אחת לתקופה נחשפות ברחבי העולם הונאות ענק בכרטיסי אשראי, כמו זו שפורסמה בארה"ב לפני מספר חודשים ותוארה כגניבת הזהויות הגדולה בהיסטוריה. הגניבה התבצעה על-ידי רשת של חשודים, שגנבו 40 מיליון מספרי כרטיסי אשראי מבנקים ומרשתות קמעונאיות בארה"ב. בישראל מוערך היקף ההונאות בכרטיסי אשראי ב-60-80 מיליון שקל מדי שנה - כ-5% מהיקף הפעילות בכרטיסי האשראי. לפני כשנה נתפסה כנופיה של זייפני אשראי מרומניה שפעלה בארץ במשך מספר חודשים. הכנופיה משכה מאות אלפי שקלים מכספומטים באמצעות מאות כרטיסי אשראי מזויפים. בחקירתם סיפרו החשודים במשטרה כי "כיף לעבוד בארץ גם בגלל מזג האוויר וגם בגלל התנאים". לחברי הכנופיה היה אולי כיף, אבל אין ספק שלגלות שמישהו אימץ את זהותך ורוקן לך את חשבון הבנק באמצעות כרטיס האשראי שלך רחוק מלהיות כיף.
שיטות ההונאה הנפוצות
* גניבה פשוטה: כל איבוד ארנק, גניבה או פריצה עשויים לגרור עימם הונאה בכרטיס האשראי. עו"ד זאב פרידמן, היועץ המשפטי של המועצה לצרכנות, מוסיף כי במקרים רבים מוחזק הקוד הסודי למשיכה מהכספומט יחד עם הכרטיס או כאיש קשר בטלפון הסלולרי. "הגנבים מכירים את הטריקים. אם הטלפון הסלולרי נגנב יחד עם הארנק, הדרך לריקון החשבון קצרה" .
איך לטפל? בכל מקרה של אובדן או גניבה, יש ליצור קשר מיידי עם חברת האשראי.
* שיכפול כרטיס: תמורת 25 דולר ניתן כיום לרכוש באינטרנט קורא כרטיסים מגנטיים. את קורא הכרטיסים יש לחבר למחשב בחיבור usb פשוט, להוריד למחשב תוכנת חינם, וזהו - הנוכלים יכולים לשכפל כל כרטיס הנופל לידיהם. בעל הכרטיס, מצדו, ממשיך להשתמש בכרטיסו מבלי לדעת שכרטיס המכיל את אותם פרטים מסתובב בארץ או בעולם. העתקה כזו עשויה להתרחש בכל פעם שבעל הכרטיס מאבד קשר עין עם כרטיסו, כמו לדוגמה בתחנות דלק, במסעדות או בחנויות אחרות.
איך להימנע? הדרך היחידה לנסות ולמנוע שיכפול כרטיס היא לא לאבד קשר עין עם הכרטיס. לדברי אלקובי, במרבית המקרים מערכות האבטחה של חברות האשראי מאתרות הונאות מסוג זה עוד לפני שהלקוח מרגיש בהן.
* שימוש בפרטי כרטיס אשראי שנמסר בקנייה מרחוק: הזמנתם פיצה? שלחתם פרחים באמצעות הטלפון? חידשתם את פוליסת הביטוח במוקד הביטוח הישיר? נהדר. מרגע זה ואילך פרטי כרטיס האשראי שלכם "חופשיים". חלק ניכר מהונאות האשראי מתבצעות בדרך של "רכישה מרחוק". עו"ד פרידמן מזהיר גם מהונאות אשראי בקנייה מרחוק בהן מוזמן מוצר בסכום נמוך, והכרטיס מחויב בסכום גבוה.
איך להימנע? העצה הפשוטה ביותר היא להימנע ממסירת כרטיס אשראי, אולם באורח החיים המודרני עצה זו קשה לביצוע ולכן במקרה זה קשה להיזהר.
* גניבת פרטי הכרטיס ברכישה מקוונת: רכישות מקוונות הופכות פופולריות יותר משנה לשנה, ובמקביל הולכות ומשתכללות שיטות גניבת המידע באינטרנט. במקביל, במסגרת מלחמת המוחות האין-סופית בין הגנבים לחברות אבטחת המידע, הולכות ומשתכללות גם שיטות אבטחת האתרים. למרות זאת מצליחים ההאקרים לפרוץ לקובצי נתונים של חברות ציבוריות ובנקים גדולים. רק לפני מספר חודשים הודיע סיטי בנק כי האקרים הצליחו לפרוץ את מאגרי המידע וגנבו מספרים של 40,000 כרטיסי אשראי.
איך להימנע? רועי צימר, סמנכ"ל תפעול של חברת העוסקת באבטחת מידע, ממליץ לבצע רכישות רק באתרים מאובטחים. "לאתר מאובטח יש תעודת ssl המאשרת כי האתר מוגן מפני "פישינג" (שיטת הונאה שבה האקרים ורמאים יוצרים אתר פיקטיבי המדמה אתר אמיתי ומעתיקים מספרי כרטיסי אשראי המוזנים אליו). אתר המשתמש באבטחת מידע גאה בכך ומפרסם את זה באתר. באתרים אלה מופיע סמל של מנעול בשורת הכתובת.
צימר מייעץ עוד לנקות בדפדפן את ה"עוגיות" (קוקיז), כך שהאתר לא יזכור את הפרטים שהוזנו אליו בעבר. לאנשים נוח מאוד שהדפדפן "משלים" אוטומטית מידע כמו סיסמאות או שם משתמש, אולם זו פרצה הקוראת לגנב. בנוסף כדאי לבטל את האפשרות "זכור אותי על מחשב זה" במחשבים ציבוריים או במחשבים במקומות עבודה, כיוון שאין לדעת מי יכנס למחשב אחריכם ויוכל להיחשף לפרטים שהשארתם. בנוסף מומלץ להשתמש בשירותים דוגמת paypal הנועד למניעת גניבת כרטיסי אשראי. בשירות זה נמצאים פרטי האשראי בשרתים מאובטחים ביותר והלקוח לא נדרש לספקם בכל פעם מחדש לצורך ביצוע עסקה.
מחפשים את היעד הבא
לדברי לייזי ינאי, נשיא יצרנית מסופי התשלום וריפון, אחת התופעות המאפיינות את דפוסי פעולתם של זייפנים בעולם היא "נדידת העמים": "זייפנים נעים ממדינה שהונהגו בה אמצעי אבטחת אשראי מתקדמים, למדינה אחרת שבה אמצעי האבטחה מתקדמים פחות. כך לדוגמה, המערכת הבנקאית בצרפת סבלה ממכת זיופי אשראי במהלך שנות התשעים.
משהותקנו בצרפת אמצעי אבטחת עסקאות אשראי, נדדו הזייפנים לבריטניה, שם הם הסבו נזק שנתי של כ-250 מיליון פאונד לכלכלתה.
לאחר שבריטניה החלה ב-2004 בהטמעת מערכות שנועדו למגר את הזיופים, החלו גרמניה ואיטליה לסבול ממכת זייפנים שנטשו את "השוק" הבריטי.
באיטליה, לדוגמה, זיופי האשראי קפצו ב-48% בשנת 2004. כיוון שבישראל רמת אבטחת האשראי כיום נמוכה ו"קורצת" לזייפנים, אין ספק שהיא אחד מהיעדים הבאים של אותן כנופיות".
ינאי מסביר כי במדינות שבהן עברו לשימוש בשיטת כרטיס אשראי חכם - כרטיס המכיל שבב ומחייב הקשת קוד זיהוי משתמש בכל עסקה ירדה - משמעותית כמות ההונאות בכרטיסי אשראי.
"חברות האשראי הישראליות נוקטות מגוון פעולות ל"יירוט" הונאות, ומשקיעות הון רב במשאבים טכנולוגיים שמטרתם ניטור ואיתור פעילות הונאה במהירות, ממש בסמוך לזמן התרחשותה", אומר תומר אלקובי, מנהל מחלקת ניהול סיכונים לאומי קארד. "הן מפעילות מוקדים סביב השעון במטרה לאתר פעילות חריגה בכרטיסי אשראי, ויוצרות קשר עם הלקוחות לעתים עוד לפני שאלה שמו לב לכך שכרטיסם נגנב. במקביל פועלים מנגנונים שעוזרים ללקוחות להיות שותפים לפיקוח על הכרטיס.
בלאומי קארד, לדוגמה, לקוחות יכולים להיות מנויים חינם לשירות sms שיעדכן אותם על כל עסקה מעל 500 שקל שמתבצעת בכרטיס שלהם. אנחנו גם מעודדים את הלקוחות לעקוב אחרי החיובים שלהם משך כל החודש באתרי החברות באינטרנט".
לדבריו, היקף ההונאות הולך וקטן והוא נמוך מהממוצע האירופאי והעולמי. "חברות האשראי משתמשות במערכות שמזהות חריגה בפרופיל המשתמש של הלקוח, ומזהות עסקאות שהסבירות שלהם גבוהה להפוך לעסקאות הונאה". לדבריו, חברות האשראי מפעילות מחלקות מחקר שמטרתן להעמיק בכל הונאה על מנת לאתר את הבטן הרכה, ולכייל את מערכות הבקרה בהתאם.
לדברי אלקובי, למרות כל אלה פועלות החברות במרץ על החלפת המערכות לשימוש בכרטיסים חכמים: "זה נמצא כיום בתהליך מואץ ולדעתי עד שנת 2010 יתמכו המערכות בישראל בכרטיסים חכמים".
מהי אחריות חברות האשראי?
חוק כרטיסי חיוב קובע כי בכל מקרה של שימוש לרעה בכרטיס אשראי, תחול מלוא האחריות על חברת האשראי, ולא על בעל הכרטיס.
חברת האשראי רשאית לגבות מהלקוח סכום חד פעמי של 75 שקלים, ועוד 30 שקלים עבור כל יום בו ידע על הגניבה ולא דיווח עליה, ולכן עדיף להודיע לחברה באופן מיידי על הגניבה או האבידה. בכל מקרה לא יעלה סכום החיוב המירבי על 450 שקל. על-פי תיקון לחוק שנכנס לתוקף באוגוסט האחרון, על החברה להשיב את הסכום שנגנב בהקדם האפשרי, ולא יאוחר מ-10 ימים מיום ההודעה. התיקון קבע עוד כי בניגוד לעבר, הלקוח גם אינו אחראי לכרטיס אשראי שנגנב או אבד לאדם לו מסר את הכרטיס.
החוק קובע סייגים בהם לא תחול האחריות על חברת האשראי וביניהם: במקרה שהשימוש לרעה נעשה בידיעת הלקוח, ובמקרה שהלקוח פעל בכוונת מרמה.
ובכל זאת, תרגילי עוקץ קורים
למרות מנגנוני האבטחה המשוכללים של חברות האשראי, המצביעים לרוב בזמן אמת על כל ניסיון להונאה, מצליחים נוכלים למצוא פרצות במנגנונים ולנצל אותן לביצוע גניבות ותרגילי עוקץ. כך קרה גם למ', לקוח של חברת cal, שמסר מרצונו את כרטיס האשראי שלו לידידה, שניצלה את תמימותו וערכה בכרטיס חגיגת קניות.
אלא שלמרות שמסגרת האשראי של מ' בחברת האשראי עמדה על 8,000 שקל, הצליחה הנוכלת לבצע רכישות בסכומים שהגיעו עד 60,000 שקל.
דרך הפעולה של הנוכלת, שככל הנראה מצויה בנבכי ההתקשרויות של העסקים השונים עם חברות האשראי, היתה פשוטה.
את הסכום הגדול היא צברה בקניות קטנות, שנעו בין 100-200 שקל כל אחת.
מכיוון שלכאורה לא התבצעה כאן הונאה על-פי הגדרתה בחוק שכן הכרטיס לא נגנב או שוכפל אלא נמסר מרצון, נאלץ מ' לשלם את מלוא החוב, טרם ביטל את הכרטיס.
כיצד ייתכן שלמרות מסגרת האשראי הנוקשה הצליחה הנוכלת להתל במחשבי חברת האשראי? גורם בכיר באחת מחברות האשראי הסביר השבוע ל"גלובס" כי ה"פרצה" נובעת מהרצון הכן של חברות האשראי להעניק ללקוח שירות טוב, ולכן הן פוטרות חלק מהעסקים בחובת אישור מיידית לעסקאות. לדברי אותו גורם, מטעמי ביטחון, משתנים אחת לתקופה העסקים אותם פוטרת חברת האשראי מהחובה, וגם סכומי התקרה לעסקאות כאלה אינם תמיד אחידים. "אין ספק שלמי שביצע את העוקץ הזה היה מידע לגבי דרך הפעולה של חברות האשראי, וייתכן אפילו שהוא קיבלת סיוע מעובדים באותם עסקים. עם זאת ברור לחלוטין שכל עסקה שהיתה דורשת אישור היתה נדחית באופן מיידי על-ידי חברת האשראי והיתה מקפיצה את מחלקת הביטחון".
תגובת Cal: "ככלל, מסגרת האשראי אמורה לבטא את היקף השימוש בכרטיס האשראי של הלקוח. במקרים רבים הלקוח רשאי לבצע עסקות אף מעבר לסכום המסגרת שהוקצתה לו, אולם מערכות הבקרה של חברת האשראי אינן מאפשרות ללקוח להתחייב בהתחייבויות בלתי סבירות מעל למסגרת האשראי שלו. המקרה הנדון הוא מקרה קיצוני וחריג, שבו נעשה שימוש במספר אמצעים אשר אפשרו את ביצוע העסקות.
"חשוב לציין שהלקוח, בהתנהגותו הרשלנית וחסרת האחריות, מסר ביודעין את הכרטיס לגורם שלישי אשר עשה שימוש רב בכרטיס, והלקוח לא התקשר לחסום את הכרטיס, גם לאחר שביקש את הכרטיס מהצד השלישי, וזו סירבה להחזירו.
"חברת Cal מפעילה מערכות בקרה וניטור מהמתקדמות ביותר בעולם, ואף פיתחה לעצמה שם עולמי בתחום זה. מערכות בקרה אלה אמורות לאתר מקרי גניבה או זיוף בכרטיסי האשראי, עם זאת גם המערכות המתקדמות ביותר אינן מסוגלות לאתר את כל המקרים, בפרט במקרים של מסירה מכוונת של הכרטיס לידי צד שלישי".
נזכיר כי לאחרונה תוקן חוק כרטיסי חיוב, ובמסגרת התיקון חודד הסדר הגבלת האחריות של לקוח ובו נקבע כי בסיטואציות מעין אלה של מסירה מכוונת של הכרטיס לצד שלישי, הלקוח אינו זכאי לכל הגנה מאת חברת כרטיסי האשראי, בשל התנהגותו הרשלנית.