עדכון אחרון: 30 נובמבר 2002 שעה 16:00 | שלח לי מכתב | צפה בספר האורחים | חתום בספר האורחים | אודות חדר המידע | דף ראשי

 

 

המדריך הפולש לבולש ולגולש

 

משה הלוי halemo




תמונה מספר 1
Visual Route



תמונה מספר 2
תמונת מסך של רשומון



תמונה מספר 3
תמונת מסך של רשומון



תמונה מספר 4
דף פרסומי לתוכנת פדאור



תמונה מספר 5
תמונת מסך של פדאור



תמונה מספר 6
דף מידע מרשות הדואר



תמונה מספר 7
תמונת מסך מאתר ח'ברה



תמונה מספר 8
דף תצהיר של עסקה במסמך חסר

בעקבות מספר מקרים שבהם פנו אליי גולשות וטענו שגולש באינטרנט הפיק מידע חסוי עליהן, נשאלתי כיצד אותו גולש יכול להגיע למידע חסוי שאינו מרוכז במקום אחד ברשת. זה הרי כמעט בלתי אפשרי.

הנה התשובה.

 

לגולש שמחפש מידע על גולש אחר אקרא במאמר זה: "בולש"

לקורבן שמחפשים עליו מידע אקרא במאמר זה: "גולש"

 

מאגרי מידע טריוויאלים

 

(1) מידע על מחשב: כדי להגיע להרבה פרטים על אדם אנונימי ברשת, מתחילים עם הפעולות הבאות: מנסים להשיג את כתובת ה IP של אותו אדם. לשם כך, אפשר לשלוח לגולש, מכתב בדואר אלקטרוני שבו נמצא קישור גלוי או סמוי לתמונה שנמצאת באתר שבשליטת הבולש. לא חייבים לשים קישור לתמונה אמיתית, אלא אפשר לשים קישור לדף שנמצא בשרת מחשב שבשליטת הבולש. התמונה "המצורפת" תסומן ברוחב אפס ובגובה אפס, כדי שהגולש לא יראה אותה במכתב המצורף.

 

כאשר הגולש יפתח את המכתב, יידע הבולש על כך שהגולש פתח את המכתב, כי בפתיחת המכתב מתבצעת פעולת דפדפן אינטרנט רגילה, במקרה זה בקשה להביא את התמונה שמקושרת למכתב שנשלח. אגב, פעולה זו נעשית על בסיס קבוע של שולחי דואר זבל שיודעים האם פתחתם את המכתב.

 

הנה דוגמת קוד ל"תמונה" כזו שמצורפת למכתב זבל שנשלח ע"י תוכנת מייל פיינדר:

 

<img border="0" width="0" height="0" src="http://62.219.161.23/emaildata/counters.asp? RAND=37479.6345601852&action=2&code=11112212">

 

לאחר שברשות הבולש כתובת ה IP של הגולש, אפשר לחפש מידע נוסף על הגולש. מכתובת ה IP ניתן להפיק למשל את אזור מגוריו של הגולש ואת ספק האינטרנט שלו אם לא ניתן להבין זאת מכתובת הדואר האלקטרוני, כי הוא משתמש בשירותי הדואר האלקטרוני של הוטמייל.

 

תמונה מספר 1 מציגה תמונה מסך של תוכנה הנקראת VisualRoute ומציגה את המפה המלאה של כתובת ה IP שאתם מחפשים. המידע אינו חסוי.

 

ניתן להוריד גרסת ניסיון של התוכנה באתר החברה, כאן:

http://www.visualware.com/download/index.html

 

אם לגולש יש כתובת דומיין של אתר אינטרנט, ניתן למצוא בעזרת אותה תוכנה, גם את שמו של מחזיק האתר ואת פרטיו האמיתיים שרשם. אל מידע זה ניתן להגיע גם באמצעות דפי אינטרנט שמבצעים שאילתת WHOIS על כתובת דומיין של אתר כלשהו.

 

לדוגמה, פרטים בעליו של אתר בינלאומי sex2go:

http://www.netsol.com/cgi-bin/whois/whois?STRING=sex2go.com&SearchType=do

 

וכאן לדוגמה, פרטים על בעליו של אתר אינטרנט בעל כתובת דומיין ישראלית:

http://register.isoc.org.il/register/whois/whois.php?search=halemo.co.il

 

 

(2) מידע זמין ברשת: מידע אחר על הגולש, אפשר להשיג באמצעות חיפוש כינויו או שמו במנועי חיפוש ברשת, כמו למשל מנוע החיפוש גוגל, בעברית או באנגלית. לפעמים התוצאות די מפתיעות.

 

מנוע חיפוש גוגל בעברית

http://www.google.co.il

 

מנוע חיפוש גוגל באנגלית

http://www.google.com

 

תוכניהם של חלק מהפורומים וקבוצות הדיון ברשת אינם נמצאים בגוגל, אבל ניתן לחפש אותן באמצעות מנוע החיפוש הפנימי של הפורום הרלוונטי.

 

 

(3) פרטים אישיים: פרטים אישיים מלבד שם פרטי ושם משפחה, אפשר להביא מתקליטור של משרד הפנים שנקרא "רשומון" ומחולק למפלגות השונות בכל פעם שיש בחירות בישראל. התקליטור ניתן לרכזי המחשוב של המפלגות, ומתנדבים שעובדים במפלגות הללו מעתיקים אותו ומפיצים אותו ברשת. התקליטור של 96 הכיל מעט פרטים. התקליטור של 2001 מכיל הרבה יותר פרטים.

 

תמונה מספר 2 מציגה תמונת מסך של רשומון 96. הפרטים בתמונה שונו בעזרת תוכנה גרפית על מנת שלא יציגו מידע אמיתי (התמונה באדיבות עו"ד זלופ לילי)

 

לאחר שמשיגים מידע על כתובתו, תמיד אפשר לנסות להתקשר לשכנים שלו ולברר עליו, תוך התחזות לקצין משטרה על מנת ליצור את אפקט ההרתעה הרצוי מול הצד השני באפרכסת הטלפון.

 

 

(4) מספרי טלפון: למספרי טלפון אפשר להגיע באמצעות ספר טלפונים, או תקליטור "דבש" שמכיל מספרי טלפון. אפשר לעשות פעולה הפוכה ולחפש שם של אדם על פי מספר טלפון. יש גם אתר כזה ברשת:

http://www.441.co.il

 

תמונה מספר 3 מציגה את תקליטור תוכנת "דבש" מחודש מאי 1996, כשלא היה קיים אתר 441, ובבזק לא חלמו שמישהו יבצע הנדסה הפוכה ויגלה שמו של אדם על פי מספר הטלפון שלו.

 

(5) מידע משפטי ופלילי: מידע נוסף על אדם או על קרוביו, אפשר לקבל באמצעות התקליטור של לשכת עורכי הדין שנקרא "פדאור". התקליטור הזה הוא מאגר מידע עצום של פסקי דין ומופיעים בו שמות אנשים ואפילו סיפור חייהם, אם ניתן עליהם פסק דין מנומק.

 

ניתן למשל למצוא מידע על הגולש או על אביו של הגולש, אשר בילה חלק מחייו בבית הכלא בגלל מעשה פלילי שעשה. מידע רב עוצמה ללא ספק שיכול לגרום להפקת מידע נוסף ע"י חיפוש בקטעי עיתונות ישנים שסיקרו את הפרשה וצירפו כתבות עסיסיות בעניין. במיוחד המקומונים השונים. קטעי עיתונות ישנים ניתן למצוא למשל בספרית "בית אריאלה" בתל אביב.

 

החרוצים אף יכולים לגשת לבית המשפט הרלוונטי שבו נשפט אביו של הגולש, ולצלם את התיק המלא שבו נמצאים מסמכים ופרטים נוספים שאינם נמצאים בפסק הדין.

 

תמונה מספר 4 מציגה דף פרסומי של לשכת עורכי הדין ובו מכירת תקליטור פדאור תמורת 900 ש"ח. (התמונה באדיבות עו"ד נוטור יוני).

 

תמונה מספר 5 מציגה תמונת מסך מתוך תוכנת "פדאור" (התמונה באדיבות עו"ד נפקא מינה).

 

את תקליטור "פדאור" ניתן לרכוש גם באתר ההוצאה לאור של לשכת עורכי הדין בישראל.

http://www.lawpubshop.co.il

 

 

(6) מידע על חשבונות בנקים: מאגרי מידע על חשבונות בנקים מוגבלים או צ'קים חוזרים, קיימים ומופצים ע"י חברות פרטיות. המידע הוא במקורו של בנק ישראל ונאסף על ידו מכל הבנקים במדינה. ניתן להכניס מספר תעודת זהות של הגולש ולראות האם הוא מוגבל בנק.

 

חברת "קו מנחה" מיסודה של ביזפורטל מוכרת מידע כזה.

http://www.bizportal.co.il

 

לבנק ישראל יש שירות בדיקת חשבונות מוגבלים באתר האינטרנט שלו (ותודה לעו"ד שמעון על מידע)

http://www.bankisrael.gov.il/black.html

 

 

(7) מידע על חברות ובעלי חברה: מידע על אנשים בכלכלה ובמשק ועל חברות בע"מ אפשר להשיג בחברות מידע כמו "דן אנד ברדסטריט" שמחזיקות מידע כזה. מידע על אנשים בעלי מניות בחברות אפשר להשיג אצל רשם החברות בירושלים בטלפון אחד. רשם החברות שייך למשרד המשפטים. זה אינו מידע מוסתר. זה מידע ציבורי. מאחורי כל חברה עומדים שמות האנשים שהקימו אותה. חברת "דן אנד ברדסטריט" מספקת ערך מוסף למידע שלה ע"י הוספת מידע שפורסם בעיתונות ומרוכז ביחד עם המידע מרשם החברות. כמו כן, יש המלצות לגבי ביצוע עסקאות עם אותה חברה.

 

אתר חברת "דן אנד ברדסטריט":

http://www.dandb.co.il

 

רשות הדואר אף היא מספקת שירות כזה , ושולחת פקס עם מידע כזה תמורת חיוב חשבון הטלפון שלכם. מחיר השירות למידע על חברה בודדת: 70 ש"ח.

 

אתר רשות הדואר

http://www.postil.com

 

תמונה מספר 6 מציגה דף ראשון מתוך מידע שנשלח ע"י רשות הדואר למבקש.

 

 

(8) שימוש שגוי בסיסמאות כפולות: כמה פעמים יצא לכם להשתמש באותה סיסמה לשני אתרים שונים ? אם אתם לא זהירים, אתם מאלו שמספקים סיסמאות דומות לאתרים שונים.

 

לדוגמה: אם נכנסתם לפורום כלשהו ופתחתם חשבון על מנת לכתוב הודעות, בוודאי סיפקתם סיסמה לאתר שנותן לכם לכתוב אצלו בפורום. האם רשמתם את אותה סיסמה שבה נרשמתם לשירות הדואר של הוטמייל ? בעל הפורום אם ירצה, יוכל לעיין במכתבים שלכם, אם מחשבה פלילית עוברת בראשו.

 

אבל, גם אם תניחו שבעל הפורום הוא יותר צדיק מהאפיפיור והוא לא יעשה דבר כזה, אחרים שימצאו פרצות אבטחה אצלו בפורום, עלולים להשתמש בסיסמאות שמצאו לכניסה למקומות אחרים שאתם משוטטים בהם ולחשבונות הדואר שלכם.

 

כלל חשוב הוא שאסור להשתמש באותה סיסמה במספר אתרים ברשת, כי זה מתכון בטוח לבולש למצוא מידע על הגולש.

 

לדוגמה:

אתר תפוז היה עד לפני זמן לא רב, אתר שהפורומים אצלו אינם מאובטחים דיים, וניתן היה להשיג את סיסמתו של כל גולש שהיה רשום באתר. מציאת הסיסמה של אותו גולש נתנה פתח לבולש לעיין בכל המקומות שאליהם גלש הגולש ולתאי הדואר שלו, אם רצה בכך ואם הגולש השתמש באותה סיסמה שרשם בפורטל תפוז.

 

אחת הדרכים הטכניות שניתן היה בעזרתן להשיג סיסמה של גולש היתה לפתוח חשבון רגיל, ולאחר שכבר הפכתם לרשומים באתר, להיכנס לדף עדכון הפרטים, שבדף זה הובאה הסיסמה (שנכתבה בכוכביות, אבל היתה זמינה בקוד ה HTML של הדף), וללחוץ על לחצן "רענן" (refresh) של הדפדפן כדי שיביא שוב פעם את הפרטים מהשרת של תפוז. לפני הלחיצה על לחצן "רענן", בוצעה מניפולציה על העוגיה שרשומה במחשבו של הבולש לכינויו של הגולש (בעזרת תוכנת telnet למשל), וכך משרת תפוז הובאו הפרטים של הגולש ולא של הבולש, כולל הסיסמה וכתובת הדואר האלקטרוני החסויה שלו.

 

(9) מודיעין נגדי וריגול: ברשת האינטרנט תמיד יכול לשלוח הבולש מכתבים ידידותיים לגולש, ולנסות להתיידד איתו ואפילו להגיע למצבים שאותו גולש מספר על עצמו ועל חייו, וכך הבולש, שיכול אפילו להתחזות בשם שנראה אמיתי, משיג מידע בצורה ישירה על הגולש.

 

דרך אחת להצליח במעשה הזה היא לכתוב אל הגולש בשימוש במין נגדי. כלומר, אם הגולש הוא גבר, יתחזה הבולש לאישה, ואם הגולש הוא גולשת, הבולש יכתוב כגבר. גם במעשה זה מדובר בהנדסה חברתית.

 

המתמידים יכולים להגיע לאחר התכתבות ענפה, למצב של החלפת תמונות, כאשר הבולש שולח תמונה פיקטיבית שאינה שלו, ואילו הגולש שולח תמונה אמיתית שלו.

 

 

מידע שקשה יותר להשיגו

 

(10) מידע על כרטיסי אשראי: אם פעם קניתם באמצעות כרטיס אשראי אצל איזו חברה בעסקה טלפונית, סביר להניח שנתתם מספר תעודת זהות, למרות שמספר תעודת הזהות כלל אינו נשלח לחברת האשראי בתקשורת בין המסוף למחשב שב"א (שירותי בנק אוטומטים), אלא רק פרטי העסקה הכספיים. קיימות הרבה חברות קיקיוניות שמוכרות מוצרים בזול, וכך גולשים מתפתים לקנות, נותנים להם את מספר כרטיס האשראי בעסקה טלפונית, מקבלים מוצר הביתה, אבל לא יודעים שאותה חברה היא בית מחסה לאספני מידע על מספרי כרטיסי האשראי של הציבור.

 

ישנן חברות שגם משיקולים כלכליים מוכרות מידע כזה לכל המרבה במחיר (וכך

ניתן לעשות הצלבה על מספר כרטיס אשראי על פי תעודת זהות).

 

(11) הנדסה חברתית: מידע נוסף ניתן להשיג בהנדסה חברתית (social engineering) פשוטה: ברוב החברות הגדולות כמו חברת האינטרנט שלכם, חברת הכבלים שלכם, חברת בזק, חברת חשמל וכדומה, יושבות על הטלפונים בנות צעירות שלא מרוויחות הרבה כסף והדבר האחרון שמעניין אותן  הוא לריב עם לקוחות בטלפון.

 

לדוגמה:

ניתן להשיג מידע על נוסף על חשבון האינטרנט של הגולש בצורה הבאה:

א. מתקשרים למוקד. המוקדנית עונה באדיבות.

ב. מדברים אליה בטון זועף, כאילו כועסים על חיוב לא נכון, על פאשלה, על תקלות בחשבון.

ג. המוקדנית מנסה להרגיע ומבקשת את שם הלוגין (המילה שמצד שמאל מסימן השטרודל @ בכתובת הדואר האלקטרוני).

ד. נותנים לה את השם שברשותכם ועליו אתם מבקשים מידע.

ה. היא מבקשת פרט נוסף כמו שם או תעודת זהות.

ו. נותנים לה, אבל של מישהו אחר ואומרים לה שהחשבון הוא של הבן, האח, האימא הסבתא, אבל אתם אילו שמשלמים, ולא שוכחים להגיד את זה בטון כועס.

ז. המוקדנית אומרת לכם שהחשבון רשום על שם "איציק כהן" ולא על השם שנתתם.

ח. וכך נתנה לכם המוקדנית את שמו של בעל החשבון.

ט. אפשר להוציא יותר מידע גם על הכתובת: למשל, לשאול מדוע החשבונות לא מגיעים לכתובת "רחוב הרצל ברעננה" שרשומה בחשבון. המוקדנית טוענת שאצלה במחשב כתוב שהחשבון החודשי מגיע אל "רחוב קרית ספר בחיפה ". וכך השיג הבולש גם פרטים על מקום מגוריו של בעל החשבון.   

 

(12) מתן מידע בהתנדבות: מידע שנתרם ע"י הגולש עצמו בתום לב, על ידי משלוח קורות חיים (עם תעודת זהות או בלי). בקורות החיים מפורטים שמות החברות שעבד בהם, ותמיד ניתן להתקשר לאותן חברות ולשאול אותן בקשר לאותו גולש.

 

אם הבולש מצא שאותו גולש מחפש עבודה בתחום כלשהו, הוא מפרסם מודעת דרושים פיקטיבית בתחום עיסוקו של הגולש, ודואג שזה יגיע בדרך כלשהי לגולש, למשל ע"י פרסום מודעה בקבוצת דיון כלשהי שבה משתתף הגולש. אם הגולש אכן ישלח קורות חיים, הבולש קיבל מידע נוסף על מקומות עבודתו של הגולש, על שירותו הצבאי ועל בית הספר שבו למד.

 

עם המידע הזה שברשות הבולש, הבולש תמיד יכול להיכנס לאתר ח'ברה ולנסות לאתר פרטים נוספים על הגולש בצורה חוקית.

http://www.hevre.co.il

 

לדוגמה:

לפני זמן מה, נשפט חייל בשם מאור פריאל שמסר מידע רגיש לאתר הסיירות. על שמות היחידות שבהן שירת החייל, הוטל לכאורה צו איסור פרסום, אבל למרות זאת, חיפוש שמו של החייל הגולש באתר ח'ברה, מציג לנו את רישומיו של החייל והיכן שירת.

 

תמונה מספר 7 מציגה תמונת מסך מאתר ח'ברה עם מידע שאמור להיות חסוי.

 

אם אנחנו חפצים במידע רב יותר, תמיד ניתן להתקשר טלפונית אל אותו אדם ולבקש מידע נוסף. האדם ייתן אותו כי הוא מחפש עבודה (למשל גיליון ציונים. תיק עבודות. שמות ממליצים)

 

(13) מידע רפואי: הבולש צריך קשר אל קופת חולים של הגולש. הבולש מתקשר לכל קופות החולים באזור מגוריו של הגולש, עד שמוצא לאיזו קופת חולים הגולש שייך. בהנדסה חברתית פשוטה מול פקידה תמימה מוציאים מידע כפי שמופיע בתיק הרפואי.

 

המהדרין והנועזים יכולים לעשות תרגיל מחוכם אחר: מזמינים בשמו של הגולש תור ליום כלשהו. נותנים מספר טלפון נייד להתקשרות. מגיעים למרפאה באותו יום שנקבע. הפקידה מוציאה את התיק הרפואי ומוסרת אותו למתחזה. ישנן קופות חולים שבהן התיק כבר נמצא אצל הרופא, וניתן להוציא אותו רק לאחר הבדיקה.

 

במקרה של בקשה לכרטיס חבר או תעודת זהות, תמיד אפשר לטעון שאין לך ולריב עם הפקידה, לצעוק ולקלל את זה שגנב לכם היום את הארנק, וזו האחרונה תחפש לא לריב, ותתן את התיק, כי במחשב שלה רשום שאכן הגולש הזמין תור לאותו יום, ואם הוא לא היה האדם, הוא לא היה יודע שיש לו תור היום.

 

יוצאים עם התיק הרפואי והולכים לצלם אותו במקום כלשהו. אחר כך מחזירים אותו למקומו כדי שלא יחשדו.

 

לפעמים מלאכת חיפוש המידע הרפואי על הגולש היא הרבה יותר פשוטה, מכיוון שאם לאותו גולש מחלה נדירה, הוא בוודאי משתתף בקבוצת דיון כלשהי שדנה במחלתו ואף מספר את סיפורו קורע הלב על כך שהוא לא יכול לישון בלילה.

 

 

תרופות ופתרונות

 

(14) פנייה למשטרה: כל עוד האדם לא פרסם את המידע שברשותו, לא ניתן לעשת דבר. ברגע הפרסום בצורה ציבורית, אפשר ללכת למשטרה, אבל גם זו מגלה אדישות יתר בתחום הזה.

 

(15) חוק הגנת הפרטיות: אפשר לתבוע אזרחית אדם שפרסם מידע עליך ופגע בפרטיותכם. פסק הדין יהיה רק על פי אופי המידע שפורסם. למשל, מספר טלפון שלכם שפורסם, לא ייחשב לפגיעה בפרטיות. מידע רפואי עליכם - כן, אם לא פרסמתם אותו קודם במקום אחר.

 

לשון החוק

http://www.amalnet.k12.il/sites/commun/law/comi0104.htm

 

(16) חוק כרטיסי חיוב: לא ניתן לחייב אדם בכרטיס אשראי בעסקה טלפונית אם בעל

הכרטיס מתכחש לעסקה. מילת הקסם מול נציגות חברות האשראי שצריך לומר

כדי לגמור את הסיפור בצורה קלה וחדה היא: "עסקה במסמך חסר". חברת האשראי

תשלח לכם (גם בפקס) טופס הצהרה שעליכם למלא ולשלוח בחזרה לחברת האשראי. הזיכוי צריך להיות בחודש הבא. זה החוק ! (חברות האשראי מנסות להקשות על

אנשים שמתכחשים לעסקאות שבוצעו בשמם).

 

לשון החוק:

http://halemo.com/war/credit.html

 

תמונה מספר 8 מציגה טופס תצהיר על "עסקה במסמך חסר" של חברת כא"ל.

 

 

(17) חוק הנזיקין: נותן הגנה כספית אם כתוצאה מפעולה של בולש, נפגע גולש שיכול למדוד את נזקיו בצורה כספית ולהיפרע מהבולש.

 

 

(18) חוק איסור לשון הרע: חוק שמאפשר לגולש לתבוע את עלבונו מהבולש.

http://www.amalnet.k12.il/sites/commun/law/comi0101.htm

 

 

(19) הפעלת חוק ההגיון: הגולש והבולש צריכים להבין שיש כללי משחק שאינם כתובים בשום ספר. האיום כאילו יש ברשות הבולש מידע על הגולש ואינו מפרסם אותו, אלא מציג פרטים שהוא כן הצליח להשיג בקלות, זו חלק מהנדסה חברתית שגורמת לגולש לחשוב פעמיים אם להתעסק עם אותו אדם.

 

למרות ההרגשה כאילו פגעו בנימי נפשו של הגולש ע"י גישה למידע חסוי עליו ואמור להיות לא ידוע לאחרים, הגולש צריך לקחת את העניין יותר בפרופורציה, ולחשוב  שיש אנשים שיש להם יותר מידע עליכם, אבל אף פעם לא שמעתם עליהם (שוטרים, פקידי ממשלה, נציגי שירות של חברות).

 

לפעמים, פנייה למשטרה או למערכת המשפט ופגיעה של הגולש בבולש חוזרת כבומרנג לפרצופו של הגולש, כי זה שכח להפעיל את חוק ההגיון.