זה מתחיל: פייק ניוז פוליטי עם אתרים מזויפים בישראל

אני שונא לכתוב על פוליטיקה ובגדול אני אדם שממעט להתבטא בנושא. אבל למרבה הצער אני נאלץ לעתים לכתוב על פוליטיקה ופוליטיקאים בהקשר של אבטחת מידע. ראינו לא מעט טריקים מלוכלכים שנועדו להשפיע על דעת הקהל באופן לא הוגן ולא הולם. ראינו רשת בוטים מוזרה שלאחר מחקר מעמיק יותר הסתבר שהיא הופעלה על ידי גורמים זרים. ראינו גם רשת פייקים שהופעלה ככל הנראה על ידי פוליטיקאי ישראלי. אבל עכשיו אנו עדים למתקפה חדשה: מתקפת פייק ניוז קלאסית שעושה שימוש מחוכם באתר מזויף, חשבון טוויטר מזויף והפצת פייק ניוז לעיתונאים אמיתיים תוך רכיבה על המוניטין שלהם. ומי יעד ההתקפה? ראש הממשלה, בנימין נתניהו. מי התוקף? יש סיכוי סביר שהוא מגיע מ… פקיסטן. האם ייתכן שגורמים זרים מנסים לפגוע במר נתניהו? האם ייתכן שמדובר בפקיסטנים? אספר את הסיפור ואתן לקורא הנבון להסיק מסקנות.

שימו לב לאתר https://www.european-coatings.co – אם תכנסו אליו, תקבלו מייד הפניה לאתר אחר: https://www.european-coatings.com . ההבדל הוא דק אך משמעותי. בעוד שהאתר עם ה-m הוא אתר חדשות לגיטימי, מוכר ומכובד. האתר ללא ה-m הוא פייק מוחלט. הוא רשום בספק שנקרא NameCheap, Inc שגם מאחסן אותו. מדובר בספק ותיק שיושב באריזונה ומתמחה באספקת הוסטינג זול ושמות מתחם זולים במיוחד. שם המתחם co משויך אל מדינת קולומביה. מי שרשם את european-coatings.co עשה זאת באופן חוקי, אך באופן אנונימי לחלוטין ללא ציון שמו. רק namecheap יודעת מה ה-IP שלו ומה כרטיס האשראי שלו והיא תגלה אותם רק לאחר קבלת צו משופט אמריקאי. וזאת בהנחה שמי שרכש את הדומיין עשה את זה מכתובת שאינה אנונימית ומכרטיס אשראי שאינו גנוב/חד פעמי.

כאמור כל האתר מפנה אל האתר האמיתי, זה שיושב בסיומת m. למעט דף אחד ויחיד, שזהה לחלוטין בעיצובו לאתר האמיתי. מה יש בדף היחיד הזה? כתבה באנגלית צחה על כך שבנו של ראש הממשלה בנימין נתניהו, יאיר נתניהו, נסע לאיחוד האמירויות הערביות על מנת לעשות עסקים עם חברת סימנס.

כתבה מזויפת מהאתר המזויף - לחצו כדי לראות את המקור המלא

כתבה מזויפת מהאתר המזויף – לחצו כדי לראות את המקור המלא

הכתבה הזו לא נכונה. יאיר נתניהו לא נסע לאיחוד האמירויות הערביות ועד כמה שידוע לי אין לו שום קשר לחברת סימנס. אבל הכתבה הזו מנגנת על כל העצבים החשופים. יאיר נתניהו פופולרי בקרב ציבור מסוים כמו שהדבר השחור היה פופולרי באירופה וסימנס ידועה בישראל בעיקר בשל פרשת השוחד שלה לבכירי חברת החשמל. הכתבה הזו נועדה להקפיץ ולהתסיס. לגרום למשתמש הסביר לרטון על ״בנו המושחת והרקוב של ה Crime minister״.

זה היה השלב הראשון בתוכנית. אתר שקשה לזהותו כמזויף שמכיל כתבה מקפיצה במיוחד שלוחצת על כל הכפתורים הנכונים. הגיע העת לשלב השני. בשלב השני נפתח חשבון פייק ששמו הוא Mazal Shaipro. זה שם מעניין כי אין מזל שפירו שקיימת ברשת. החשבון הזה מסריח מפייק ולא נעשה ניסיון מרשים להסוות אותו. הושמה תמונה, ביוגרפיה קצרצרה, מקום מגורים (מנצ׳סטר) כמה לייקים וכמה עוקבים אבל החשבון לא צייץ כלל.

מזל שפירו - חשבון מזויף

מזל שפירו – חשבון מזויף

השלב הבא והקריטי הוא לשלוח מסרים פרטים לשלל עיתונאים ברשת. רובם ישראלים/יהודים אך לא רק. למשל, הנה המסר הפרטי שנשלח לעיתונאי חיים לוינסון (שהוא הראשון שעלה על הפרשה ודיווח על הפייק כפייק):

mazal shapiro DM

mazal shapiro DM

במסר הזה יש קישור לאתר המזויף וכן הזמנה לכתוב על כך. חיים לוינסון, שהוא עיתונאי מיומן, עלה על הזיוף מייד. אבל עיתונאים אחרים נפלו בפח והחלו להפיץ את הסיפור. כמובן בתוספת הלא משכנעת ש׳משרד ראש הממשלה וסימנס הכחישו את הדברים׳. מן הסתם הם יכחישו, כי מדובר בהמצאה מוחלטת. חלק מהעיתונאים הם עיתונאים רציניים ובכירים שפשוט השתכנעו מהאתר המזויף.

Benjamin Netanyahu’s son, Yair Netanyahu, visits UAE to meet with business executives and Crown Prince of Dubai

Very odd article in @EC_Journal claiming Yair Netanyahu went to UAE for 4 days at invitation of Siemens mideast CEO @Siersdorfer_D, met with Dubai Crown Prince & discussed investing family capital in the Gulf. @netanyahu family spokesman denies every word

ציוץ של ראול ווטליף – מטיימס אוף ישראל

ומפה כדור השלג היה אמור להתגלגל. למרבה המזל, חיים לוינסון עצר את זה במהירות ודיווח אצל אראל סג״ל על הסיפור הזה:

המחקר שלי והפקיסטנים

מה הקשר לפקיסטנים? אני אפרט את מה שעשיתי. המחקר שלי החל אחרי שאלקנה מ׳חי בלילה׳ פנה אלי עם הפרטים ואמר לי לחטט. אז חיטטתי.

האתר היה מייד מבוי חסום. הרצת בקשת WHOIS שנותנת פרטים על רוכש שם המתחם (במקרה הזה שם המתחם המזויף european-coatings.co) העלתה שהדומיין רשום בפנמה. למה בפנמה? זו ארץ ברירת המחדל לדומיינים ׳חסויים׳ של חברת name cheap. פניה למחלקת ה abuse שלהם העלתה חרס.

הצייצן המזויף, MazalShapiro היתה גם קצה חוט עלוב במיוחד. היא צייצה רק שני ציוצים שהם ציוצים מחדש של הפרסום השקרי. זה הכל. לא היתה לה אינטראקציה עם מישהו והמטא-מידע של הציוצים לא נתן לי מידע נוסף. ניסיתי לשחזר את המייל שלה באמצעות ׳שחזור סיסמה׳. מדובר בטריק ידוע שמגלה חלק מהמייל. במקרה הזה, ראיתי שהמייל רשום בג׳ימייל.קום.

גילוי המייל של מזל שפירו

גילוי המייל של מזל שפירו

למרבה המזל הצלחתי לנחש את המייל: MazalShapiro@gmail.com. וידאתי שהוא שייך למשתמשת. חיפוש שלו בגוגל העלה שהוא לא רשום. אבל מה זה נתן לי? רצתי לג׳ימייל וניסיתי לברר שם עוד פרטים. למרבה ההפתעה גיליתי שהמייל הזה רשום תחת טלפון שונה:

שחזור מייל של מזל שפירו

שחזור מייל של מזל שפירו

זה אומר דבר אחד – מי שאחראי על החשבון המזויף החזיק לפחות בשני טלפונים שונים. דבר שמצביע על רמת תחכום גבוהה – או אדם מחוכם, או רשת של אנשים. אבל היה עוד משהו ששחזור הסיסמה של גוגל גילה לי: הפורמט של מספר הטלפון:

••••• ••••03

תחילית של חמישה מספרים וסיומת של שישה מספרים. ללא ספק יוצא דופן בעולם המספרים. בישראל תחילית המספרים היא שניים או שלושה (למשל 03 או 054) וההמשך הוא שבעה ספרות (למשל 6382020). . גוגל מציגה מספר ישראלי נייד כשלוש ספרות ואז עוד שלוש ספרות ועוד ארבע ספרות:

שחזור סיסמה של מספר ישראלי

שחזור סיסמה של מספר ישראלי

תחילית של חמישה ספרות וסיומת של שש ספרות מאפיינת אך ורק מדינה אחת.
פקיסטן.

קורט מלח

זו כמובן יכולה להיות ספקולציה – אבל ללא ספק מדובר פה במספר זר. מי מנסה להפליל את ראש הממשלה? מה האינטרס שלו? זו שאלה שאני לא יכול לענות עליה – אבל מה? הפעם הניסיון הזה נכשל. אבל אם הוא היה מצליח, עוד גל של שמועות עיקשות היה שוטף את המדינה וזו מטרת הפייק ניוז – לחולל גל שמועות, מריבות, פלגנות וג׳יפה שלא מבוססת על עובדות. הזהרו וביחנו היטב את הדעות שלכם וסננו היטב את מה שאתם שומעים ברשת.

הפקיסטנים

הפקיסטנים

כדאי תמיד להשאר מעודכנים! הרשמו לעדכונים של האתר במייל! - המייל יישלח כל יום ראשון בעשר בבוקר ויכיל אך ורק את המאמרים שהתפרסמו באינטרנט ישראל. ללא ספאם, ללא הצפות, ללא בלגנים. אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂

אהבתם? לא אהבתם? דרגו!

לא אהבתי בכלללא אהבתיבסדראהבתיאהבתי מאוד (26 הצבעות, ממוצע: 4.73 מתוך 5)

תגיות: פורסם בקטגוריה: חדשות אינטרנט

יאללה, שתפו :)

אל תשארו מאחור! יש עוד מה ללמוד!

6 comments on “זה מתחיל: פייק ניוז פוליטי עם אתרים מזויפים בישראל
  1. יהודה הגיב:

    שירותי אותך עם כוכב אחד. פשוט נלחץ לי בטעות בגלישה מהמסך הקטן של הסמארטפון.
    ניסיתי לתקן את הדירוג אבל זה לא אפשרי🙄
    אז שתדע שאני מאוד מאוד נהנה מהכתבות המדהימות שלך, מהמאמרים היפים ומהידע הרב שלך שאתה טורח תמיד להעביר בכזו פשטות שכל (כמעט כתבתי ילד..) קשיש שלא מבין מימינו ומשמאלו בטכנולוגיה יבין בקלי קלות

    תודה רבה לך!!

    • משתמש אנונימי (לא מזוהה) הגיב:

      ראשית ,אני קורא שקט כבר כמה חודשים ואני נהנה מאוד מהכתבות שלך ,אל תפסיק בבקשה 🙂

      שנית לגבי הרמזים שגוגל מספקת בעת ניסיון שחזור ,האם ניתן להגדיר או לבקש מגוגל שלא יינתנו רמזים כאלה לגבי החשבון שלי ?

  2. צ' הגיב:

    מרתק ומרשים. אבל על פי ויקיפדיה המספרים בפקיסטן לא לפי הפורמט שהזכרת, בראש ובראשונה, בחלק השני שלהם יש 7 ספרות ולא 6.
    https://en.wikipedia.org/wiki/Telephone_numbers_in_Pakistan
    גם בדיקה של מספרים סלולר מקריים בקראצ’י, מראה פורמט של סיומת 7 ספרות בפקיסטן.
    http://www.opf.org.pk/quick-links/telephone-directory/
    כך שהכול נשמע נכון, חוץ מהמסקנה, אלא אם עשיתי טעות. אני ניסיתי לבדוק איזה אויבים יש לאיחוד האמירויות (אולי השאיפה היא דווקא להבאיש אותם) והימרתי על קטאר, אבל המספרים בקטאר לא עונים להגדרה.

  3. צ' הגיב:

    במזל עליתי על הפתרון. התשובה פחות מרשימה ואקזוטית. מסתבר שלסלולר הבריטי הפורמט הוא
    07xxx xxxxxx

  4. משתמש אנונימי (לא מזוהה) הגיב:

    נמחקה ההודעה הקודמת שלי. הסלולר בפקיסטן הוא עם סיומת בן 7 ספרות על פי ויקיפדיה ועל פי חיפוש בגוגל של מספרי מובייל מקריים של אנשים בקראצ’י, כך שעל אף התחקיר המרשים, אם אני לא זה שעשה טעות, המסקנה לא נכונה. המסקנה הנכונה היא שמדובר בסלולר בריטי

    • רן בר-זיק הגיב:

      יש סיכוי (גבוה) שאתה צודק. יש עוד פורמטים כאלו במדינות אחרות (חלקן ממש אקזוטיות!) וגם בפקיסטן. כפי שדיווחו לי בטוויטר. אבל להגנתי אומר את הדברים הבאים:
      1. אמרתי שמדובר בספוקלציה 🙂 מאוד מפורש בחלק “קורט מלח”. אבל התעקשתי על כך שמדובר במספר זר.
      2. נורא רציתי להכניס את המם של THE LIBYANS

כתיבת תגובה

האימייל לא יוצג באתר.

רישום