איך להחזיר לעוקצים באותה מטבע – אפשר להלחם בעוקץ הניגרי

מאת: מיכאל האפרתי

הערב פורסם כי אשת התקשורת אורלי וילנאי נפלה קורבן (שלא באשמתה, אלא בשל השתלטות של אדם אחר על המייל שלה), ומיהרה להשיב מלחמה. מדובר בתופעה שהחלה בשנות ה-80 ונמשכת, כך מסתבר, עד היום ומכונה "העוקץ הניגרי". קשה להאמין אבל יש אנשים שנופלים בפח.

אתה מקבל מכתב (ובימינו, אי – מייל) שמודיע לך שאלמנתו/ בנו / אחיינו של נסיך / מלך / שליט / איש מפתח בבנק המרכזי במדינה כלשהי מעוניין להבריח מהמדינה סכום של עשרות מיליוני דולרים ואתה מתבקש לסייע לו תמורת עמלה של 10%. הרבה אנשים נפלו בפח, עת נדרשו בשלב כלשהו בתהליך לבצע תשלום "קטן" של כ-100$ עבור הוצאות כלשהן כגון שחרור השק עם הכסף מחברת אחסון בניגריה, ולאחר ששילמו גילו לתדהמתם שאותו נסיך הוא מתחזה ושאין ארוחות חינם. כמו שאומרים, אם משהו too good to be true הוא כנראה הונאה…

כיום, למרות שקיימת מודעות לנושא, עדיין רבים נופלים בפח, אולם בנוסף לכך נזק משני של התופעה הנו כמות הודעות הספאם שאנו מקבלים, שחלק גדול מהן הוא גירסה כזו או אחרת של העוקץ הניגרי. העוקצים אינם ניגרים בהכרח. מבדיקת מקור כתובת הIP של מיילים שקיבלתי מעוקצים כאלה ואחרים, מקורם לא רק באפריקה, אלא גם סין, הודו, רוסיה, ישראל ובמקרים בודדים זה עשוי להיות סטודנט משועמם מקולג' בארה"ב שכתובת המייל שלו מסתיימת ב".edu", וכאן המקום להעיר כי לעיתים קרובות די בבחינת כתובת השולח על מנת להבחין בתרמית (אשתו של לוחם צבא ארה"ב בעירק כותבת מכתובת hotmail מסין, ואלמנתו של שר הכספים הניגרי כותבת מרוסיה…), שכן ברוב המקרים מדובר בעקיצה רשלנית ביותר. יחד עם זאת, נתקלתי גם בעוקצים שהקימו אתר אינטרנט שכביכול שייך לבנק אליו הועברו ה-50 מיליון דולר, עם שם משתמש וסיסמה, ועל אחד כזה העברתי דיווח לאחרונה לIC3 ששמו המלא National Cyber Investigative Joint Task Force (צירפתי דוגמה למטה),  והוא גוף שהFBI שותף לו וניתן להעביר אליו תלונות על הונאה מסוג זה.

אז מה עושים…

לאחרונה החלו מספר משוגעים לנושא לפתח כלים להלחם חזרה. אותם נוכלים שמציגים את עצמם כמנכ"ל בנק בלונדון, צריכים בנקודת זמן מסויימת להרוויח את לחמם ומאחר ומן הסתם הם אינם מנכ"ל בנק בלונדון, כדי לקבל תשלום על עמלם, הם מוסרים פרטים לצורך העברת התשלום. במהלך הכנת מאמר זה עמדתי בקשר עם נוכל שהציג את עצמו בשם:

Mr. James Black

אולם לאחר שהתקדמנו והגיע רגע האמת, ביקש James בנימוס שאת התשלום הקטן הנדרש על מנת לקבל תוך 48 שעות את ה40 מיליון דולר, אעביר דרך Western Union לפי הפרטים הבאים:

Okojie Samuel

40 Kings Road

Abuja, Nigeria 33438

כאן המקום לספר שמאחר והנוכל מעוניין לקבל כסף מבלי להתפס, העברה בנקאית, כרטיס אשראי או אפילו Paypal אינם באים בחשבון, אולם Western Union מאפשרים להגיע לסניף שנמצא כמעט בכל מקום בעולם (ובניגריה), ולקבל את הכסף. לאחר ביצוע התשלום, הקורבן מתבקש להעביר את אישור ההעברה לנוכל וזה הולך עם האישור על מנת לקבל את הכסף שלו.

תופתעו לשמוע שמישהו מאותם משוגעים לדבר ישב ותכנת מערכת שמייצרת קבלות תשלום של Western Union והרעיון הוא לתת את האישור המזוייף ולטרטר את הנוכל ברחבי Abuja הסואנת בניגריה על מנת לגלות שהוא הולך שולל… המוצר כל כך משוכלל שאפשר לקבוע את רמת ה"קימוט" של הדף, הטקסט מופיע בכתב יד אופייני לפקיד דואר ויש גם אופציה להציג טופס שנשרף בחלקו. נסו ותראו.

הידע של אותם נוכלים בגיאוגרפיה מועט ביותר ולא היה קושי מיוחד לשכנע אותם שאני

Moshe Johnson

320 Hava Nagila St.

Hanukka City 44333

Israel

וכך נולד טופס התשלום הבא. (ורק כדי להוסיף פלפל, הוספתי את אפקט ה"אופס, כמעט שרפתי את הטופס בטעות אבל ברגע האחרון כיביתי את האש")…

או אולי "אוי! החתול שבר לי את הסורק"

Create your own Animation

אבל מי שאינו במצב הרוח להמצאת שמות פיקטיבים יכול למצוא באתר הבא מנגנון שיבנה לו שם, כתובת, טלפון ואפילו סוג דם.

דבר הירושה מודלף לעיתון המקומי

מסתבר שהעיתון המקומי בישוב הקהילתי "הבה נגילה" כבר הספיק לפרסם את דבר הירושה (כן, אתר נוסף מציע פיברוק כתבות כיד הדמיון הטובה..), וזה אומר שבקרוב יתחיל מבול הטלפונים והבקשות לנתח מכסף, אז זזתי. ביי.

לסיום (ועכשיו ברצינות): הנה דוגמה לתלונה אמיתית ל-IC3 ששלחתי לאחר קבלת מייל "עוקץ ניגרי", שכלל פרטי התקשרות לאתר – "בנקאות באינטרנט", משום שגיליתי שהנוכל מארה"ב, ומשום שזה נראה לי כבר חריג ומצדיק דיווח…

מודעות פרסומת

ארגז החול שלי

בילדותנו חלקנו שיחקנו בארגז חול, שם יכלנו לבנות ארמונות, להרוס, ובקיצור, לשחק בלי לסכן דבר (למעט קצת חול בעיניים). בחיים האמיתיים יש כיום סביבות הפועלות לפי אותו עיקרון. סביבות אלה מכונות Sand Box.

פיתוח מערכות תוכנה ואפליקציות הכרוכות בקבלת תשלומים בכרטיס אשראי מצריך סביבה שתאפשר התנסות בביצוע תשלומים, לרבות מספרי כרטיס אשראי, חשבונות משתמש ועוד כיו"ב. סביבת הSand Box של חברת PayPal מספקת בדיוק את זה. כחלק מפרוייקט הכולל סליקת כרטיסי אשראי התוודעתי לסביבה זו.

על מנת להירשם ולהתנסות בסביבת הפיתוח של PayPal נכנסים ללינק הבא: https://developer.paypal.com/cgi-bin/devscr?cmd=_signup-run

Register

עכשיו, יש להמתין למייל האישור זאת על מנת להפעיל את החשבון.

לאחר שהחשבון מופעל, מבצעים לוג-אין ומגיעים למסך הבא:

50paypal2.jpg

יש ללחוץ על Create a preconfigured account

חשבון הTest מיועד לסימולציה של משתמש, במקרה שלנו, בחרתי ליצור לקוח, אשר רוכש מוצרים.

הלקוח, מתגורר בהונג קונג, יש לו כרטיס אשראי אמריקן אקספרס, ויש לו חשבון בנק עם 5000 דולר.

89paypal3.jpg

לוחצים על Create Account והחשבון נוצר.

לחשבון מוקצים כתובת מייל (שהיא שם משתמש) וסיסמה. כתובת המייל אינה צריכה להיות אמיתית, משום שהיא משמשת אך ורק לכניסה לחשבון.

62paypal4.jpg

ופרטי החשבון כולל מספר כרטיס ויזה (משום מה המספר שמופק הוא תמיד ויזה), פיקטיבי לשימוש בSandBox:

97paypal5.jpg

בהמשך ניתן להתקדם במספר כיוונים, חשבון הSandBox משמש להתנסות, יצירת חשבונות פיקטיבים מסוגים שונים וכיו"ב, בעוד שהחשבונות הפיקטיביים משמשים לסימולציה של משתמשים מסוג: קונה, מוכר ובעל חנות PRO.

לסיכום: ארגז החול של PayPal בשונה מארגז החול הזכור לכולנו מהילדות, משמש הרבה יותר מבניית ארמונות בחול ויכול לחסוך זמן ומשאבים המוקצים לבדיקות ותקופת הרצה למערכות הכוללות מרכיב של billing ו-E-commerce.

עשרות עצורים בפרשת האזנת סתר לסמרטפונים

תוכנת ריגול חדשה שנחשפה על ידי היחידה לחקירות הונאה במשטרת ישראל, מאפשרת לחוקר הפרטי שליטה מלאה על סמרטפון של האובייקט הנחקר, באופן שמאפשר לו גם האזנה לשיחות, וגם האזנה לחלל האוויר (בדומה למכשיר האזנת סתר). התוכנה מאפשרת להקליט שיחות ולשלוח דו"ח הכולל את המידע שנאסף על ידי התוכנה באמצעות הדוא"ל לחוקר (מפעיל התוכנה).

האם נדרשת הגנה נגד כלים אלה. ככל שמדובר בחברת Apple, הרי שמדובר במערכת סגורה באופן שמקשה על החדרת רוגלה כזו. רוגלה לאייפון תצטרך להיות תוכנה רשומה בAppStore ולקבל היתרים לאחר בדיקה מקיפה של זהות בית התוכנה והתוכנה עצמה. עם זאת אפשר לציין מוצר בשם Intego שמתיימר לאתר וירוסים ונוזקות באייפון.

סמרטפונים אחרים מבוססי אנדרואיד, מצריכים כלי הגנה אלא שכמו עם הביצה והתרנגולת, לפי הגישה הנפוצה בלוחמה בוירוסים ונוזקות, קודם מגלים את הנוזקה ואז מפתחים לה תרופה (חיסון). הדבר מעלה את השאלה כיצד נוכל לאתר את הוירוסים והנוזקות של מחר?

לשם כך פותחו בשנים האחרונות מוצרים מבוססים טכנולוגיה "התנהגותית" (heuristic). בטכנולוגיה זו מנסים לאתר דפוסי פעולה האופייניים לוירוסים, סוסים טרויאניים ורוגלות ועל ידי כך לאתר את הנוזקות של מחר, עוד לפני שדווח עליהם. השיטה עובדת באופן חלקי והנושא מצריך מחקר נוסף. יתרה מכך, קיימת תופעה של false positive שפירושה זיהוי מוטעה של כלים לגיטימיים וסיווגם כנוזקה.

מאחר ותוכנות ריגול אינן בלתי חוקיות, ובדומה למצלמת אבטחה, טייפ, או אפילו סכין, אי החוקיות הוא פונקציה של נסיבות השימוש ולא של המוצר עצמו, הרי שאין היום סטנדרט אחיד בכל הנוגע למה צריך להיחסם ומה לא. מוסכם על כולם שוירוס הנו כלי מזיק שכל ייעודו הפצה לכמה שיותר מכשירים על מנת לגרום נזק, אולם ככל שמדובר בכלי ריגול, ניטור, ומעקב, הכללים הם שונים. בדומה לכל מכשיר האזנה אחר, רשות אכיפת חוק יכולה בצו האזנת סתר של בית משפט להחדיר תוכנת ריגול לסמרטפון או מחשב, ואילו אותה תוכנה אסורה לשימוש כזה על ידי אדם מן הישוב, אולם עדיין מותר לאדם לנטר את עצמו. כשם שאדם יכול להתקין מצלמה נסתרת בביתו בזמן שהבייביסיטר או המשפצים נמצאים בבית, הרי שהדבר אינו שונה בכל הנוגע למחשב הפרטי או הסמרטפון הפרטי. גם ניטור ילדים הנו מותר ולעיתים אף מציל חיים.

המפתח לבעיה ואולי הפתרון הטוב ביותר כרגע נעוץ באופן התקנת התוכנה. אמנם ברוב המקרים יתברר שהתוכנה חוקית, אולם קל מאד להצביע על החוקיות של השימוש בתוכנה, דרך אופן ההתקנה שלה.

אם קיבלת הודעת SMS, הודעת MMS, קובץ מפתה במייל, או כלינק להורדה, ייתכן ומדובר ברוגלה. כל עוד אין מדובר בניטור עצמי שמחייב התקנה של התוכנה בעצמך או במכשיר של הילד, הרי שעל דרך השלילה, כל מה שאינו מותקן על ידך, ביוזמתך, חשוד. לא קיימת דרך טכנית להתקין לך רוגלה מבלי שלפחות בנקודת זמן אחת תתבקש לאשר את ההתקנה ו/או את ההפעלה. לעיתים התוכנה "תתחפש" למשהו אחר, ומכאן האנלוגיה לסוג הטרויאני שנראה מבחוץ כמו סוס עץ ענק שהוענק במתנה, והכיל לוחמים צמאי דם, כך גם במציאות של ימינו. אין ארוחות חינם ואין זכיות בסכום כסף או במתנות אחרות מגורם לא מוכר. מישהו פעם אמר שלא יעזור כלום: אם לא קנית כרטיס הגרלה, מן הסתם אין סיכוי שתזכה בפיס, ולכן אם קיבלת הודעת זכיה, שאל את עצמך אם קנית או נרשמת להגרלה, וזו רק דוגמה. בגדול, מה שנשלח אליך חשוד, וניתן להתגונן בפני האזנה או ניטור בלתי חוקיים בדרך של הימנעות מוחלטת מפתיחת קבצים או לינקים.

קיבלת לינק לתמונות מדהימות של הזריחה והוא נשלח מהדודה שלך? זכור שניתן לזייף את מקור ההודעה וייתכן ולא הדודה שלך את הלינק.

spyphone.png

וגם אם להסתכל על זה מהצד של רוכש התוכנה, אם אינך יכול להתקין בעצמך את התוכנה פיסית בסמרטפון או במחשב, מן הסתם אסור לך (וגם אם אתה יכול להתקין, זה לא מבטיח את החוקיות אלא אם המחשב או המכשיר שייכים לך…). שום גורם תקינה אזרחי או בטחוני (כמו אפ"י) לא יאשר מוצר הכולל "החדרה מרחוק", שכן אלא אם כן אתה ה-FBI, הפיצ'ר הזה שמתיימר לשגר את התוכנה למכשיר הסמרטפון או המחשב של אדם אחר, ללא ידיעתו, מגלם בהגדרה את אי החוקיות.

חשוב לזכור שתוכנות הניטור, כדוגמת Target Eye, או Paralert, כאשר עושים בהם שימוש נכון וחוקי, מסייעות ובעלות ערך עצום, אשר אין לבטלו בשל מקרים נקודתיים של שימוש לרעה בכלים אלה.