ההאקרים רוצים את הגיפט קארד שלכם
לא רק האשראי שלכם בסכנה, אלא גם כרטיסי המתנה ואפילו הנקודות שצברתם במועדון חברת התעופה. "הגנבים עברו לאונליין, ונהיו יותר מתוחכמים", אומרים בחברת Forter שנאבקת בהונאות בעזרת בינה מלאכותית
מתכננים קניות אונליין בשבועות הקרובים ? אולי תחשבו שוב. הבשורה הטובה היא שכמות נסיונות ההונאה בקופות המקוונות של חנויות הסחר האלקטרוני ירדה ב-14 אחוזים בשנה האחרונה. הבשורה הפחות טובה היא שההאקרים הפכו למתוחכמים הרבה יותר, ושיעור הצלחת ההונאות שלהם גדל. דו”ח של חברת מניעת ההונאות הישראלית פורטר (Forter) מעלה עוד מגמה מדאיגה: ההאקרים הרחיבו את היקף ההונאה לתחומים חדשים כמו חשבונות באתרי סחר אלקטרוני, נקודות צבורות במועדוני לקוחות מקוונים וכרטיסי מתנה, שהיקף הגניבה שלהם נמצא בעלייה מתמדת.
חברת פורטר מפרסמת מדד ההונאות חצי-שנתי, שעוקב אחר המגמות המשתנות בפעילות העבריינית ברשת. הדו"ח האחרון מעלה שהיקף הכנסות הפשיעה כתוצאה מהונאות מקוונות עלה ב-12 אחוזים לעומת השנה הקודמת. הדו"ח חושף עלייה של 89 אחוזים בשנה האחרונה בפעילות עבריינית במועדוני לקוחות. בנוסף, חלה עלייה של 200 אחוזים עם מספר שיא של 1.5 מיליון חשבונות צרכנים באתרי קניות שונים שנפרצו, ועלייה בנסיונות השתלטות ושכפול חשבונות של לקוחות קיימים. בתחום התיירות והתעופה חלה עלייה של 61 אחוזים ובתחום המטבעות הקריפטוגרפיים עליה של 48 אחוזים.
תופעה חמורה נוספת: ניצול לרעה של מדיניות החזרת מוצרים וזיכויים כספיים. נמצא שחלה עלייה של 23 אחוזים בהונאות המבוססות על זיכויים שניתנו למוצרים שנרכשו אונליין בחנויות פיזיות, ועלייה דומה בהונאות המבוססות על זיכויים של מוצרים שנרכשו בחנויות פיזיות. טרנד נוסף שנמצא בעלייה של 10 אחוזים הוא הונאות העושות שימוש לרעה בקופונים. לפי החברה, מדובר באיום משמעותי על נקודות התורפה של שוק גלובלי, המוערך בכ-18 מיליארד דולר.
אלון שמש, אנליסט ראשי ואחד ממייסדי פורטר, אומר שהחברה פיתחה כלי בינה מלאכותית (AI) חדשים כדי להתמודד עם שיטות ההונאה החדשות, והיא עוקבת היום אחר מה שמכונה "מסע הלקוח", שילוב כל הנקודות שבהן הלקוח משתף מידע עם החנות או הספק, וחושף את עצמו לנסיונות של השתלטות על החשבון וגניבת אשראי, מזומן או שווה כסף.
חברת פורטר היתה מהראשונות לפתח כלי הגנה על חנויות מקוונות וחנויות פיזיות, שמטרתן הראשונה אינה לחסום עסקאות חשודות, אלא להיפך – לאפשר ככל שניתן לאשר את העסקאות תוך נטילת הסיכון על עצמה אם אחת העסקאות מתגלה כהונאה שהצליחה. טכנולוגיית הבינה המלאכותית של החברה עוקבת אחר מיליוני עסקאות ברחבי העולם, ומזהה מגמות וסיכונים מבעוד מועד.
פורטר הוקמה ב-2014 על-ידי מיכאל רייטבלט, אלון שמש ולירון דמרי. בין לקוחותיה נמנות קמעונאיות סחר גדולות, מרשימת Fortune 500. היקף העסקאות שהחברה מטפלת בהם אדיר, למעלה מ-140 מיליארד דולר בשנה האחרונה לפי דיווחיה, מה שאומר לא הרבה פחות מאמזון. החברה פועלת מתל אביב ומניו יורק, ומעסיקה כ-200 עובדים. אגב, תחום זיהוי ההונאות בתשלומים העולמי נשלט על ידי חברות ישראליות, בהן ריסקיפייד, ששוויה עבר את קו מיליארד הדולר, ביוקאץ' (Biocatch), סקיורטאץ’ (SecuredTouch) וחברת סיגניפייד (Signifyd) האמריקאית, שאחד ממקימיה הוא ישראלי.
"הגנבים הפכו יותר מתוחכמים", אומר שמש, "עד לפני שנתיים-שלוש היתה הפרדה ברורה בין האקרים מתוחכמים שהיו פורצים למאגרי מידע ומציעים קבצים עם מספרי כרטיסי אשראי לבין גנבים פשוטים שקנו מהם. אבל בינתיים הסוחרים אימצו מערכים טובים יותר למניעת הונאות, יש אכיפה יותר מאסיבית, וגם התרחבה טכנולוגיית EMV (השבב על כרטיסי האשראי) שהפכה את גניבת כרטיסי האשראי ללא משתלמת. התוצאה היא שהגנבים עברו לאונליין, ונהיו יותר מתוחכמים”.
הכללים משתנים כל יום
לדבריו, החברה חשה את השינוי בפרופיל נסיונות ההונאה באתרים: אם פעם גנב ממוצע היה משיג רשימה של 100 כרטיסי אשראי ומנסה אותם בזה אחר זה עד להצלחה (מה שמאוד הקל על איתור הפעולה העבריינית), היום הוא ירכוש שני מספרי כרטיסי אשראי בלבד, אבל בעזרת אמצעים מתוחכמים יותר ישיג פריצה בשניהם.
הונאות בכרטיסי אשראי הן משחק עם כללים שנכתבים בכל יום מחדש. עכשיו מדובר במשחק חדש לגמרי, שבו פורצים לנו לחשבונות הלקוח שלנו, ומבצעים רכישות עם פרטי כרטיסי האשראי שנמצאים שם, בלי צורך לגנוב פרטי אשראי. "הרבה יותר קל להשיג שם משתמש וסיסמה מאשר מספר כרטיס אשראי וקוד", אומר שמש, "שם המשתמש הוא כמעט תמיד כתובת האימייל והסיסמה ניתנת לאיתור או ניחוש במקרים רבים. נתוני דרופבוקס נפרצו לפני כמה שנים - הסבירות שאתה משתמש באותה סיסמה שהייתה לך שם גם באתרים אחרים היא מאוד גבוהה".
האתגר שיש להאקר, אחרי שפרץ לחשבון שלך וקנה באמצעותו מוצרים יוקרתיים, הוא כיצד לדאוג שהמוצרים יגיעו אליו ולא לכתובת שלך, הלקוח. "הוא יכול לשנות את כתובת המשלוח, אבל יש דברים יותר מתוחכמים, למשל להודיע לחברת המשלוחים, לאחר שהמוצר כבר יצא מהחנות, על שינוי כתובת מסירה", מספר שמש, "או לבקש לאסוף את המוצרים בחנות. זה הרבה יותר קל, כי בחנות ברוב המקרים לא מבקשים להראות כלום, רק מספר ההזמנה".
הונאות בשמיים
ענף נוסף במשחק ההונאה הוא פריצה למועדוני לקוחות, כמו למשל מועדוני חברות תעופה. הלקוחות כאן צוברים מיילים, או נקודות, שהן שוות כסף לכל דבר. פרצת לחשבון מועדון לקוחות של מישהו שטס הרבה, ואתה יכול לקנות עם הנקודות מחשבים, בשמים וגם טיסות ברחבי העולם. "לממש טיסה זה לא קל, אבל יש דרכים לעשות זאת, למשל לקנות טיסה על שם אדם אחר, לשנות את שם הנוסע לפני הטיסה וראינו גם מקרים שבהם מרימים סוכנות נסיעות פיקטיבית, שפשוט מוכרת את הכרטיס ללקוח לגיטימי במחיר מאוד אטרקטיבי עבורו", אומר שמש, "ההונאות בתחום התעופה הן מאוד משמעותיות".
ויש ענף במשחק החדש להאקרים עצלנים במיוחד שרוצים להרוויח הרבה כסף בלי להתאמץ בכלל: גניבת כרטיסי מתנה (gift cards). בניגוד לשמם, מדובר בעצם במספרי כרטיסים בלבד, שמרגע שהצלחת להשיג את המספר, הכסף כבר בידך. "אף אחד לא בודק פרטים של כרטיסי מתנה, אם גנבתי כרטיסים ב-1,000 דולר אני מעיף את זה ב-900 דולר, ואף אחד לא יודע על זה ולא צריך להגיע לשום מקום כדי לקבל את זה. זה הכי קורץ לגנבים".
ממה שאתה מתאר, אנחנו חשופים כיום לסכנות כספיות נוראיות
"למעשה, אתה כלקוח מוגן. גם אם פרצו לך לחשבון וקנו משהו, בסוף החנות תחזיר לך את הכסף. ואם לא האתר, אז חברת כרטיסי האשראי - אם תגיד לה שלא עשית את העסקה. איפה אתה כן נפגע? אם אתר כלשהו לא יאפשר לך לקנות את מה שרצית בגלל שחשד במשהו, למשל אם קנית ממדינה אחרת או שביקשת לקבל את המוצר לא בכתובת הבית. כאן אנחנו נכנסים, ובגלל שאני רואה את כל מה שהלקוח מבצע, וגם לקוחות רבים אחרים, אז אני יכול לאפשר את כל הפעולות שלו לכל אורך הדרך ולדעת שהוא לא מרמה”.
הטכנולוגיה של פורטר מאפשרת לה להגדיל את שולי הסיכון שלה יותר ויותר ככל שהטכנולוגיה והיקף הנתונים הולך וגדל. אבל בתחום ההונאות אין ואקום, ואם ההאקרים לא מצליחים להונות את החנויות בקופות כמו פעם, הם התרחבו לכל תחומי הפעולה החדשים, שם הסוחרים לא תמיד ערוכים להתמודד איתם. “אם פעם ההונאה היתה באה בשלב הקופה, עכשיו היא עלולה לבוא לכל אורך מסע הלקוח. וההתמודדות עם זה מצריכה מודלים מסוג שונה ושימוש הרבה יותר מתוחכם ב-AI ומערכות מומחה", אומר שמש, "היום אנחנו מכוונים למנוע כל סוג של הונאה: בטלפון, באינטרנט וגם בחנויות פיזיות, ולכל אורך מסע הלקוח".