כשלוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בצ'ק פוינט, חושב על הונאות מתוחכמות באשראי, הוא נזכר בדום קוב, דמות שגילם ליאונרדו דיקפריו בסרט "התחלה" מ-2010. הכישרון שלו היה לחדור לחלומות של אנשים ולדלות משם פרטים על חייהם כדי להונות אותם.
כתבות נוספות למנויי +ynet:
לא רוצים לפספס אף כתבה? הירשמו לערוץ הטלגרם שלנו
"עבור ביצוע הפשע, הוא היה צריך לדמות את סביבת האמת של הקורבן כדי שהקורבן לא ירגיש שמשהו שונה", הוא מספר. "אחיזה במציאות, או הנדסה חברתית, היא המפתח להצלחה של פישינג – דליית פרטי כרטיס אשראי באמצעות שיחת טלפון, שליחת מייל, סמס ואפילו הודעת וואטסאפ.
"נוכלים שולחים הודעה מטעם פייפאל, או מתקשרים מטעם חברת ביטוח, הבנק או קופת החולים, במטרה למצוא לקוח שהוא לקוח של החברות האלה. לפעמים הם שולחים הודעות למספר גדול של אנשים ומחכים שמשהו יפגע, ולפעמים הם מתבססים על מידע שהם דלו עליך ממאגרי מידע".
ואכן, בעולם הדיגיטלי שאנחנו חיים בו, אנחנו מפזרים רסיסי מידע באשר נלך: ברשתות החברתיות, בהזמנה טלפונית ובמתן כרטיס אשראי. ההאקרים שפרצו למאגר של חברת הביטוח שירביט, הנוכלים שמתקשרים לקשישים, הפושעים ששולחים לינקים לאתרים מזויפים והרמאים ששולחים סמסים בנוסח "חשבון הבנק שלכם נפרץ", כולם מנסים לבנות לכם תעודת זהות דיגיטלית.
"תעודת הזהות הדיגיטלית מורכבת מהשם שלך וכל פרט שאפשר להוסיף לו: מייל, כתובת, תמונה", מסביר לוטם. "כשמתקשרים אליך יש להם ביד משהו מתעודת הזהות הדיגיטלית שלך שיכול להיאסף מכל מיני מאגרים. זה נקרא דאמפ: יש כמויות עצומות של מידע על אנשים ברשת, וכל פעם לוקחים פרט אחר ומצמידים אליך, הכול באמצעות מכונות אוטומטיות שאוספות מידע".
לא תמיד תזכרו את השיחה (או את המייל), שבמהלכה דלו מכם פרטים קריטיים. יעל גילתה שגנבו לה 900 דולר מהחשבון. היא קיבלה סמס על החיוב והעסקה אושרה, על אף שנערכה בספא בחו"ל בזמן ששהתה בארץ. היא קיבלה את הכסף בחזרה מחברת האשראי, אחרי שמונה ימים מורטי עצבים, אבל עד היום אין לה מושג מי השתמש בכרטיס, למה ומתי הוא גנב את פרטיה, ואם זאת הפעם הראשונה והיחידה שבה השתמש בהם.
אבל לא תמיד מדובר ב-900 דולר. לפעמים הגניבה הגדולה מתחילה בדולר אחד.
"השבוע פנינו ללקוחה שראינו שבוצעה בכרטיס שלה פעולה בסך דולר אחד, תרומה לעמותה", מספר יונתן רגב, סמנכ"ל מניעת הונאות ורגולציה בישראכרט. "זיהינו שזו פעולה חריגה, ובבדיקה מולה עלה שזו לא עסקה שלה. הרבה הונאות מתחילות דווקא בסכומים קטנים ולא משמעותיים, אבל שקל אחד קורא לחברים שלו. הלקוח לא בהכרח שם לב לעסקה כזאת, שהיא סוג של ניסוי של הנוכלים. בשלב הבא הלקוח מגיע לסופר והכרטיס לא עובר, כי ערכו עסקה באלפי שקלים בכרטיס שלו".
פינקלשטיין מדגיש: "צריך לזכור שכדי שמתקפה תצליח, היא חייבת את שיתוף הפעולה של הקורבן. אחוז גדול מהמתקפות צריכות שהמשתמש ילחץ על הלינק או יוריד את הקובץ או ימסור את הפרטים. העסקה חייבת להשתלב עם מאפיינים פסיכולוגיים שיאיצו במשתמש ליפול קורבן למתקפה. זה רק הולך ומשתכלל, ומוסיפים עוד ועוד שיטות".
הונאת האשראי הנפוצה ביותר היא פישינג: ניסיון לדוג פרטים, לרוב כדי לגנוב כסף.
רגב: "נתקלנו במספר אתרים מתחזים, שבאופן מתוחכם הציעו ללקוחות מענה לצורכי התקופה: אלכוג'ל ומסכות בזמנים שבהם לא ניתן היה לרכוש בחנויות הפיזיות. אותם אתרים, שנראו כמו אתרים לגיטימיים לכל דבר ועניין, לא מכרו שום דבר בפועל אלא נבנו כדי לקבל מהם את פרטי האשראי, ובהמשך במסווה של שיחת שירות לקוחות אף לקבל את הקוד הסודי המיועד להשלמת עסקאות מאובטחות אינטרנטיות. חברות האשראי מדווחות על כך למשטרת ישראל, במטרה להוריד את האתרים האלה ולהחזיר לקורבנות את כספם".
הנה כמה דוגמאות לשיטות נפוצות לפישינג: בקשה לעדכון פרטים בבנק/ אמזון/ פייפאל לפני חסימת חשבון; נוכלים שמתחזים לנציגי ביטחון של בנקים וחברות כרטיסי אשראי, ומעדכנים שמישהו ניסה לעשות עסקה בהיקף גדול, וכדי לבטלה צריכים מהם את הפרטים האישיים, והטרנד הנוכחי: "נציגי דואר" שצריכים פרטי כרטיס אשראי מכם כדי לשחרר חבילה שהזמנתם מעלי אקספרס.
"בחגי הקניות רואים עלייה במיילים שמתחזים לפייפאל, אמזון או גוגל. אפשר לראות לפי כתובת המייל שזה לא באמת מייל מפייפאל, כי משהו בכתובת שונה מכתובת פייפאל הרשמית", מסביר פינקלשטיין. "לפעמים המתקפה משולבת ומתוחכמת: כיום, עבור תשלום, מבקשים ממך אישור לפי קוד שנשלח בסמס (OTP – one time password מ.ק)". מי שמשיג את האישור הכפול הזה מקבל גישה לכסף שלך.
שמואל קהן, מנהל מחלקת מניעת הונאה בחברת מקס, מספר על חנות צעצועים שפרסמה הודעה בפייסבוק עם צעצועים במחירים נמוכים במיוחד. הייתה רק בעיה אחת: לא הייתה שום חנות כזו במציאות. "לקוחות שהכניסו את כל פרטי האשראי שלהם קיבלו הודעה בוואטסאפ מאותה 'חנות', שבה הם מתבקשים למסור לה את הקוד שיקבלו בסמס מחברת האשראי כדי לוודא שהם בעלי הכרטיס בפועל, וכך הם קיבלו את קוד האימות הכפול וערכו עסקאות בכל מיני אתרים מאובטחים להעברת כספים.
"טרנד נוסף הוא Voice fishing: שיחת טלפון שמאיצה בנו למסור את האימות הכפול, או מייל שקיבלנו בו בקשה להיכנס לאתר מסוים ולהכניס בו פרטים. הפנייה בכמה ערוצים מצטיירת כאמינה יותר ומסירה חסמים שפיתחנו".
עוד הונאה נפוצה היא החלפת כרטיס סים: סים פלופ או סים סוואפ. לפני שנה וחודשיים, מישהו השתלט על חשבון הטוויטר של מנכ"ל טוויטר. פינקלשטיין מספר: "האירוע התחיל בזה שהתקשרו לחברת AT&T והזדהו כמנכ"ל טוויטר. באמצעות מסירת פרטים מזהים, ביקשו להחליף את הסים למכשיר אחר. ההאקר פרץ לסלולר, לא לטוויטר".
כדי לצבור עוד יותר אמינות הפושעים מנצלים את בהלת הקורונה, לא רק להציע אלכוג'ל שלא יגיע אלינו לעולם, אלא גם כדי להתחזות למשרד הביטחון או הבריאות ולבקש כתובת, טלפון, מספר תעודת זהות וסיסמה לאתר כלשהו, ולגרום לאזרח לחשוב: המדינה מבקשת ממני פרטים - אז אתן. הנוכלים מנצלים את הניתוק החברתי ואת החשש מהמגפה כדי לפתות קורבנות. זאת מהות ההנדסה החברתית – ניצול תכונות פסיכולוגיות של הקורבן כדי לגרום לו להיענות לבקשות התוקף.
פינקלשטיין: "יש עלייה של פי 13 בחודשיים האחרונים במיילים הזדוניים. קודם אחד מ-11 אלף מיילים היה זדוני, היום אחד מ-800. לא נופתע אם נראה בקרוב 'הגרלות' להיות בסבב הראשון של החיסון לקורונה. זה עונה על הצרכים הכי בסיסיים שלנו לחיים. עבור המון אנשים, החיסון הוא ההבדל בין להיות כלוא בבית לבין להיות אדם חופשי".
והנה עוד דרך לנצל את הקורונה: "כשהמדינה העניקה מענק לתושבים בעקבות המשבר, זה לא דרש פעולה מצד האזרח, אבל אנשים מבוגרים רגילים שצריך למלא פרטים כדי לקבל כסף. נוכלים שלחו להם סמס עם בקשה למילוי פרטים, וככה גנבו להם את המענק. זה גזל מהמקומות הכי חלשים באוכלוסייה".
סוג הונאה נוסף הוא סחיטה באמצעות מיילים: "אם לא תיתנו לנו ביטקוין, נפרסם את הפרטים שגנבנו" או סחיטה על רקע מיני: "צילמנו אותך גולש לאתר פורנו". המתוחכמים מביניהם גם שולחים לקורבן את הסיסמה לתיבת המייל שלו, כדי להעלות את מפלס הבהלה.
אם אתם קונים הרבה באמזון, בעלי אקספרס או בנקסט, האקרים ינסו לסחוט מכם פרטים באמצעות התחזות לאתר הזה, כולל דיוק ברמת הפונט והצבעים. כתובת האתר לרוב תסגיר את התרמית.
כדאי להיזהר גם ממסירת הטלפון הנייד למי שמבקש אותו מכם במתק שפתיים, גם בדוכנים למכירת ציוד סלולרי. אם אתם יזמתם את הרכישה – לרוב לא תהיה בעיה.
הונאות נפוצות בקרב קשישים, וכמעט כולן מתבצעות דרך הטלפון. נכון, גם צעירים נפלו בפח של הונאות תרומה כמו קבר רחל או מכירה של קרקע חקלאית או נדל"ן בארה"ב, אבל קשישים הם קורבנות נוחים במיוחד.
"כולם מחפשים את הכסף של האזרח הוותיק", אומרת ח"כ מירב כהן, "מחברות שממכרות קשישים לקנייה של מוצרים במאות אלפי שקלים, דרך חברות שמציעות ביטוח למוצרי חשמל ועד חברות סלולר גדולות שדוחפות מוצרים למבוגרים שהם לא ביקשו ולא עשו בהם שימוש, כולל לאנשים עם אפוטרופוס שאסור לשווק להם ללא הסכמתו.
"עוד ז'אנר זה עורכי דין שפונים לקשישים אחרי שהשיגו פרטים שלהם: 'נפלת ברחוב? אשיג לך פיצויים של מיליון שקל מהעירייה. רק שלם לי על פתיחת תיק' - ואז כמובן לא פותחים להם תיק.
"גם חברות למימוש זכויות רפואיות פועלות בתחום הזה: 'אנחנו נשיג עבורך כסף מהביטוח הלאומי, ואתה תיתן לנו 20% מהכסף שתקבל'. הן מחתימות את הקשיש על זה ש-20% מהסכום יגיעו אליהן תוך שנה-שנתיים, כשהקצבה עצמה מגיעה פרושה לחמש שנים. יש מקרים שהאדם מת, המדינה עוד לא העבירה כסף והחברה כבר לקחה 20".
"יש חברות שטוענות שהן מאתרות כספים אבודים, מציעות עזרה ב-600-500 שקל ומקבלות את הפרטים של הקשיש. הן 'משיגות' לו כסף, רק שאז מתברר שזה לא כסף אבוד, אלא הפנסיה או קופת הגמל של הקורבן שהם שחררו עם קנס על פתיחה מוקדמת.
"לאחרונה אושרה בכנסת רפורמת עושק הקשישים שמציעה עשרה תיקוני חקיקה, בהם סגירה של כל תיקי ההוצאה לפועל של חברות עושק וחובת דיווח של עובדי חברת האשראי והבנקים על מקרים שצריכים להדליק נורות אדומות".
הבעיה היא שאת הנוכלים החוק לא תמיד מרתיע, בניגוד למשל לפרסום תמונתם בפייסבוק.
"נכון, לפעמים שיימינג זה הדבר היחיד שמרתיע אותם. כשמפרסמים את הפרצוף שלהם זה הכי כואב. חטפתי תביעות דיבה על זה והם הפסידו, כי אם הדברים מבוססים והאדם באמת עשה אותם אין ממה לחשוש".
בין התרמיות המתוחכמות שהציפו את ישראל היו מיילים מחבר קרוב שנתקע בקפריסין בלי כסף, תוך שימוש במספר הטלפון האמיתי שלו או בכתובת המייל האמיתית שלו. היו גם זכיות למיניהן כמו "זכייה בלוטו האירופי", וכמובן העוקץ הניגרי: גיליתם שיש לכם קרוב משפחה עלום שרוצה להוריש לכם הרבה כסף, רק תנו פרטי חשבון.
"אסור לנו לחשוב שהמתקפות האלה נעשות בחדרים חשוכים וקטנים על ידי גאוני מחשבים. אלה כנופיות פשע לכל דבר ועניין, עם כסף ותשתיות. זה יכול להיות איש עסקים משכיל שעושה את זה בשביל הכנסה צדדית, או פושעים שעשו הסבה מפשע מסורתי לדיגיטלי. זה יכול להיות כל אחד עם חיבור לרשת והעדר מצפון".
התרמיות המסוכנות באמת הן פעולות בתחום האפור, שלעיתים קשה להוכיח שהן הונאה. קחו לדוגמה את שיטת השיווק של אייס תקשורת חכמה, חברת תקשורת שהרשות להגנת הצרכן מבקשת לקנוס ב-3.2 מיליון שקל על מאה הפרות לכאורה של חוק הגנת הצרכן.
ברשות להגנת הצרכן מספרים על כל מה שצריך להיזהר ממנו בשיחת מכירה: נציגים טלפוניים עם שטף דיבור מהיר, שימוש בשם בזק למשנה אמינות ואי הצגה לכאורה של העובדה כי מדובר בעסקת מכירה שכובלת צרכנים לתשלומים על ציוד. אחרי שהצרכן נלכד לכאורה, הוא לא יצליח להשתחרר בקלות מהחוזה.
ומה חברות האשראי עושות בנידון? לפי יוני רגב מישראכרט, "החברות גובות על כל הכחשת עסקה 75 שקל + 30 שקל על כל יום שלא הודעת על העסקה המוכחשת, כך לפי חוק שירותי תשלום. הודעה מיידית: אין חיוב. הודעה בדיעבד: תעלה כסף. החברות מחויבות לבטל אותה רק אם הלקוח טוען שלא עשה את העסקה. אם הלקוח כן עשה את העסקה ולא קיבל את המוצר – זה בינו לבין בית העסק".
שמואל קהן ממקס מתאר כיצד החברות מתאמצות לזהות הונאות כדי להימנע מתסבוכות מול הלקוח: "יש לנו מערכת מאוד מתוחכמת, מתוצרת חברה בשם פיזאיי, שמנתחת ביג דאטה. כשאנחנו מזהים עסקאות הונאה, המערכת לומדת את דפוסיה ומזהה אותה להבא הרבה יותר מהר. אנחנו מנתחים נתונים כמו גיל לקוחות, מגדר. בודקים קצב פעילות של לקוח: האם שינה דפוס קנייה? כלומר, קונה בדרך כלל פעמיים ביום ופתאום יש רצף של 15 עסקאות תוך מספר דקות. אנחנו שמים לב לפעולות באשראי שמתבצעות בסמיכות זמנים אך במיקומים גיאוגרפיים שונים. אנחנו מזהים את הרוב המוחלט של ההונאות באמצעות סטטיסטיקאים ואנליסטים מנתחי הונאות. אם מזהים משהו, מקפיצים התראות לאנליסטים שיושבים על המערכת, יוצרים קשר עם לקוחות ובודקים אם מדובר בעסקאות שלהם.
"במקביל, אנחנו גם מספקים שירותי סליקה לבתי עסק. בגלל שאנחנו לא מעוניינים לספק שירותים לנוכלים, אנחנו עורכים בדיקות טרום-סליקה ומאשרים בית עסק לפיהן. אחרי האישור נערכות בקרות שוטפות שבודקות את פעילות בית העסק. האם בית העסק שטוען שהוא חנות נעליים מעביר באמת עסקאות שתואמות את ענף הנעליים? האם שעות הפעילות תואמות חנות? האם רוב הכרטיסים הם כרטיסי תייר, האם עובדים בשעות סבירות, האם יש ריבוי תלונות? אנחנו גם מבקרים במקום כדי לראות אם המשרדים תקינים ואם יש סחורה. אם מתגלה שהעסק בעייתי, מנתקים אותו מהאפשרות מלעבוד איתנו".