ליטל רק רצתה לקנות בושם ב-175 שקלים, ונעקצה ב-4,000 שקלים. זה קרה דרך האתר BsamimIL, שנראה לגיטימי לחלוטין, אבל בפועל לא תקבלו משם שום סחורה – ורק תחויבו באלפי שקלים. איך זה עובד? לאחר שתבחרו את המוצר שתרצו לקנות ותמלאו את פרטי האשראי שלכם, אשר יישמרו במערכת של האתר, בעלי האתר יפנו אליכם בוואטסאפ בתואנה שהם צריכים מכם קוד בן 6 ספרות כדי לאשר את העסקה. מדובר למעשה בקוד (שחברות האשראי מזהירות מלשתף אותו) שדרכו הם יחייבו אתכם באלפי שקלים דרך אתרים של העברות כספים. שמו של האתר, אגב, דומה בצורה מכוונת לאתר פרפיום אי אל, אתר ישראלי לגיטימי וחוקי לרכישה של בשמים.
"זה עובד באותה צורה כבר המון זמן", מספרת ליטל. "רגע אחד של חוסר תשומת לב שלי והם העבירו ממני כספים". ליטל הגישה תלונה במשטרה ולאחר מכן שיתפה את סיפורה בפייסבוק. לדבריה, פנו אליה עוד נעקצים רבים אחרים, שנפלו קורבן לאותה השיטה.
אחת מהן היא רוני חיון. "הכל התחיל כשקלטתי שבאתר Bsamimil.com מוכרים בושם שאני ממש אוהבת וכבר לא ניתן למצוא. מיהרתי לרכוש שניים כאלה, סה"כ ב-450 שקל", היא מספרת ל-mako. "קראתי באתר שהתשלום מאובטח, ובנוסף לכך נציג מטעמם יוצר קשר לאימות אמצעי תשלום ותיאום אספקה.
" ואכן, אחרי שנתתי את פרטי האשראי, קיבלתי אישור הזמנה למייל, עם מספר חשבונית מס, וכעבור פחות מ-24 שעות קיבלתי הודעה בוואטסאפ מנציגה מטעמם שביקשה לוודא שאני בעלת הכרטיס ושזמן האספקה מתאים לי".
מאתר הבשמים נכתב לה כי היא תקבל הודעה עם קוד אימות לביצוע עסקה על סך 450 שקל. "היא ביקשה שאני אעביר לה את הקוד ובזה נסיים את הפרוצדורה. נשלח אליי קוד אימות, מסרתי לנציגה ואז היא אמרה לי שפג תוקפו של הקוד ושהם ישלחו שוב ואכתוב להם אותו במיידי. שלחו עוד קוד - הפעם, מרוב שמיהרתי להעתיק לה את הקוד לפני שיפוג תוקפו, לא שמתי לב שהם שינו את סכום העסקה ל-4,000 שקל".
חיון נכנסה לחשבון שלה במהרה לבדוק. "חשכו עיניי. חויבתי ב-4,000 שקל. ניסיתי להתקשר למספר של נציגת השירות, לכתוב לה המון הודעות, ולא קיבלתי מענה מאז", היא מספרת. "אחרי חיפוש בפורומים ובקבוצות, גיליתי שנעקצתי ומיהרתי לבטל את כרטיס האשראי ולפנות לחברת האשראי להכחשת עסקה. הם מצדם טענו שרק אחרי כמה ימים הם יוכלו לבדוק אופציה לזכות אותי על סכום העסקה המקורי, ולא בטוח שיצליחו להפיל את העסקה על ה-4,000 ש"ח כי מסרתי קוד אימות".
חוקר הסייבר מאור דיין מספר שמדובר בקבוצה קבועה של אנשים, שהוא מעריך שהם ישראלים או מהשטחים, שכבר מספר שנים פועלת באותה שיטת פעולה – ורק משנה כל פעם את תוכן האתר ואת מספרי הטלפון. הוא עוקב אחריהם מ-2020 וראה בין היתר שהם מפעילים אתר מזויף למכירת צעצועים וכן אתר לציוד ספורט בשם ספורטוניסט, עליו כתבנו לפני מספר חודשים.
"חברות האשראי כבר מודעות לחברת סליקה שהם משתמשים כדי לסלוק (חברה מוכרת) ולא מוכנים לקחת אחריות על זה ולהחזיר כספים, מהסיבה שהקורבנות נתנו את הקוד שהתקבל כחלק מהדרך פעולה שלהם של 'הכרטיס לא עבר', 'צריך את הקוד בשביל לשלוח את המוצר" וכדומה", מסביר דיין.
עוד לפני שנציגי האתר ביקשו ממני את הקוד, מה שאמור לעורר חשד, איך אפשר לדעת שמדובר באתר מזויף?
דיין: מה שמשותף בכל האתרים שלהם עד היום, בין אם זה חברה של בשמים, ספורט, נעליים או משחקים, זה שהם מציעים מוצרים מאוד יקרים מחברות טובות בעלות זולה מאוד. אם זה יותר מדי טוב כדי להיות אמיתי, זה כנראה באמת כך. הם ייקחו בושם שעולה בדרך כלל 2,000 שקל ויציעו אותו ב-1,000, או נעל שעולה 800 ב-200 שקל. זו דרך הפעולה שלהם".
דיין מבהיר שברגע ששמתם את פרטי האשראי שלכם באתר, גם אם לא חייבו אתכם מיד – אתם צריכים לבטל את כרטיס האשראי שלכם ולהזמין חדש. "כשאתם קונים באתר מאובטח, פרטי האשראי שלכם לא נשמרים. החברה מקבלת טוקן מחברת אשראי עבור הקנייה הספציפית, אבל הם לא מקבלים את הפרטים. פה העוקצים מקבלים את כל הפרטים שלכם – מספר כרטיס אשראי, תעודת זהות, 3 ספרות בגב הכרטיס, והם שומרים את זה אצלם באופן גלוי, וככה הם יכולים לחייב אתכם עוד ועוד".
פנינו לוואטסאפ העסקי של אתר בשמים אי.אל בבקשת תגובה לטענות העוקץ.
התגובה ששלחו לא התייחסה לטענות וזה לשונה: "הנחיה חדשה של משרד המשפטים, בנק ישראל ורשות שוק ההון יוצאת להגנת הצרכן וקובעת כי גם אם לקוח מסר את קוד האימות של העסקה למתחזה — על חברות האשראי חלה האחריות להחזר החוב. נפלתם קורבן לעוקץ אשראי אחרי שמסרתם קוד חד־פעמי למתחזה? אם עד כה חברות האשראי התנערו, לפחות בחלק מהמקרים, מאחריותן להחזר חוב ההונאה — כעת הנחיה חדשה צפויה לשנות את התמונה".