יו"ר לאומי קארד: "הלקוחות יכולים להיות בטוחים ורגועים"

תמר יסעור, יו"ר לאומי קארד, מספרת על שבועיים מהקשיים בחייה: "הלקוחות יכולים להיות בטוחים ורגועים לגבי השימוש בכרטיס האשראי" ■ "הפרטים שהיו בידי העובדים חלקיים ולא עזרו להם לבצע מעילות או הונאות"

תמר יסעור / צילום: יוסי כהן
תמר יסעור / צילום: יוסי כהן

"זהו אירוע הסייבר הכי משמעותי ורציני שהגיע בשנים האחרונות לפתחה של מערכת האכיפה" - כך הגדירו במשרד המשפטים את פרשת גניבת המידע והסחיטה בחברת כרטיסי האשראי לאומי קארד.

המערכת הפיננסית נתונה בסערה מאמש (מוצאי שבת), כשהמשטרה התירה לפרסום כי עצרה 8 אנשים בחשד שגנבו מלאומי קארד נתונים על לקוחות החברה, וניסו לסחוט את חברת כרטיסי האשראי השנייה בישראל, שלה כ-2 מיליון לקוחות ונתח שוק של כשליש מהענף.

יחידת הסייבר של המשטרה בלהב 433 עצרה את החשודים - 7 עובדי חברת לאומי קארד לשעבר ואחד שעבד בחברה עד היום - שדרשו כופר של מיליוני שקלים באיומים כי ימכרו את המידע הפיננסי הנמצא ברשותם: פרטים של כרטיסי האשראי של הלקוחות לכל המרבה במחיר.

בית המשפט התיר היום (א') לפרסם את שמותיהם של חמישה מבין החשודים: מוטי שילון, אסף מור, אלעד אבולעפיה, אברהם דוד וזיו דרין. מעצרם הוארך עד ליום חמישי השבוע. חשוד נוסף, הנחשב לחשוד המרכזי, נעצר בתאילנד ונחת היום בישראל.

בלאומי קארד, שבשליטת בנק לאומי, נכנסו לכוננות גבוהה בשבועיים האחרונים מחשש שפרטי הכרטיסים יופצו. הפרשה מעוררת שאלות קשות, כיצד אירע מחדל שכזה, שבו נגנב מסד נתונים כה גדול מבלי שאיש שם לב (עוד על השאלות הקשות והסכנה שבגניבת המידע - ראו אייטם נפרד).

עוד נציין כי מקורות בתחום אבטחת המידע השמיעו היום ביקורת על לאומי קארד, ועל כך שאמצעי המיגון שלה, כמו של גופים נוספים בענף, אינם מתקדמים מספיק, בניגוד לאמצעים הקיימים בשוק. עם זאת, נראה כי נכון יותר להמתין לסיום החקירה, ולהבין מהיכן וכיצד בדיוק נבע המחדל - לפני שקובעים מראש כי ניתן היה למנוע אותו.

"כשהבנו שאלו עובדי החברה זו הייתה תחושה קשה ואפילו מעליבה. הרגשה של בגידה בחברה שידועה ביחסים מצוינים בין ההנהלה לעובדים ובאווירה טובה מאד", אמרה היום יו"ר לאומי קארד, תמר יסעור, בשיחה עם "גלובס".

- מה הלקחים שלכם מהאירוע?

יסעור: "אנחנו מתייחסים לאירוע הזה בחומרה ונמצאים בתהליכי בחינה ובקרה של איך קרה הדבר הזה, למרות שאנחנו עוד מחכים לעדכונים מהמשטרה של הגדרה מדויקת של סוג המידע שהיה בידי החשודים. בעיקרון הלקחים מהפרשה הזו שאנחנו צריכים לבדוק הם איך הצליחו החשודים להוריד כמות כזו של פרטי כרטיסי אשראי".

- איך עברו עליכם השבועיים האחרונים?

"אלה היו שבועיים עמוסים מאוד, שהיינו בהם בקשר רציף עם המשטרה. מצד אחד, פעלנו בכל מנגנוני ההגנה שברשותנו כדי למנוע פעולת הונאה בכרטיסי אשראי, ובמקביל ניסינו לקדם כמה שיותר מהר את הסוגייה כדי להביא לתפיסת הסחטן - שהסתבר בסוף כקבוצה".

יסעור הדגישה בדבריה כי באף שלב לא הייתה סכנה לכספי הלקוחות. "חשוב לציין כי ככל שאנחנו מבינים, הפרטים שהיו בידיהם הם חלקיים, שלא עוזרים להם לבצע מעילות או הונאות. עם זאת, אין ספק כי הם היו גורמים לדינמיקה של משבר מיותר וללא סיבה אמיתית".

- ולא הייתה סכנה שעם פרטים אלה תבוצע הונאה?

"היינו ערוכים ומוכנים להפעיל את מנגנוני ההגנה שברשותנו כדי לפעול במקרה ובו היו דולפים פרטי הכרטיסים. לדוגמה, חסימת עסקאות שבהן אין קוד CVV (קוד הביטחון - ע.א). יש לנו אופציה מיכונית לעשות צעד שכזה. בכל מקרה, לקוחות חברות כרטיסי האשראי יכולים להיות בטוחים ורגועים לגבי השימוש, כי אחריות על מקרי הונאות, אם וכאשר מתרחשות, הן על החברות, ולכן כל השאלות אם אפשר להיות בטוח הן לא רלוונטיות".

בינתיים, בשבועיים האחרונים הגבירו בלאומי קארד את הבקרה על נציגי השירות, וכל תנועה שנראית חריגה מעט מיד נשאלת ונבדקת. נוסף על כך, החברה החמירה את הקריטריונים בנושא דוחות המידע, וההרשאות של עובדים בדרגות שונות לעשות שינויים או לצפות בדוחות.

עם זאת, בלאומי קארד מדגישים כי נציגי הלקוחות של החברה ממשיכים להיחשף לאותו מידע על הלקוחות כשם שהיה בעבר. סביר שמסקנות קונקרטיות יותר ולקחים יתקבלו בהמשך, לאחר שבחברה יקבלו את מלוא הפרטים מהמשטרה.

נציין כי למרות הסיקור התקשורתי הנרחב לפרשה, בלאומי קארד מציינים כי לא התקבלו היום פניות חריגות למוקד החברה, ולא הובע לחץ מצד לקוחות.

מנכ"ל לאומי קארד, חגי הלר, מסר: "חשוב לי להדגיש כי אין חשש לגרימת נזק מכל סוג שהוא ללקוחותינו. עם זאת, אנו מתייחסים לאירוע במלוא הרצינות, ועם תום חקירת המשטרה וקבלת הממצאים לידינו, נפיק את הלקחים ונפעל בהתאם".

מגעים עם החשודים

ראשיתה של הפרשה במייל אנונימי שנשלח להנהלת הבנק לפני כשבועיים מהחשוד המרכזי - עובד חברת כרטיסי האשראי לשעבר שפוטר לפני כשנה וששהה בתאילנד. שולח המייל טען כי העתיק בעת העסקתו קבצים של חברת האשראי, וכאמור דרש כופר כסף תמורת אי-פרסום הקבצים או מכירתם.

בלאומי קארד דיווחו מיד על האיום למשטרה, ויחידת הסייבר בלהב 433 החלה בשיתוף-פעולה עם יחידת המשא-ומתן באגף המבצעים בחקירת הפרשה. בד-בבד ובתיאום עם המשטרה, בלאומי קארד החלו לנהל עם החשודים מגעים כדי לראות עד כמה מדובר באיום רציני. נוסף על כך, נערכו בחברה לתרחיש שבו יופצו פרטי הכרטיסים, ועקבו באופן צמוד אחרי פעולות חריגות בכרטיסי האשראי - ובמיוחד באינטרנט.

נציין כי לחשודים לא היה את הפס המגנטי של הכרטיסים, וכן לא היה להם כאמור את קוד ה-CVV שעמו ניתן לרכוש באינטרנט.

חקירת המשטרה כללה פעולות חקירה ברשת לצד פעולות משא-ומתן מול הסוחטים, כדי לאתר בראש ובראשונה את הקבצים ולנטרל את האיום הנשקף ללקוחות חברת כרטיסי האשראי, לתפוס את החשוד ושותפיו המסווים עצמם ברשת ולאסוף את הראיות הנדרשות נגדם.

צוותים מיוחדים של להב 433 עצרו 7 חשודים ממרכז הארץ, ובמקביל עצרה משטרת תאילנד את החשוד השמיני בתאום עם נציג המשטרה והמשרד לביטחון הפנים בבנגקוק, שממנה הוא ניסה לסחוט, על-פי החשד. רשויות ההגירה התאילנדיות ביטלו את אשרת השהייה של האיש בתאילנד וגירשו אותו לישראל. כמו כן נתפס מחשבו האישי של החשוד וציוד נוסף, וחוקרי יחידת הסייבר שטסו לתאילנד בודקים אותם.

בנוסף, חוקרי מחשב מיומנים ערכו חיפוש בבתי החשודים, על מנת לשלול הימצאותם של קובצי מחשב נוספים שכאמור הוצפנו בשרתי מחשב מרוחקים.

את החקירה ליווה באופן צמוד היועץ המשפטי לממשלה, יהודה וינשטיין, שניהל כמה ישיבות עם פרקליט המדינה, שי ניצן, ועם כל הגורמים הרלוונטיים - בנק ישראל, הפיקוח על הבנקים, מטה הסייבר הלאומי, הפרקליטות הפלילית והמחלקה הבינלאומית בפרקליטות.

גניבות
 גניבות

צרו איתנו קשר *5988