איביי, נספרסו, וההונאה המקוונת הכי יצירתית שראיתם

המרחב המקוון מעודד חדשנות ומקוריות בתחומים שונים - שירותים, מוצרים, פלטפורמות, תוכן. כל הגורמים מנסים תמיד להציא שיטות עבודה חדשות, דרכים חדשות להתבלט או לייצר הכנסות, והתוצאה היא אפליקציות כמו אובר, Airbnb, ספוטיפיי, פייסבוק, טוויטר, קורקינטים שיתופיים, או ווייז. כולן, לטובה או לרעה, בעלות השפעה ניכרת על חיי המשתמשים, אפילו על הכלכלה העולמית. כולם מחפשים את ההמצאה הבאה, הרעיון החדשני שיאפשר להם לפרוץ קדימה. ובהקשר זה, הפושעים המקוונים אינם שונים.

הונאות מקוונות משתכללות כל הזמן. נכון, יש קלאסיקות נצחיות כמו העוקץ הניגרי שנראה שלעולם לא יעזבו אותנו, אבל במירוץ להפריד בינינו לבין הכסף שלנו, פושעי סייבר תמיד ימצאו דרכים חדשות ובלתי צפויות לנצל את תמימות הקורבן או החמדנות שלו. ופרופ' נינה קולרס, מהמחלקה למחקר אסטרטגי ומבצעי במכללת המלחמה של הצי האמריקאי, גילתה את אחת משיטות ההונאה הפתלתלות, אך גם היעילות ביותר שיש. כזו שכוללת את איביי, נספרסו והדבר היחיד שאף אחד לא יכול לעמוד בפניו: עסקה ממש, ממש טובה.

הכל התחיל, סיפרה בכנס ההאקינג DEFCON שננעל השבוע בלאס וגאס, כשמצאה באיביי עסקה ממש טובה לרכישת קפסולות נספרסו: 200 קפסולות בחצי מהמחיר המקובל. קולרס מיהרה להזמין, שילמה באמצעות פייפאל ו...ההזמנה הגיעה. ולא רק זאת, היא כללה גם מכונת נספרסו חדשה לחלוטין בשווי של 280 דולר, שקולרס לא הזמינה או שילמה עליה. מחפשים את הטוויסט בעלילה? עדיין אין: כל המוצרים היו מקוריים, חדשים, נטולי תקלות או פגמים. הכל עבד כמו שצריך, מושלם.

ופה קולרס התחילה לחשוד; עסקה כזו טובה? משהו חייב להסריח, יש מלכוד איפה שהוא, משהו שיסביר מה בדיוק קורה שם. אז היא התחילה לבחון רשומות באיביי של קפסולות נספרסו, ומהר מאוד שמה לב לכך שיש שם כמות אדירה של מוכרים חדשים עם אפס ביקורות שהציעו קפסולות בזול. "אני עדיין חושבת שזו הונאה, אבל אני לא באמת יודעת", סיפרה ב-DEFCON, לפי דיווח של מאשאבל. "אם זה סוג של כנופיית פשע, זה משהו שקורה בטח בקנה מידה גדול".

קולרס החלה לבדוק עד כמה נרחבת התופעה. היא זיהתה חשבונות איביי שקשורים למוכר המקורי שממנו רכשה, והזמינה עוד קפסולות בהנחה. היא קיבלה אותן, ועוד מאות קפסולות שלא הזמינה, ואפילו מקציף חלב. סך שווי המוצרים שקיבלה: 939 דולר. המחיר ששילמה בפועל: 391.9 דולר.

אחרי שחקרה קצת את הנושא גיבשה קולרס תמונה של מנגנון ההונאה: פושעים מקוונים גונבים זהות של קורבנות ומנפיקים כרטיס אשראי על שמם. זה די סטנדרטי וגם קל במיוחד, אחרי דליפת מאגר נתוני האשראי של Equifax. אבל מה אתה עושה עם כרטיס אשראי שלא על שמך? מבצע קניות בלי חשבון? עניין בעייתי שיכול לחשוף אותך. הרבה יותר נוח לייצר מזה מזומנים. אפשר להזמין מוצרים יקרים ואז למכור אותם בשוק השחור, אבל שוב יש סכנת זיהוי אם אתה שולח מוצרים אלייך.

עדיף לשלוח את המוצרים למישהו אחר, ושהוא ישלם לך תמורתם. אבל איפה מוצאים מישהו טמבל מספיק כדי להשתתף במזימה שכזו? באיביי, כמובן. ככה זה עובד: אחרי שהנפיקו כרטיס אשראי בזהות גנובה יוצרים הפושעים חשבון איביי ורושמים בו מוצרי יוקרה במחיר זול במיוחד. אחרי שהמוצר הוזמן על ידי לקוח תמים, שכנהוג באיביי משלם מראש, הפושע מבצע הזמנה באמצעות כרטיס האשראי מאתר לגיטימי ושולח את המוצר ללקוח מאיביי.

על המוצר אמנם שילם הפושע מחיר גבוה יותר מזה שקיבל מהרוכש באיביי, אבל מה אכפת לו? זה כרטיס על שם מישהו אחר, והוא יכול לשלשל לכיסו את כל התמורה שהתקבלה מאיביי. גם הרבה יותר קשה לאתר אותו כך. אם רשויות החוק יחקרו את השימושים בכרטיס האשראי המפוקפק הם יגיעו רק לכתובות של לקוחות תמימים, כאשר על מנת לאתר את הפושע עצמו יש צורך לפעול בסיוע פייפאל שאולי, אולי, יוכל לאתר לאן הוזרם הכסף מהחשבון. הפושעים המציאו, למעשה, דרך לייצר מזומן מכרטיס אשראי שהונפק במרמה, בסיוע משתמשי איביי שרק חיפשו עסקה טובה.

ולמה קיבלה קולרס מכונת נספרסו בחינם? היא חושבת שזו דרכם של הפושעים לעורר נאמנות בקרב משתמשים ולגרוף ביקורות חיוביות. או, סביר יותר, הם פשוט התבלבלו בהזמנות השונות שקיבלו.

לא מדובר בפשע נטול קורבנות, הזכירה קולרס; הלקוח אולי מקבל מוצר בזול והחברה מקבלת תשלום אמיתי, אבל יש מי שמשלם את המחיר: הפושעים צוברים חובות על גב קורבנות שאת זהותם גנבו, לפי קולרס רבים מהם בפנסיה, ואלו יתעוררו יום אחד להר של חובות ולגובים שמתדפקים על דלתם בדרישה לקבל תשלום. ועכשיו לך תוכיח שאתה לא מכור לנספרסו.

קולרס דיווחה ל-FBI ולאיביי על הממצאים שלה. לא במפתיע, לא חזרו אליה, ומוצרי הנספרסו בהנחה נעלמו מאיביי בערך 30 יום אחרי שפנתה לחברה. המזימה לא נעלמה כנראה אלא רק שינתה מעט אופי: עדיין ניתן למצוא באיביי מגוון מוצרי יוקרה במחירים חשודים. חלקם מזויפים, אחרים גנובים, אבל ביניהם יש לא מעט מוצרים מקוריים שנקנו ישירות מהיצרן, רק עם פרטי אשראי של מישהו אחר.

זו הונאה יצירתית ומתוחכמת מאוד, שמנצלת את הרצון של אנשים לעסקה טובה וגוררת אותם שלא בידיעתם להיות חלק במזימת הונאה והלבנת כספים. זה גם יכול לנשוך אותם חזק, בכל זאת הם קיבלו סחורה שטכנית יכולה להיחשב לגנובה, אם רשויות החוק יחליטו יום אחד להתייחס לנושא ברצינות. אבל זה בעיקר מזכיר לנו שכשמדברים על חדשנות ומקוריות בעולם הטכנולוגיה, לא כל הגורמים בהכרח מכוונים להפיכת העולם למקום טוב יותר.

קצרצרים

1. רבות, רבות מדי, נכתב על עומסי ההתראות מהאפליקציות השונות. העברייניות הגדולות הן כמובן אפליקציות המסרים המידיים (במקרה שלי: 223 התרעות מווטסאפ בשבוע האחרון, יותר מפי שניים מהאפליקציה שבמקום השני, ואני די בטוח שאני הרבה מתחת לממוצע). אז הנה, טלגרם עושה משהו בנידון: העדכון האחרון של האפליקציה מאפשר למשתמשים לשלוח הודעות שקטות, כאלה שלא יופיעו כהתרעה אצל הנמען. מנהלי קבוצות, בינתיים, יוכלו להגביל את ההודעות שמשתמש יכול לשלוח בקבוצה החל מהודעה כל חצי דקה ועד להודעה בשעה.

2. נהג משאית בארה"ב עלה בטעות על פסי רכבת ב-2015, וגרם לתאונה קטלנית שבה נהרג נהג הקטר ונפצעו עוד 33 איש. הוא נידון רק ל-30 ימי מאסר, כאשר בין השאר טען להגנתו שהחל לנסוע על המסילה בעקבות הוראות שקיבל בגוגל Maps. בעקבות אותה תאונה, ביקשה המועצה הלאומית לבטיחות בתעבורה (NTSB) מיצרניות אפליקציות ניווט להתריע בפני נהגים כשהם מתקרבים לצומת עם מסילת רכבת. שלוש שנים אחרי אותה בקשה, האפליקציות של גוגל, אפל ומיקרוסופט, שיכולות להתריע על מצלמת מהירות או תאונה בהמשך הדרך, טרם עשו זאת. למה? לא ברור. בגוגל, למשל, אמרו שהם "מודעים" לבקשה. יופי באמת.  

3. אובר נקנסה בקולומביה ב-629 אלף דולר, אחרי שלדברי הרגולטור במדינה קראה לעובדיה שלא לשתף איתו מידע ולא לאפשר לו גישה למחשבי החברה. קולומביה הודיעה שתשהה ל-25 שנה את הרישיון של כל נהג שייתפס כשהוא עובד עם אובר, כך לחברה אינטרס מובהק להצר את צעדי הרגולטור. עם זאת, עם הפסד רבעוני של יותר מ-5 מיליארד דולר, ספק אם אובר תרגיש את הקנס הזה יותר מדי.

4. גוגל תפצה לקוחות שרכוש מכשירי פיקסל ופיקסל XL מהדור הראשון, שסבלו ממיקרופונים דפוקים. הפיצוי המדהים: עד 20 דולר למכשיר שנרכש בתקופה הרלוונטית, ורק לתושבי ארה"ב, כמובן.