"רוצים לדבר עם האקר איראני בוואטסאפ? אני ממש לא ממליץ, אבל אם אתם אמיצים, זה המספר" – כך כתב בלינקדאין בתחילת השבוע מתן גידניאן בצירוף מספר הטלפון האמור, לאחר שזיהה מתקפת פישינג מתוחכמת של האקר איראני, והחליט להטריל אותו בחזרה.

"לאחרונה מדברים בחדשות על כך שהאקרים משתמשים בבינה מלאכותית כדי להוציא לפועל הונאות בקנה מידה תעשייתי – אבל כנראה שהם עדיין לא מוותרים על הטאץ' האישי", כתב גידניאן (35), יזם (EIR) בחברת AppsFlyer ומפתח אפליקציית פישרמן החינמית לחסימת ספאם והודעות פישינג.

הוא סיפר כי לאחרונה מערכות האפליקציה זיהו מתקפת פישינג יוצאת דופן: לרוב, בהונאות מהסוג הזה נשלחות הודעות SMS שמתחזות להודעות רשמיות מהבנק, מחברת האשראי או מהדואר, לרוב בצירוף איום ("יש לעדכן את הפרטים מיד או שהחשבון ייחסם"), ולינק לאתר מזויף שמיועד לגניבת הפרטים של הקורבנות שנפלו בפח. אבל הפעם, לצד הלינק והאיומים הופיע לינק נוסף, שמפנה לתמיכה בוואטסאפ.

מאז שיצר את האפליקציה ב-2023, גידניאן ראה כבר מאות אלפי הונאות שונות, אבל השיטה החדשה ויוצאת הדופן סקרנה אותו, והוא החליט לרדת לעומק העניין – ושלח לנוכלים הודעה בוואטסאפ. "בחקירות מהסוג הזה אני משתמש בוואטסאפ נוסף ולא במספר האמיתי שלי, ואני ממש לא ממליץ ליצור קשר עם מספרים מפוקפקים", הדגיש.

לחיצה על הלינק הפנתה אותו לוואטסאפ עסקי עם מיתוג מושלם של בנק הפועלים, כולל שעות הפעילות ופרטים רשמיים נוספים. "הוואטסאפ הזה פתוח מ-2022 – שלוש שנים של הונאות", הדגיש גידניאן. הוא שלח לנוכל שהתחזה לנציג שירות בשם אחמד חסן הודעה: "קיבלתי הודעה שהחשבון שלי מושהה ואני צריך לעדכן פרטים. פה מעדכנים?", שאל. "כנראה שנפלתי על האקר עצלן, כי במקום לקחת את הפרטים שלי ישירות, הוא שלח אותי שוב לאתר המזויף", הוא סיפר.

גידניאן התעקש שהאתר לא עובד, ושלח לנוכל צילום מסך כדי להראות לו שהוא חסום. בתגובה, הוא ביקש ממנו מיד את שם המשתמש ותעודת הזהות שלו, אבל גידניאן החליט להטריל את הנוכל בחזרה: "אם האתר לא עובד אולי אתחבר דרך האפליקציה?", הוא כתב לו, אבל הנוכל התעקש שלא ניתן לבצע את הפעולה באפליקציה, ושאם לא יעדכן את הפרטים בלינק, יאבד את הגישה לשירות. גידניאן לא ויתר – הוא חזר והסביר שהוא לא מצליח להיכנס ללינק וביקש להתקשר לתמיכה – אבל הנוכל המשיך כמובן להתחמק מההצעות. "כדי שייראה אמין, לאורך השיחה חזרתי וכתבתי שאני מפחד ומתחנן שלא יחסמו אותי", הוא הסביר.

בסופו של דבר, גידניאן התרצה, ומסר לנוכל את מספר תעודת הזהות ומספר החשבון שלו בבנק הפועלים – "מספרים מזויפים כמובן, אבל בפורמט תקין", הוא הרגיע. "ברגע שהוא קיבל אותם, הוא ניסה לנייד את קו הטלפון שלי לשליטתו כדי להשתלט גם עליו, וביקש שאשלח לו את הקוד שקיבלתי לנייד", סיפר, "אם הייתי נותן לו אותו – הוא היה יכול לשלוט בכל החיים שלי".

גידניאן לא מסר כמובן לנוכל את הקוד האמיתי. במקום זה הוא שלח לו שוב ושוב מספרים מומצאים, תוך שהנוכל ממשיך לאיים עליו שחשבונו ייחסם – וגידניאן ממשיך לתרץ ולהתחנן שלא יחסום אותו. לבסוף הוא כתב לו: "נראה לך שאתן לך את הקוד, יא טמבל? הייתי משגע אותך עוד קצת, אבל באמת שאין לי זמן. העיקר שלא תעבוד על אנשים אחרים". הוא חסם את החשבון, ודיווח עליו לוואטסאפ ולמערך הסייבר הלאומי – אבל נכון להיום, המספר עדיין פעיל.

אבל במהלך השיחה של גידניאן עם הנוכל הוא הבחין בעוד פרט מעניין: סימני השאלה שהוא השתמש בהם היו הפוכים, כאילו נכתבו בכתב מראה. אחרי חיפוש פונטי קצר, הוא גילה שהשימוש בסימן שאלה מהסוג הזה נפוץ בשפה הערבית, ובעיקר בפרסית. "אי אפשר לדעת במאה אחוז שהוא איראני, אבל מהמחקר שלי ומתגובות של חוקרי אבטחה אחרים לפוסט שלי, זה כמעט ודאי", מסביר גידניאן בשיחה עם mako.

אז איך בדיוק התקיפה מתבצעת?

"בהתחלה התוקף שולח SMS עם לינק לאתר מזויף של הבנק, שבו אתם אמורים למלא את הפרטים שלכם", הסביר גידניאן. "כל מידע שתמסרו שם יגיע מיד להאקר. כדי לחזק את האמינות של ההונאה או למקרה שהקישור לא עובד, הוא מצרף ל-SMS גם לינק לתמיכה בוואטסאפ, וגם שם הוא לוחץ ומאיים במטרה להשיג את הפרטים שלכם".

ברגע שהפרטים בידיו, התוקף עושים ניסיון SIMSwap – "התקפה שבה ההאקר מעביר לידיו שליטה על מספר הסלולר של הקורבן", מסביר גידניאן, "ההאקר מתחיל את ניוד מספר הטלפון באתר של אחת מחברות הסלולר – תהליך פשוט שמתבצע און-ליין. בסופו, נשלח לקורבן קוד חד פעמי (OTP) כדי לאשר את ניוד הקו לחברת הסלולר החדשה, וההאקר מבקש מהקורבן למסור לו את הקוד. ברגע שהקוד בידיו, הניוד מסתיים והקו עובר לבעלותו, ומרגע זה כל השיחות והסמסים מגיעים אליו ישירות".

מכיוון שלהאקר יש כעת שליטה על מספר הטלפון, כל החשבונות של הקורבן שדורשים אימות דו שלבי בעזרת הטלפון, חשופים בפניו. "הוא יכול להיכנס לחשבון הבנק שלו, לבצע פעולות בשירותים מבוססי SMS או ארבע ספרות האחרונות בכרטיס – שגם הן חשופות להם בחשבון הבנק, ואפילו לבצע שיחות טלפון מהמספר של הקורבן ולהתחזות לו בדיפ-פייק", מסביר גידניאן.

אז איך מתגוננים? קודם כל, הימנעו מללחוץ על לינקים שמתקבלים בהודעות SMS וכנסו לאתרים הרשמיים בעצמכם. בנוסף, כל קוד שאתם מקבלים לטלפון הנייד שלכם (בין אם זה אימות לוואטסאפ או לפעולה בכרטיס האשראי שלכם), אל תשתפו אף פעם, גם אם מולכם נמצאים כביכול נציגי הבנק שלכם.