קונים ומוכרים באתר 'יד2'? כדאי להיזהר מהאקרים רוסים
אתר 'יד2' שנועד לשרת מוכרים וקונים של פריטים מגוון בשוק של פריטי יד-שנייה הפך לאחרונה לזירת תרמיות "פישינג" המתבצעות באמצעות אתרי-דמה בהם מנסים האקרים ונוכלים שונים לגנוב פרטים אישיים של משתמשים באמצעות התחזות למוכרים, קונים או אף לאתר 'יד2' עצמו על ידי דפי אינטרנט מזויפים. הקמפיין הזדוני החדש נחשף על ידי קבוצת המחקר של חברת הסייבר 'אימפרבה' (Imperva), בתור קפיין שתוקף לא רק את אתר המכירות הישראלי אלא בנוסף אליו גם כ-80 אתרי מסחר אלקטרוני, שירותי דואר ובנקים ברחבי העולם.
בכתבה חדשה שפורסמה באתר 'וואלה' בנוגע לקמפיין ההתחזות של אתרי-דמה לדפים של אתר 'יד2' במטרה להונות מוכרים וקונים כדי לתת את פרטיהם האישיים לגורמים לא ידועים, דווח כי מקורם של ההאקרים האחראים על הקמפיין הנוכחי הוא ברוסיה. הקמפיין כולל לפי הפרטים שפורסמו מודעות טריות שמפורסמות באתר למכירה והודעות של פניה למוכרי פריטים שנערכות באמצעות 'וואטסאפ', אשר מובילות כולן להצעה סופית אשר מוצגת בפני האדם שמיועד להיות קורבן התרמית, לפיה הוא צריך לעשות שימוש בשירות שקיים לכאורה באתר 'יד2' המשמש לצורך שילוח והעברת התשלום, אשר בפועל מוביל את קורבן התרמית לאתר-דמה מתחזה שנועד כדי לגנוב את פרטיו האישיים.
בשלב הבא של התרמית פונה ההאקר למוכר בתור "קונה" שלכאורה שילם על המוצר ושולח למוכר לינק שנועד כדי "להעביר את הכסף" לרשותו. הלינק ששולח התוקף במקרה הזה, כך לפי הפרטים שפורסמו בכתבה, הוא לינק ששולח את המשתמש לכלי טכנולוגי מתוחכם יחסית שהוא למעשה "אתר מתחזה" בו מנסה ההאקר לגנוב מהשתמש כמה שיותר פרטים אישיים ואף מספרי אשראי וחשבון בנק, תחת חסות "תמימה" של דף רגיל באתר 'יד2' אשר אפילו כולל את הביטוי 'yad2' בכתובת ה-URL שלו ולכן עשוי להראות לרוכש הממוצע בתור דף אינטרנט לגיטימי שאכן שייך לאתר.
שרית ירושלמי ויורי ארביטמן, החברים בקבוצת המחקר של חברת 'אימפרבה' (imperva) שערכה את המחקר בנוגע לקמפיין הזדוני החדש באתר 'יד2', מספרים בכתבה כי "אמנם מדובר בקמפיין חדש יחסית, אך קבוצת ההאקרים, שמקורה ברוסיה, פועלת לאורך חצי השנה האחרונה. גילינו כי ברגע שהתוקפים קיבלו את מספר כרטיס האשראי של הקורבן, הם ניסו לחייב את הכרטיס באמצעות שירות סליקה אוקראיני. בנוסף, ראינו באתרים המזויפים תשתית המדמה שירות לקוחות, שניתן להפנות שאלות לגבי תפעול האתר ולקבל תשובות, לכאורה ממפעיל אנושי. זו עדות נוספת לרמת התחכום של קמפיין התקיפה ואף לא ברור אם מדובר בבוט או במפעיל אנושי של שירות הלקוחות. מורכבות התשתית, והמאמץ אשר השקיעו התוקפים מלמדים אותנו שמאחורי העניין יש אופרציה שמכניסה כסף, ולכן סביר להניח שקמפיינים מסוג זה ימשיכו, תוך שינוי כתובות IP ושמות דומיין על-מנת להמשיך לפעול מתחת לרדאר".
