הג'וב הצפון אפריקאי – התשתית שמאחורי פישינג האינסטגרם

אמל"ק:

מחקר קהילתי שביצענו הוביל לחשיפת תשתית פישינג רחבה ממקור צפון אפריקאי ובעיקר ממרוקו, אלג'יר ותוניסיה המשתמשת בתוכנת האקינג כדי ליצור אתרים מזוייפים המתחזים לרשתות חברתיות מוכרות ולהשתלט על חשבונות אינסטגרם של אנשים. כחלק מהמחקר איתרנו גם עמוד פייסבוק המשווק את התוכנה ומתקיימים בו דיונים גלויים של האקרים ונוכלים.

 

בתקופה האחרונה ישראלים רבים, ובעיקר משפיענים, נופלים קורבן לתרמיות ונוכלים, המשתלטים להם על חשבון האינסטגרם באמצעות אתר המתחזה לפייסבוק ומבקש מהם להתחבר לחשבון שלהם עם שם וסיסמא. ברגע שהקורבן מזין את פרטי ההתחברות שלו, הנוכלים נכנסים לחשבון, ומשנים את הסיסמא כך שהיוזר ננעל בחוץ. 

כדי לעודד את האנשים להיכנס לאתר המזוייף, הוא שולחים הודעות שונות בהן טוענים כי 'מישהו מפרסם את התמונות שלך כאן' ומצרפים לינק.

כדי לשחרר את החשבון, הם מבקשים תשלום מהקורבן, לרוב באמצעות מטבעות דיגיטליים או משתמשים בחשבון שלו כפלטפורמה להפצת הקישור לרשימת העוקבים שלו.

כחלק משיתוף הפעולה בין קהילת Webint Master ומיזם Block של איגוד האינטרנט הישראלי נתבקשנו לחקור את התרמית ההולכת וגדלה ולנסות להבין איך ומי עומד מאחוריה. למחקר תרמו חברי הקהילה – איליה גינזבורג, רן בולדור ואמיתי דן. 

הלינק המצורף להודעה הוא – https://zeroquiz[.]com/?url=Ly8vbW9iaWxlL2xvZ2lu
Lz9pPSZhbXA7aT1ZR000SA==&Qsoqn 

והוא מוביל לדף הדומה ללוגאין של פייסבוק. 

הדף הראשי בדומיין – zeroquiz[.]com לא פעיל, אבל מציג הודעת שגיאה זהה להודעת השגיאה של פייסבוק, דבר שמחזק את החשד כי האתר כולו משמש כחלק מהתרמית, ולא רק מנוצל על ידי האקרים שלא בידיעתו (כמובן שזה מוסיף לאמינות של התרמית כדבר השייך באמת לפייסבוק)

מחקר שכבה גלויה – רשתות חברתיות

 

מחיפוש הדומיין, הגענו לדף פייסבוק בשם – Zero Quiz אשר היה פעיל לאחרונה בנובמבר 20' ומפרסם את האתר בפוסטים שלו (לכאורה מציע, כמו הרבה שירותים דומים, שאלונים חבריים לפייסבוק)

עם זאת, מבדיקה ב- Wayback Machine (שירות המציג היסטוריה של אתרים) ניתן לראות כי האתר לא היה פעיל ככה"נ מאז 2018, וגם אז הציג הודעת שגיאה. רק ב-ספטמבר 17' ניתן לראות באתר סוג של מנוע חיפוש לא ברור, וב-יוני 17' סוף סוף מציג האתר תכנים שנראים קשורים לכותרת שלו – שאלונים בפייסבוק. 

 

על פי הנ"ל, נראה שגם בעת פרסום הפוסטים בדף ב-2020 האתר לא היה פעיל, או לפחות לא שירת את המטרה המוצהרת שלו. 

בנוסף, באזור ה'אודות' בדף (about) מצויין כי הדף משמש בכלל כמקור מידע לחדשות טכנולוגיה, משחקים, אפליקציות ומכשירי אלקטרוניקה שונים, וכי אתר האינטרנט שלהם הוא – https://tiqnianews.blogspot.com/ שאכן נראה כמציג חדשות טכנולוגיה, אבל עודכן לאחרונה ב-2016. 

מבדיקה בהיסטוריה של העמוד, נראה כי הוא נוצר ב-2015 תחת השם –  مدونة هتلر للمعلوميات (ע"פ תרגום גוגל – Hitler's Informatics Blog), כמה חודשים אחרי שינה את שמו ל-Telescope Informatics Blog (במקור בערבית), ב-2016 שינה ל- Technology News (במקור בערבית. מתאים לאתר החדשות הטכנולוגי שגם הוא היה פעיל בעיקר ב-2016) ולבסוף בנובמבר 20' שינה ל- Zero Quiz (וגם הציג פוסטים רלוונטים)

בנוסף לקישור לאתר החדשות, מצויין גם אימייל שמשמש את הדף – tiqnianews@gmail.com. מבדיקה של הכתובת אל מול מאגרי המזהים של גוגל עולה כי האימייל פעיל ורשום על שם – Anas Ba***ki. את השם הזה אנחנו מוצאים גם בביקורת (review) היחידה שמופיעה בדף מ-2017, שם ניתן לראות את פרופיל הפייסבוק של Anas ממליץ על העמוד.

משיטוט קצר בפרופיל שלו, מדובר על בחור צעיר מרוקאי ופרו-פלסטיני. מבדיקה מעמיקה יותר באתר חדשות הטכנולוגיה, ניתן לראות כי לקראת סוף העמוד מציגים אפליקציה שעוזרת לסטודנטים מרוקאיים להתכונן לבחינות. הצלבת הנתונים כמובן שמחזקת את ההקשר המרוקאי לדף ולאתר.

מה קורה מאחורי הקלעים?

כאשר רושמים אתר חדש, נדרשים לציין מספר פרטים מזהים. עם זאת, בשנים האחרונות עם עליית ה-GDPR ותשומת הלב לפרטיות, אתרים ושירותים רבים מאפשרים להסתיר את הפרטים כך שגורם חיצוני לא יוכל לזהות מי האדם מאחורי הדומיין. למזלנו, לעתים ניתן לגשת לרישומים היסטוריים של האתר, ולזהות מי בעבר היה רשום כבעלים. במקרה שלנו, מבדיקה עדכנית של רישומי האתר – zeroquiz[.]com עולה כי הוא רשום באיסלנד, עם פרטי בעלים חסויים. מצד שני בהיסטוריית הרישומים ניתן לראות שהיה רשום בעבר בפנמה, בארה"ב ולראשונה נרשם דווקא באלג'ריה ע"י Farraj Hadad, עם האימייל – qui***x@gmail.com (מבדיקה מהירה נראה שהאימייל כבר אינו פעיל)

 

עכשיו לאחר שזיהינו לידים ממרוקו ומאלג'ריה, והבנו שכנראה מדובר על תשתית יותר רחבה של אתרים ואנשים, החלטנו לנסות להרחיב את המחקר ולזהות אתרים וגורמים נוספים ברשת. 

בעלי אתרים רבים משתמשים בשירותים כמו גוגל אנליטיקס כדי למדוד תנועת גולשים באתר, ולזהות סטטיסטיקות שונות על השימוש באתר שלהם. לרוב, בעל האתר ישתמש בחשבון גוגל אנליטיקס אחד גם אם ברשותו מספר אתרים שונים. באמצעות בדיקת מזהה הגוגל אנליטיקס של האתר zeroquiz[.]com, הצלחנו לאתר עוד מספר אתרים שככה"נ שייכים לאותם הבעלים, כולם אינם פעילים אבל לכאורה הציעו בעבר (פעלו בעיקר ב-2017) כלים לאיתור לכאורה של האנשים שביקרו בפרופיל הפייסבוק שלך (טרנד מוכר בעבר, שכמובן לא היה מבוסס על טכנולוגיה אמיתית ושימש לא פעם לפישינג). 

מבדיקות היסטוריית הרישומים של הדומיינים החדשים הגענו למספר גורמים נוספים שיתכן וקשורים לחבורה (כולם מאלג'ריה ותוניס):

• • bornquiz.com – ב-2016 רשום באלג'ריה על השם – App M***s והאימייל –  appm***s.com@gmail.com (בנוסף רשומים על המייל והשם האלו עוד 8 אתרים, כולם בהקשרי quiz)
  • Profilos.com – ב- 2014 רשום בתוניס עם האימייל – ia***e@live.com
  • Buzzbip.com – ב- 2016 רשום בתוניס תחת השם Ameen Ha***ia והאימייל – ameen.ha***ia@gmail.com (בנוסף רשום על המייל והשם עוד אתר גם הוא כנראה בהקשרי quiz)
  • Buizzo.com – ב- 2017 רשום באלג'יריה עם השם – Tih***ti Mohamed La**ne והאימייל – gii***e@gmail.com (בנוסף רשומים על המייל והשם האלו עוד 9 אתרים, כולם בהקשרי רשתות חברתיות)

לאתר האחרון ברשימה – myprofilevisitors.com אין רישומים היסטוריים גלויים, אבל פייסבוק עצמה לא מאפשרת להדביק אותו בפוסטים בטענה שהוא אתר המשמש לפישינג. 

לאור האמור, נראה כי מדובר לכאורה על תשתית רחבה, ככה"נ מאזור צפון אפריקה – מרוקו, תוניס ואלג'יריה המחזיקה בעשרות אתרים בנושאי רשתות חברתיות ושאלונים, ויתכן כי שימשו (וחלקם עדיין משמשים) לפישינג. 

הצד הטכנולוגי

לבסוף, ניסינו להבין את התשתית הטכנולוגית עליה בנוי הדף המזויף המתחזה ללוגאין של פייסבוק (במחקר הקודם שעשינו לאיתור הנוכלים מאחורי התרמית שמתחזה לדואר ישראל הצלחנו לזהות את הנוכלים באמצעות רמזים שהשאירו בתשתית הטכנולוגית). מעיון בקוד המקור של הדף, זיהינו שלאחר שהקורבן מזין את פרטי ההתחברות שלו, הם נשלחים לכתובת – https://myshraidar[.]net/new_login.php. ניסיון גלישה לכתובת נחסם ע"י ספקי האינטרנט מחשש לפישינג או איומי סייבר באתר. 

 

חיפוש של הכתובת בגוגל, מוביל לעמוד פייסבוק בשם דומה – ShraiDar, המציג כתובת באלג'יריה (אבל מצויין בתיבת ה'שקיפות' של האתר כי בעלי העמוד הם ממרוקו) ומשווק את התוכנה MyShraidar המאפשרת ליצור דפים מזוייפים של רשתות מוכרות כדי לבצע פישינג (!). הדיונים והפרסומים בקבוצה גלויים לכל, והמגיבים משתפים על בעיות שהם חווים בניסיונות האקינג ופישינג באמצעות התוכנה. בעל העמוד מעדכן לגבי לינקים חדשים לתוכנה (שנחסמת לרוב) או חידושים כאלה או אחרים. 

לעמוד מעל 10,000 עוקבים, וסגנון הדיונים מזכיר יותר פורומים בדארקנט וקהילות סייבר קריים מאשר עמוד פייסבוק. כמות העוקבים, המגיבים וקלות השימוש בתוכנה ליצור קמפיינים של פישינג מעידים על התפוצה הכל כך רחבה של תרמיות מסוג דומה. 

בנוסף קיימת קבוצת טלגרם המשמשת כקהילת משתמשים, ובה מציעים גם לא פעם לקנות או לשתף 'קורבנות', אחד עם השני בתמורה לדברים שונים. ניתן לראות סרטונים בוימאו וביוטיוב המסבירים על שימוש בתוכנה, וכן על תוכנות וכלים נוספים שמסייעים לפישינג או סתם לפריצה לשירותים שונים.

באחד מסרטוני ההסבר, ניתן לראות כי הדומיין ZeroQuiz הוא בעצם אחד משני האתרים תחתם ניתן לבנות את האתרים המזוייפים ישירות מתוך המערכת.

מצילום אחר אנחנו לומדים שהאתרים המזויפים מוצעים לרוב ב-4 שפות: אנגלית, ערבית, צרפתית ועברית, מה שמחזק את החשש כי הנוכלים מנסים בין היתר לקדם פגיעה בישראלים.

ניטור של העמוד ומחקר מעמיק של המגיבים בו יכול לעזור במחקר תרמיות נוספות, ואיתור חשודים עבור רשויות החוק. 

מוזמנים להצטרף לקהילת הפייסבוק שלנו וללמוד על התחום בשוטף, או לבקר באתר הבינלאומי לכלים ותוכן לימודי נוסף.

נתקלתם בהודעה חשודה ואתם לא בטוחים אם מדובר על אתר אמיתי או תרמית? שלחו לקו החם שלנו ונשתדל לסייע – master@webintmaster.com