסף מחשבון הלקוח לחשבון העסק. כך יכולה לדוגמה לאומי קארד לשמש כסולקת גם של כרטיסי אשראי של חברות אחרות כגון ישראכרט וכאל. עובדי החברה נחשפים לאותם פרטים אישיים של מחזיקי הכרטיס של החברות המתחרות, כמו שהם נחשפים לפרטים של לקוחות החברה.
"יכול להיות שאותם נוכלים השיגו פרטים גם של לקוחות של חברות אשראי אחרות", הוא אומר. בחברות האשראי מסרבים להגיב ומציינים שהנושא נמצא בחקירת משטרה. בלאומי קארד מציינים עם זאת, כי ככל הידוע להם, מדובר בפרטי כרטיסים שלהם בלבד.
מראיין: גלעד מורג
מה היקף המידע שהם גנבו? האם אתם יודעים בדיוק מה נגנב?
"מה שאנחנו יודעים זה מחקירת המשטרה", מציין חגי הלר, מנכ"ל לאומי קארד. "ככלל שידוע לנו מה שנגנב זה נתונים בסיסיים. לא היה להם הפס המגנטי של הכרטיס ולא נתוני cvv (3 ספרות הנמצאות בגב כרטיס האשראי, במקום החתימה של הלקוח, ומשמשות כקוד אבטחה הנדרש בנוסף למספר כרטיס האשראי – א.ר.). ברגע שאנחנו קיבלנו את הפניה העברנו את המידע למשטרה, היא גם ניהלה את החקירה וגם הטילה צו איסור פרסום".
בלאומי קארד טוענים כי בעקבות האירוע הופעל מנגנון אבטחה המחייב בעסקה הנעשית ללא גיהוץ הכרטיס, זיהוי גם על פי קוד ה CVV, שכאמור לא היה בידי אותם נוכלים.
כאב ראש בתזמון גרוע
"הסיפור החל לפני כשבועיים כאשר הדוברות קיבלה מייל שאומר: יש בידי פרטי כרטיסי אשראי אם אתם לא רוצים שיגרם לכם נזק נוראי שלמו לי סכום כסף מסוים", מספרת יסעור. "האדם לא הזדהה. עדכנו את המשטרה, את הפיקוח על הבנקים ואת בנק ישראל והחקירה החלה להתגלגל כשהיו התכתבויות בינינו לבין החשוד. עבדנו עם המשטרה יחד".
ואמנם, שבועיים של מתח לא קטן עברו על מנהלי החברה כאשר כל הזמן הזה לא רבים מעובדי לאומי קארד מודעים לפרשה והשלכותיה. גם התזמון היה גרוע במיוחד, כאשר הנהלת לאומי מנסה להתמודד עם הידיעה הטריה על כוונת הרשויות בארה"ב להכפיל את הקנס שהוטל עליה, בנוגע לפרשת החשדות בסיוע להעלמות מס.
איך מגיעה רשימה כזו של כרטיסים לעובד לשעבר?
יסעור: "החבר'ה האלה היו נציגי שירות לקוחות בלאומי קארד, נציג שירות נחשף למידע כזה כי רק הוא יכול לתת שירות ללקוח. המשטרה חוקרת ואז נדע איך בדיוק זה קרה אם כל אחד מהם הביא רשימה חלקית, או שזה נאסף מזה זמן רב או בפעם אחת.
"הבחור מתאילנד היה ראש צוות במוקד השירות, הוא עזב בנסיבות שלא קודם בתפקיד ולכן החליט למצות את התפקיד, עזב באמצע 2013 ואפילו רשם ביום העזיבה "תודה ללאומי קארד". כלומר, זה לא אירוע נקמה בחברה אלא אירוע פלילי".
אין שום קשר להאקרים
לא היה מקום להודיע ללקוחות, אולי להזהיר אותם שיהיו ערניים, שישימו לב אם משהו לא כשורה בחשבון האשראי שלהם?
הלר: "כפי שאמרנו זו פרשה שהייתה תחת צו איסור פרסום. אנחנו הגברנו את הבקרות שלנו על התנהלות חשודה או משהו שונה מהמקובל, אבל לא יכולנו להוציא אינפורמציה.
"בכל מקום שבו אנחנו מזהים דליפה, אנחנו פונים ללקוחות ומיידעים אותם. אנחנו עושים פעילות אקטיבית של החלפת כרטיסים, גם כשהיה כל האירוע עם ההאקר הסעודי, פנינו ללקוחות שלנו. אבל זה לא המקרה כאן".
נושא אבטחת כרטיסי האשראי שוב מציף את סוגיות ההאקרים ופרשת ההאקר הסעודי, אז נחשפו ברשת האינטרנט פרטי כרטיסי האשראי של מאות אלפי לקוחות.
האם אלו אותם סיכונים, האם יושמו מסקנות מאז?
"אין קשר בין הדברים ולכן אי אפשר להחיל את המסקנות משם על המקרה הזה", אומר מנכ"ל לאומי קארד. "האירוע הזה הוא כולו אירוע של מעילה. לעובד הזה היה הרשאות והוא השתמש בזה לרעה. זה מאוד שונה מהעניין של ההאקרים שמנסים לחדור למערכות המידע.
מערכות הניטור שלנו מאתרים מקרים של שימוש לרעה. גם היום כל הנושא של אבטחת מידע הוא אורח חיים. אנחנו עובדים בסטנדרטים הכי גבוהים".
ובכל זאת, בהקשר לאירוע הנוכחי, האם ניתנו הנחיות מיוחדות לעובדים שנגישים למידע, האם כבר יש לכם מסקנות ראשוניות?
"היו לנו תוכניות כיצד לחסום עסקאות חשודות במידת הצורך. נבדוק איך ניתן עוד לחסום ולגדר, אך לחסום הרמטית שימוש במידע שבסמכות עובד להיחשף אליו - זה לא מעשי", אומרת יסעור. "כדי להתקבל לתפקיד עוברים מבחני אמינות, חותמים על הצהרה שלא נשתמש במידע, אך אין 100 אחוז. אני מקווה שלא נחווה זאת שוב".
"אנחנו לומדים את הדברים", מוסיף הלר. בינתיים, לדבריו, לא נעשה כל שינוי. "אנחנו נותנים למשטרה לסיים את החקירה ואנחנו בוחנים מה אנחנו יכולים לאמץ מבית . המסר הכי חשוב הוא שהלקוחות מוגנים בכל מקרה".
בהכנת הכתבה השתתף גלעד מורג
לפנייה לכתב/ת 
