האם נפלתי בסייברפח של דייגים איראניים? חלק א’ מהנעשה באיראן (ובמחשב שלי)

תמר עילם גינדין

בדרך כלל אני מדווחת פה במדור על דברים שאחרים אומרים ועושים, אבל הפעם זה יותר בנימה אישית. ביום חמישי האחרון פרסמה חברת הסייבר הישראלית קלירסקיי סקיורטי דו”ח על לוחמת סייבר איראנית, שצוטט גם בתקשורת הישראלית וגם בזירה הבינלאומית. אז היום יש לכם הכבוד לשמוע את הסיפור מבעד לעיניה של המטרה/קרבן, שקיבלה מקלירסקיי את תואר הכבוד “אלון חסן של הפרשה” (כלומר בהתחלה זה היה וואו גדול, ואז התברר שהוואו הרבה יותר גדול, ואני רק קצה הקרחון שהוביל לגילוי עולם שלם).

סיפורנו מתחיל בעשרים במאי 2015. יומיים קודם סיפרתי ב”המדען העירום” בגלי צה”ל שאני משדכת לתלמידים שלי איראנים אמיתיים, כדי שידברו בסקייפ. אני לא באמת הייתי עירומה בראיון – למעשה חבשתי חג’אב רוב הזמן, ובסוף גם הזמנתי אנשים להצטלם עם מיני חג’אב ובגדים של איש דת, ייבוא אישי מהעיר קֹם. הנה גם תמונת הפרופיל שלי מפייסבוק, מתוך האירוע, ששיניתי יום אחרי הראיון ההוא.

ד"ר תמר עילם גינדין בראיון בתוכנית "המדען העירום" בגלצ

ד”ר עילם גינדין ב”המדען העירום” בגלצ

אבל בואו נגיע לתכל’ס. באותו זמן היה לי שירות מענה אנושי לטלפונים, ובצהרי העשרים במאי קיבלתי את ההודעה הזאת:

לא חזרתי. אני גם שונאת טלפון וגם מה לונדון עכשיו. אבל בערב קיבלתי מייל כזה:

לאלה מכם שעדיין לא מבינים פרסית – תרגום. שם השולח: “שלום גברת דוקטור”, וכתובת המייל האמיתית של BBC בפרסית, שכבר הייתי איתם בקשר בעבר בכמה הזדמנויות. בגוף הטקסט כתוב שהם התקשרו בצהריים, רוצים לקיים איתי ראיון מחר בשידור חי, והשאלות לראיון נמצאות על הדרייב.

בנוסף היו עוד שלושה מיילים מאותו שולח עם REPLY TO של איזה סעיד ג’אן בג’ימייל. אחד לוודא שקיבלתי, אחד לבקש ממני לא להעביר לאף אחד, אחד אומר שרוצים להטיס אותי ללונדון על חשבונם כדי להשתתף בדיון בנושא באולפן. כולם בפרסית מדוברת. תודו שזאת ההצעה הכי מפתה מאז שהמיליונר מר גינדין מת בניגריה והוריש לי את כל רכושו.

האמת היא שזה היה כל כך מאוחר בלילה, שלא שמתי לב ש”שלום גברת דוקטור” זה שם השולח. אז רציתי לראות על מה רוצים לראיין אותי, וזה העמוד שנפתח כשהקלקתי על קובץ השאלות (בטאב שליד – גוגל דרייב אמיתי, להשוואה):

המייל שלי כבר היה בפנים, מה שאומר שזה דיוג צלצלים (spear phishing), כלומר לא דף גנרי שקראקרים מכינים כדי לצוד כל קורבן שיפול בפח, אלא כזה שהוכן מראש במיוחד כדי לדוג את הסיסמה שלי. הגרפיקה מאוד משכנעת, אבל הכתובת היא לא גוגל אלא שקר-כלשהו.קום.

כלל ידוע הוא שאם נפתח עמוד שצריך להכניס בו סיסמה של חשבון גוגל, מה שצריך לעשות זה לפתוח בעצמך את האתר האמור, ולא מתוך קישור מפוקפק, ולראות אם נזרקת החוצה בטעות והוא באמת מבקש סיסמה מחדש; ובכל מקרה, לחפש קבצים ששותפו איתי לאחרונה. למרבה הפלא, לא שותף כלום.

סעיד ג’אן לא ענה למיילים שבהם אמרתי שהקובץ לא נפתח.

כשבדקתי את מקור ההודעה, ראיתי שזה לא נשלח מהשרת של ה-BBC אלא משרת עלום בהונגריה. טוב שיש חברים טובים בפייסבוק, כששיתפתי את זה, אחד מהם חקר קצת על הדומיין וגילה שהוא נרשם על שם גוגל (!), אבל ה-IP הוא של חברת אינטרנט רוסית.

למחרת בבוקר קיבלתי הזמנה לפורום איראן של “אוניברסיטת ויצמן” בישראל. מוזר, גם המקור אומר שהמייל הזה באמת נשלח מהשרת של מכון ויצמן! אבל אפילו מחוץ למכון ויצמן אף אחד לא קורא לו “אוניברסיטה”! לא צריך אפילו להיות פרנואידית כדי לעלות על זה.

אבל אני, סקרנית שכמותי, רציתי לראות מה הם רוצים לעשות שם. הקישור הוביל אותי לדף שבאמת אוחסן על שרת של מכון ויצמן. אחר כך התברר שזה שרת חיצוני שניתן לחוקר וכנראה אליו הצליחו לפרוץ. בדף של פורום איראן המכובד צריך לבחור את שירות הדואר שלך, ומגיעים ישר לדף שבו צריך, כמובן, להכניס סיסמה.

אתר האינטרנט של “פורום איראן” המומצא

הפעם הסתקרנתי מה עושים עם הסיסמה. כתבתי בשדה הסיסמה את צמד המילים “שקר כלשהו”. מיד הועברתי לעמוד שבו התבקשתי להכניס את הקוד החד פעמי שנשלח למכשירי הנייד כדי לאמת החשבון. הקוד לא הגיע. מוזר.

כמו עם המייל הקודם, פרסמתי את הצילומסכים בפייסבוק, והעברתי את המייל גם לחברי אורי אורי! מגוגל, שאליו אני מעבירה כל ניסיון דיוג, גנרי או בצילצל. אורי אורי! חיפש ומצא על השרת של ויצמן דף עם כל הכניסות לדף ועם שורה שמכילה את המייל שלי, יחד עם “שקר כלשהו”=password. הוא גם גילה שאם מחליפים את רצף המספרים בשדה הכתובת, מקבלים עמודי פישינג של דמויות אחרות. הייתי לארג’ית ונתתי לדייגים גם את הסיסמה של יאיר נוה (“עפר על ראשכם” בפרסית, אם רציתם לדעת).

במקביל, התחילו לפנות אליי דמויות איראניות שונות, כולן נשים יפות (לא שמתי לב לזה עד שחייל שאל אותי באחת ההרצאות למה זה. נראה לי שזה מכיוון שהגדרת המין וההעדפות שלי בפייסבוק היא כמה שיותר עמומה: cis וזהו, אם תהיתם), כולן רוצות לדבר איתי בטלפון, כל אלה שכותבות בפנגליש משתמשות בתעתיק זהה לחלוטין ונדיר יחסית (פנגליש היא פרסית בתעתיק לטיני, שפה שעדיין אין בה הכרה רשמית ולכן אין בה קונבנציות אורתוגרפיות, כלומר מוסכמות כתיב מחייבות), לכל אלו שכותבות בפרסית בכתב ערבי יש בדיוק אותו סגנון.

אימיילים מ"איראניות" שרוצות לדבר עם ד"ר תמר עילם גינדין 📷 צילומסך

אימיילים מה”איראניות”

חלק מהדמויות רוצות שאעזור להן בנושאים כמו כתיבת עבודה סמינריונית על אדריכלות (WTF?), וחלק רוצות לעזור לי להתקדם בחיים, למשל להזמין אותי להרצאות באוניברסיטה בטורקיה בלי לומר לי את שמה, או לכנס על ג’נוסייד במאה ה-20 בארמניה (אם אתם לא יודעים איפה ארמניה, הנה מפה).

ארמניה TUBS (cc-by-sa)

בשלב הזה אני מה זה מרוצה מעצמי שניסו לפרוץ לי והנה, עליתי עליהם ויכולתי להם. לא תאמינו מה קרה אחר כך.

(חלק ב’ בשבוע הבא. עד אז אתם מוזמנים לקרוא את מדריך הסייברהתגוננות למבקרת באיראן).

__________________________________

צילומי המסך כאן הם מתוך המצגת ב”האיראנים שפרצו אליי” (באנגלית זה נשמע יותר טוב), ההרצאה היחידה שלי שהיא גם פרקטית. אפשר להזמין אותה לחיילים דרך המרכז האקדמי שלם, ולמקומות אחרים שמשלמים היטב – דרכי.