תופעה מתעצמת - נוכלים שרוצים לגנוב לכם את קו הטלפון - כדי לקבל בעצמם את הודעות האימות הדו שלבי שמגיעות אליכם ואז לאשר כניסה לחשבון בנק, אשראי או עסקאות. מדובר בהודעות הסמס עם הקוד שאתם מקבלים מחברות האשראי (OTC).
הנוכלים טורחים לנייד ככה קווים של קורבנות (תוך שימוש בתעתוע והונאה) וגם מצליחים. בגלל החובה בחוק שמחייבת את חברות הסלולר לאפשר ניוד קווים מהיר: הן לא באמת יכולות לעצור את התופעה בזמן. התופעה הזאת הולכת ומתגברת משום שהנוכלים עושים שימוש מתוחכם בחוק שנועד להגן על הצרכנים: חובת קלות ניוד המספרים.
רפורמת ניידות המספרים שנכנסה לתוקף לפני יותר מ-15 שנה, הקלה על מעבר בין החברות וסייעה לתחרות בענף הסלולר, אבל בשנים האחרונות - נוכלים מנצלים לגניבת כספים את הקלות הרבה שבה אפשר לנייד קו סלולרי מחברה אחת לשנייה תוך שמירה על מספר הטלפון.
בחברות הסלולר ובחברות האשראי והבנקים מנסים להילחם בתופעה, שמתגלה לרוב בזמן שהניוד קורה או אחריו. לעיתים קרובות הנוכלים מספיקים לעשות שימוש בכרטיס האשראי של הקורבן. גם במשרד התקשורת מודעים לבעיה.
יש להפסיק להשתמש בזיהוי בסמס
שחקן בענף הסלולר אמר ל-ynet: "כשנוכל מנייד לך את הקו - ידיי כבולות. לפי הרגולציה, אני כחברת סלולר לא יכול לעצור ניוד, אני לא יכול לבדוק את הניוד ואני לא יכול להתקשר ללקוח שלי לבדוק אם הוא באמת רצה להתנייד ממני, אסור לי לעשות את כל הדברים האלה. אני חייב לאפשר את הניוד ורק לאחר מכן לערוך את כל הבירורים במידה וצריך. זה משאיר מספיק זמן לנוכלים לגנוב פרטים וכספים ולהשאיר אנשים פשוט משותקים – ללא הקו שלהם ורק אנחנו וחברת הסלולר אליה נויד הקו שלהם יכולים להציל אותם, זה ממש ככה, להציל אותם".
לפי הוראת משרד התקשורת, ברגע שמתקבלת בקשת ניוד קו, יש לערוך בירור פשוט לפנות ללקוח שיאשר את הניוד בסמס או באישור קולי (כאן הנוכלים מערימים על הלקוח משום שמראש הם גורמים לו לחשוב שהוא מאשר משהו אחר שאינו ניוד). בחוק נקבע כי פרק הזמן להחלפת ספק שירות יהיה קצר ככל האפשר ולא יעלה על מחצית השעה בטלפון סלולרי או עד שלוש שעות אם מדובר בהעברה של כמה קווים יחד. בקיצור: זאת חגיגה לנוכלים.
בענף האשראי אמרו ל-ynet שיש חברות סלולר שלא פועלות מספיק מהר כדי לעצור ניודים כאלה גם ברגע שהם מזוהים. "צריך להיות בחברת הסלולר מוקד מיוחד או אדם שאחראי על זה שיעצור את זה במהירות".
בענף הסלולר, לעומת זאת, מפצירים בחברות האשראי ובבנקים להפסיק להשתמש בזיהוי בהודעת סמס ולעבור אולי לזיהוי ביומטרי, אם כי גם אותו נוכלים יכולים לעקוף.
3 צפייה בגלריה
הודעת ניוד של פרטנר שלאור ריבוי ההונאות בשוק - מדגישה שאם בקשת הניוד לא מוכרת ללקוח - שייצור קשר עם החברה
מה הנוכלים מרוויחים מניוד הקו? הם מרוויחים גישה לסמסי האישור האלה וכך יכולים לקבל גישה מלאה לחשבון הבנק של הקורבן. ברגע שקו הטלפון של הקורבן נויד לנוכל – הוא יכול לשנות סיסמאות, להיכנס לחשבונות ולאשר את כל השינויים האלה על-ידי העתקת הקודים שנשלחו אליו בסמס. כך הדרך פתוחה בפניו לשאוב כסף מהחשבונות ולערוך רכישות וליטול הלוואות תוך שימוש בכספו של הקורבן.
"קיבלתי הודעה שהניוד מתחיל - והקו התנתק"
לאחרונה פנתה ל-ynet אם לתינוק, שקיבלה הודעה מ-WECOM לפיה עצוב להם שהיא נוטשת אותם ואז קיבלה הודעה לבבית מסלקום: "טוב שהצטרפת אלינו", ומיד אחריה הגיעה הודעה מישראכרט בה היא מתבקשת לאשר אימות דו שלבי. "שאלתי את בעלי אם הוא מנסה לעשות חבילת תקשורת משפחתית או משהו כזה. הוא אמר שלא. תוך כמה דקות קיבלתי טלפון ממספר של סלקום שמבקש שאשלים את הניוד בהקשה על 1. לא לחצתי וניתקתי ולמרות זאת, אחרי שתי דקות קיבלתי הודעה שהניוד מתחיל. זה היה בעשר וחצי בלילה", סיפרה ל-ynet.
"התקשרתי לחברת WECOM ואמרתי לנציגה שולחים לי הודעות על ניוד למרות שלא ביקשתי להתנייד מכם ובאמצע השיחה היא אומרת לי: 'אוי, לא, מישהו מנסה לגנוב לך את המספר, השיחה תתנתק, אני שולחת לך וואטסאפ' ובום, השיחה מתנתקת והמספר שלי כבר לא היה שלי באותו רגע.
"הנס היה שבעלי היה איתי והיה לנו טלפון נוסף שניתן לעשות ממנו שיחות, כי הטלפון שלי נחסם. התקשרנו לסלקום ו-WECOM ואז הבנו שמה שהכי דחוף כרגע זה החברת אשראי, כי מי שנייד לי את הקו מקבל עכשיו את כל הודעות האימות ויש לו גישה להכל כולל רשתות חברתיות וחשבון הבנק".
חברות האשראי מנפיקות גם כרטיס דיגיטלי - והנוכל עלה על זה
הקורבן התקשרה לשלוש חברות אשראי בה יש לה כרטיסים. כולן נענו בחיוב לבקשות ביטול הכרטיסים שלה. "אמרו לי: אין בעיה, מבטלים וננפיק לך כרטיסים חדשים. אבל מה שקורה זה שדי אוטומטית מונפק גם כרטיס דיגיטלי, שכמובן - מגיע לטלפון הקודם שלי", היא מספרת.
"ברגע שהבנו את זה, עשינו שינוי של כל מספרי הטלפון, אבל הכרטיס הדיגיטלי בכל זאת הספיק להגיע לטלפון הקודם, אז אחרי זה נאלצנו לבטל את הכרטיס עוד פעם ולבקש גם לא להנפיק כרטיס דיגיטלי".
פתרון זמני - נעילת ניוד
הלקוחה החליטה להגן על עצמה באמצעות שירות שנקרא נעילת ניוד, שלרוב ניתן לבעלי עסקים בלבד. "מעכשיו אני צריכה לפנות אליהם ולבקש מהם להוריד את הנעילה כדי שאוכל להתנייד לחברה אחרת".
במקרה שלה, זאת הונאה חריגה: הנוכל ככל הנראה עשה התחקות למספר שלה דרך מפעיל בחו״ל. הוא התקשר למספר בחו״ל שדרכו הוא התחזה למספר שלה, עשה עקוב אחרי, פנה לסלקום והשיחה על אישור הניוד הגיעה בעצם גם למתחזה. לטענתה הוא צירף לקו שלה מספר נוסף, למרות שבחברת הסלולר שלה טוענים שזה לא אפשרי.
"זה שווה ערך למישהו שנכנס לך הביתה ואולי הוא עדיין יושב על חשבון הפייסבוק שלי ואולי הוא שלח הודעות לחברים שלי וגם מהם יכל לגנוב כסף. הפריצה הזאת יכולה גם לפגוע באנשים מסביבך", היא מסכמת.
להיזהר ושוב פעם להיזהר: ככה מערימים עליכם ומניידים את הקו
איך זה בדרך כלל עובד? העבריין שולח הודעת SMS ללקוח. ההודעה יכולה להיות 'חשבונך בביט הושעה', או: 'יש לך חוב לחברת החשמל', או: 'שחרר את החבילה שלך מהדואר' או מכל גוף אחר שיש סיכוי שהצרכן מכיר ויש לו חשבון בו.
הנוכל מבקש מהקורבן ללחוץ על קישור ולמלא פרטים על מנת לאשר את זהותו. הפרטים כוללים שם מלא, תעודת זהות, מספר טלפון, מספר כרטיס, פרטי כרטיס אשראי.
למעשה, ברגע שהקורבן מאשר את הפרטים האלה, הוא מקבל הודעה עם רצף מספרים, כדי לאשר שהוא זה הוא. רק שאותו עבריין יצר מאחורי הקלעים אלגוריתם שבשברירי שניות - יוצר לקורבן בקשת ניוד בחברת תקשורת אחרת. וההודעה שהקורבן מקבל היא בעצם לאשר את הניוד. הקורבן מקבל באותו רגע הודעה שהניוד מתבצע והוא מבין שמשהו לא בסדר קורה - אבל לרוב מאוחר מדי. חלק מהלקוחות לא שמים לב שזאת הודעת ניוד בכלל, וכעת לנוכל יש גישה לכל הנתונים האישיים של הקורבן.
חלק מהחברות שינו את הודעת הניוד בגלל זה
חלק מחברות הסלולר שינו את נוסח הודעת הניוד שלהם בגלל התופעה המדאיגה. הן הוסיפו: אם זה לא אתה שמנסה לנייד את הקו - התקשר לשירות הלקוחות. תהליך הניוד הוא אוטומטי והן לא יכולות לעצור אותו - כי החוק מחייב אותן לא לפגוע בתחרות, ואת זה הנוכלים מנצלים.
באחת מהחברות אמרו ל-ynet: "משרד התקשורת צריך לבקש מהחברות לשלוח הודעות אישור שיהיו ארוכות יותר, מורכבות יותר, מפרטות יותר, שלא יהיה קל להתנייד בצורה הזאת. ששם החברה שאליה מתניידים יופיע למעלה בהודעה כדי שהלקוח יבין מייד מה קורה. אפשר גם לשלוח פעמיים הודעת אימות - להאריך את התהליך מעט כדי לגרום ללקוח לאשר באמת את הניוד או להבין שנוכל מנסה לנייד אותו".
אבל ממילא מתחיל הליך שקשה לעצור.
"ככל שהלקוח מבין מה קורה יותר מהר, אנחנו מתקשרים לחברה אליה מניידים ומנסים כמה שיותר מהר להחזיר את הקו חזרה אלינו. לא רק כדי לקבל אותו בחזרה, אלא כדי למנוע מהנוכל לעשות שימוש בפרטים. זה מרוץ נגד השעון.
"משרד התקשורת גם מנסה ליזום כל מני מהלכים למשל: ליצור מאגר מידע חיצוני בו יבדקו אם לקוח שמנסה לבצע פעולת אשראי מסוימת מול חברת האשראי או הבנק שלו, האם הוא נייד את הקו שלו ביממה או שתיים האחרונות ואז הבנק או חברת האשראי ידרשו פעולה נוספת על מנת לזהות אותו בצורה יותר ודאית. ברור לנו שנוכלים תמיד ימצאו דרך, בעיקר מול אנשים מבוגרים, אבל יש מה לעשות".
מפעיל אחר אמר ל-ynet: "באירופה יש מדינות בהן מסלקת הניוד נמצאת בחזקת המדינה. בישראל כל מפעילה יש לה מערכת ניוד משלה, והיא מפעילה אותה, והיא עושה את אימות הניוד, והיא עושה את הכל. ואז האחריות היא עליה. והבעיה היא בכלל שחברות האשראי משתמשות באימות הדו שלבי. זה מה שגורם לקווי הטלפון להיות נחשקים כל כך".
תגובות
ממשרד התקשורת נמסר: "המשרד מבצע מספר צעדים על מנת לסייע בהתמודדות עם תופעת ההונאות הפיננסיות אגב ניוד מספרים. לאחרונה, המשרד הוביל מהלך מול כלל חברות התקשורת במסגרתו קוד האישור (OTP) הנשלח ללקוחות בכדי לנייד לחברה אחרת יופיע במיקום מרכזי בהודעת המעבר, זאת בכדי שהלקוח יראה בוודאות את ההודעה ולא יזין את קוד האישור במקרה של ניסיון גניבה. לשמחתנו, חברות התקשורת אימצו את המהלך ונוסח ההודעות החדשות מוכנס למערכות החברות בימים אלו. אנו ממשיכים לעקוב ולבחון צעדים נוספים שיסייעו לגופים הפיננסיים ולבנק ישראל בהתמודדות עם תופעת ההונאות".
מ-wecom נמסר: "משרד התקשורת מפקח על פעילותה של חברת wecom כמו גם על פעילות שאר חברות התקשורת במדינה. בין יתר הנושאים המפוקחים על ידי משרד התקשורת, הוא נושא ניוד לקוחות בין חברות הסלולר. במקרה הנוכחי, מדובר בלקוחה של חברת וויקום שנוידה לסלקום. לחברת wecom אין יכולת חוקית לעצור את הניוד ו\או למנוע אותו וזאת בהתאם להנחיותיו והוראותיו של משרד התקשורת. עם ידיעת החברה על המקרה, היא פעלה מול חברת סלקום והשיבה את הקו ללקוחה בהקדם. חברת wecom פועלת לפי הנחיות משרד התקשורת לרבות בכל הנוגע לנוסח ההודעה הנשלחת אל המנוי לפני הניוד ושלבי האימות השונים שהמנוי עובר כדי לאשר את הניוד".
