מעיין מינסטר עברה ביום שלישי על פירוט התשלומים בכרטיסי האשראי שלה ושמה לב למשהו חשוד: שישה חיובים של 200 שקל בשלושה תאריכים שונים – כולם עבור שירות של דן שירותי תחבורה.
מכיוון שמינסטר, תושבת התנחלות לשם בשומרון, לא נוסעת בתחבורה ציבורית ולא עשתה עסקאות מול דן, היא הבינה מייד שמישהו גנב את פרטי האשראי שלה. היא כתבה בתמימות לחברים בקבוצת הוואטסאפ של היישוב שישימו לב אם יש להם חיובים מוזרים – ולא האמינה למבול התגובות שקיבלה.
"הוואטסאפ כמעט קרס. מאות אנשים גילו שגם הם חויבו על ידי דן שירותי תחבורה אף שמעולם לא השתמשו בשירותים של החברה או בשירותי כרטיסי רב-קו", היא מספרת. "חלק מהתושבים גם גילו כי הם חויבו באלפי שקלים על ידי חברת החשמל, ומישהי אחרת אף הבחינה שהיא שילמה ארנונה לעיריית בת ים, שאין לה שום קשר אליה".
אבל לשם הוא לא היישוב היחיד שנפגע. מאתמול תושבים רבים ברחבי הארץ מתלוננים על אותו דבר בדיוק: חיובים לא מוסברים, מחברת דן שירותי תחבורה בעיקר. חלקם גילו את זה בעקבות בדיקה שביצעו לאחר שקראו אזהרות ברשת; כמה מהם העידו כי החיובים המוזרים קרו כבר לפני כמה חודשים, והם היו בטוחים שהם היחידים שנפגעו.
כשפנינו לחברת דן ושאלנו אם הם מודעים לעובדה שהרבה חיובים נעשו בשמם דרך אלפי כרטיסי אשראי בארץ, הם הודו כי הנושא מוכר להם והפנו אותנו לחברת הופ-און (HopOn), החברה שסולקת את העסקאות של דן, כלומר החברה שמנהלת את גביית הכספים, ואחת הזוכות במכרז משרד התחבורה לתפעול כרטיס הרב-קו הדיגיטלי.
משלימים את כל הפרטים
מאז נכנסה לתוקפה רפורמת הרב-קו, אי אפשר לשלם יותר במזומן באוטובוס או ברכבת. התשלום מתבצע באמצעות טעינת כרטיס הרב-קו מראש בעמדות טעינה או בסניפי קופיקס וסופר-פארם ובקיוסקים. כשנוסע עולה לאוטובוס או רכבת הוא מתקף את הנסיעה, והתשלום עליה מנוכה מן הסכום הטעון בכרטיס.
יש שני סוגים של כרטיסי רב-קו: כרטיס המזוהה עם האדם שמחזיק אותו, וכולל את שמו ותמונתו; וכרטיס רב-קו אנונימי, שמתפקד כמו כרטיסייה דיגיטלית, ואותו ניתן לרכוש בעמדות הטעינה תמורת חמישה שקלים ולהטעין בכמה כסף שרוצים. על הכרטיס האנונימי אין ביטוח. אם הוא נגנב או אבד – אין אפשרות להזדכות על הסכום הטעון בו.
בשיחה עם עופר סיני, שותף-מייסד בהופ-און, שהיא אחת החברות שדרכה ניתן גם להטעין כרטיסי הרב-קו, התברר גודל ההונאה. "מדובר ברשת נוכלים מתוחכמת שיש ברשותה מאגר של מאות אלפי כרטיסי אשראי שהיא הצליחה לשים עליהם יד, בעיקר דרך הונאות פישינג (דיוג): אזרחים תמימים פותחים קישורים מפוקפקים שהם מקבלים דרך הוואטסאפ, המיילים, המסרונים או אפילו הפרסומות בפייסבוק או באינסטגרם; וממלאים את פרטי כרטיס האשראי שלהם, כולל תוקף ומספר CVV. הפרטים האלה נכנסים הלאה למאגר, והנוכלים פשוט משלימים ממקורות אחרים פרטים כמו מספר תעודת הזהות, השם המלא ואפילו תאריך הלידה".
ואיך כל זה מתקשר להונאה הזו?
"הנוכלים האלו משתמשים במאגר כרטיסי האשראי הגנובים, ופשוט קונים אלפי כרטיסי רב-קו נטענים אנונימיים. את הכרטיסים האלו הם מוכרים בקרנות הרחוב לאנשים תמורת הנחה מסוימת. נגיד – כרטיס רב-קו טעון ב-300 שקל יעלה לך רק 275 שקל. אנשים מתפתים לקנות את הכרטיסים האלה ונפגעים".
"הנוכלים האלו משתמשים במאגר כרטיסי האשראי הגנוב ופשוט קונים אלפי כרטיסי רב-קו נטענים אנונימיים"
איך הם נפגעים?
אם לקוח של חברת כרטיסי אשראי מתלונן שנעשו לו פעולות בכרטיס שקשורות לרכישת כרטיס רב-קו, החברה פונה אלינו עם המידע. אנחנו מאתרים את כרטיס הרב-קו שנרכש באמצעות אותו כרטיס אשראי גנוב, ופשוט מבטלים אותו. מי שקנה את הכרטיס האנונימי 'בהנחה', פשוט שילם סתם כסף, כי הוא לא יוכל להשתמש בכרטיס בשום מקום שאפשר להפעיל בו רב-קו".
לדברי סיני, היקף ההונאה עומד על מיליוני שקלים. "יש אלפי כרטיסי רב-קו שנקנו באמצעות כרטיסי האשראי הגנובים. היום אנחנו יודעים לאתר עסקאות חשודות ולחסום מראש את הגישה – לדוגמה, אם רואים שאותו כרטיס אשראי הטעין מספר פעמים ברצף – אבל עדיין אנחנו לא יכולים להתמודד עם היקף התופעה כולה".
סיני בטוח כי לא מדובר במעשים של אדם בודד. "מדובר על הונאה שמתבצעת לאורך זמן, ויש כאן אופרציית ניהול שלמה – החל ממי שגונב את כרטיסי האשראי, עבור דרך האנשים שרוכשים את כרטיסי התחבורה הנטענים, וכלה באלו שמוכרים אותם בפועל בקרנות הרחוב. באמת לא אתפלא אם מדובר ברשת ריגול איראנית. אחד המומחים שדיברתי איתם העלה את הסברה הזו, כי זאת הונאה מתוחכמת מאוד.
"אנחנו סוגרים נתיב אחד – וישר קם נתיב אחר. התלוננו במשטרה, אבל מי שצריך להידרש לסוגיה הזו הוא בנק ישראל, שצריך לעצור את מתקפות הפישינג על אנשים. בסופו של דבר, מי שנפגעות מזה הן האוכלוסיות המוחלשות: עובדים זרים, חרדים וערבים. אנשים רוצים לחסוך קצת כסף אבל בפועל מפסידים אותו. אנחנו כל הזמן מזהירים שלא לקנות כרטיסי רב-קו טעונים מאנשים זרים, אבל לצערי אנחנו לא מגיעים לאוזניים הנכונות".
סיני מספר כי למרות גל הגניבות הנוכחי, לא מדובר בתופעה חדשה. לדבריו, משרד התחבורה נדרש לעניין והגיש תלונה במשטרה לפני שלושה חודשים, כדי לנסות לזהות את רשת הנוכלים ולעצור את גל הגניבות.
בדקו אם גם אתם נפגעתם
הבעיה, על פי מומחים בתחום, נעוצה בכך שחברות כמו הופ-און אינן משתמשות ברכיבי מערכת קנייה בטוחה, כמו פרוטוקול 3-D Secure – טכנולוגיית סליקה בטוחה שפותחה על ידי חברות האשראי הבינלאומיות.
המערכת מתממשקת למערכות Verified By Visa של חברת Visa העולמית ולמערכות Secure Code של חברת MasterCard, כדי לאפשר שכבת ביטחון נוספת לעסקאות ברשת. למעשה, זאת אחת הדרכים שבהן חברה שמטמיעה בשירותיה את הטכנולוגיה הזו, מבטחת את עצמה ואת המשתמשים שלה מפני הונאות.
בכל פעם שלקוח מבצע עסקה הוא יקבל מסרון לטלפון ובו הוא יתבקש לאשר שהוא אכן זה שביצע את העסקה בפועל. אם הלקוח מכחיש – העסקה לא תעבור. "כל עוד החברות לא משתמשות ברכיב הזה", אומרים לנו גורמים בחברות האשראי, "יהיה קל לנוכלים להמשיך לבצע דרכן עסקאות באין מפריע".
הבעיה היא שמשרד התחבורה לא דרש רכיב כזה במכרז שהוציא, ולכן החברות שסולקות את כרטיס הנסיעות האלקטרוני לא נדרשות להשתמש בטכנולוגיית האבטחה. מנגד, החברות טוענות שהן זקוקות לאישור של משרד התחבורה על מנת להטמיע את הטכנולוגיה הזו, וכי אין באפשרותן להחיל אותה על כל עסקה, מה גם שדבר כזה מסבך את אופן רכישת כרטיס הנסיעה והופך אותה לפחות מהירה ונגישה. לכן, בהתחשב בעובדה שאי אפשר לשלם במזומן בעת עלייה לאוטובוס – יכול להיות שמי שלא הטעין את הכרטיס מראש, וייאלץ להתחיל לאשר מסרונים, יסתבך ולא יוכל לעלות לאוטובוס.
בינתיים, מי שנפגעים מהסיטואציה הם בעיקר אנשים משתי אוכלוסיות: אלו שרצו לחסוך כמה שקלים וקנו כרטיס נסיעות טעון מגורמים מפוקפקים; ובעלי כרטיסי האשראי, שנאלצים לבטל את הכרטיס ברגע שהם מזהים כי בוצעו בכרטיסם עסקאות לא מזוהות.
יש לציין כי לאחרונים יש ביטוח, וחברות כרטיסי האשראי מזכות באופן מיידי לקוח שיצלצל ויכחיש עסקה, ולכן חשוב מאוד שתבדקו כבר עכשיו אם כל החיובים בכרטיס תואמים את העסקאות שלכם. אם אתם רואים חיובים שלא ביצעתם – צרו קשר בדחיפות עם חברת האשראי ובקשו להכחיש את העסקאות.
ממשטרת ישראל נמסר בתגובה: "מייד עם קבלת התלונה נפתחה חקירה, שעודנה מתנהלת בימים אלו. מטבע הדברים איננו מפרטים על אודות חקירות מתנהלות, אולם נציין כי נמשיך לחקור את המקרה ביסודיות ובמקצועיות תוך ביצוע כלל הפעולות הנדרשות במטרה להגיע לחקר האמת".
ממשרד התחבורה נמסר בתגובה: מבדיקה שערכו גורמי המקצוע במשרד, פרטי האשראי של הנוסעים נגנבו שלא דרך מפעילי התחבורה הציבורית, אלא בדרך שאינה ידועה לנו. כרטיסי אשראי אלו שימשו, מבלי שהנוסעים מודעים לכך לטעינות כרטיסי רב-קו אנונימיים, שנמכרו לאחר מכן לציבור במרמה. עם היוודע מקרה מסוג זה, יש לפנות באופן מיידי לחברות האשראי ולמשטרת ישראל.
השימוש באפליקציות התשלומים בתחבורה הציבורית מאובטח, כך שהאפליקציות דורשות אימות פרטי אשראי ותעודת זהות של בעל הפרופיל.
יצוין כי משרדנו מתריע בפני הציבור שלא לרכוש כרטיסי רב-קו טעונים מגורמים שאינם מוסמכים, אלא באמצעות עמדות וחנויות מורשות לטעינת כרטיסי רב-קו באשראי ובמזומן, או באמצעות האפליקציות המאושרות על ידי משרד התחבורה.
ככל שאירועים מסוג זה נוגעים למפעילי התחבורה הציבורית, משרד התחבורה מתריע על כך באופן מיידי למשטרת ישראל.
כמו כן, המשרד מאתר פעולות חשודות בתחומי אחריותו ובעת הצורך חוסם פעולות אלה, בטרם ביצוע העסקה באתר וכן את השימוש בכלל כרטיסי הרב-קו שנטענו באמצעות כרטיסי האשראי שדווחו לאחר מכן כגנובים.
הרשות מבקשת לחדד ולהדגיש את החשיבות בנקיטת משנה זהירות מפעילות זדונית ברשת, המבוססת בעיקרה על התחזות, הונאה ומניפולציות שונות שמטרתן הובלת הקורבן למסור "מרצונו" בתום לב, מידע רגיש אודותיו כגון פרטי אמצעי תשלום.
הרשות מבקשת להזהיר את הציבור ממסירת מידע פיננסי כלשהו לרבות פרטי אמצעי תשלום למיניהם, לגורמים שזהותם אינה ודאית ומוכרת. הרשות מזכירה כי ככלל, גופים העוסקים בתחומים פיננסיים כפופים להוראות חוק הגנת הפרטיות, תשמ"א-1981 והתקנות מכוחו, ולרגולציות בנק ישראל, אגף שוק ההון, ביטוח וחיסכון וכן לסטנדרטי אבטחת מידע שונים.
זוהי זכותו של נושא המידע לברר מול הגורם המבקש אמצעי תשלום, כיצד המידע אודותיו ישמר ויאובטח. הרשות ממליצה כמובן לעמוד על טיב הגורם המבקש ואופן הגנת המידע והפרטיות, בטרם יימסר מידע כלשהו.
הציבור מוזמן לדווח לרשות אודות פעילות הנחשדת כזדונית לשם בחינתה, נקיטת פעולות פיקוח ואכיפה, ככל שידרשו בהתאם לנסיבות המקרה.
נוכח ריבוי המתקפות בתקופה האחרונה, הנחתה הרשות לא אחת ובהזדמנויות שונות לגבי פעולות וצעדים שיש לנקוט על מנת להגביר את המודעות לסיכונים אלה ככלל ובפרט אגב אירוע בו ידוע לפלוני כי מידע אודותיו ייתכן ודלף. למידע נוסף בנושא, מוזמנים להיכנס לאתר הרשות להגנת הפרטיות .