לא – לא אנחנו! זו רק הכותרת למאמר שמספר על שיטה נוספת לגנוב מכם כסף: חודרים למחשבים, עושים קצת עבודת ריגול ושטח ומוציאים כסף מהלקוחות והספקים שלכם. איך עושים את זה? סומכים על חוסר תשומת הלב שלכם – ומספיק רגע אחד
מוציאים כסף מהלקוחות – ובקלות. אם זה לא היה קורה לאחד מהלקוחות שלנו, לא היינו מאמינים שזה קל כל כך. אבל אחרי שזה קרה, שמענו לפחות ממקור נוסף שהשיטה עובדת – ובגדול.
נתאר את השיטה, ואחר כך בכמה מילים על הדברים שאפשר לעשות כדי להמנע ככל האפשר מהבעיה.
בשני המקרים מדובר בחברות שיש להן עסקים בין לאומיים. זה לא אומר שאי אפשר לעשות את אותו תרגיל עם חברות רגילות, שיש להן רק עסקים מקומיים ולקוחות מקומיים; זה רק אומר שקל יותר, כנראה, לעשות את הדברים עם חשבונות זרים.
בוקר אחד התעוררו לקוחות החברה וקיבלו אימייל בנוסח הבא (שיניתי את כל הנפשות הפועלות, מספרים שונים וכד'):
שימו לב: מדובר באימייל שהלקוחות מקבלים כביכול – במקרה הזה – ממנהלת המשרד. במייל היא מספרת להם שישנה תקלה כלשהי והם מתבקשים להעביר את התשלומים הבאים לחשבון חדש, על שם החברה. היות והמייל חתום על ידי מנהלת המשרד והוא נראה בדיוק כמו מיילים אחרים שמגיעים מהחברה, הלקוחות מתיחסים אליו כאל מייל לגיטימי.
מפה ואילך – הם מעבירים כספים לחברה כאילו הכל בסדר.
מה קרה כאן בעצם, ועל מה סומכים הגנבים?
אסביר כיצד ככל הנראה פעלו הגנבים – והם סומכים על פסיכולוגיה פשוטה מאוד.
ככל הנראה, בשלב כלשהו פרצו הגנבים לאחד או יותר ממחשבי החברה. כל מה שהם היו צריכים מהמחשב הוא מיילים – אפילו לא את ספר הכתובות. תיאורטית, הפריצה יכולה להיעשות כשמישהו מתחבר עם לפטופ ברשת ציבורית – בתערוכה, נניח, או אם המחשב שלו נדבק בסוס טרויאני או key logger, שמקליט סיסמאות.
במקביל הם פתחו חשבון בנק על שמה של החברה, כאשר לא בהכרח הם הביאו איתם את כל הניירות הדרושים לשם כך (אם בכלל). מאוד יכול להיות שפקיד הבנק הסכים למשל לפתוח חשבון זמני "עד שכל הניירת תהיה מוכנה", או – כמו שקורה במדינות רבות – התקנות מאפשרות פתיחת חשבון בלי הרבה ניירת.
מהמיילים הם למדו כיצד החברה מתקשרת עם הלקוחות, מי שולח אימיילים בנושאים כספיים ומה הצורה שבה הם חותמים על המיילים. כך הם יכלו להוציא אימיילים לכלל לקוחות החברה ולשבת לחכות שהכסף יזרום.
נשאלת אבל השאלה, מה קורה אם אחד הלקוחות חושד במשהו או שהוא מתחיל לשאול שאלות. ובכן פה מתחיל העניין הפסיכולוגי ונכנס התחכום האמיתי לתמונה.
בשני המקרים עליהם אנחנו יודעים, השתמשו הגנבים בכתובת אימייל דומה מאוד לכתובת האימייל של החברה.
במקרה אחד שם דומיין החברה היה (נניח) sysboy.com. הגנבים קנו דומיין קרוב: syspoy.com . את המיילים שהם שלחו, הם שלחו מהכתובת: office@syspoy.com , בשעה שהכתובת המקורית הייתה office@sysboy.com .
איש מהלקוחות לא הבחין בהבדל הקל. יתרה מזאת, כשהתחלנו לתחקר את המקרה, גם אנחנו לא ראינו את ההבדל בשם הדומיין, עד שהלקוח, מנהל החברה הנגנבת, עבר על אחד המיילים ואמר ברוב תסכול "תראה את כתובת אימייל השולח: הם אפילו לא כתבו את שם הדומיין נכון, ועדיין העבירו להם כסף!"…
מכאן ואילך הכל היה ברור: גם הלקוח החשדן ביותר שהיה משיב לאימייל, היה עושה reply פשוט. ברגע זה הוא היה כמובן משיב לגנבים, הכתובת הייתה נכנסת לספר הכתובות שלו והכל היה מתנהל מאחורי הגב של מנהלי החברה ובלי ידיעתם. חלק מהלקוחות לא טרחו בכלל לברר אם ישנה באמת בעיה והמייל הוא לגיטימי והעבירו תשלומים לגנבים. אלה, בעזרת העתק ההודעה על ההעברה שאותה הם ביקשו, שחררו לעצמם את הכסף, אולי גם בלי מסמכים מלאים.
שימו לב: צריך לזכור שכל ה'אופרציות' האלה מתנהלות לאורך טווח זמן קצר, ואולי לכן לא כל הבנקים מבקשים את כל הניירת. בחלק מהמקרים אם יש לך כסף בחשבון, אתה יכול למשוך אותו – לבנק הלוא אין סיכון.
במקרה השני, אצל לקוח של חברה אחרת דווקא כן התעורר חשד והוא התקשר למספר הטלפון שהופיע בחתימה של המייל. הקול בצד השני ענה לו שהכל בסדר והוא מאשר את המייל. משהו במבטא או בתוכן נראה היה ללקוח חשוד, והוא אמנם ביצע את ההעברה, אבל ביטל אותה בשניה האחרונה.
בדיעבד הסתבר שהגניבה כבר התנהלה לא פחות משבוע מאחורי הגב של אותה חברה, שלה היו מאות(!) לקוחות בכל רחבי העולם.
איך זה יכול לקרות?
הכל מתבסס על הפריצה הראשונית למחשב כלשהו ולכן – קודם כל –
- הגדירו סיסמאות חזקות וטובות, החליפו אותן לעיתים קרובות ואל תשתמשו ברשתות פתוחות כשאתם נכנסים לאתרים מוגנים, חשבונות שונים וכד'.
- סמארטפונים הם נושא רגיש – השתמשו גם בהם כהלכה – וסיגרו את חיבורי הרשת שלהם במקומות ציבוריים.
שימו לב שלא יעזרו לכם שירותי מייל מאובטחים, כיון שלא מדובר ב- phishing קלאסי, אלא בשימוש בכתובות דואר קרובות – דומות – אבל לא זהות.
בעניין הזה כדאי להבין איך רשמו הגנבים את הדומיין הדומה, ומדוע קשה יהיה מאוד לתפוס אותם:
הם השתמשו – לפחות במקרה אחד – בחברה שמציעה שם דומיין חינמי לכל מי שקונה אצלה אחסון אתרים, ועוד נותנת את החודש הראשון בחינם. החברה נשארת בעלת שם הדומיין וכך הוא גם מופיע ב- whois. אי אפשר במקרה הזה להתחקות אחרי הגנבים, כיון שקשה להניח שהם מסרו פרטים אמיתיים ברישום. התרמית הייתה מתגלה אולי במחזור החיוב הראשון, אבל עד אז הגנבים כבר היו מחוץ לתמונה, עם הכסף ביד.
האמת שאין לעניין הזה פתרון. ההמלצה שלנו יכולה להיות לרשום דומיינים ישראליים, ולא להתבסס על דומיינים בינלאומיים. הסיבה לזה היא מיעוט רשמים, בעיקר, ורישום קצת יותר מסובך, אבל גם בכך אין בטחון וערובה. בנוסף, צריך להתריע בפני לקוחות ולהבהיר להם מבעוד מועד על האפשרות שינסו לגנוב מהם (לא מכם) כסף בצורה הזו. בכל מקרה, תמיד אפשר להשתמש ב… פקס.
בהצלחה.