על המחשב של אורי ריבנר, ראש תחום טכנולוגיות חדשות ב-RSA ישראל, מופיעה פתאום קריקטורה מה"ניו יורקר" שמפשטת הכול: שודד רעול פנים וחמוש באקדח נכנס לבנק ומכוון את נשקו אל הפקיד שמאחורי הדלפק. הפקיד בתורו אומר את מה שבדרך כלל פקידי בנק אומרים: "אתה יודע שאתה יכול לעשות את זה און-ליין?". וכך, במשפט אחד, מתבהרת תורת הפשע המקוון כולה. מה שפעם היה צריך להזיע עליו, היום הוא זמין ונוח. נוח מדי.
הפושעים המקוונים של ימינו הם כבר לא אנרכיסטים שובבים עם בעיית אקנה שרוצים להוכיח לעולם שאין מחשב שהם לא יכולים להגיע אליו. ההאקרים החנונים מפעם התחלפו במכונה משומנת של נוכלים, שכל אחד יודע את מקומו על פס הייצור המשוכלל שמתחיל בטכנולוגיה שהולכת ומתעדכנת כל הזמן, ונגמר בסוס הטרויאני שיושב כבר על המחשב שלכם, מבלי שיש לכם מושג שהוא שם.
מיכל ברוורמן-בלומנשטיק, מנכ"לית RSA ישראל, מעלה על המסך שלה טבלה עוצרת נשימה. מדובר בחנות מקוונת למכירת מספרים של כרטיסי אשראי. "מישהו גנב את הנתונים", היא מסבירה, "ועכשיו הוא מציע אותם למכירה ברשת". כדי להוכיח עד כמה התחום התמקצע היא מצביעה על אייקון קטן בראש המסך. זו עגלת הסופר המוכרת מאתרי הקניות הלגיטימיים. "כמו באמזון, גם פה יש shopping cart".
וכמה עולה כרטיס אשראי?
"המחירים ברובלים, והם משתנים בין הכרטיסים, תלוי בגובה האשראי של כל אחד מהם".
את העמוד הזה מצאה מחלקת המודיעין המקומית של RSA (חטיבת אבטחת המידע של EMC) "אנחנו משחקים שחמט עם הנוכלים", ממשיכה ברוורמן-בלומנשטיק. "מרגלים אחריהם. לכן אנחנו מגייסים אנשים מהמוסד או מהמודיעין, ומבקשים מהם שבמקום טרוריסטים יתפסו רמאים. בעקבות מציאת הטבלה הזו שהראיתי לך, הקמנו כוח מטרה עם כל הבנקים שנפגעו, כולל ה-FBI, ואחרי הצלבת המידע היה לנו ברור מאיזה אתר המידע נגנב. בזכות זה שעלינו על זה, חסכנו לחברות ולבנקים 50 מיליון דולר. דבר בסדר גודל כזה קורה פה בערך אחת לחודש".
האקרים טורקיים? משחק ילדים
שבוע וחצי אחרי שאלפי אתרי אינטרנט ישראליים נחטפו על-ידי האקרים טורקים שהשתילו בהם מסרים פרו-פלסטיניים, קוביילו מחייך בנימוס לשאלותיי בנושא. הוא מחפש את המילים המתאימות כדי להסביר לי שהשחתת האתרים המכונה Defacement היא משחק ילדים לעומת האיומים ש-RSA מתמודדת מולם. עם כל הכבוד לפלקטים הפוליטיים בזכות הפסקת המצור על עזה, הם לא יגיעו ככה לעובר ושב שלכם. אבל התקפות הפישינג והסוסים הטרויאניים דווקא כן.
מאחורי קוביילו יושבים החיילים, שאמורים לוודא שזה לא יקרה. זהו צוות האנליסטים של "המטה ללוחמה בהונאות", שרובץ מול המסכים המרצדים בשלוש משמרות שמתחלפות על-פני היממה כולה, יום אחר יום, 365 ימים בשנה. אין פה קפה בכוסות חד-פעמיות וגם לא דונאטס, אבל חוץ מזה זה די מזכיר ניידת משטרה נייחת, שמפטרלת ברחבי הרשת ומחפשת מיילים חשודים.
את המטה הקימה חברת סאיוטה ב-2003, עוד לפני שנרכשה על-ידי RSA והפכה לשלוחה של החברה האמריקאית הגדולה. הרקע להקמת המטה היה גל התקפות פישינג שהלך וצבר תאוצה. אלון שמילוביץ', מנהל מחלקת מניעת הונאות באינטרנט, הוא זה שמוודא שכיתת התורנות תעמוד על המשמר ולא תיתן לאף מייל חשוד לחמוק מבעד למערכת הסינון הצפופה שלה. "פישינג", הוא מסביר, "זו הונאה שמתחילה לרוב במייל מהבנק, שבו יהיה כתוב, לדוגמה, 'אנו משדרגים את מערכות האבטחה בבנק'. זה ייכתב בטון תקיף ובסגנון שיבטיח שאם לא תעשו את מה שהם מבקשים, החשבון ייסגר; ובהמשך המייל יופיע לינק שהוא זה שאמור להכניס אתכם לאתר הבנק. אלא שזה לא האתר של הבנק, אלא אתר מאוד דומה לו. ושם מבקשים ממך להכניס את הפרטים שלך, שם המשתמש והסיסמה, ואלה מגיעים לתיבת המייל של הנוכל. ברוב המקרים, אנשים אפילו לא יודעים שזה קרה. קוראים לזה פישינג כי זה כמו דיג. המיילים האלה נזרקים לתפוצות ענק, ואם 5%-3% יעלו בחכה, זה מספיק".
אז מה אתם עושים פה במטה?
"אנחנו מקבלים בכל יום כ-30 מיליון URL החשודים כפישינג. אנחנו מקבלים אותם מחברות כמו מייקרוסופט או AOL, שיש בהן הרבה תעבורה של ג'אנק. בעצם, הם מעבירים לנו את כל המיילים שדווחו כספאם, ואנחנו מנקים את זה על-ידי מערכת אוטומטית".
מוכרי הויאגרה לא מעניינים אתכם?
"נכון. המערכת האוטומטית מחפשת מילות מפתח שיתריעו על כך שהסיכוי שמדובר בפישינג הוא גדול. מילים כמו 'שם משתמש', בנק וכו'. המערכת האוטומטית מנפה את הרוב, ומוציאה 4,000 URL ביום, שעליהם אחד האנליסטים עושה בדיקה ידנית, ויוצא שאחד מכל ארבעה מהם, בערך, הוא פישינג. זאת אומרת שאנחנו נתקלים באלף מיילים של פישינג ביום".
שמילוביץ' מעיר את מסך המחשב שלו, ומציג אתר פישינג לדוגמה. מבלי לנקוב בשם הבנק (במילא זה קרה לכולם) הוא מצביע על מלאכת זיוף מרשימה. לוגו הבנק, הז'רגון הפיננסי הטיפוסי, והכי חשוב: שדות הפרטים האישיים שיסללו את הדרך של הנוכל לעשות קניות על חשבונכם. הכול נראה כמו אתר אינטרנט בנקאי מעונב, זה שבו אתם בודקים את מצב החשבון. רק לקוח חשדן וחד עין ישים לב לכך שבאתר המזויף הכתובת נפתחת ב-http סתמי, ולא ב-https המתבקש בעמודים עם רגישות בטיחותית גבוהה. וגם אייקון המנעול הקטן, שאמור לתת מידה סבירה של ביטחון, לא נמצא בפינות האתר.
הסוס הטרויאני, בניגוד לפישינג הפרימיטיבי יחסית, מתגנב למחשב האישי בדרכים לא דרכים, מתיישב עליו, ומחכה לרגע שבו בעל המחשב יקליד איזשהו טריגר, כמו שם בנק או משהו שמריח כמו סיסמה, ואז הוא מגלגל את המידע הלאה. "לדוגמה, בעופרת יצוקה היה סרטון של CNN שברגע שלחצת עליו, הוא אמר שצריך לשדרג את גרסת ה'פלאש'; וברגע שלחצו על השדרוג, למערכת נכנס טרויאני. עם פישינג, מספיק להיזהר לא ללחוץ על שום לינק שמגיע במייל. בטרויאני הוא פשוט אורב לרגע".
תחרות "סוכן נולד"
הפושע המקוון הוא, כאמור, כבר לא איזה גיק מחשבים. ריבנר מציג כמה צילומים של נוכלים שפרסמו את עצמם ברשת כחלק ממסע יחסי ציבור לכישורי הגניבה שלהם. "הם נראים לך כמו חנונים?", הוא שואל. אחד מהם, מרומניה, מצולם ליד האאודי שקנה לחברתו, המצוידת בשמלת מיני נטולת סאב-טקסט. "רוב הסיכויים הם שלפני עשר שנים הוא היה סוחר אקסטזי", מנחש ריבנר. בקצה אחר של העולם, נער ניגרי העלה סרטון קצר שבו הוא מפאר את יכולותיו.
העידן שבו הפושע היה איש אחד, עבר מהעולם. היום מסלול הפשיעה מתחיל במי שמתכנתים ערכת פישינג או סוס טרויאני, ומוכרים אותה למשתמשים, שמטרתם לאסוף כמה שיותר פרטים - כמו מספרי כרטיסי אשראי, מספרי חשבונות בנק וסיסמאות - שאותם הם מוכרים לחוליה הבאה. אבל גם מי שמרוקן את חשבון הבנק צריך לעשות זאת בעזרת שליחים נוספים. "הם לא שודדים מישהו", אומר ריבנר. "הם נותני שירות. לדוגמה, אני גנבתי את כל פרטי הבנק שלך. אני יכול להיכנס לחשבון, ולהעביר את הכסף למשת"פ, שהוא בעל חשבון בנק באותה מדינה כמוך. ואז הוא מעביר את הכסף בעזרת כל מיני סוכנויות העברת כספים, תמורת עמלה. ועכשיו, כשהכסף בלטביה, אני יכול לקבל אותו".
כל האנשים האלה הם פרילאנסים, או חלק מארגון?
"יש ויכוח אם הם רפי שכל או בעצמם עבריינים. אני חושב שרבים מהם הם קורבנות. יש לארגוני הפשע שיטות גיוס מאוד מתוחכמות. אתה יכול להעביר כספים ממדינה למדינה ולחשוב שאתה עושה זאת למען הילדים בהאיטי. בואי נאמר שחלקם הם לא העפרונות הכי מחודדים בקלמר וחלקם מעלימים עין".
והם מכירים זה את זה?
"לא. הכול זהויות אינטרנטיות שמתקשרות בערוצים משלהם. הם נפגשים בצ'ט רום, בפורומים, ויוצרים צוותים וירטואליים".
איך מגיעים לצ'טים האלה?
"יש מילות מפתח מסוימות, שאם תכניסי אותן לגוגל תגיעי למקומות רחוקים".
ריבנר שולף צ'ט עסיסי מארכיונו הפרטי. משתתף שכינויו "אלקטריק מאסטר" מפרסם את עצמו: "אני חלפן מצוין. לוקח רק 25%. בחור בשם סעדי, אל תעבדו איתו; הוא מפקיסטן, והוא יעבוד עליכם כמו האבההאבה" (שהוא נוכל שהוציא שם רע למקצוע, מפרש ריבנר).
סעדי בתגובה: "אני חלפן מצוין, והעמלה שלי היא רק 20%; ואלקטריק מאסטר הוא חלפן מארצות הברית, ואל תאמינו לאמריקאים - הוא יעבוד עליכם כמו ג'ורג' בוש".
אלקטריק מאסטר עונה: "אני כן מצוין, ואני לוקח רק 15%".
ב-RSA גילו את הצ'טים לפני יותר מחמש שנים, בזכות אחד העובדים שהפך את הגלישה בהם לתחביב. ריבנר הבין מהר מאוד שיש שם מידע חיוני לעבודה, שמאפשר לשוטרים להקדים את הגנבים, והציע לערוך תחרות תחת המותג "סוכן נולד". "לקחנו שלושה צוותים מהמטה ללוחמה בהונאות", הוא מספר, "ונתנו להם שבוע למצוא במחתרת הנוכלים את הידיעות הכי מעניינות. נקודות תורפה של לקוחות, מגמות מעניינות, מידע מודיעיני שישפוך אור על למה הנוכלים עושים דברים באופן מסוים. מבין שלושת הצוותים, הצוות שזכה יצא מהמטה והפך ליחידה עצמאית בחברה, שזה מה שהיא עושה - לשבת בפורומים, לייצר זהות של פושע מקוון, לפטפט ולאסוף מידע. היום זה כבר שירות בתשלום שאנחנו מציעים ללקוחות שלנו".
"מה שם הנעורים של אמא שלך?"
מהי המערכת שגלגלה את סאיוטה למחוזות רחוקים? "זו מערכת שמזהה עסקות חשודות ובולמת אותן", מתחיל ריבנר. "למשל, עסקה ממחשב שהמשתמש אף פעם לא נכנס ממנו, או העברת כספים גדולה לחשבון שהמשתמש אף פעם לא העביר אליו כסף. מה שאנחנו פיתחנו זו היכולת לנתח בזמן אמת כל פעולה באינטרנט, ולהגיד אם היא מסוכנת או לא. אם היא חשודה כמסוכנת, אז נאמת אותה מול המשתמש. זו הסיבה לכך שה'קרחון' אמר שהבנק דפוק. זה לא מפני שהנתונים ש'לטאה' העביר לא היו נכונים, אלא מפני שהוא נתקל בהגנה".
אתם משתמשים באותיות העקומות האלה שצריך להעתיק אותן?
ריבנר: "מה שאת מתארת נקרא Captcha, וזה כלי שקיים כבר יותר מעשר שנים, שמטרתו לבלבל מחשבים, שיכולים לפתוח בו זמנית מספר מטורף של חשבונות, ולוודא שמי שמבצע פעולה זה אדם ולא מחשב, כי מחשב לא יודע לקרוא את זה".
גם אני לא. האותיות הופכות ליותר ויותר מעורבלות ומטושטשות.
"נכון. זו אחת הבעיות. עבור הקאפצ'ות הראשונות, שהיה יחסית קל לפענח, הנוכלים כבר הצליחו ליצור אלגוריתמים שפתרו אותן. כתגובה, טשטשו את הקאפצ'ות יותר ויותר, עד שכיום המשתמשים האמיתיים מתקשים לצלוח אותן. במקביל התפתחה תופעה מעניינת: אפשר לשכור אנשים שיפתרו את הקאפצ'ה. לפתור אלף קאפצ'ות עולה 1.75 דולר".
זה נורא זול.
"וזה עוד מה שהנוכלים משלמים למתווכים. המתווכים משלמים לאנשים 70 סנט כדי לפתור אלף קאפצ'ות, ולוקחים את ההפרש. זה מין סדנאות יזע לפיצוח קאפצ'ות, וזה קורה בהודו ובסין. אבל כיום זה לא נחשב לסקיוריטי".
שאלות אישיות כמו "מהו שם הנעורים של אימא שלך?", שמציגים באתר מגה באינטרנט, זה כן סקיוריטי?
"זו אופציה שאנו מציעים. אלא שאנחנו מציעים יותר שאלות, ושאלות יותר טובות".
מה זו שאלה לא טובה?
"לדוגמה, מהו השיר האהוב עלייך, או מהי חיית המחמד האהובה עלייך - אלה שאלות לא טובות, כי התשובה עלולה להשתנות. שאלה טובה יותר תהיה: מה היה שמה של חיית המחמד הראשונה שלך, שיש להניח שהייתה רק אחת כזו".
"זה לא האתר היחיד שנחטף"
כדי להגיע לקו הגמר עם רטט מספק של היסטריה, מקפיד ריבנר להשחיל לפני סיום את שמו של "זאוס", הסוס הטרויאני הכי טרנדי בשוק. "זו תוכנת סוס טרויאני שכל אחד יכול לקנות בכמה אלפי דולרים, בפורום הנכון", הוא אומר. "וסוס טרויאני כזה הוא הכי מתוחכם. ומאוד חמקני. שיעור הזיהוי שלו על-ידי תוכנות אנטי וירוס הוא 45%. בכל רגע נתון יש מאות גרסאות של זאוס, כמו מוטציה גנטית. כך קורה שנוכל אחד הדביק 36 אלף מחשבים בחודש אחד; 6,000 מתוכם היו פעילים ביממה האחרונה, 2,100 מתוכם הם און-ליין ברגע זה ממש - 634 בארצות הברית, 427 ברוסיה, 21 בישראל".
איך אני יודעת אם אני נגועה?
"יש כמה שיטות הדבקה. הנה אתר המעריצים של פול מקרטני", מקליד ריבנר בזריזות. "אם נכנסת לאתר לפני חודש, ובדקת מהן החדשות באתר, אז נדבקת בזאוס. עד לפני ימים ספורים הם פרסמו שם התראת אבטחה, שהסבירה שהאתר נחטף, ושכל מי שגלש בו מתבקש לבדוק אם לא הודבק בזאוס, ומה מצב חשבונות הבנק וכרטיסי האשראי שלו.
"זהו לא האתר היחיד שנחטף לצורך הדבקה. לפני כמה שבועות נחטף האתר של משרד האוצר האמריקאי. האתר של 'ביזנסוויק' נחטף בסוף 2009. עברת שם? נדבקת. אלא אם כן יש לך טלאי האבטחה העדכני ביותר על החלונות שלך, על הדפדפן שלך, אם גרסת האבטחה שלך הכי מעודכנת, והפלאש שלך הכי מעודכן, ואם ה-JAVA שלך מעודכן. מה הסיכוי שאצל אדם ממוצע כל אלה יהיו מעודכנים? אצלי RSA עושה את זה. אצל אשתי זה לא קורה. לכן אני לא מתקרב למחשב שלה".
איך הפופולריות של רשתות חברתיות משפיעה על מצב האבטחה?
"הרשתות החברתיות מקילות מאוד את איסוף המידע לצורך גניבת זהויות. יש היום בפייסבוק ובטוויטר אפליקציה שנקראת BLPPY, שבעזרתה את יכולה להראות לחברייך אילו עסקות עשית בכרטיס האשראי שלך - שיראו מה קנית. אז נגיד שאני רוצה פרטים של מישהו. אני מתקשר אליו ואומר: 'אני מחברת האבטחה של ויזה, האם בצעת רכישה באמזון ב-37.8 דולר? האם זה אתה? כדי לוודא שאתה באמת אתה, מה המייל? מה מספר כרטיס האשראי?' וכו'. וכל הזמן הזה הבנאדם מבסוט שלבנק שלו יש יחידת אבטחה כל-כך נאמנה.
"אני גם יכול להשתלט על חשבון פייסבוק של מישהו, וכל החברים שלו יקבלו ממנו הודעה בסגנון 'ראית את הווידיאו המגניב הבא?', וכשהם ילחצו על הכפתור לשדרוג הפלאש, הם יידבקו; ואז הם ידביקו את כל החברים שלהם".
כללי הבטיחות לגולש:
1. שמרו על רמת אבטחה גבוהה במחשב: עדכנו באופן שוטף, ואם אפשר אוטומטי, את מערכת ההפעלה, הדפדפן ורכיבי אינטרנט כמו ג'אווה, פלאש ואקרובט.
2. נקטו משנה זהירות ברשתות חברתיות: אם פרצו לחשבון של החבר שלכם ברשת החברתית, ייתכן שתתחילו לקבל ממנו קישורים לאתרי הדבקה בסוסים טרויאניים.
3. אל תורידו קבצים חשודים: היזהרו מכל אתר שמבקש מכם לעדכן תוכנות או להתקין תוכנות חדשות. אם לא יזמתם את העדכון בעצמכם, היו חשדניים.
4. היזהרו מפישינג: אל תלחצו על קישורים המגיעים באי-מייל. אם בכל זאת לחצתם על קישור, ונפתח אתר שבו יש לכם חשבון, שאלו את עצמכם למה בעצם אתם נדרשים להיכנס לחשבון שלא מיוזמתכם.
5. היזהרו מתוכנות אנטי וירוס מזוייפות: לעתים תקבלו תוך כדי גלישה הצעה לקנות תוכנה שתגן עליכם מפני וירוסים או סוסים טרוייאניים. רוב הסיכויים שמדובר בתוכנה מזוייפת.
g@globes.co.il