העוקץ בקבוצות וואטסאפ: "שדד ממני 2,000 שקל"

בימים האחרונים מסתובב בקבוצות אוהדים של מכבי חיפה אדם שיוצר קשר עם אוהדים, מציע להם לקנות כרטיסים למשחקים - ולאחר מכן משתלט להם על חשבון הוואטסאפ. לא ברור אם מדובר באדם אחד או במספר אנשים שמנהלים את העוקץ הזה יחדיו, אבל מה שבטוח זה שדפוס הפעולה כאן חוזר על עצמו. בכל פעם, אותו אדם שמנסה לכאורה למכור את הכרטיסים מבקש מהקונה לשלוח לו קוד שנשלח אליו בהודעת אס.אמ.אס, מבלי להסביר למה. הקונה, שלא חושד ומשוכנע שמדובר באדם מן השורה, מסכים לעשות זאת ומעביר למוכר הכרטיסים את הקוד שקיבל. ברגע שהפורץ מקבל את הקוד, הוא יכול לעשות שימוש בחשבון, כולל לשלוח בקבוצות וואטסאפ שונות בהן היה חבר בעל החשבון המקורי בקשות לכספים מחברים ובני משפחה.

זה בדיוק מה שקרה לאור כהן (31), מנהל של קבוצת וואטסאפ שעוסקת במכירת כרטיסים למשחקים של מכבי חיפה שמונה כ-800 חברים. "בשבוע שעבר חבר בקבוצה בשם נועם שלח בה הודעה שיש לו כמה כרטיסים למשחק. רציתי להשיג כרטיס לאחי, אז שאלתי אותו אם נשארו לו עוד כרטיסים. הוא ענה שכן, אז שאלתי לאן. הוא כתב ליציע הצפוני, ככה שעל פניו נשמע שהוא מבין את השפה של האוהדים, התשובה שלו שידרה לי אמינות", אומר כהן.

"אמרתי לו שאני רוצה לקנות ממנו והוא ענה שבסדר, אבל בגלל שיש לו הרבה כרטיסים, הוא מעדיף למכור אותם בקבוצה שלו", נזכר כהן. "בשלב הזה משהו נשמע לי חשוד, אבל אמרתי לעצמי שאולי הוא נער, בתמונה הוא באמת נראה צעיר וחשבתי שאולי זו הדרך שלו להגדיל קבוצת אוהדים שהוא הקים בעצמו". התמונה לא עוררה חשד אצל כהן מכיוון שהפורץ השתלט על חשבון של אדם אמיתי והשתמש בתמונותו.

"אחרי כמה שניות קיבלתי קוד. חשבתי שאולי זו אפשרות להכניס אנשים לקבוצה באמצעות קוד, אפשרות שקיימת רק בוואטסאפ ביזנס ולא בגרסה הרגילה. לא חשבתי על זה לעומק, השעה הייתה מאוחרת ובפזיזות נתתי לו את הקוד. בתוך שנייה זה הוציא אותי מהחשבון שלי. ניסיתי להתחבר שוב, ללא הצלחה. הבנתי שהשתלטו לי על החשבון ונלחצתי מאוד, יש לי בוואטסאפ המון דברים אישיים".

ברגע זה, כהן יצר קשר עם אחיו וביקש ממנו להודיע לכל חברי המשפחה שהשתלטו לו על החשבון, שכן הוא חשש שהוריו המבוגרים ייפלו בתרמית ויעבירו לפורץ כספים. "בתוך זמן קצר חברים התחילו ליצור איתי קשר דרך בת הזוג שלי ודרך הפייסבוק וסיפרו לי שאני שולח להם הודעות מוזרות, שאני צריך קוד שישמש למשיכה של כספים. הוא שלח את זה כמעט בכל קבוצה שאני נמצא בה, יותר מ-50 קבוצות להערכתי".

אחרי כמה שעות, האיש עבר לחשבון הבא. הקורבן הבא בשרשרת היה ככל הנראה דביר טיראן (49), שקיבל הודעה ממי שהשתמש בשמו ובתמונתו של כהן. הפעם הוא כתב בקבוצה בשם "הגרלה - מכבי פנתנייקוס" את ההודעה הבאה: "מוכר זוג כרטיסים לדרבי, מחיר עלות, שלחו פרטי מי שצריך". טיראן ביקש לקנות כרטיסים ממי שנראה לו כמוכר לגיטימי - אך גם הפעם, הפורץ השתלט על חשבון הוואטסאפ שלו בתוך שניות.

במקרה הבא בשרשרת זה כבר הסתיים בגניבה של ממש. "אני מכיר את כל העוקצים ואף פעם לא נפלתי, אני באמת זהיר, אבל הוא היה נראה בן אדם רגיל לגמרי. גם המחיר שהוא הציע - 100 שקל לכרטיס - זה מחיר עלות. בדרך כלל מי שעוקץ מתכנן לעשות כסף", אומר אופק שטרית (25). אופק שוחח עם מי שהוא חשב שהוא דביר, שביקש ממנו להעביר לו בביט 200 שקלים. "הוא שלח לי קישור לביט, העברתי לו 200 שקלים, ובמקביל הוא שאל אותי 'מה הקוד שקיבלת?'".

ברגע הזה הפורץ השתלט על החשבון של שטרית והגיע לקבוצה של עובדים בחברה גדולה שבה הוא עובד. דרכה הוא הגיע לרחל כהן. "קיבלתי הודעה מאחד מחברי הקבוצה בעבודה שכתב 'מה קורה? למי יש בנק הפועלים או לאומי, שישלח לי הודעה בפרטי. אני צריך טובה קטנה'". כאמור, ההודעה התקבלה על ידי חבר בקבוצה שזוהה בתמונתו ובשמו, ולכן כהן לא חשדה. "עניתי להודעה בפרטי וכתבתי לו 'היי אופק, מה אתה צריך?'", היא מספרת, "הוא ענה שהוא צריך את עזרתי ב-2,000 שקלים, שהוא בבנק פפר ואין לו אפשרות משיכה, אז שאני אמשוך עבורו והוא יחזיר לי בביט. משכתי עבורו את הכסף בשיטה משיכת מזומנים ללא כרטיס באמצעות קוד וחיכיתי להעברה בביט".

נסביר שבשיטה זו אדם מכניס באפליקציה של הבנק בקשה למשוך מזומן באמצעות קוד שמגיע בהודעת אס.אמ.אס או בשיחת טלפון. את הקוד המדובר ניתן להכניס כמעט בכל כספומט בלחיצה על "משיכת כסף בקוד ששלחתי לעצמי".

"הוא המשיך וכתב לי: 'עכשיו יגיע לך קוד שרק איתו אני יכול להעביר את הכסף בביט. מסרתי לו את הקוד, ובתוך רגע הוא השתלט לי על חשבון הוואטסאפ", מספרת כהן. "מהר מאוד מכרים בקבוצות שאני נמצאת בהן התחילו לקבל הודעה דומה: 'מה קורה, למי יש בנק הפועלים או לאומי, שישלח לי הודעה בפרטי, אני צריכה טובה קטנה. הבנתי שנעקצתי". בניגוד לאחרים, כהן הגישה תלונה במשטרה.

לאחר שהוא משך את הכספים, החליטה כהן לפנות אל הפורץ ולשתף אותו בסיפור חייה: "בוקר טוב לך. שדדת את האישה הלא נכונה, אלמנה עם ילדים. התייחסתי לאופק כמו אל הבן שלי ועזרתי לו. מקווה שתהנה מהכסף שעקצת אותי אבל בורא עולם לא ישתוק על זה. לא מתעסקים עם אלמנות ויתומים". הוא לא הגיב לדבריה. לאחרונה, קיבלה רחל שיחה מהבנק שלה, בה נאמר לה שנפתחה חקירה בנושא.

בכל המקרים, הפורץ השאיר את שמו ואת תמונתו של הקורבן, ורק החליף את מספר הטלפון שבו השתמש - שברוב המקרים מתחיל ב-055. במקרים הללו הפורץ יצר קשר עם הקורבנות באמצעות קבוצות אוהדים של מכבי חיפה, אך מדובר בעוקץ ידוע ומוכר שמתרחש גם דרך ערוצים אחרים. פנינו לדובר מכבי חיפה בנושא, שמסר שהעוקץ המדובר לא הגיע לידיעתו.

אימות דו-שלבי: הדרך להתגונן מהשתלטות על הוואטסאפ

ההשתלטות על חשבון וואטסאפ באמצעות קוד היא למעשה חלק מהמנגנון של האפליקציה שנועד לסייע לאנשים להעביר חשבונות וואטסאפ קיימים בין מכשירים שונים. "נניח וקניתי טלפון חדש ואני רוצה להעתיק את חשבון הוואטסאפ שלי אליו, אני מוריד את האפליקציה ומכניס בה את המספר שלי. ברגע הזה, האפליקציה מזהה שהמספר כבר קיים במערכת, שיש חשבון וואטסאפ שמשויך אליו ולכן היא מבקשת לשלוח למכשיר קוד, אותו יש להכניס כדי להתחבר מחדש", מסביר עידו נאור, בעלים ומנכ"ל של חברת הסייבר Security Joes. "כשמנסים להשתלט על חשבון וואטסאפ לרוב עושים שימוש באמולטור, תוכנה שמדמה טלפון סלולרי ומתקינים עליה את האפליקציה, אבל אפשר גם לקחת מכשיר אנדרואיד פשוט בכמה מאות שקלים ולעשות את זה משם. השמיים הם הגבול, אפשר להרוויח הרבה מאוד כסף בצורה הזאת", מסביר נאור.

עידו נאור, בעלים ומנכ"ל Security Joes (צילום: CyberWeek 2023 אוניברסיטת ת״א) — עידו נאור, בעלים ומנכ"ל Security Joes | צילום: CyberWeek 2023 אוניברסיטת ת״א

"מה שחשוב להבין זה שהמספרים שעושים בהם שימוש הם לא חלק מה'רשימה השחורה'. מדובר במספר טלפון עם רקורד של שימוש לגיטימי, ככה שאף אחד לא חושד בהם. אפשר ככה לשאוב את כל הקבוצות שבהם האדם שנעקץ היה חבר, לשמור תמונות אישיות או לשכנע חברים ובני משפחה להעביר כספים. אפשר גם פשוט לדלג לטלפון הבא".

בכדי להתגונן מפני התופעה, נאור ממליץ להגדיר בוואטסאפ אימות דו-שלבי, כלומר, להוסיף רובד נוסף של אבטחה מעבר לקוד שנשלח לטלפון ברגע שמבקשים לנייד חשבון, כפי שמוסבר באתר מערך הסייבר הלאומי ובהמשך הכתבה. "ברגע שאתה שולח לאדם שאתה לא מכיר קוד שנשלח אלייך, המשחק נגמר. שום הגנה לא תעזור, הטכנולוגיה מוגבלת", הוא מדגיש.

איך עושים אימות דו-שלבי בוואטסאפ? לחצו על שלוש הנקודות בתפריט הראשי > הגדרות > חשבון > אימות דו שלבי, ואז הגדירו את הקוד, אם טרם עשיתם זאת.

ממשטרת ישראל נמסר: "עם קבלת התלונה במשטרה נפתחה חקירה בהתאם. במסגרת החקירה בוצעו מגוון פעולות לאיתור החשוד במעשים. על אף המאמצים ומיצוי כלל הפעולות הנדרשות לא אותרו חשודים במעשים. ככל שיתקבלו במשטרה פרטים נוספים או יעלה מידע נוסף שיכול להביא להתפתחות בחקירה, הרי שאלו יבדקו כמקובל".

מצאתם טעות לשון?