הקלות של ניידות מספרי הטלפונים הסוללרים נהפכה לכר פורה להונאות ומשרד התקשורת בוחן פתרון לבעיה: הקמת שרת מחשב ייעודי שיאפשר לגופים פיננסיים לבדוק האם מספר טלפון מסוים נויד ומתי.
מנהל יחידת הסייבר המגזרי במינהל הנדסה במשרד התקשורת, זהר בן דוד, שלח בשבוע שעבר מכתב בנושא למנהלי רגולציה בספקיות התקשורת. על החברות להעביר בכתב את התייחסותן להצעת הקמת השרת - עד 30 במאי.
זהו פתרון שנועד לצמצם את הנזק שהונאות ניוד קווי הסלולר גורמות, ושנבחן "במסגרת מאמצי המפקח על הבנקים, משטרת ישראל והמגזר הפיננסי ובסיוע של חברות ומשרד התקשורת, להיאבק בתופעת ההונאה המקוונת", כך נכתב.
עוד צוין במכתב כי: "בימים אלו אנו בוחנים אפשרות להקמת שרת ייעודי, שיאפשר למגזר הפיננסי לצפות במספרי טלפון סלולריים שנוידו ובזמן הניוד שלהם. כך, המגזר הפיננסי יוכל לזהות ניודים שבוצעו בסמיכות לפעילות פיננסית חשודה, ולנהל את סיכוני ההונאה הנובעים מכך".
המתווה – בהשתתפות המשטרה והמפקח על הבנקים
לפי משרד התקשורת, ב-18 בפברואר 2025 התקיים דיון בהשתתפות המפקח על הבנקים, משטרת ישראל, משרד התקשורת, נציגי המגזר הפיננסי וחברות הסלולר, בעניין מתווה מוצע לפרויקט, ובכלל זה אפיון השרת הייעודי. לפי המשרד בחלק מהמתווה "תינתן אפשרות לכלל חברות הסלולר להעביר את המידע הנדרש לשרת ייעודי במערכת הניוד הקיימת כיום. העברת המידע הנדרש מכל חברת הסלולר תיעשה באופן וולונטרי ורק לאחר קבלת הסכמת החברה לכך, ולפי שעה לא כחובה רגולטורית.
"חברת סלולר תעביר לשרת הייעודי רק את המידע הנדרש, ללא פרטים נוספים, והוא יישמר בשרת הייעודי לתקופה שלא תעלה על 24 שעות, ואז יימחק ממנו באופן אוטומטי. כמו כן יוגדרו משתמשי קצה במגזר הפיננסי שרק להם תהיה גישה לשרת הייעודי.
"שירותי התקשורת של מנוי חברת הסלולר שבחרה להעביר את המידע הנדרש, לא יושפעו מהמתווה המוצע. חברת סלולר שתבחר להעביר את המידע הנדרש לשרת הייעודי כאמור לעיל, לא תישא באחריות כלשהי לתהליך ניהול הסיכונים של המגזר הפיננסי".
הקו שלך מנויד ואין דרך לעצור את זה
לאחרונה פרסמנו ב-ynet כי ניידות המספרים בסלולר, רפורמה שהיטיבה עם צרכנים בך שאיפשרה להם להתנייד בקלות מחברה לחברה, תוך שמירה על מספר הטלפון שלהם - נהפכה לכלי בידיהם של נוכלים. לחברות הסלולר אסור להתערב בניוד, שאמור גם לקרות תוך חצי שעה. המטרה היתה שחברות הסלולר לא ינסו לחבל בתחרות ולמנוע התניידות של לקוח לחברה מתחרה עם מחיר או תנאים טובים יותר. כיוון שכל ההליך נעשה אוטומטית וההתערבות ועצירתו אינה חוקית – נוכלים מנצלים זאת.
לרוב הם פועלים ככה: הקורבן יקבל הודעה מחברה מוכרת לפיה עליו להשלים באתר החברה - פרטים ולעיתים קרובות גם פרטי אשראי. זאת הודעה מזויפת, אבל הוא יתפתה וישלים את פרטיו בדף נחיתה מזויף. את הדף בנה נוכל שבעצם מחזיק כעת בפרטים ואולי גם בפרטי האשראי של הלקוח, אבל כדי לחדור לחשבון הבנק של הלקוח או לבצע עסקאות גדולות עליו לקבל גישה לאימות הדו שלבי – שורת מספרים שחברת האשראי וחברות אחרות שולחות ללקוחות כדי להשלים בבטחה ביצוע עסקה. לכן, הנוכל לא מסתפק במידע שכבר דג, אלא שולח הודעה לקורבן שהוא 'השלים את מילוי פרטיו בהצלחה' וכעת יישלח אליו קוד אימות.
בזמן זה הנוכל כבר נכנס לאתר חברת סלולר כלשהי וביקש לנייד את מספר הטלפון הסלולרי של הקורבן. חברת הסלולר הקולטת שולחת כעת קוד אימות למכשיר של הקורבן, שחושב שזה קוד אימות מהאתר בו השלים פרטים. הוא שולח לאתר (אך בעצם לנוכל) את קוד האימות שקיבל, כפי שנהוג וכעת מתחיל להפתעתו ניוד הקו שלו מבלי שהוא יכול לעצור את התהליך. במקביל התפתחו שיטות נוספות לניוד קווים על-ידי נוכלים – למשל תוך שימוש בעקוב אחרי למספר בחו"ל.
בינתיים הקורבן צריך להתקשר לחברת הסלולר שלו ולחברת הסלולר אליה נויד בעל כורחו ולדווח על ההונאה ובמקביל לדאוג לבטל את כל כרטיסי האשראי שלו ולהודיע לבנק שכן לנוכח יש כעת גם גישה לאפליקציית הבנק שלו. בנוסף הוא צריך לוודא שכשחברות האשראי שולחות לו כרטיסי אשראי חדשים, הן לא יוצרות כרטיסים דיגיטליים תואמים שמקושרים למספר הטלפון שנויד. בינתיים, הנוכל יכול לנסות לשאוב בחופשיות כסף מהקורבן.
