זה מתחיל: פייק ניוז פוליטי עם אתרים מזויפים בישראל

אני שונא לכתוב על פוליטיקה ובגדול אני אדם שממעט להתבטא בנושא. אבל למרבה הצער אני נאלץ לעתים לכתוב על פוליטיקה ופוליטיקאים בהקשר של אבטחת מידע. ראינו לא מעט טריקים מלוכלכים שנועדו להשפיע על דעת הקהל באופן לא הוגן ולא הולם. ראינו רשת בוטים מוזרה שלאחר מחקר מעמיק יותר הסתבר שהיא הופעלה על ידי גורמים זרים. ראינו גם רשת פייקים שהופעלה ככל הנראה על ידי פוליטיקאי ישראלי. אבל עכשיו אנו עדים למתקפה חדשה: מתקפת פייק ניוז קלאסית שעושה שימוש מחוכם באתר מזויף, חשבון טוויטר מזויף והפצת פייק ניוז לעיתונאים אמיתיים תוך רכיבה על המוניטין שלהם. ומי יעד ההתקפה? ראש הממשלה, בנימין נתניהו. מי התוקף? יש סיכוי סביר שהוא מגיע מ… פקיסטן. האם ייתכן שגורמים זרים מנסים לפגוע במר נתניהו? האם ייתכן שמדובר בפקיסטנים? אספר את הסיפור ואתן לקורא הנבון להסיק מסקנות.

שימו לב לאתר https://www.european-coatings.co – אם תכנסו אליו, תקבלו מייד הפניה לאתר אחר: https://www.european-coatings.com . ההבדל הוא דק אך משמעותי. בעוד שהאתר עם ה-m הוא אתר חדשות לגיטימי, מוכר ומכובד. האתר ללא ה-m הוא פייק מוחלט. הוא רשום בספק שנקרא NameCheap, Inc שגם מאחסן אותו. מדובר בספק ותיק שיושב באריזונה ומתמחה באספקת הוסטינג זול ושמות מתחם זולים במיוחד. שם המתחם co משויך אל מדינת קולומביה. מי שרשם את european-coatings.co עשה זאת באופן חוקי, אך באופן אנונימי לחלוטין ללא ציון שמו. רק namecheap יודעת מה ה-IP שלו ומה כרטיס האשראי שלו והיא תגלה אותם רק לאחר קבלת צו משופט אמריקאי. וזאת בהנחה שמי שרכש את הדומיין עשה את זה מכתובת שאינה אנונימית ומכרטיס אשראי שאינו גנוב/חד פעמי.

כאמור כל האתר מפנה אל האתר האמיתי, זה שיושב בסיומת m. למעט דף אחד ויחיד, שזהה לחלוטין בעיצובו לאתר האמיתי. מה יש בדף היחיד הזה? כתבה באנגלית צחה על כך שבנו של ראש הממשלה בנימין נתניהו, יאיר נתניהו, נסע לאיחוד האמירויות הערביות על מנת לעשות עסקים עם חברת סימנס.

הכתבה הזו לא נכונה. יאיר נתניהו לא נסע לאיחוד האמירויות הערביות ועד כמה שידוע לי אין לו שום קשר לחברת סימנס. אבל הכתבה הזו מנגנת על כל העצבים החשופים. יאיר נתניהו פופולרי בקרב ציבור מסוים כמו שהדבר השחור היה פופולרי באירופה וסימנס ידועה בישראל בעיקר בשל פרשת השוחד שלה לבכירי חברת החשמל. הכתבה הזו נועדה להקפיץ ולהתסיס. לגרום למשתמש הסביר לרטון על ״בנו המושחת והרקוב של ה Crime minister״.

זה היה השלב הראשון בתוכנית. אתר שקשה לזהותו כמזויף שמכיל כתבה מקפיצה במיוחד שלוחצת על כל הכפתורים הנכונים. הגיע העת לשלב השני. בשלב השני נפתח חשבון פייק ששמו הוא Mazal Shaipro. זה שם מעניין כי אין מזל שפירו שקיימת ברשת. החשבון הזה מסריח מפייק ולא נעשה ניסיון מרשים להסוות אותו. הושמה תמונה, ביוגרפיה קצרצרה, מקום מגורים (מנצ׳סטר) כמה לייקים וכמה עוקבים אבל החשבון לא צייץ כלל.

השלב הבא והקריטי הוא לשלוח מסרים פרטים לשלל עיתונאים ברשת. רובם ישראלים/יהודים אך לא רק. למשל, הנה המסר הפרטי שנשלח לעיתונאי חיים לוינסון (שהוא הראשון שעלה על הפרשה ודיווח על הפייק כפייק):

במסר הזה יש קישור לאתר המזויף וכן הזמנה לכתוב על כך. חיים לוינסון, שהוא עיתונאי מיומן, עלה על הזיוף מייד. אבל עיתונאים אחרים נפלו בפח והחלו להפיץ את הסיפור. כמובן בתוספת הלא משכנעת ש׳משרד ראש הממשלה וסימנס הכחישו את הדברים׳. מן הסתם הם יכחישו, כי מדובר בהמצאה מוחלטת. חלק מהעיתונאים הם עיתונאים רציניים ובכירים שפשוט השתכנעו מהאתר המזויף.

ומפה כדור השלג היה אמור להתגלגל. למרבה המזל, חיים לוינסון עצר את זה במהירות ודיווח אצל אראל סג״ל על הסיפור הזה:

"ניסו לעניין אותי בסיפור שיאיר נתניהו מסתובב בדובאי ועושה שם עסקים" – @chaimlevinson ל-@ErelSegal: "חשבון מזויף בטוויטר הפנה אותי לאתר מזויף שבו פורסמה כתבה מושקעת, כולל שם המלון שבו יאיר נתניהו שוהה, והכל כמובן פייק".

— 103FM (@radio103fm) October 9, 2018

המחקר שלי והפקיסטנים

מה הקשר לפקיסטנים? אני אפרט את מה שעשיתי. המחקר שלי החל אחרי שאלקנה מ׳חי בלילה׳ פנה אלי עם הפרטים ואמר לי לחטט. אז חיטטתי.

האתר היה מייד מבוי חסום. הרצת בקשת WHOIS שנותנת פרטים על רוכש שם המתחם (במקרה הזה שם המתחם המזויף european-coatings.co) העלתה שהדומיין רשום בפנמה. למה בפנמה? זו ארץ ברירת המחדל לדומיינים ׳חסויים׳ של חברת name cheap. פניה למחלקת ה abuse שלהם העלתה חרס.

הצייצן המזויף, MazalShapiro היתה גם קצה חוט עלוב במיוחד. היא צייצה רק שני ציוצים שהם ציוצים מחדש של הפרסום השקרי. זה הכל. לא היתה לה אינטראקציה עם מישהו והמטא-מידע של הציוצים לא נתן לי מידע נוסף. ניסיתי לשחזר את המייל שלה באמצעות ׳שחזור סיסמה׳. מדובר בטריק ידוע שמגלה חלק מהמייל. במקרה הזה, ראיתי שהמייל רשום בג׳ימייל.קום.

למרבה המזל הצלחתי לנחש את המייל: [email protected]. וידאתי שהוא שייך למשתמשת. חיפוש שלו בגוגל העלה שהוא לא רשום. אבל מה זה נתן לי? רצתי לג׳ימייל וניסיתי לברר שם עוד פרטים. למרבה ההפתעה גיליתי שהמייל הזה רשום תחת טלפון שונה:

זה אומר דבר אחד – מי שאחראי על החשבון המזויף החזיק לפחות בשני טלפונים שונים. דבר שמצביע על רמת תחכום גבוהה – או אדם מחוכם, או רשת של אנשים. אבל היה עוד משהו ששחזור הסיסמה של גוגל גילה לי: הפורמט של מספר הטלפון:

••••• ••••03

תחילית של חמישה מספרים וסיומת של שישה מספרים. ללא ספק יוצא דופן בעולם המספרים. בישראל תחילית המספרים היא שניים או שלושה (למשל 03 או 054) וההמשך הוא שבעה ספרות (למשל 6382020). . גוגל מציגה מספר ישראלי נייד כשלוש ספרות ואז עוד שלוש ספרות ועוד ארבע ספרות:

תחילית של חמישה ספרות וסיומת של שש ספרות מאפיינת אך ורק מדינה אחת.
פקיסטן.

קורט מלח

זו כמובן יכולה להיות ספקולציה – אבל ללא ספק מדובר פה במספר זר. מי מנסה להפליל את ראש הממשלה? מה האינטרס שלו? זו שאלה שאני לא יכול לענות עליה – אבל מה? הפעם הניסיון הזה נכשל. אבל אם הוא היה מצליח, עוד גל של שמועות עיקשות היה שוטף את המדינה וזו מטרת הפייק ניוז – לחולל גל שמועות, מריבות, פלגנות וג׳יפה שלא מבוססת על עובדות. הזהרו וביחנו היטב את הדעות שלכם וסננו היטב את מה שאתם שומעים ברשת.