הנקמה הקטנה שלי באיש שעוקץ צרכני קנאביס בחו”ל
א' (השם המלא שמור במערכת) טסה לטיול באיביזה, וכמו רבים ביקשה משהו קטן לשרוף. היא פנתה אל ערוץ ישראלי בטלגרם שמציג עצמו כסוחר קנאביס בחו"ל, וכמו אחרים שלא קראו קודם את הכתבה במגזין קנאביס, נעקצה ב-2,000 ש"ח. אחרי ששבה ארצה החליטה לנקום בעוקץ
לאחרונה הייתי בטיול באיביזה וכמו ישראלים רבים, רציתי להתארגן.
זה היה היום הראשון שלי באי, ועוד לא ידעתי שברחוב של המועדונים מתקבצים עשרות סוחרי סמים חביבים – לכן ניסיתי את מזלי בטלגרם.
חיפשתי “כיוונים טלגראס חול” או משהו בסגנון הזה, והגעתי לבוט @TeleGrass_World420Wide_Bot – שבמהרה הכווין אותי למשתמש בשם @TheGurilla. משלב זה ואילך אתייחס אליו, לבוט, ול”מנהל שלו” (@TGRSWorldWideManger) בשם “גורילה”.
מי שקרא את סדרת הכתבות במגזין קנאביס כבר יודע איך “הגורילה” (מאז פרסום הכתבה החליף את היוזר ל-Hipp0_ViP) משתמש בשירות שמציעים הבנקים בישראל, שנקרא “משיכת מזומן ללא כרטיס”, כדי לעקוץ אלפי, אולי מאות אלפי, אולי מיליוני שקלים, מישראלים תמימים בחו”ל. ממני הוא הצליח לעקוץ 2,000 ש”ח.
מי שלא קרא את הכתבות, שירוץ לקרוא. אני אספר בקצרה, שהשיטה שלו היא לבקש תצלום של תעודה מזהה, פרופיל פייסבוק, ומיקום לייב. לאחר בחירת המוצרים מגיע שלב התשלום – באמצעות קוד למשיכת מזומן מבנקט ללא כרטיס.
המטרה של השירות הזה שמספקים הבנקים היא חיובית בסך הכל. נתקעת בלי כרטיס אשראי ואתה רוצה למשוך כסף מכספומט? כנס לאפליקציה, תזדהה, שלח הוראה עם סכום הכסף למשיכה, תקבל קוד סודי, תזין אותו בכספומט, והכסף אצלך, ללא צורך בכרטיס.
העוקץ מנצל את השירות הזה של הבנקים כך שהוא אומר לקורבן בחו”ל שכדי לבצע את העיסקה למכירת קנאביס, עליו להיכנס לאפליקציה של הבנק, לתת הוראה למשיכת מזומן ללא כרטיס, ולמסור לו את הקוד כדי שהוא יוכל למשוך את הסכום ואז כביכול להורות לשליח להגיע ולמסור את הסחורה.
אחר כך ישנה המתנה לשליח, שלעולם לא יגיע, ואז כשמתלוננים בפני העוקץ, הוא טוען שהכסף כנראה “לא עבר כמו שצריך” ומבקש העברה נוספת, וכך שוב, ושוב, ושוב, עד שהקורבן מבין מאוחר מדי שהוא מעביר אלפי שקלים לעוקץ והוא לא יראה אותם יותר לעולם.
בשלב הזה כבר הבנתי שנעקצתי. ביקשתי מגורילה החזר, בכוונה בלי להאשים אותו בעוקץ, כדי להימנע מאיומים והפחדות. הוא הפנה אותי ל”מנהל” שלו – היה לי ברור שמדובר באותו אדם בגלל שלשניהם יש את אותן שגיאות כתיב, אותה צורת ניסוח וכו’. גם הוא בלי בושה ביקש ממני קוד נוסף, כאילו על מנת “לאפס” את המערכת אך בפועל כדי לעקוץ שוב. הבהרתי לו שאין לי כוונה להעביר עוד קוד, והצעתי כמה דרכים שונות להחזיר לי את הכסף (פייפאל וכו’). כמובן שלא קיבלתי תשובה.
כשחזרתי מהטיול וסיפרתי לחבריי לעבודה על מה שקרה, מיד מצאנו את הכתבה על גורילה, ואחד מחבריי לעבודה הגה את הרעיון לגרום לגורילה לחשוף את כתובת ה-IP שלו בעזרת לינק של Grabify. לשם הסדר הכרונולוגי אני אפרט מה זה בדיוק ואיך משתמשים בזה בהמשך.
אז עשיתי מה שכל אחד היה עושה: חזרתי הביתה, גלגלתי ג’וינט, והתחלתי לעבוד.
פתחתי חשבון טלגרם חדש תחת השם הבדוי Jane ונרשמתי לבוט של “כיוונים חול” שכמובן הפנה אותי לגורילה. סיפרתי לגורילה שאני רוצה להתארגן, והוא ביקש מיקום Live. אז הפעלתי אפליקציה לזיוף מיקום טלפון (אפשר למצוא בחינם, צריך לאפשר בהגדרות מפתחים בטלפון) וסימנתי את המיקום שלי באיביזה (הפעם במלון אחר מהאחד שאני הייתי בו במציאות).
אחרי שגורילה שוכנע שאני אכן נמצאת שם, הוא ביקש תמונת דרכון, סלפי עם הדרכון, ותצלום של פרופיל פייסבוק. לקחתי תמונה אקראית מהאינטרנט של בחורה מחזיקה דרכון, ותצלום של דרכון ישראלי מזוייף (הכל מגוגל) ערכתי בעזרת התוכנה החינמית GIMP ויצרתי את התמונה הבאה:
את התמונה העליתי ל-Google Photos, העתקתי את הקישור אליה והכנסתי לאתר Grabify. גרביפיי הוא אתר שמאפשר להזין קישור, ומחזיר קישור ייחודי שמפנה לקישור המקורי (כלומר מי שיכנס לקישור באמת יגיע לתמונה הנ”ל) ובו זמנית מתעד את כתובת ה-IP של הנכנס. השימוש באתר חינמי ופשוט מאוד, ומאפשר יצירת קישורים מרובים ומעקב אחר כניסות.
כאשר הקישור נשלח בטלגרם, מוצג Preview של התמונה:
אני ציפיתי שגורילה יכנס לתמונה עצמה (ילחץ על הקישור) על מנת לאמת שיש תעודה מזהה בתמונה. לצערי הוא לא עשה את זה. כמו כן הוא לא התעקש על תמונה נוספת של התעודה המזהה או פרופיל פייסבוק.
כל תמונה ששלחתי לגורילה בהמשך (כ-9 תמונות בסה”כ) הייתה באותה שיטה, כאשר לרוב על מנת לראות את התמונה השלמה צריך להיכנס לקישור. ספוילר: לצערי הוא לא נכנס לאף קישור עד היום, וכנראה לא סתם, כי לא באמת אכפת לו – הוא הרי לא מתכוון לספק שום דבר ובסך הכל מחכה לקבל את הכסף.
השלב האחרון היה זיוף של סמסים. כאמור, השיטה של גורילה למשוך כספים היא בעזרת שירות משיכת מזומן מבנקט ללא כרטיס, המסתמכת על קוד אחד שהבנק נותן לבחירת הלקוח, וקוד אחר שנשלח על ידי הבנק בהודעת SMS. נרשמתי לשירות של Twilio שמנגיש API לשליחת סמסים, רשמתי את הנמען BHapoalim על מנת שהסמסים יגיעו לאותו צ’אט קיים ולגיטימי. כתבתי סקריפט קצר בפייתון שבעזרת ה-API שולח SMS עם קוד אקראי, ושלחתי לגורילה בתקווה שסוף סוף ילחץ על הקישור.
כל פעם שגורילה קיבל קוד מזוייף הוא היה צריך ללכת לבנקט לנסות למשוך את הכסף. וכל פעם הוא התאכזב כשהקוד לא עבד.
כשהבנתי שלא סביר שהוא ילחץ על הלינקים, הודעתי לו שאני אסתדר בעצמי והוא מחק את השיחה.
לסיכום: אמנם לא הצלחתי להשיג את כתובת ה-IP של גורילה, אבל כן בזבזתי לו קצת זמן מהחיים בטיולים הלוך ושוב לכספומט.
הערה כללית: לגבי הסמסים, חשוב לדעת שנוכלים רבים מנהלים קמפיינים של פישינג בעזרת אותן שיטות בדיוק שאני נעזרתי בהן. חשוב לשמור על עירנות, וכמובן לא לנצל לרעה שום דבר מהדברים שפירטתי כאן.
