ריאיון
"אם הממשלה תחליט, ניתן לצמצם את נזקי ההונאות ב־60%"
שמוליק קהן, האחראי למניעת הונאות פיננסיות ב־Max, מסביר כיצד ישראל הפכה ליעד המועדף לנוכלים, איפה הממשלה נרדמת על המשמר, מה הצעדים שיש לאמץ כדי להפחיתן דרמטית - וגם שלושה טיפים שיגנו עליכם
שמוליק קהן (49)
מצב משפחתי:
נשוי + 4, גר בגבעת שמואל
מנהל מחלקת סיכוני תשלומים ב־Max:
עובד במחלקה (על גלגוליה) מאז 1999. בתפקידיו האחרונים שימש כמנהל תחום חקירות ותשאול וכמנהל תחום איתור ומניעת הונאות
רקע אקדמי:
לימודים לתואר ראשון במסלול קרימינולוגיה ואכיפת חוק של מכללת בית ברל והאוניברסיטה הפתוחה
עוד משהו:
מתנדב ביחידת הסיור של משטרת כפר סבא
אנחנו שומעים – אם יש לנו מזל, וחווים – אם יש לנו פחות מזל, מתקפת הונאות פיננסיות, מגמה הולכת וגדלה בהיקף הנסיונות לעבוד על הציבור ולגנוב ממנו. מה קורה כאן?
"בניגוד לעבר, שההונאות היו יחסית פשוטות – גניבות של כרטיסים וזיופים של כרטיסים פיזיים, היום הכול הרבה יותר דיגיטלי, ומרגע שהטכנולוגיה השתפרה, גם הנוכלים עשו אדפטציה. למעשה, נכנס פה ממד פסיכולוגי חזק: עובדים על הלקוחות בכל מיני שיטות וגורמים להם לבצע פעולות בלי שהם מבינים מה בדיוק קורה. לדוגמה, נוכלים מתחזים לנציגים של בנקים, חברות אשראי או משטרה, ומבקשים קוד אימות בטענה שיש בעיה, וגורמים ללקוח למסור את הקוד כדי להשלים את הפעולה בעצמם. זו תופעה עולמית, והנזקים מוערכים בטריליון דולר בשנה, ורואים עלייה של עשרות אחוזים מדי שנה בהיקף ניסיונות ההונאה ובהתאמה גם בהיקף הנזקים".
אינטואיטיבית, הייתי אומר שיותר קל לגנוב למישהו כרטיס אשראי מהכיס מאשר להצליח להזדהות במקומו. השינויים הטכנולוגיים, שעל פניו אמורים היו להגדיל את האבטחה והמניעה, דווקא הגבירו את כמות הניסיונות?
"השינויים יצרו 'הגירה' להונאות מסוג חדש. הנוכלים לא נשארים מאחור, ועושים אדפטציה לטכנולוגיות החדשות ומצליחים לעקוף אותן".
אז המגמה היא אמנם עולמית, אבל איפה ישראל נמצאת בתוך המגמה?
"לצערי, בכל מה שקשור להתמודדות והטיפול ברמה הלאומית, אנחנו נשארים מאחור ביחס למדינות אחרות בעולם, ולאו דווקא למדינות מובילות. שיעור ההונאות בישראל אמנם נמוך ביחס לעולם, אבל בקצב הנוכחי זה ישתנה".
על היקף ההונאות: "הנזקים מוערכים בטריליון דולר בשנה, ורואים עלייה של עשרות אחוזים מדי שנה בהיקף ניסיונות ההונאה ובהתאמה גם בהיקף הנזקים"
"בעבר, כשמדינות באירופה אימצו את תקן EMV (שמכניס צ'יפ חכם לכרטיסים, אשר מגן מפני זיופים ומאפשר תשלומים ללא מגע), ישראל איחרה באימוץ בכ־15 שנה. מה שקרה זה שראינו תיירות פשיעה – חוליות נוכלים מבולגריה, רומניה ואוקראינה ועוד שהגיעו לישראל כי אנחנו היינו החוליה החלשה, והתשתית פה לא הייתה מוגנת. מרגע שהתקן הוטמע בארץ, יש אפס זיופים, אבל ההיסטוריה הזו צריכה להדליק נורה אדומה. אני חושש שמה שקרה אז עומד לקרות עכשיו. בעוד שמדינות אחרות משקיעות המון בצמצום ומניעת הונאות בערוצים הדיגיטליים והתקשורתיים שמשפיעים ישירות על היקף ההונאות, אנחנו רחוקים משם מאוד".
אפיין את סוגי ההונאות שאנחנו רואים כיום.
"ההונאה הנפוצה ביותר היא התחזויות באמצעות לינקים. הלינקים נשלחים בהודעות SMS או מיילים ובהם מתחזים לגופים מוכרים: ביטוח לאומי, כביש 6, דואר ישראל או חברות משלוחים. הלקוח לוחץ על הלינק, ממלא פרטים, כולל פרטי אשראי, מתוך לחץ כי הוא חושב שיש לו חוב או מכל סיבה אחרת, והנתונים עוברים לנוכלים.
“במקום השני נמצא נושא של גניבות ושחזורי קוד סודי דרך האפליקציות הדיגיטליות של הבנקים וחברות האשראי. הנוכלים משיגים פרטים ומנסים לשחזר את הקוד הסודי באפליקציה, במטרה לבצע משיכות כספים במזומן – מה שהכי מושך אותם, כי הם יכולים לעשות אתו מה שהם רוצים.
“יש גם את הונאות ה-Sim Swap שעדיין קורות, בהן נוכלים מתחזים לחברות סלולר, מעבירים קווים לשליטתם, וכך מקבלים את כל הודעות האימות של חברות האשראי. היום גם הרבה מההונאות מתחילות בפלטפורמות הדיגיטליות, מודעות מתחזות בפייסבוק, באינסטגרם, התחזויות לבתי עסק שמוכרים בשמים, חבילות נופש – הלקוח חושב שהוא מזמין מוצר והוא לא יודע שהדף שהגיע אליו הוא מתחזה, וכל הנתונים שהוא מזין עוברים לידיים של הנוכל. היכולת להקים דף מתחזה כזה היא פשוטה להחריד. ה-AI גם שיפר הכל: אין יותר טעויות כתיב שמעלות חשד, הגרפיקה טובה, קשה הרבה יותר להבין ולאתר שמדובר בהונאה".
אתה יכול לתת דוגמאות בולטות מהתקופה האחרונה, למקרים שבהם אתה נתקל?
"מעבר למקרים של לינקים שמתחזקים לכביש 6 ולדואר וכו', יש כמה סוגים שמשפיעים על אנשים בצורה קורעת לב.יש Romance Scam (הונאות רומנטיות): נוכלים שמתחילים להתכתב עם אנשים לאורך תקופה, לרוב אנשים מבוגרים ובודדים, בונים קשר חם וגורמים להם להתאהב בהם. לאחר מכן הם מתחילים למכור סיפורים על קשיים, חובות או צורך במימון טיסה, והאנשים האלה מעבירים להם כספים בלי סוף, בסכומים מצטברים שיכולים להגיע למאות אלפי שקלים".
על מבצעי ההונאות: "ארגוני פשיעה בנו חוות הונאה בעולם. אנשים תמימים חושבים שהם באים לעבודה לגיטימית, לוקחים להם את הדרכון, מרביצים להם והם מבצעים את ההונאות"
“היה לקוח שפנינו אליו לאחר שראינו את היקף הכספים הלא סביר שהעביר, והוא הסביר שיש לו כלה מדובאי שאמורה להגיע לארץ, והוא לא הבין שמשהו לא בסדר. כמה שלא ניסינו להסביר לו שעבדו עליו, מבחינתו ימות העולם – יש לו כלה. יש מישהי שהתכתבה תקופה ארוכה עם מישהו שהתחזה לבעל להקה מקרואטיה ושכנע אותה שהוא רוצה לבוא להופיע בארץ, וביקש סיוע במימון טיסה והבטיח שיחזיר את הכסף ממה שירוויח בהופעה.
“יש העברות כספים לחשבונות של בנק ישראל כביכול, כי מישהו מכר סיפור שהחשבון נפרץ ונמצא בסכנה, וכדי שהכספים שלו לא ייגנבו הוא צריך להעביר הכל לחשבון מאובטח בבנק ישראל. יש גם הונאות השקעה וקריפטו: גורמים לאנשים להאמין שהם משקיעים בבורסות או בקריפטו דרך אתרים מפוקפקים, כשמאחורי האתרים והאנשים האלה לא עומד כלום. ויש התחזות ל-Booking: לקוחות שמזמינים מלון ב-Booking מקבלים הודעה דרך הממשק של Booking עצמו, שמבקשת מהם להזין פרטים מחדש או לבצע תשלום מיידי בלינק חיצוני. הנוכלים מצליחים לפרוץ לממשק דרך ספקי צד ג'".
הרבה פעמים גם הנוכלים הם קורבנות בעצמם?
"ארגוני פשיעה החלו לעשות 'הסבה מקצועית' בתקופת הקורונה, במקום בתי קזינו הם הפכו את המבנים שלהם ל"חוות הונאה" שלמות באסיה או אוקראינה. הם מפרסמים מודעות דרושים ומשתמשים באנשים תמימים שחושבים שהם באים לעבודה לגיטימית, ובפועל הופכים לקורבנות – לוקחים להם את הדרכון, מרביצים להם, הם מנוצלים לרעה ומבצעים את ההונאות. אגב, בכ־70% מההונאות יש מעורבות בינלאומית. כלומר, התוקפים יושבים בחו"ל".
אז כרגע שיעור ההונאות בישראל עדיין נמוך ביחס לעולם, אבל אתה אומר שזה זמני, ושישראל משתרכת מאחור בטיפול. בהקבלה למצב הביטחוני ולכיפת ברזל – תוקפים אותנו יותר אבל אנחנו גם יותר טובים בלהגן?
"כן, אבל זה לא אומר שאפשר לשבת על מי מנוחות. התעשייה הפיננסית משקיעה הון עתק בכסף ומשאבים כדי להילחם בזה. רק חברות כרטיסי האשראי משקיעות עשרות מיליוני שקלים בשנה. אנחנו משתמשים במערכות מתוחכמות, מפתחים זיהוי ביומטרי כי הוא חזק יותר. המערכות שלנו לומדות את התנהגות הלקוח ואת זו של מחוללי ההונאה, ונותנות ציון לכל עסקה. בינתיים אנחנו מצליחים לעצור 99.9% ממיליארדי הניסיונות בשנה".
על מאמצי המניעה: "למרות שאנחנו אומת הסטארט־אפ והסייבר, בכל הנוגע למודעות ולטיפול בהונאות, אנחנו הרחק מאחור. אין באמת הבנה שמדובר במשימה לאומית שמחייבת תכלול"
ככל שאתה מייצר הגנה טובה אתה יותר אתה פוגע בחווית המשתמש. יש כאן איזון עדין.
"אנחנו מנסים לצמצם את הפגיעה, ולעקוב אחר יחס false-positive (זיהויים שגויים של הונאה, שג”ע) כדי למנוע פגיעה בלקוחות. הכי קל היה להוריד את השאלטר כך שיהיו אפס הונאות, אבל כל הלקוחות היו בורחים. אין ספק שככל שהנוכלים משתכללים וכמות הניסיונות גדלה, אין לנו ברירה אחרת אלא להגביל יותר, לטובת הלקוחות, שהאמון יישמר. ולשם כך אנחנו צריכים סיוע גם ברמה הלאומית, שם הבעיה מתחילה. למרות שאנחנו 'אומת הסטארט-אפ והסייבר', בכל הנוגע למודעות ולטיפול בהונאות, אנחנו נמצאים הרחק מאחור. אין באמת הבנה שמדובר במשימה לאומית שמחייבת תכלול".
אז התעשייה הפיננסית שמה הרבה כסף כדי להתמודד עם ההונאות, איפה המדינה?
"בעולם אנחנו רואים מדינות רבות שהבינו שמדובר במשימה לאומית שדורשת גורם מתכלל. יש גופים שאחראים לטפל בנושא הזה מול כל הרשויות הרלוונטיות – משטרה, רשות הסייבר, חברות תקשורת ומשרד המשפטים. במדינות כמו אנגליה, טיוואן, הודו וסינגפור יש שר ייעודי או פרויקטור לאומי לענייני הונאות.
“בנוסף, יש בעולם המון רגולציה על חברות תקשורת כדי לוודא שהן מנטרות פעולות חריגות. לא סביר ולא הגיוני שמישהו ישלח מאות אלפי הודעות SMS ללא סיבה הגיונית. לא הגיוני שמישהו יתקשר לחצי מדינה ויתחזה לגופים שונים מבלי שמישהו יעצור את זה. לא הגיוני שמישהו ישתמש במספר שנחזה למספר של משטרה או של בנק מבלי שהמערכת תנטרל ותעצור אותו. לא סביר שעל פלטפורמות דיגיטליות כמו גוגל ופייסבוק לא יחולו רגולציות כדי לוודא שהן מנטרות. הרשות להגנת הפרטיות צריכה להיות חלק מזה, ומשרד המשפטים בהיבט של חקיקה שתאפשר לגופים הפיננסיים לשתף מידע, כך שיוכלו לדוגמא להקים ממשק פיננסי משותף שבו כל גוף יוכל להציף מקרי הונאות כדי שכל השאר יכירו – וכך למנוע אפקט הדבקה".
היום אם ישראכרט לדוגמא מזהה הונאה כלשהי, אתה לא בהכרח יודע עליה?
"בדיוק, ולהיפך. אם היינו יכולים לשתף נתונים על IP, מיילים, טלפונים, כל נתון שנתקלנו בו במסגרת הונאה ויכול לסייע. אנחנו לא ממציאים את הגלגל: זה קורה בעולם, וזה אלמנטרי. באנגליה למשל יש את CIFAS – גוף לאומי למניעת הונאות המאגד את המגזר הפיננסי ועובד בשיתוף עם הממשלה. הם מעבדים לטובת כלל השוק את דפוסי ההונאה השונים ומציפים, כמו בדסק משטרתי או בגופים ביטחוניים אחרים את המידע".
אם מחר מדינת ישראל מחליטה שזה בראש סדר העדיפויות, ואתה צריך לנסח תוכנית עבודה לאומית, מהם חמשת הצעדים המרכזיים?
"הראשון – לאפשר שיתוף מידע ממוכן ובזמן אמת בין כלל הגופים הפיננסיים; השני – ליישם הנחיות המחייבות גופים כמו חברות התקשורת והפלטפורמות הדיגיטליות לבצע בקרות ולהכיל אמצעי מניעת הונאה, וכן להטיל עליהם אחריות על פרסומים מטעים; השלישי – להקים גוף מתכלל ופרויקטור לאומי שיאגד צוותים מכלל הגופים הרלוונטיים; הרביעי – להנחיל כלים טכנולוגיים פשוטים לאזרחים, כמו אפליקציה או מנגנון של "Scan My SMS" או "Check My Links", והחמישי – לחשוב על הקמת זהות דיגיטלית חד־חד־ערכית לכל לקוח, בדומה למערכת שקיימת כבר היום במשרדי הממשלה, כפי שקיים בסקנדינביה, שתשמש את כל הגופים הרלוונטיים במשק".
בתוך כמה זמן הצעדים האלו ניתנים ליישום?
"בתוך שנה בלי בעיה, וזה יביא לצמצום דרמטי של לפחות 60% בהיקף ההונאות".
עולם ההונאות הפיננסיות נראה היום אחרת לגמרי מאיך שהוא נראה לפני עשור. בעוד כמה שנים זה שוב ייראה אחרת, עם AI ואולי טכנולוגיה קוונטית?
"אני מניח שכן. עוד לא ברור איזו סטנדרטיזציה והשפעות משפטיות יהיו סביב AI. חוק שירותי תשלום יודע להתייחס למשל למקרים בהם התבצעה עסקה אבל הלקוח לא ביצע אותה. עם AI גנרטיבי, שהוא סוכן שעושה פעולות בשמך, למשל, והתבקש למצוא את הטיסה הזולה ביותר להוואי – לא ברור אילו יכולות הגנה יש לאותם סוכנים מפני הונאות. זה עלול להגדיל באופן דרמטי את היקף ההונאות. כמו בכל דבר, יש כאן סיכון וסיכוי".
לאור הדינמיקה שתיארת, לנצח נחיה על חרבנו?
"כן, יש מלחמת כוחות, ככה זה בחיים. אני מאמין שהטובים ינצחו".
לסיום, מהם שלושת הטיפים החשובים ביותר שאתה יכול לתת לציבור?
"קודם כל, הכי חשוב, לקרוא את ההודעות שאנחנו שולחים. שם כתוב הכל. אם מודיעים לך (מחברת האשראי, שג”ע) שמישהו מבקש לעשות פעולה X, שאתה בכלל לא מכיר, לא להתעלם. שנית – לא ללחוץ על לינקים חשודים: גם אם הם נראים רשמיים ומתחזים לגוף מוכר, ושלישית ליצור קשר באופן עצמאי: אם יש משהו שחשוד, אל תענו לפונה, אלא פשוט היכנסו באופן יזום לאתר הרשמי או התקשרו למוקד של אותו גוף ותשאלו האם באמת מישהו פנה אליכם. אפשר גם להיעזר בפתרונות כמו Scan my SMS או Check my links. מי שעושה את זה, מצמצם לחלוטין את הסיכוי שייפגע".
