כך שר האוצר מנסה לשתות את הפרטים שלכם עבור המפלגה שלו

שר האוצר מפרסם כתובת אתר ששותה לכם את המייל לטובת מפלגת כולנו
מחשבון נקודות הזיכוי שפורסם על ידי כחלון ומפלגת כולנו

מאחורי כל שר יש אדם פוליטי. שר האוצר אינו רק משרה רמה אלא גם פוליטיקאי. במקרה שלנו מר משה כחלון, יו״ר מפלגת כולנו. אבל בישראל וגם בעולם המתוקן, כאשר שר האוצר מפרסם אתר הקשור למשרד האוצר במסגרת תפקידו, היינו מצפים שזה יהיה אתר של משרד האוצר.

בחודש האחרון כחלון דוחף חזק את יוזמת ׳נטו למשפחה׳ במסע פרסום שהוא חתום עליו.היוזמה הזו אמורה לחסוך למשפחות צעירות לא מעט כסף במסגרת שינויי מס והוספת נקודות זיכוי. על מנת לסייע לאזרחים להבין כמה כסף הם יקבלו, השיק משרד האוצר מחשבון מסודר שבו אפשר לחשב את הסכום שנקבל בנטו כתוצאה מהרפורמה (רק אנשים עם ילדים בגיל המתאים). אך כחלון לא הסתפק רק בהודעה הזו.

במסגרת מסע הפרסום מתפרסם גם מחשבון נקודות מס אחר, לא של משרד האוצר. כך למשל אפשר לראות קישור אליו מהדף של משה כחלון בפייסבוק (יותר מ-170,000 עוקבים) ושל חברי כנסת אחרים ממפלגת כולנו. המחשבון הוא בעצם דף נחיתה מעוצב (שגם בנוי היטב) שיושב בדומיין http://netofamilycalculator.com. כמובן שלאחר פרסום ההודעה, יועצים לכלכלת המשפחה וגם אנשים פרטיים החלו להפיץ את המחשבון.

מחשבון נקודות הזיכוי שפורסם על ידי כחלון ומפלגת כולנו
מחשבון נקודות הזיכוי שפורסם על ידי כחלון ומפלגת כולנו

אתגר שפיבק (מ RetargetIM למי שלא מכיר) שם לב לראשונה שיש משהו מוזר – מדוע שר האוצר של ממשלת ישראל שולח את המשתמשים אל אתר חיצוני, מעוצב ונוח ככל שיהיה? התהיה מתגברת כאשר אנו מבינים שמי שמשתמש באתר ורוצה לדעת כמה כסף הוא חסך מכוון להשתמש באפליקציה של פייסבוק על מנת לקבל את החסכון. נכון, בפונט בגודל 10 נכתב ש׳ניתן לחשב רווח גם ללא התחברות לפייסבוק׳. אבל רוב האנשים ילחצו על הכפתור הכחול הגדול והבולט.

מחשבון נקודות זיכוי
מחשבון נקודות זיכוי

כאמור לחיצה על הכפתור הכחול והגדול תביא אותנו לדף שמחייב אותנו ברישום לאפליקצית פייסבוק. האפליקציה מבקשת גישה לפרופיל שלנו ולמייל שלנו.

רישום לאפליקצית פייסבוק
רישום לאפליקצית פייסבוק

לאן הפרטים האלו הולכים? במקרה הזה, כל מה שצריך לעשות זה לאתר את מספר הזיהוי של האפליקציה:

מספר הזיהוי של אפליקצית הפייסבוק כפי שהוא מופיע בשורת הכתובות
מספר הזיהוי של אפליקצית הפייסבוק כפי שהוא מופיע בשורת הכתובות

ולשגר שאילתה פשוטה לפייסבוק באמצעות graph. שם נגלה לאן הפרטים נשלחים:


category: "Utilities",
daily_active_users: "100",
daily_active_users_rank: 37337,
icon_url: "https://fb-s-c-a.akamaihd.net/h-ak-fbx/v/t39.2081-6/c0.0.17.17/p16x16/19291538_1533421936682049_8004780954738491392_n.png?oh=1244afda975b6267de96fd52644bd36a&oe=59C7F9EA&__gda__=1506243983_378a0f3ce8ccbcfe109c91665402a7fc",
link: "http://netofamilycalculator.com/",
logo_url: "https://fb-s-c-a.akamaihd.net/h-ak-fbx/v/t39.2081-6/c0.0.76.76/p75x75/19291538_1533421936682049_8004780954738491392_n.png?oh=33eb536e038b564b8b7b3d6fbdfdee7d&oe=59FA18D0&__gda__=1509811893_5f0c8baeb2a34d0feae80752f9f7d88d",
monthly_active_users: "10000",
monthly_active_users_rank: 10243,
name: "Neto Family Calculator",
namespace: "kulanu-calc",
subcategory: "Other",
weekly_active_users: "9900",
id: "1531599970197579"
}

שם נגלה שבעצם מי שאחראי על האפליקציה הוא לא משרד האוצר אלא מפלגת כולנו. כפי שנכתב באופן מאוד מפורש – שם האפליקציה הוא kulanu-calc. הוכחה חד משמעית שזו לא יוזמה של משרד האוצר. כל מי שבודק את הפרטים שלו ואישר לאפליקציה גישה אל המייל שלו, נתן למפלגת כולנו את המייל שלו וכמובן את כל הנתונים שהוכנסו למחשבון. כך למשל מפלגת כולנו יכולה לשלוח בקמפיין הבא לכל אחד מייל בסגנון – ׳הצבע למפלגת כולנו שחסכה לך 5000 שקל בשנה׳ או כל ספאם שהוא.

מה כדאי לעשות? קודם כל להיות מודע לכל אפליקצית פייסבוק שאתם משתמשים בה. לאישור שלכם בפייסבוק יש משמעות. שנית, להרהר בדבר תפקודו של שר אוצר שעוקף את המחשבון האמין של המשרד שלו ומפרסם מחשבון אחר (פחות אמין) שאינו שונה באופן עקרוני מהתקפת פישינג – סוג-של-התחזות לאתר ממשלתי שמחוייב לשמור על הפרטים שלכם אך שתיית הפרטים לצרכים אחרים.

כמו כן, אני אוהב את ריח הבחירות על הבוקר.

אני אוהב את ריח הבחירות על הבוקר הוא מריח לי כמו אתר פישינג

פוסטים נוספים שכדאי לקרוא

צילום מסך של סוואגר
יסודות בתכנות

openAPI

שימוש בתשתית הפופולרית למיפוי ותיעוד של API וגם הסבר בסיסי על מה זה API

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

ספריות ומודולים

להתנסות ב AutoGPT

הטרנד החם בעולם ה-GPT וה-AI – הפעלת אייג׳נטים בקלות עם Auto GPT.

גלילה לראש העמוד