דפי תרומה מקוונים של עמותות בכל העולם הם לרוב פשוטים ככל האפשר כדי לעודד אנשים לתרום. הפשטות הזאת היא בדיוק הסיבה לכך שהם משמשים קרקע פורייה לניסויים של פושעים שמבקשים לוודא את תקפותם של מספרי כרטיסי האשראי שגנבו. כך הודיעו השבוע מומחי אבטחת סייבר, והם מתריעים על התפשטות התופעה, דבר שעשוי לעלות לעמותות אלפי דולרים בשנה.
אז איך בודקים אם הפכתם מטרה עבור גנבי כרטיסי אשראי ומה אפשר לעשות כדי להרתיע את עולם הפשע מלהשתמש באתר שלכם?
לכרטיסי אשראי גנובים אין שום ערך בעולם התחתון כל עוד תקפותם אינה מאומתת ולכן פושעים משתמשים בדפי תשלום מקוונים כדי לבחון אם מספרי הכרטיסים שגנבו פעילים.
בניגוד לאתרי עסקים שהם בדרך כלל מאובטחים היטב, דורשים מהקונה להשלים כמה שלבים בתהליך הקנייה ולספק מידע אישי רב, במגזר השלישי משתדלים להקל על התורם עד כמה שאפשר ומספקים לו תהליך קצרצר.
עמותות חשופות במיוחד להונאות מהסוג הזה גם מפני שתרומות מקוונות אינן תלויות באזור גיאוגרפי. אם השתמשת בכרטיס האשראי שלך במסעדה בעיר מגוריך ובאותו יום גנב כרטיסי אשראי משתמש בו כדי לקנות מקרר במדינה אחרת, מישהו בחברת כרטיסי האשראי מיד יחשוד. אבל תרומה קטנה לעמותה היא הונאה שלא תדליק נורה אדומה אצל איש.
הכרוניקל אוף פילנתרופי נדרש לנושא ההונאות האלה בשבועות האחרונים, והוא מסביר על ההשלכות הכספיות שלהן על עמותות וגם מספק טיפים לבדיקת האתר שלכם ולהגנה עליו:
עוד כתבות בנושא
- בעיית הספאם שגורמת לעמותות להפסיד 15,000$ בממוצע מדי שנה
- שיווק אינטראקטיבי בשירות גיוס משאבים
- דף פייסבוק ארגוני: מאמץ כדאי או בזבוז זמן?
חברות אשראי מסוימות מקטלגות תרומות מקוונות כעסקאות שבוצעו ללא הצגת כרטיס האשראי, ובמקרים של הונאה מהסוג הזה חלקן מטילות את האחריות על העמותה ומחייבות אותה להחזיר לבעל הכרטיס את סכום התרומה שניתנה בשמו באמצעות כרטיס האשראי שנגנב ממנו. כיוון שארגוני הפשע נוטים לאמת את תקפותם של כרטיסים רבים בבת אחת, עלולה עמותה להידרש להחזר כספי ניכר. בחודש מאי 2013, למשל, החזירה עמותה אירית בשם קרן הילדים ג'ק וג'יל (The Jack and Jill Children's Foundation) 170,000 דולר שנתרמו לה באמצעות כרטיסי אשראי גנובים. רוב התרומות היו של פחות משבעה דולר כל אחת.
בנוסף לכך מחייבות אותן חברות כרטיסי אשראי את העמותות בעמלת החזר חיוב שיכולה להגיע ל-25 דולר לעסקה. לפני שלוש שנים, כשגנבי כרטיסי אשראי תקפו את האתר של תורמים בוחרים (DonorsChoose) האמריקאי נדרש הארגון לשלם בין 10 ל-20 דולר עמלות החזר עבור כל אחת ממאה תרומות הונאה שהתקבלו באתר שלו.
אבל הנזק הגדול באמת הוא לא העלות הכספית אלא פגיעה בשמו הטוב של הארגון וגרימת נזק בלתי הפיך ליכולתו לייצר לעצמו הכנסות מקוונות.
הכרוניקל מתריע: עמותות חייבות ללמוד להגן על עצמן בשני אופנים: זיהוי הונאה מקוונת באתר בזמן אמת ונקיטת צעדים למיגון האתר מפני הונאה.
איך לזהות הונאה מקוונת באתר שלכם
- פרץ לא צפוי של תרומות קטנות במהלך תקופה קצרה
- סדרה של תרומות קטנות, בדרך כלל פחות מ-5 דולר כל אחת, בסכום לא עגול (כמו 4.35 דולר). חלק מהנוכלים משתמשים בתוכנות שמאפשרות להם לבחון מספר גדול של כרטיסים בזמן קצר, ותוכנות אלה מחוללות באופן אוטומטי את סכומי התרומה
- תרומות ממחשב שכתובת ה-IP שלו שונה מהכתובת למשלוח החשבון
- מספר גדול של תרומות מאותה כתובת IP
טיפים למיגון האתר שלכם מפני הונאה מקוונת
- בדקו באופן קבוע כל פעילות חשודה במתן תרומות מקוונות
- הגדירו סכומי מינימום לתרומות מקוונות
- הגדירו סכומים קבועים מראש של תרומות במקום לאפשר לאנשים למלא כל סכום שירצו
- דרשו מהתורמים שלכם ליצור חשבון שמצריך אותם להתחבר כדי לתרום
- דרשו מהתורם לספק את תוקף הכרטיס וקוד האבטחה שלו (שלוש ספרות בגב הכרטיס)
- הפעילו שירותי אימות כתובות
- דרשו מתורם לספק כתובת מייל כדי לאמת את הדואר האלקטרוני שלו
- שנו את ה-URL של עמוד התשלום בכל פעם שמישהו תורם לכם
- שוחחו עם חברות הסליקה שלכם על הכלים נגד הונאות העומדים לרשותכם
- דחו תרומות שחשודות בעיניכם כמעשה הונאה כדי להימנע מתשלום עמלת החזר חיוב מאוחר יותר
- שקלו להסיר את ה-Captcha, תוכנה שדורשת ממשתמש לזהות שורה של אותיות ומספרים כדי להבטיח שמדובר באדם ולא במחשב. לפושעים לא קשה להתגבר על המכשול הזה או להושיב מישהו שיעשה זאת עבורם בסיטונות. לעומת זאת המערכת הזאת יכולה לתסכל תורמים אמיתיים
- הביאו בחשבון אפשרות לשכור את שירותיה של חברה לזיהוי הונאות
לסיכום, בעולם הדיגיטלי יש גם כוחות אפלים הרואים בעמותות טרף קל. לא כדאי לוותר על היכולת לייצר הכנסות מכל העולם בכל רגע נתון אבל כדאי לדעת כיצד להתגונן מפני מעשי תרמית כאלה ובמקרה הצורך אף להתייעץ עם מומחים.
*השימוש בלשון זכר נעשה מטעמי נוחות בלבד ואין בו כדי לפגוע ו/או ליצור אפליה כלשהי.
