הסיוט של נועם ומילה (השמות המלאים שמורים במערכת) התחיל בשבוע האחרון, בעוד בוקר שגרתי בחייהם, כשגילו לפתע שפרטי הארנק הדיגיטלי של אחד מהם ככל הנראה נגנבו. "הכנסנו את הילדים לגנים, ובסביבות השעה 12:00 בצהריים בן זוגי חזר הביתה כי הוא הרגיש לא טוב", מספרת מילה. "כשהוא נכנס הביתה הוא אמר לי שקיבל טלפון מוויזה כאל, מהם נמסר לו שהתבצעה עסקה חריגה בכרטיס שלו. הוא נשאל האם הוא מאשר את העסקה, וכמובן שהוא לא אישר אותה – אך למרות הסירוב שלו היא בוצעה".
מילה מספרת שנועם נכנס לאפליקציה של הבנק וראה שלושה חיובים שונים באלפי שקלים – כולם בבתי עסק בעפולה, כשהוא בכלל נמצא בביתם שבגדרה. "כמובן שמיד התקשרנו לכאל, ומאותו הרגע נכנסנו לסבב של שיחות שהוציא אותנו מדעתנו".
מתברר שנועם ככל הנראה "נעקץ" באלפי שקלים על ידי התחזות ושימוש בארנק הדיגיטלי שלו. אלא שנועם טוען שמעולם לא היה לו ארנק דיגיטלי, ונראה שזה נפתח תחת שמו, אחרי שכל פרטי האשראי שלו נגנבו.
את הודעות האבטחה לאימות הדו-שלבי, קיבל ככל הנראה אדם שהשתמש במספר הטלפון הפרטי של נועם, וכך הוא פתח ארנק דיגיטלי תחת כרטיס האשראי שלו, באמצעות מספר הטלפון שלו. באמצעות אותו הארנק, נראה שביצע המתחזה עסקאות בכ-6,500 שקלים בחנות תכשיטים ובביתן פיס, אך הסוגייה הפכה למורכבת אף יותר כאשר ניסה הזוג לפנות לחברת האשראי כדי לבטל את העסקאות.
"התקשרנו לכאל כדי לבטל את הכרטיס", מספרת מילה, "והם שלחו הודעת אימות למספר הטלפון של נועם. חיכינו וחיכינו, ולא הגיעה שום הודעה. הפנו אותנו לנציג שירות לקוחות ומשם למחלקת הביטחון. סיפרנו לנציגה את הסיפור, והיא נתנה לנו תשובה חד משמעית: כאל לא יכולים להכחיש עסקאות שנעשו בארנק דיגיטלי. אמרנו לה שאנחנו נמצאים בגדרה ושהעסקאות בכלל נעשו בעפולה, והיא המשיכה בשלה. היא שאלה אם למישהו יש גישה לפרטי האשראי שלנו, ואם מישהו שותף בשימוש בכרטיס – אבל אפילו אני, בתור אשתו, לא יודעת מה פרטי האשראי שלו. הכרטיס בארנק שלו 24/7, זה כרטיס עסקי, והוא לא עושה שום עסקה באינטרנט או במקומות מפוקפקים".
במהלך השיחה עם חברת האשראי, הבינו מילה ונועם את גודל האירוע שאליו נקלעו. "נאמר לנו שרואים שהמערכת שולחת הודעות, ושהפרטים מאומתים לאחר מכן – אבל נועם בכלל לא קיבל אף הודעה. במשך שעה וחצי ניסינו לקבל עזרה לגבי עסקאות שבבירור לא ביצענו, ולבסוף הוצע לנו לשלוח אל החברה מייל. שאלנו את האישה שבמחלקת הביטחון איך זה יעזור לנו, והיא ענתה בבירור שזה לא יעזור. כשביקשנו לדבר עם הממונה עליה, היא טענה שבמחלקת ביטחון אין ממונים. היה ברור לנו שהיא עובדת לפי פרוטוקול מסוים, אבל לא הבנו איך זה שהם לא לוקחים אחריות על הדבר הזה, בתור חברת אשראי".
תלונה על התחזות
נועם מספר שהוא הגיש תלונה במשטרה על התחזות ועל עוקץ בהמשך לאמור, אבל עד עכשיו הוא לא מבין מדוע לא קיבל את ההודעות שנשלחו אליו למספר הטלפון הנייד שלו – ואיך נגנבו לו פרטי האשראי. בתחנת המשטרה העלו באוזניו את ההשערה לפיה הוא לחץ בטעות על לינק שהוביל לגניבת פרטי ה-Apple ID שלו – כלומר "תעודת הזהות" של החשבון שלו באפל, שם ישנו מספר הטלפון שלו, מספר תעודת הזהות, מספר האשראי ואף גישה לענן של אפל.
"בחיים לא היה לו ארנק דיגיטלי. אנחנו שנינו לא דיגיטליים", אמרה מילה. "זה פחד אלוהים. מחר אנחנו הולכים למסעדה ונשלם עם הכרטיס, ומלצר יכול פשוט לקחת אותו, לצלם משני הצדדים, לבקש תעודת זהות – והופ, יש לו את כל הפרטים".
כשפנה הזוג לחנות התכשיטים שבה קנה המתחזה שעון ב-5,500 שקלים, השיב להם בעל החנות כי מצלמות האבטחה בדיוק הפסיקו לעבוד שם. השניים פנו גם למפעילה הסלולרית שלהם, כדי לבדוק אפשרות של ניוד שיחות שיצר המתחזה – כלומר הפניית השיחות וההודעות שהתקבלו במספרו של נועם למספר אחר – אך המפעילה טענה כי לא נעשה ניוד שכזה, והוסיפה כי אין לה את האפשרות החוקית לעשות ניוד בלי הסכמתו של בעל החשבון.
הסכנה הטכנולוגית
מאז שהארנקים הדיגיטליים נכנסו לחיינו, חברות האשראי והבנקים החלו מעודדים את לקוחותיהם לעבור לשירות זה, והיתרונות הם ברורים. על פי האתר של ויזה כאל, "ארנק דיגיטלי הוא חלק מפלטפורמה מתקדמת בעולם התשלומים, המאפשרת לצרכנים לערוך קניות מבלי להשתמש בכרטיס האשראי הפיזי שלהם", כך נכתב. "לקוחות המשלמים באמצעות ארנק דיגיטלי, יכולים להשאיר את הארנק שלהם בבית, ולהמשיך לבצע רכישות גם כשכרטיס האשראי לא עליהם. נתוני אמצעי התשלום הנדרשים לצורך ביצוע עסקה, נשמרים על גבי הנייד של הלקוח באמצעות אפליקציות תשלום מאובטחות, והרכישה עצמה מתבצעת באמצעות הסמארטפון בלבד".
אם כן, רכישה קלה, מהירה, ללא כרטיס פיזי ומבלי לזכור את הקוד הסודי – אלו היתרונות לכאורה של השימוש בארנק הדיגיטלי, אך אלו למעשה גם החסרונות הפוטנציאליים. הרכישה אכן קלה ומהירה, ולכן מהווה קרקע פורייה לנוכלות ולמקרי "עוקץ". אין צורך בכרטיס הפיזי, ולכן רק פרטי האשראי מספיקים – ולא צריך לזכור את הקוד הסודי, גם כשעושים עסקאות ב-5,000 שקלים בחנות תכשיטים בעפולה.
השילוב של טכנולוגיה מתקדמת לצד פרטי אשראי שמוזנים בכל מכשיר שברשותנו וגם ארנקים דיגיטליים – העלו לא מעט פרצות אבטחה הנוגעות לפרטים האישיים החשובים לנו ביותר. הדבר הוביל לגל הונאות, פריצות ומקרי התחזות. רק לפני כחודשיים פורסם ב"mako" מקרה מורכב שבו נעשתה לכאורה התחזות, שכללה שימוש בפרטי אשראי לצד שינוי פרטים בביטוח לאומי, וגם גניבת מספר טלפון – אשר קרו כולם בעקבות תכתובת וואטסאפ תמימה לכאורה. על פי הנתונים המבהילים מהבנקים, עשרות מקרי התחזות ועוקץ מתרחשים מדי חודש, והיד עוד נטויה.
לסיפור של מילה ונועם יש סוף טוב: אתמול (ב'), אחרי שהפעילו את קשריהם בכל דרך בחברת האשראי, קיבלו השניים אישור כי יקבלו את כספם בחזרה. יחד עם זאת, בשיחה עם גורם מהבנק הובהר כי אומנם כל מקרה נבחן לגופו כשזה נוגע לעקיצות ולהונאות, אבל הבעיה החדשה היא סוגיית האימות הדו-שלבי.
לכאורה האימות נועד להגן על המשתמש, אבל ישנה כוכבית גדולה נוספת: האימות הוא זה שיכול להערים קשיים בבואכם לקבלת פיצוי כספי על עסקאות שלא ביצעתם. הסיבה לכך הינה, שהאימות מהווה האמצעי של חברות כיום לוודא את זהות המשתמש, ולכן אם הוא אישר בהודעה את הקוד שקיבל – הדרך להוכיח שנעשתה גניבת זהות הופכת למורכבת ולמסועפת הרבה יותר.
עם המידע המבלבל הזה פנינו לעודד וענונו, ראש מחלקת מחקר בצ'ק פוינט. השאלה הייתה פשוטה: אם אימות דו-שלבי בסופו של דבר מסבך אותנו כלקוחות, האם עלינו להפעיל אותו בכל זאת?
"אימות דו-שלבי הוא חובה", פוסק וענונו. "הבעיה במקרה הזה, כמו במקרים אחרים שמעורבים בהם הונאות אשראי וארנקים דיגיטליים, הוא שככל הנראה כשהלקוח לחץ על הקישור החשוד, הוא גם התבקש לשלוח קוד. הקוד הזה הוא האימות הדו-שלבי. אם הוא אכן שלח אותו, הוא בעצם הגדיר את הנוכל כמורשה בחשבון, ולכן אותו הלקוח לא קיבל את ההודעות ישירות לטלפון שלו, אלא כל ההודעות נשלחו לטלפון של הנוכל, וכך הוא יכל להפעיל את הארנק הדיגיטלי. המסקנה היא כמובן לא לשלוח קוד לאף אדם פרטי או לאף קישור לא מוכר, ובטח שלא למלא אותו בשום קישור שנשלח אליכם – אם אתם לא יזמתם את הפנייה לאותה החברה".
מחברת כאל נמסר בתגובה: פניית הלקוח טופלה על ידי חוקרי מחלקת הונאות תוך פחות מ-24 שעות, והלקוח קיבל הודעה כי יזוכה.