תרמיות בסמס הן לא דבר חדש. לרוב התוקפים יעתיקו בצורה מדויקת (ככל הניתן) אתר מוכר, שסביר שיצור עמכם קשר, ויבקשו להכניס פרטי אשראי על מנת לקבל את השירות/לשמור את החבילה וכו'. לשיטה זו קוראים דיוג Phishing והיא מבוססת על מתודה הנקראית הנדסה חברתית (Social Engineering)
לאחרונה נתקלנו בהודעת סמס שנשלחה למספר גדול של אנשים, בה הודעה שנראית תמימה בסה"כ – "החבילה שלך ממתינה למשלוח, עלינו לאשר את התשלום כדי שנוכל לעבד את בקשתך :https://bit.ly/3gipLJX"
שם השולח הוא ISRAELPOST, מה שבמבט ראשון מוסיף מידת אמינות להודעה. הקישור שצורף להודעה השתמש בשירות בשם Bit.ly המקצר קישורים ארוכים, וגם מאפשר לעקוב אחר נתוני הלחיצות. לרוב עדיף שלא ללחוץ על קישורים שאנחנו לא יודעים לאן הם מובילים. כדי להרחיב קישורים מקצורים של Bit.ly ניתן להוסיף + בסוף הכתובת, להקיש אנטר ואז לקבל את הכתובת המקורית ואת התאריך בו נוצר הקיצור. במקרה שלנו – https://www.postisrael.co.il/ . שימו לב לדמיון הרב לאתר האמיתי של שירות הדואר – https://israelpost.co.il/. כמו כן, צויין כי הקישור נוצר ב-20 באוגוסט (אתמול).
האתר עצמו מבקש להשאיר פרטי כרטיס אשראי, ומעוצב באופן מאוד דומה לאתר הדואר האמיתי.
בשלב זה, החלטנו לנסות לחקור את התרמית, בשעה בלבד, ולבדוק מי עומד מאחורי האתר. לצורך כך עשינו חיפוש במאגרי ה-WHOIS של איגוד האינטרנט הישראלי. כשרושמים דומיין (כתובת אינטרנט) עבור אתר, נדרשים למלא פרטים מזהים על בעל האתר, ועל הגורמים הטכניים שמתחזקים אותו. קיימים שירותים רבים לחיפוש הרשומות האלה עבור אתרים בינלאומיים, אבל עבור אתרים ישראלים (סיומת IL) צריך להשתמש במנוע החיפוש בכתובת – https://www.isoc.org.il/whois .
ע"פ נתוני ה-WHOIS, האתר נרשם בתאריך ה-19 באוגוסט, ע"י Sigal NADIR , המחזיקה בטלפון – 97259000006 (מצונזר) ובכתובת האימייל – cm***e@gmail.com.
לרוב באתרים מסוג זה, הנוכלים לא ישתמשו בשמות ופרטים אמיתיים, אבל עדיין אולי יסתתרו בהם כמה רמזים שיעזרו לנו לאתר אותם. מחיפוש מהיר של השם Sigal Nadir נראה שקיימים מספר פרופילים המתאמתים על השם, אבל אף אחד מהם לא נראה חשוד או קשור לאירוע בצורה כלשהיא.
כדי לחקור את כתובת האימייל, השתמשנו בשירות של האתר – epieos.com. לכל כתובת פעילה ב-GMAIL יש מזהה ייחודי, שניתן לאתר דרכו פרטים נוספים על בעל האימייל, ולפעמים גם ביקורות שלו בגוגל מפס, או תמונות פומביות שהוא פירסם. מחיפוש הכתובת שאותרה, עולה כי האימייל פעיל (נכון לכתיבת הפוסט), ורשום תחת השם – Alas Tayyam (תמונות וביקורות של המשתמש לא אותרו). בנוסף, ניתן לראות כי האימייל משמש חשבונות במספר אתרים נוספים כמו – טוויטר, סמסונג (מה שמעיד ככה"נ על שימוש במכשיר אנדרואיד) ואתר בשם freelancer.
בשלב הזה, קיבלנו שם נוסף, לא ישראלי, שבשונה מהשם הקודם איתו נרשם הדומיין, הוא מקושר לאימייל בצורה פחות גלויה, ולכן פחות סביר שהוא מומצא.
כחלק מההליך המודיעיני, עברנו לקצה הנוסף שברשותינו – מספר הטלפון. כדי לבדוק את המספר ניסינו לחפש אותו במאגרים שונים וברשת הפתוחה, עד שלבסוף איתרנו אותו באמצעות אפליקציית TrueCaller שמספקת שמות ופרטים נוספים אודות מספרי טלפון (בהתבסס על הצורה שבה אנשים מכנים את המספר בטלפונים שלהם). ע"פ האתר, המספר שייך לבחורה בשם – ياسمين علاء (המקור בערבית. תרגום: Yasmine Alaa – יסמין עלאא) והוא חלק מרשת ה-ג'אוול (המשמשת פלסטינים בשטחים ובעזה).
בנוסף, מחיפוש באתר IntelligenceX המחזיק מאגרים רבים (חלקם מודלפים) איתרנו את פרופיל הפייסבוק המקושר למספר (מקובץ של אחת הדליפות האחרונות בפייסבוק). על פי הרשומה, המספר מקושר לפרופיל – https://www.facebook.com/profile.php?id=100005******9 המופיע תחת השם – יסמין (השם המלא צונזר מצנעת הפרט) וגרה ברפיח. ברשומה עצמה מופיע גם השם Alaa. יחד זה מתאמת על השם שאנחנו מכירים מה-TrueCaller – יסמין עלאא'. בנוסף, תמונת הוואטסאפ המקושרת למספר, מופיעה גם בפרופיל הפייסבוק. יש לחדד שיתכן שיסמין היא קורבן בעצמה, ונעשה שימוש במספר שלה ללא ידיעתה.
השלב הבא במחקר, הוא מחקר האתר עצמו, וזיהוי אלמנטים שונים המתחבאים מאחורי הקלעים שלו שאולי יעזרו לנו להבין מי עומד מאחוריו, והאם קיימים אתרים נוספים הקשורים אליו.
לטובת המשימה השתמשנו בכלי בשם SecurityTrails המספק פרטים על רישומים שונים של האתר ברשת, ועל המקומות בהם הוא מאוחסן. ע"פ הכלי, האתר נוצר ב- 2021-08-19 וכתובת ה-IP שלו היא – 147.78.2.220. יש מקרים בהם כתובת IP לא תספר לנו הרבה, כי היא תהייה משותפת לאתרים רבים, במקרה הזה, הכתובת משמשת עוד 3 אתרים, כולם ככה"נ חלק מאותה התרמית:
- Israelsecurityupdate.co.il – נוצר ב- 2021-08-06
- Israel-land-peace.online – נוצר ב- 2021-08-07
- Israelpostpackage.online -פעיל וגם משמש כחיקוי של אתר הדואר. מכיל בתוכו קישורים לאתר הדואר האמיתי. נוצר ב- 2021-08-15
רישומי ה-WHOIS של האתר הישראלי זהים לרישומים של האתר הראשון שחקרנו. לשני האחרים אין פרטים.
כאשר מנסים להיכנס ל- Israelsecurityupdate.co.il, מגיעים לאינדקס של האתר. כאשר אנחנו נתקלים באתר אינטרנט שבתחילתו מופיעים המילים "index of" משמעות הדבר היא כי נתקלנו בתיקיה המכילה קבצים שמצויה באותו השרת בו אתר האינטרנט מאוחסן. תיקיה זו יכולה להיות ארכיון של האתר, תיקיית תמונות המוצגות באתר ולעיתים גם תיקיה המכילה מידע רגיש ובסיסי נתונים של מחזיק השרת.
בתוך ארכיון זה מצאנו קבצים רבים המרכיבים את אתר הפישינג. מהסתכלות בקבצים נראה שהנוכלים הורידו בשלמותם את קבצי הקוד (frontend) של אתר דואר ישראל וביצעו התאמה ככה שהפרטים אותם מזין המשתמש יגיעו אליהם.
ניתן לראות מספר קבצי קוד אשר השם שלהם בערבית, חיזוק נוסף המעיד על זהות הקבוצה. בנוסף, נראה כי קבצי הקוד נערכו והשתדרגו במשך השנים כך שניתן לשער שמדובר בקמפיין פישינג שרץ כבר תקופה וכל פעם רוכב על תרמית וזהות שונה במקצת.
ניתן לחפש את המיקום של כתובת IP, אבל במקרה הזה השתמשו ב-VPN (שירות שמאפשר לגלוש ממקום אחר) על מנת לרשום את הדומיין ולכן אין לאיתור משמעות. בנוסף, ארבעת האתרים מאוחסנים ב- Rachamim Aviel Twito trading as A.B INTERNET SOLUTIONS, שירות אחסון ישראלי (ככה"נ הנוכלים משתמשים בשירות כדי להסתיר את עצמם ואולי לשוות לעצמם אמינות כאתר ישראלי) כתובת האתר של השירות – https://www.hqserv.co.il/.
כפי שראינו, יש הוכחות רבות לכך שהאתר משמש כתרמית (ובעיקר תאריך היצירה שלו) שניתן להשיג בקלות. מהמחקר הגענו לעוד 3 אתרים המשמשים כחלק מהתרמית, וגם למספר כיווני מחקר בנוגע למי עומד מאחוריו. מאחורי הקלעים ביצענו מספר בדיקות נוספות שהעלו חרס ולכן לא הוזכרו בפוסט, אבל כמובן שיש עוד דברים ומחקרים רבים לעשות בשביל למצות את הסוגייה.
כאשר נתקלים בהודעות לא ברורות או כאלה שלא ציפינו להן, בייחוד כאשר מדובר על לינקים מקוצרים, חשוב לעקוב אחרי התהליך ולבצע אותו בעצמכם כדי להימנע מתרמיות כאלה או אחרות.
** תוספת מה-22 לאוגוסט **
בעקבות ההתעניינות הרבה, השקענו עוד מספר שעות במחקר הכיוונים החשודים לעומדים מאחורי התרמית. התחלנו לחקור את הקבצים שהופיעו באינדקס שהורדנו מהאתר – Israelsecurityupdate.co.il (האתר עצמו כבר לא פעיל), ומצאנו קובץ HTML שככה"נ האדם שמאחורי התרמית הוריד מאתר הדואר כדי ליצור את החיקוי (מוזמנים לפנות אלינו בפרטי לקבלת קובץ ה-HTML המקורי).
לצערו של הנוכל, הקובץ מכיל פרטים אישיים שהוא מילא טרם ייצא את הקובץ, ולשמחתנו מכיל את המייל שזיהינו מה-WHOIS, וגם מספר טלפון פלסטיני נוסף!
מבדיקת המספר ב-TrueCaller עולה כי בעל המספר הוא – Alaa Tim. להזכירכם, כתובת המייל קושרה לשם Alas Tayyem. השם Alas הוא בסבירות גבוהה שיבוש לשם Alaa, ואת המילה Tayyem אפשר לכתוב גם כ-Tim (מבדיקה בפייסבוק להרבה מבני משפחת Tayyem קוראים Tim – تيم בתעתיק)
מצירוף הפרטים הנ"ל, מתחזק החשד שמספר הטלפון והאימייל שזוהו ב-WHOIS אכן משמשים את הנוכלים.
בפייסבוק של יסמין, אליו הגענו דרך מספר הטלפון שהופיע ב-Whois, ניתן לראות תגובות רבות מבני משפחת Tayyem/Tim מה שמעיד על קרבה בין יסמין למשפחה (ותודה לרן בולדור, חוקר מודיעין וחבר הקהילה שהסב את תשומת ליבנו לנושא ועזר במחקר). ע"פ הפייסבוק יסמין נשואה לבחור בשם Alaa (השם המלא צונזר מצנעת הפרט) המתגורר בלונדון. לזוג שני ילדים, בן ובת. באחת התמונות של הילדה, מצויין ששמה המלא הוא ج*** علاء تيم (ג*** עלאא' תים). בשם הערבי, השם השני לרוב משמש כשם האב (במקרה הזה מוכר לנו שהאב הוא עלאא') ומוזכר בפירוש ששם המשפחה הוא תים!
כלומר, שם המשפחה האמיתי של אותו Alaa הוא תים, והוא בסבירות גבוהה אותו Alaa Tim שהשאיר בטעות את המספר שלו בקובץ ה-HTML של האתר, וגם העומד מאחורי המייל – cm***e@gmail.com.
בנוסף, האתר השלישי, שגם משמש לחיקוי אתר הדואר (Israelpostpackage.online) נרשם בשירות דומיינים בריטי (liquidnetlimited.co.uk), וכאמור, עלאא' מתגורר בלונדון ע"פ הפייסבוק שלו.
מצירוף הפרטים לעיל, להערכתנו נראה כי בסבירות גבוהה הנוכל לכאורה מאחורי התרמית הנוכחית הוא עלאא' תים, אשר ככה"נ מחלק את חייו בין עזה ואנגליה. מידת המעורבות של אישתו לא ברורה בשלב זה. כמובן שנדרש מחקר נוסף על מנת להבין את הקשרים לעומק, ואולי לזהות גורמים נוספים המעורבים בתרמית.
מוזמנים להצטרף לקהילת הפייסבוק שלנו וללמוד על התחום בשוטף, או לבקר באתר הבינלאומי לכלים ותוכן לימודי נוסף.
נתקלתם בהודעה חשודה ואתם לא בטוחים אם מדובר על אתר אמיתי או תרמית? שלחו לקו החם שלנו ונשתדל לסייע – master@webintmaster.com
