איך להחזיר לעוקצים באותה מטבע – אפשר להלחם בעוקץ הניגרי

מאת: מיכאל האפרתי

הערב פורסם כי אשת התקשורת אורלי וילנאי נפלה קורבן (שלא באשמתה, אלא בשל השתלטות של אדם אחר על המייל שלה), ומיהרה להשיב מלחמה. מדובר בתופעה שהחלה בשנות ה-80 ונמשכת, כך מסתבר, עד היום ומכונה "העוקץ הניגרי". קשה להאמין אבל יש אנשים שנופלים בפח.

אתה מקבל מכתב (ובימינו, אי – מייל) שמודיע לך שאלמנתו/ בנו / אחיינו של נסיך / מלך / שליט / איש מפתח בבנק המרכזי במדינה כלשהי מעוניין להבריח מהמדינה סכום של עשרות מיליוני דולרים ואתה מתבקש לסייע לו תמורת עמלה של 10%. הרבה אנשים נפלו בפח, עת נדרשו בשלב כלשהו בתהליך לבצע תשלום "קטן" של כ-100$ עבור הוצאות כלשהן כגון שחרור השק עם הכסף מחברת אחסון בניגריה, ולאחר ששילמו גילו לתדהמתם שאותו נסיך הוא מתחזה ושאין ארוחות חינם. כמו שאומרים, אם משהו too good to be true הוא כנראה הונאה…

כיום, למרות שקיימת מודעות לנושא, עדיין רבים נופלים בפח, אולם בנוסף לכך נזק משני של התופעה הנו כמות הודעות הספאם שאנו מקבלים, שחלק גדול מהן הוא גירסה כזו או אחרת של העוקץ הניגרי. העוקצים אינם ניגרים בהכרח. מבדיקת מקור כתובת הIP של מיילים שקיבלתי מעוקצים כאלה ואחרים, מקורם לא רק באפריקה, אלא גם סין, הודו, רוסיה, ישראל ובמקרים בודדים זה עשוי להיות סטודנט משועמם מקולג' בארה"ב שכתובת המייל שלו מסתיימת ב".edu", וכאן המקום להעיר כי לעיתים קרובות די בבחינת כתובת השולח על מנת להבחין בתרמית (אשתו של לוחם צבא ארה"ב בעירק כותבת מכתובת hotmail מסין, ואלמנתו של שר הכספים הניגרי כותבת מרוסיה…), שכן ברוב המקרים מדובר בעקיצה רשלנית ביותר. יחד עם זאת, נתקלתי גם בעוקצים שהקימו אתר אינטרנט שכביכול שייך לבנק אליו הועברו ה-50 מיליון דולר, עם שם משתמש וסיסמה, ועל אחד כזה העברתי דיווח לאחרונה לIC3 ששמו המלא National Cyber Investigative Joint Task Force (צירפתי דוגמה למטה),  והוא גוף שהFBI שותף לו וניתן להעביר אליו תלונות על הונאה מסוג זה.

אז מה עושים…

לאחרונה החלו מספר משוגעים לנושא לפתח כלים להלחם חזרה. אותם נוכלים שמציגים את עצמם כמנכ"ל בנק בלונדון, צריכים בנקודת זמן מסויימת להרוויח את לחמם ומאחר ומן הסתם הם אינם מנכ"ל בנק בלונדון, כדי לקבל תשלום על עמלם, הם מוסרים פרטים לצורך העברת התשלום. במהלך הכנת מאמר זה עמדתי בקשר עם נוכל שהציג את עצמו בשם:

Mr. James Black

אולם לאחר שהתקדמנו והגיע רגע האמת, ביקש James בנימוס שאת התשלום הקטן הנדרש על מנת לקבל תוך 48 שעות את ה40 מיליון דולר, אעביר דרך Western Union לפי הפרטים הבאים:

Okojie Samuel

40 Kings Road

Abuja, Nigeria 33438

כאן המקום לספר שמאחר והנוכל מעוניין לקבל כסף מבלי להתפס, העברה בנקאית, כרטיס אשראי או אפילו Paypal אינם באים בחשבון, אולם Western Union מאפשרים להגיע לסניף שנמצא כמעט בכל מקום בעולם (ובניגריה), ולקבל את הכסף. לאחר ביצוע התשלום, הקורבן מתבקש להעביר את אישור ההעברה לנוכל וזה הולך עם האישור על מנת לקבל את הכסף שלו.

תופתעו לשמוע שמישהו מאותם משוגעים לדבר ישב ותכנת מערכת שמייצרת קבלות תשלום של Western Union והרעיון הוא לתת את האישור המזוייף ולטרטר את הנוכל ברחבי Abuja הסואנת בניגריה על מנת לגלות שהוא הולך שולל… המוצר כל כך משוכלל שאפשר לקבוע את רמת ה"קימוט" של הדף, הטקסט מופיע בכתב יד אופייני לפקיד דואר ויש גם אופציה להציג טופס שנשרף בחלקו. נסו ותראו.

הידע של אותם נוכלים בגיאוגרפיה מועט ביותר ולא היה קושי מיוחד לשכנע אותם שאני

Moshe Johnson

320 Hava Nagila St.

Hanukka City 44333

Israel

וכך נולד טופס התשלום הבא. (ורק כדי להוסיף פלפל, הוספתי את אפקט ה"אופס, כמעט שרפתי את הטופס בטעות אבל ברגע האחרון כיביתי את האש")…

או אולי "אוי! החתול שבר לי את הסורק"

Create your own Animation

אבל מי שאינו במצב הרוח להמצאת שמות פיקטיבים יכול למצוא באתר הבא מנגנון שיבנה לו שם, כתובת, טלפון ואפילו סוג דם.

דבר הירושה מודלף לעיתון המקומי

מסתבר שהעיתון המקומי בישוב הקהילתי "הבה נגילה" כבר הספיק לפרסם את דבר הירושה (כן, אתר נוסף מציע פיברוק כתבות כיד הדמיון הטובה..), וזה אומר שבקרוב יתחיל מבול הטלפונים והבקשות לנתח מכסף, אז זזתי. ביי.

לסיום (ועכשיו ברצינות): הנה דוגמה לתלונה אמיתית ל-IC3 ששלחתי לאחר קבלת מייל "עוקץ ניגרי", שכלל פרטי התקשרות לאתר – "בנקאות באינטרנט", משום שגיליתי שהנוכל מארה"ב, ומשום שזה נראה לי כבר חריג ומצדיק דיווח…

ארגז החול שלי

בילדותנו חלקנו שיחקנו בארגז חול, שם יכלנו לבנות ארמונות, להרוס, ובקיצור, לשחק בלי לסכן דבר (למעט קצת חול בעיניים). בחיים האמיתיים יש כיום סביבות הפועלות לפי אותו עיקרון. סביבות אלה מכונות Sand Box.

פיתוח מערכות תוכנה ואפליקציות הכרוכות בקבלת תשלומים בכרטיס אשראי מצריך סביבה שתאפשר התנסות בביצוע תשלומים, לרבות מספרי כרטיס אשראי, חשבונות משתמש ועוד כיו"ב. סביבת הSand Box של חברת PayPal מספקת בדיוק את זה. כחלק מפרוייקט הכולל סליקת כרטיסי אשראי התוודעתי לסביבה זו.

על מנת להירשם ולהתנסות בסביבת הפיתוח של PayPal נכנסים ללינק הבא: https://developer.paypal.com/cgi-bin/devscr?cmd=_signup-run

Register

עכשיו, יש להמתין למייל האישור זאת על מנת להפעיל את החשבון.

לאחר שהחשבון מופעל, מבצעים לוג-אין ומגיעים למסך הבא:

50paypal2.jpg

יש ללחוץ על Create a preconfigured account

חשבון הTest מיועד לסימולציה של משתמש, במקרה שלנו, בחרתי ליצור לקוח, אשר רוכש מוצרים.

הלקוח, מתגורר בהונג קונג, יש לו כרטיס אשראי אמריקן אקספרס, ויש לו חשבון בנק עם 5000 דולר.

89paypal3.jpg

לוחצים על Create Account והחשבון נוצר.

לחשבון מוקצים כתובת מייל (שהיא שם משתמש) וסיסמה. כתובת המייל אינה צריכה להיות אמיתית, משום שהיא משמשת אך ורק לכניסה לחשבון.

62paypal4.jpg

ופרטי החשבון כולל מספר כרטיס ויזה (משום מה המספר שמופק הוא תמיד ויזה), פיקטיבי לשימוש בSandBox:

97paypal5.jpg

בהמשך ניתן להתקדם במספר כיוונים, חשבון הSandBox משמש להתנסות, יצירת חשבונות פיקטיבים מסוגים שונים וכיו"ב, בעוד שהחשבונות הפיקטיביים משמשים לסימולציה של משתמשים מסוג: קונה, מוכר ובעל חנות PRO.

לסיכום: ארגז החול של PayPal בשונה מארגז החול הזכור לכולנו מהילדות, משמש הרבה יותר מבניית ארמונות בחול ויכול לחסוך זמן ומשאבים המוקצים לבדיקות ותקופת הרצה למערכות הכוללות מרכיב של billing ו-E-commerce.