אם אתם מחזיקים כרטיסי אשראי וחוששים מרמאויות ושימוש בלתי חוקי בכרטיס האשראי שלכם, אז
תרשו לי לחדש לכם שספקים ובעלי אתרי מסחר באינטרנט פשוט מבוהלים מהרעיון הזה.
כאשר אנו שומעים על עוקצים בכרטיסי אשראי, זה בדרך כלל מתלווה לקהל צרכנים או במקרה שלנו
גולשים שנפלו קורבן להאקרים שחדרו למחשבם הפרטי והוציאו מידע רגיש, או לחילופין היו לקורבנות
של עוקץ "הנדסת אנוש" ( Social engineering ).
Social Engineering זוהי מתודולוגיה שמנסה לגרום לאנשים לספק לך את המידע שאתה צריך
בדרכים עקיפות כגון את מספר כרטיס האשראי שברשותם או פרטי מידע נוספים, אסטרטגיית
האיסוף משמשת לפעולות ושימוש טריוויאלי שאין צורך לציינו.
הדוגמא המוכרת בארץ לסוג מסוים של תרמית הנדסת אנוש הינה של אתר bankpoalim.co.il,
התרוצצה שמועה הסטרית ברשת לגבי אתר "מראה" , חיקוי של האתר הרשמי של בנק הפועלים
בכתיבה שונה ( האתר הרשמי הינו www.bankhapoalim.co.il ). בעמוד הראשי של האתר בכתיב
החסר מגיעים לדף המבקש הזנת פרטי המשתמש והסיסמא אשר היו מגיעים ליידיים הלא נכונות.
חשוב לציין כי דוברת בנק הפועלים מוסרת כי הכתובת רשומה על שם בנק הפועלים והאתר
אותנטי לחלוטין.
אתרי אינטרנט שהתבצעו בהם עיסקאות לא חוקיות, כלומר בכרטיסי אשראי מזויפים או "מושאלים"
שלא כחוק, מקבלים מיד לאחר מכן הכחשות של העיסקאות מצד מחזיקי הכרטיס האמיתיים
( Chargeback's ) ומי מרוויח בסופו של דבר - ניחשתם נכון ... חברות האשראי, חברות
האשראי קונסות ללא רחם את הסוחר על כל עיסקה שהוכחשה, עיסקה מוכחשת תוגדר כעיסקה
שמחזיק הכרטיס התקשר בטענה שלא ביצע את אותה עיסקה, במקרה שכזה אין חברות האשראי
טורחות אפילו ליידע את הסוחר בדבר הכחשת העיסקה ומיד מחזירים את הכסף ללקוח, לא רק
שהם מורידים את הסכום מחשבון הסוחר הם גם קונסים אותו בסכומים לא קטנים על אי היותו
זהיר מספיק בחיוב כרטיס האשראי ופה מתחילה הכדאיות של אתרי המסחר לפעול במעשים למניעת
רמאויות בכרטיסי אשראי ( credit card fraud ).
אז מה עושים?
למנוע אנונימיות
אחד הדברים היותר גדולים באינטרנט הוא האנונימיות , משפט זה משתלב עם העובדה שאחד הדברים
הגרועים ביותר באינטרנט זה האנונימיות. כולנו אוהבים להתחבא מאחורי מסך מחשב ולהזדהות
בשמות וכינויים שלא שלנו, להתיימר להיות מה שאנו לא ולהינות מזמן שאול של דמיון ופנטזיות
בעולם הוירטואלי, פעולות מסוג זה יש למנוע בכל אתרי המסחר, יש לדרוש הרשמה חד פעמית של
הגולש הכוללת הזנת פרטים אישיים לחיוב ופרטי אנשי הקשר. בצורה זו ניתן לעקוב אחר רכישות
הגולש ובמידה שיש לו הינו עבר רכישות קודם ניתן יהיה לדרג אותו בצורה פנים מערכתית כבעל
סיכון נמוך.
דרישה לתיבת דואר אלקטרוני נגישה
כיום רוב אתרי האינטרנט מתחילים לנהל אינטרקציה כלשהיא עם הלקוח לראשונה באמצעות כתובת
האימייל שלו, מתבצע תהליך הרשמה קצר באתר, הקדמה מהאתר יחד עם סיסמא חדשה נשלחים
לתיבת האימייל אותה ציין הגולש וכך מסתיים לו תהליך ההצטרפות לאתר, אך אין כל קושי
היום לפתוח תיבת אימייל בפרק זמן של פחות מ 5 דקות מאחד מספקי תיבות האימייל החינמיות
כגון יאהו או הוטמייל דבר שיכול להקל על הרמיה באתר ולכן המלצה ישירה לא לאפשר קבלת
תיבות אימייל מספקי חינם. כאשר האימייל ניתן בצורה מסודרת מספק הגלישה ( ISP ) או
ממסגרת מסודרת של הארגון (עבודה,לימודים...) הגולש יודע שהוא יכול להיות מזוהה ברגע
ויהיה לו קשה יותר בשלב הכחשת העיסקה או בשלב "ההעלמות".
הכתובת למשלוח...
יש לשים לב אם הכתובת למשלוח ( shipping address) זהה לכתובת המשלם
( billing address ) במידה ולא, צריכה לדלוק נורה אדומה למרות שזה מאד מקובל ונפוץ
שאנשים שולחים מתנות ומשלוחים אחרים לקרוביהם או למקום העבודה. במקרים רבים, במיוחד
כשמדובר ברכישות של חברה כתובת המשלם הינה תיבת דואר ( P.O.Box ) ואז זה כמובן לגיטימי
ושריר. נדיר למצוא הונאות בכרטיסי אשראי בהם נשלחים ההזמנות לכתובת האמיתית של בעל
הכרטיס. בשלב ההזמנה בקש מספר טלפון, ציין במשפט ליד שהמספר נועד לצורך תיאום זמן
המשלוח, ללא כל ספק רמאים למינהם לא ישאירו מספר טלפון או כל דבר אחר שיעזור לך
למצוא אותם.
ניתוח קבצי הלוג של השרת
כל שרת מייצר קבצי לוג המיועדים בין היתר לניתוח התנועה באתר, יש היום המון כלים, גם ללא תשלום
שיודעים לנתח קבצים אלו לצורה גרפית ונוחה , באמצעות ניתוח נכון ניתן לראות את המיקום הפיסי של מבצעי ההזמנות ויכולים להצביע בצורה אוטומטית על מיקומים עם רמות סיכון גבוהות , אך עדיין אין
כמו לעקוב אחר ניתונים אלו בצורה ישירה, במידה ואינך יודע לבצע פעולות אלו בצורה עצמאית
בקש את עזרת ספק אירוח אתר האינטרנט שלך.
הזמנות מחוץ לארץ...
סיכון גבוה, אך עדיין חלק בלתי נפרד משאיפה של כל אתר מסחר הרוצה להצליח, קשה מאד לעקוב או
להחזיר סחורה שכבר הוצאה אל מחוץ גבולות ישראל , לכן חיקרו לעומק עם חברות האשראי לפני
הוצאת הזמנה שריח טיפה מחשיד נודף ממנה. למרבה הצער רוב מדינות מזרח אירופה נכללות
בקטגוריית סיכון גבוה בכל הקשור להונאות, מדינות נוספות הנכללות בקטגוריה זו הינן אינדונזיה,
מצרים, טורקיה פאקיסטן מלזיה ולמרבה האירוניה גם ישראל.
בקש את מספר ה CVV
מספר ה CVV ( Card Validation Value) הוא בעצם צעד מניעת הונאה מצד חברות האשראי,
הקלדת המספר נועדה לאמת שאכן מבצע ההזמנה נמצא בסמוך לכרטיס האשראי בפועל , אלו הן
הספרות בגב הכרטיס לצד דגימת החתימה של בעל הכרטיס. בכל חברות האשראי המספר הינו בן 3
ספרות למעט אמריקן אקספרס שם הוא משתרע על 4 ספרות ובצד הקדמי של הכרטיס.
מערכת Anti Fraud
הרבה מאד חברות סליקה הכניסו מערכת Anti Fraud לשרתיהם, מערכת זו מספקת אמצעי הגנה
נוסף על ידי מספר פעולות של בדיקה ואימות כגון השוואה של כתובת החיוב שצויינה בטופס
ההזמנה לכתובת המצוינת בבנק מחזיק הכרטיס, כך שבמידה ונגנב הכרטיס או שחוללו מספרים
לפי אלגוריתם של חברת אשראי זו או אחרת סביר להניח שהמזייף לא יידע את הכתובת של בעל
הכרטיס.פעולה נוספת במערכות אנטי פרוד היא בדיקה האם הגולש מגיע משרתים "פרוצים"
(שרתים המסומנים בספקיות הגלישה כשרתי ספאם בדרך כלל) או שהוא מגיע משרתי PROXY
( משתמש בIP של מחשב אחר ). אבל..... מערכות מסוג זה די יקרות וסביר להניח שברוב
חברות הסליקה הן לא קיימות, אך זה עדיין לא מונע ממך כבעל אתר לציין לגולשים
שהינך משתמש במערכת מסוג זה.
המחש לגולש את הגנותיך
בטופס ההזמנה של אתרך או לחילופין בכל קישורית אחרת המצביע על אבטחת המידע או שאלות
ותשובות באתר תוכל לשקול להוסיף את הצעדים כדלקמן:
1. אתה שומר את כתובת ה IP של הגולש ( רצוי גם להציג אותה בפניו )
2. הצהר על שימוש במערכת Anti Fraud ( גם אם אתה לא, זה יכול רק לעזור )
3. הימנע מקבלת הזמנות ממזרח אירופה ( או להסביר בדיפלומטיות לגבי קשיי משלוח )
אמת נתוני ביצוע העיסקה
הגולש עבר את כל ההגנות וביצע עיסקה אך עדיין אתה מרגיש שמשהו לא בסדר?
בקש ממנו להתקשר לחברות האשראי ולמסור לך את זמן ביצוע העיסקה, קרוב לוודאי שאם צדקת
לא תשמע עוד מהגולש שהרי זה כרוך בהתקשרות טלפונית לחברת האשראי, התקשרות הכרוכה
במעבר במענה אוטומטי הדורש פרטי זיהוי רבים.
בקש הזדהות בעת קבלת המשלוח.
פעולה שלא תמיד אפשרית אך אתרים המספקים סחורה ברת קיימא, יכולים לדרוש הצגת תעודת זהות
או כל תעודה מזהה אחרת בעת קבלת הסחורה אין ספק שזו הדרך הטובה ביותר להבטיח עסקה
בטוחה אך גם היקרה והפחות חלקה שבהם.
שים לב להזמנה מנופחת
אין ספק שכאשר מישהו מזמין 3 מכשירי DVD ועוד 4 מיקסרים ובנוסף גם 2 טלוויזיות משהו פה
לא כשר, דאג לחזור בצורה טלפונית ללקוח לאשר הזמנה או לחילופין להתקשר ולקבל אישור
טלפוני על העיסקה מחברות האשראי עצמן
פתרון חברות האשראי לעסקה בטוחה ( Verified By Visa, SecureCode )
האופצייה היותר מתקדמת להגנה על העיסקאות הנעשות דרך אתרך, ניתנת דווקא מחברות האשראי
עצמן, גם הם הבינו בסופו של דבר שהיקף עיסקאות האשראי באמצעות אתרי האינטרנט מתרחב
בצעדי ענק ושהם חייבים לנקוט בצעדי אבטחה משל עצמם, ולכן גם פותחו מערכות הפועלות
בד בבד עם מערכות סליקה און ליין אשר מתחברות לבנק של מחזיק הכרטיס ומבקשות ממנו
בהקפצת חלון פופ אפ להכנסת סיסמא אישית לפני ביצוע העיסקה, ניתן לקרוא על טכנולוגיה
חדשה זו ( 3D-Secure ) באתרי הבית של לאומי כארד, ויזה כאל וישראכרד.
תרשו לי לחדש לכם שספקים ובעלי אתרי מסחר באינטרנט פשוט מבוהלים מהרעיון הזה.
כאשר אנו שומעים על עוקצים בכרטיסי אשראי, זה בדרך כלל מתלווה לקהל צרכנים או במקרה שלנו
גולשים שנפלו קורבן להאקרים שחדרו למחשבם הפרטי והוציאו מידע רגיש, או לחילופין היו לקורבנות
של עוקץ "הנדסת אנוש" ( Social engineering ).
Social Engineering זוהי מתודולוגיה שמנסה לגרום לאנשים לספק לך את המידע שאתה צריך
בדרכים עקיפות כגון את מספר כרטיס האשראי שברשותם או פרטי מידע נוספים, אסטרטגיית
האיסוף משמשת לפעולות ושימוש טריוויאלי שאין צורך לציינו.
הדוגמא המוכרת בארץ לסוג מסוים של תרמית הנדסת אנוש הינה של אתר bankpoalim.co.il,
התרוצצה שמועה הסטרית ברשת לגבי אתר "מראה" , חיקוי של האתר הרשמי של בנק הפועלים
בכתיבה שונה ( האתר הרשמי הינו www.bankhapoalim.co.il ). בעמוד הראשי של האתר בכתיב
החסר מגיעים לדף המבקש הזנת פרטי המשתמש והסיסמא אשר היו מגיעים ליידיים הלא נכונות.
חשוב לציין כי דוברת בנק הפועלים מוסרת כי הכתובת רשומה על שם בנק הפועלים והאתר
אותנטי לחלוטין.
אתרי אינטרנט שהתבצעו בהם עיסקאות לא חוקיות, כלומר בכרטיסי אשראי מזויפים או "מושאלים"
שלא כחוק, מקבלים מיד לאחר מכן הכחשות של העיסקאות מצד מחזיקי הכרטיס האמיתיים
( Chargeback's ) ומי מרוויח בסופו של דבר - ניחשתם נכון ... חברות האשראי, חברות
האשראי קונסות ללא רחם את הסוחר על כל עיסקה שהוכחשה, עיסקה מוכחשת תוגדר כעיסקה
שמחזיק הכרטיס התקשר בטענה שלא ביצע את אותה עיסקה, במקרה שכזה אין חברות האשראי
טורחות אפילו ליידע את הסוחר בדבר הכחשת העיסקה ומיד מחזירים את הכסף ללקוח, לא רק
שהם מורידים את הסכום מחשבון הסוחר הם גם קונסים אותו בסכומים לא קטנים על אי היותו
זהיר מספיק בחיוב כרטיס האשראי ופה מתחילה הכדאיות של אתרי המסחר לפעול במעשים למניעת
רמאויות בכרטיסי אשראי ( credit card fraud ).
אז מה עושים?
למנוע אנונימיות
אחד הדברים היותר גדולים באינטרנט הוא האנונימיות , משפט זה משתלב עם העובדה שאחד הדברים
הגרועים ביותר באינטרנט זה האנונימיות. כולנו אוהבים להתחבא מאחורי מסך מחשב ולהזדהות
בשמות וכינויים שלא שלנו, להתיימר להיות מה שאנו לא ולהינות מזמן שאול של דמיון ופנטזיות
בעולם הוירטואלי, פעולות מסוג זה יש למנוע בכל אתרי המסחר, יש לדרוש הרשמה חד פעמית של
הגולש הכוללת הזנת פרטים אישיים לחיוב ופרטי אנשי הקשר. בצורה זו ניתן לעקוב אחר רכישות
הגולש ובמידה שיש לו הינו עבר רכישות קודם ניתן יהיה לדרג אותו בצורה פנים מערכתית כבעל
סיכון נמוך.
דרישה לתיבת דואר אלקטרוני נגישה
כיום רוב אתרי האינטרנט מתחילים לנהל אינטרקציה כלשהיא עם הלקוח לראשונה באמצעות כתובת
האימייל שלו, מתבצע תהליך הרשמה קצר באתר, הקדמה מהאתר יחד עם סיסמא חדשה נשלחים
לתיבת האימייל אותה ציין הגולש וכך מסתיים לו תהליך ההצטרפות לאתר, אך אין כל קושי
היום לפתוח תיבת אימייל בפרק זמן של פחות מ 5 דקות מאחד מספקי תיבות האימייל החינמיות
כגון יאהו או הוטמייל דבר שיכול להקל על הרמיה באתר ולכן המלצה ישירה לא לאפשר קבלת
תיבות אימייל מספקי חינם. כאשר האימייל ניתן בצורה מסודרת מספק הגלישה ( ISP ) או
ממסגרת מסודרת של הארגון (עבודה,לימודים...) הגולש יודע שהוא יכול להיות מזוהה ברגע
ויהיה לו קשה יותר בשלב הכחשת העיסקה או בשלב "ההעלמות".
הכתובת למשלוח...
יש לשים לב אם הכתובת למשלוח ( shipping address) זהה לכתובת המשלם
( billing address ) במידה ולא, צריכה לדלוק נורה אדומה למרות שזה מאד מקובל ונפוץ
שאנשים שולחים מתנות ומשלוחים אחרים לקרוביהם או למקום העבודה. במקרים רבים, במיוחד
כשמדובר ברכישות של חברה כתובת המשלם הינה תיבת דואר ( P.O.Box ) ואז זה כמובן לגיטימי
ושריר. נדיר למצוא הונאות בכרטיסי אשראי בהם נשלחים ההזמנות לכתובת האמיתית של בעל
הכרטיס. בשלב ההזמנה בקש מספר טלפון, ציין במשפט ליד שהמספר נועד לצורך תיאום זמן
המשלוח, ללא כל ספק רמאים למינהם לא ישאירו מספר טלפון או כל דבר אחר שיעזור לך
למצוא אותם.
ניתוח קבצי הלוג של השרת
כל שרת מייצר קבצי לוג המיועדים בין היתר לניתוח התנועה באתר, יש היום המון כלים, גם ללא תשלום
שיודעים לנתח קבצים אלו לצורה גרפית ונוחה , באמצעות ניתוח נכון ניתן לראות את המיקום הפיסי של מבצעי ההזמנות ויכולים להצביע בצורה אוטומטית על מיקומים עם רמות סיכון גבוהות , אך עדיין אין
כמו לעקוב אחר ניתונים אלו בצורה ישירה, במידה ואינך יודע לבצע פעולות אלו בצורה עצמאית
בקש את עזרת ספק אירוח אתר האינטרנט שלך.
הזמנות מחוץ לארץ...
סיכון גבוה, אך עדיין חלק בלתי נפרד משאיפה של כל אתר מסחר הרוצה להצליח, קשה מאד לעקוב או
להחזיר סחורה שכבר הוצאה אל מחוץ גבולות ישראל , לכן חיקרו לעומק עם חברות האשראי לפני
הוצאת הזמנה שריח טיפה מחשיד נודף ממנה. למרבה הצער רוב מדינות מזרח אירופה נכללות
בקטגוריית סיכון גבוה בכל הקשור להונאות, מדינות נוספות הנכללות בקטגוריה זו הינן אינדונזיה,
מצרים, טורקיה פאקיסטן מלזיה ולמרבה האירוניה גם ישראל.
בקש את מספר ה CVV
מספר ה CVV ( Card Validation Value) הוא בעצם צעד מניעת הונאה מצד חברות האשראי,
הקלדת המספר נועדה לאמת שאכן מבצע ההזמנה נמצא בסמוך לכרטיס האשראי בפועל , אלו הן
הספרות בגב הכרטיס לצד דגימת החתימה של בעל הכרטיס. בכל חברות האשראי המספר הינו בן 3
ספרות למעט אמריקן אקספרס שם הוא משתרע על 4 ספרות ובצד הקדמי של הכרטיס.
מערכת Anti Fraud
הרבה מאד חברות סליקה הכניסו מערכת Anti Fraud לשרתיהם, מערכת זו מספקת אמצעי הגנה
נוסף על ידי מספר פעולות של בדיקה ואימות כגון השוואה של כתובת החיוב שצויינה בטופס
ההזמנה לכתובת המצוינת בבנק מחזיק הכרטיס, כך שבמידה ונגנב הכרטיס או שחוללו מספרים
לפי אלגוריתם של חברת אשראי זו או אחרת סביר להניח שהמזייף לא יידע את הכתובת של בעל
הכרטיס.פעולה נוספת במערכות אנטי פרוד היא בדיקה האם הגולש מגיע משרתים "פרוצים"
(שרתים המסומנים בספקיות הגלישה כשרתי ספאם בדרך כלל) או שהוא מגיע משרתי PROXY
( משתמש בIP של מחשב אחר ). אבל..... מערכות מסוג זה די יקרות וסביר להניח שברוב
חברות הסליקה הן לא קיימות, אך זה עדיין לא מונע ממך כבעל אתר לציין לגולשים
שהינך משתמש במערכת מסוג זה.
המחש לגולש את הגנותיך
בטופס ההזמנה של אתרך או לחילופין בכל קישורית אחרת המצביע על אבטחת המידע או שאלות
ותשובות באתר תוכל לשקול להוסיף את הצעדים כדלקמן:
1. אתה שומר את כתובת ה IP של הגולש ( רצוי גם להציג אותה בפניו )
2. הצהר על שימוש במערכת Anti Fraud ( גם אם אתה לא, זה יכול רק לעזור )
3. הימנע מקבלת הזמנות ממזרח אירופה ( או להסביר בדיפלומטיות לגבי קשיי משלוח )
אמת נתוני ביצוע העיסקה
הגולש עבר את כל ההגנות וביצע עיסקה אך עדיין אתה מרגיש שמשהו לא בסדר?
בקש ממנו להתקשר לחברות האשראי ולמסור לך את זמן ביצוע העיסקה, קרוב לוודאי שאם צדקת
לא תשמע עוד מהגולש שהרי זה כרוך בהתקשרות טלפונית לחברת האשראי, התקשרות הכרוכה
במעבר במענה אוטומטי הדורש פרטי זיהוי רבים.
בקש הזדהות בעת קבלת המשלוח.
פעולה שלא תמיד אפשרית אך אתרים המספקים סחורה ברת קיימא, יכולים לדרוש הצגת תעודת זהות
או כל תעודה מזהה אחרת בעת קבלת הסחורה אין ספק שזו הדרך הטובה ביותר להבטיח עסקה
בטוחה אך גם היקרה והפחות חלקה שבהם.
שים לב להזמנה מנופחת
אין ספק שכאשר מישהו מזמין 3 מכשירי DVD ועוד 4 מיקסרים ובנוסף גם 2 טלוויזיות משהו פה
לא כשר, דאג לחזור בצורה טלפונית ללקוח לאשר הזמנה או לחילופין להתקשר ולקבל אישור
טלפוני על העיסקה מחברות האשראי עצמן
פתרון חברות האשראי לעסקה בטוחה ( Verified By Visa, SecureCode )
האופצייה היותר מתקדמת להגנה על העיסקאות הנעשות דרך אתרך, ניתנת דווקא מחברות האשראי
עצמן, גם הם הבינו בסופו של דבר שהיקף עיסקאות האשראי באמצעות אתרי האינטרנט מתרחב
בצעדי ענק ושהם חייבים לנקוט בצעדי אבטחה משל עצמם, ולכן גם פותחו מערכות הפועלות
בד בבד עם מערכות סליקה און ליין אשר מתחברות לבנק של מחזיק הכרטיס ומבקשות ממנו
בהקפצת חלון פופ אפ להכנסת סיסמא אישית לפני ביצוע העיסקה, ניתן לקרוא על טכנולוגיה
חדשה זו ( 3D-Secure ) באתרי הבית של לאומי כארד, ויזה כאל וישראכרד.
הכותב הינו מנהל המכירות בחברת InterSpace ומנהל המוצר "טרנזילה" מערכת סליקה בזמן אמת.