חשיפת פעילותו של אלימלך שטרן, בן 21 מבית-שמש, כסוכן איראני הסעירה בחודש שעבר את הדמיון של כולנו. הוא גויס על ידי המודיעין האיראני באמצעות פרופיל טלגרם פתייני בשם Anna Elena, והוטלו עליו משימות מזעזעות: הצתת יערות, חבלה ברכוש, שליחת איומים ומה לא. השב"כ והמשטרה יצאו בהודעה יוצאת דופן, שבה פירטו את לכידת שטרן ושניים ממשתפי הפעולה שלו והתריעו: עלולים להיות עוד ניסיונות איראניים לגייס סוכנים. השב"כ דיבר על "תשתית של גורמי מודיעין איראניים", לא פחות. שטרן, לפי כתב האישום שהוגש נגדו, פעל כבלדר, גייס עוד שני סוכנים ושילם להם תמורת תליית מודעות (לא בטוב טעם) בתל-אביב. הוא עצמו קיבל תשלום ממפעיליו בביטקוין. המשימה המטרידה יותר שקיבל הייתה לשלוח ראש כבש לבית שגריר ישראל לסוכנות סבא"א של האו"ם, שמפקחת על היכולת הגרעינית של איראן.
לא רוצים לפספס אף כתבה? הצטרפו לערוץ הטלגרם שלנו
כתבות נוספות רק למנויים:
יש בפרשה הזו כל הסממנים שמהם עשוי סיפור ריגול טוב, אבל האם לא מדובר באירוע שיצא מפרופורציות? שטרן הוא חסיד ויז'ניץ, לא ממש דמות מ"פאודה", שהתעניין בקריפטו. החטא העיקרי שלו היה טלפון לא כשר שהחזיק, רחמנא ליצלן, ושבאמצעותו הגיעו אליו האיראנים. וגם הבקיאות שגילה בשימוש בביטקוין, שאינה חלק מתוכנית הלימודים בוויז'ניץ. מצד שני, הוא לא הצליח למצוא ראש כבש בשום חנות, ואז קיבל הנחיה לשים במקום זה בובה עם סכין לצידה. זה נראה יותר כמו שקית ששכחה סבתא ולא כמו איום על סבא"א. הוא גם התבקש לנפץ חלון מכונית בהפגנה, לשרוף יער ולרצוח ישראלי, אבל העדיף לוותר, וכאן גם התחיל לחשוד. שטרן טען בפני מקורביו שבסך הכל רצה ללמוד עוד על קריפטו: "לא חשבתי שמדובר בגורם עוין ומסוכן".
בהיכל התהילה של הישגי המודיעין האיראני, ספק אם זו הפרשה שבה יתגאו. אבל בצד הישראלי, האירוע הדאיג את השב"כ מספיק כדי לצאת באזהרות לציבור: כולנו התבקשנו לגלות ערנות, ובמיוחד תלמידי הישיבות והקהילה החרדית כולה. בדיווח ב-ynet אמרו גורמי ביטחון בכירים שהאוכלוסייה החרדית הפכה ליעד עבור האיראנים, גם בגלל שהם פחות מכירים את סכנות הרשת וגם בגלל התנגדותם לגיוס לצה"ל ולצבא בכלל. הגורמים הבכירים הודו: יש חשש שקיימים עוד סוכנים שהאיראנים מפעילים בישראל, והם אולי מעט יותר מוצלחים מאלימלך שטרן.
בעקבות הפרשה הזו אנחנו מדברים עם ליאור בן גיגי, מנהל חטיבת הסייבר בחברת הייטק הישראליות. החברה עוסקת בתוכנה לארגונים גדולים, כולל בהגנת סייבר. בן גיגי חושף לראשונה שהפעילות האיראנית הזו התגלתה כשחייל צה"ל שהיה על הכוונת של האיראנים פנה לנריה לוי, יועץ בחברה, וסיפר לו על הקשר שהתפתח בינו לבין משתמשת בשם "אנה אלנה".
"הוא אמר שהתעורר בו חשד שזה בא ממקום פלילי", אומר בן גיגי, "אבל נריה אמר שזה פחות מריח לו פלילי בגלל אופי ההתקשרות, והם החליטו שימשיכו את השיחה כדי לראות לאיזה מקום זה הולך". ההמשך כבר לא השאיר מקום לספק: בהתחלה היו ניסיונות לברר נטייה פוליטית, אחר כך באה הצעת כסף תמורת משימות כמו הצתת יערות, חבלה במכוניות ויצירת פרובוקציות בהפגנות. בשלב הזה הוחלט לפנות לרשויות הביטחון, ומשם הייתה הדרך קצרה לאיתור הקורבן הנוסף — האברך שטרן.
"זו תופעה ענקית, שבה רב הנסתר על הגלוי בגלל צנזורה", אומר בן גיגי, "התופעה הזו קפצה באלפי אחוזים מאז המלחמה, אלה מספרים שלא הכרנו. אנחנו עובדים מסביב לשעון, ניגשים מאירוע לאירוע. לרוב זה לא מגיע לגיוס סוכנים, אבל רוב המקרים האלה לצערי לא מאושרים לפרסום על ידי הצנזורה".
אז יכול להיות שיש בינינו ישראלים שפועלים עבור האיראנים ואנחנו לא מודעים לזה?
"אני מעריך בזהירות שאלפים, אם לא עשרות אלפי, ישראלים קיבלו הודעות, גם אם היו מודעים לכך וגם אם לא. העניין הוא שלפעמים הם עושים את הפעולות בלי לדעת שהם מגויסים על ידי האיראנים. ברוב המקרים המגייסים לא מזדהים כאיראנים, אלא משטים בישראלים כאילו הם עושים את זה מטעמים אחרים, ולא של פעולה נגד ישראל. וכאלה יש המון, אתה תהיה מופתע מכמה התופעה הזו רחבה".
עד לפני כעשר שנים מאמץ הריגול האיראני להפעיל סוכנים בתוך ישראל לא כל כך עבד. שירותי הביטחון עצרו שורה של מרגלים איראנים, בין השאר אזרח בלגי ממוצא איראני שעסק בריגול בישראל, אזרחים ישראלים שגויסו למודיעין האיראני (בראשם השר לשעבר גונן שגב) והיו גם ישראלים יוצאי איראן, חרדים קיצונים ופלסטינים מישראל ומהשטחים.
נראה שעכשיו המודיעין האיראני מתמקד בגיוס סוכנים באמצעות הרשתות החברתיות. ב-2022 נחשפה פרשה שבה גויסו באמצעות פייסבוק ארבע נשים ישראליות ממוצא איראני ובעלה של אחת מהן. המפעיל שלהן, שהתחזה ליהודי תושב טהרן, שילם להם אלפי דולרים תמורת צילום של שגרירות ארה"ב, צילום מאבטחים בקניון בחולון, ריכוז פרטים של יוצאי איראן בישראל, ואפילו ניסיון להתקרב לח"כ קטי שטרית מהליכוד. הוא גם ביקש שישכנעו את הבנים שלהם להתגייס למודיעין, מתוך כוונה להשיג מהם מידע בהמשך. כנגד החמישה הוגשו כתבי אישום, אך בית המשפט זיכה ארבעה מהם וקבע שהיו קורבנות תמימים.
באותה שנה נחשפה פרשה נוספת שבה ניסו האיראנים לפתות בכירים ישראלים – אנשי אקדמיה, אנשי עסקים, עיתונאים ואנשי מערכת הביטחון – לצאת לאירופה, בכוונה לחטוף אותם שם. אז התריע השב"כ שהמודיעין האיראני עושה שימוש נרחב באינטרנט ויש עלייה במספר הניסיונות שלו לגייס ישראלים. ראש הממשלה אז, נפתלי בנט, בירך על חשיפת הפרשה ואמר שיש ניסיונות בלתי פוסקים של משמרות המהפכה האיראניים לגייס אזרחים ישראלים. עכשיו מקרה אלימלך שטרן זכה להרבה פחות תהודה, וראש הממשלה בנימין נתניהו כלל לא מצא לנכון להתייחס אליו.
כמה אירועים דומים התרחשו מאז 2022 ולא התגלו? ואולי התגלו ולא התפרסמו? מערך הסייבר והשב"כ, שאליהם פנינו לקבלת התייחסות, נמנעו מלהגיב. אם אכן נכונה ההערכה שמדובר בתופעה רחבה שמעורבים בה ישראלים רבים, הפרסום שלה, כך יש הטוענים, עלול לשרת את מטרות האיראנים בזריעת חרדה ופילוג בחברה הישראלית.
בן גיגי מסביר את דרך הפעולה: "הם יודעים לטרגט אנשים. הם לא פונים בצורה שרירותית, אלא מחפשים במיוחד – חיילים שהיו בעזה, אנשים מהמגזר החרדי שהם פחות חשופים לתקשורת. והם מעבירים את התשלומים בביטקוין, ואין יכולת מעקב אחרי זה".
השימוש בטכנולוגיית קריפטו להעברת כספים למימון טרור הוא אחד האתגרים הגדולים שעומדים בפני רשויות אכיפת החוק בכל העולם, וגם המודיעין האיראני עושה בזה שימוש מתוחכם שמקשה מאוד לאתר את מקור הכסף. עדו בן-נתן, מנכ"ל חברת בלוקאייד (Blockaid) שמתמחה בהגנת סייבר לתשלומי קריפטו, אומר שהחברה מזהה הרבה מקרים של העברת תשלומים למימון טרור בביטקוין או במטבעות וירטואליים אחרים: "אנחנו רואים חד-משמעית עלייה בשימוש בקריפטו לטרור. מה שראינו כאן זה אחד מהרבה מקרים לממן פעילות של מישהו, שהפעם היה 'מוצלח' עבורם והכסף עבר. איראן ומדינות אחרות פועלות כל הזמן נגדנו, מנסות לתקוף אותנו באלף ואחת דרכים, וזה ניסיון אחד מתוך הרבה".
חברת בלוקאייד פיתחה טכנולוגיה שמגינה על חברות שפועלות בתחום הקריפטו ועל המשתמשים שלהן מפני פריצות והונאות. כך למשל היא זיהתה לאחרונה אתר שהתיימר לאסוף תרומות לתמיכה בישראל אך שימש לפריצה לארנקי קריפטו של משתמשים תמימים.
ניתן לעצור את העברות הכסף לישראל? למשל בכניסה לארנקים הווירטואליים?
"במקרה הזה מדובר באדם שהיה סקרן לגבי קריפטו ופנו אליו כי ידעו שהוא יודע להשתמש בטכנולוגיית קריפטו. לאזרח רגיל זה לא פשוט להשתמש בטכנולוגיה, למרות שהיא משתפרת. תחשוב על קריפטו כמו על העברת מזומן: אין בן אדם שיכול לעצור העברת מזומן אחרי שנעשתה. ככה עובד קריפטו. אבל פתרון כמו שלנו יכול לזהות איומים וניסיונות להעביר כספים שלא אמורים לעבור. אנחנו גם מנטרים את המסלול שהכסף עשה בעולם, עוקבים אחרי הארנקים, ואם הכסף יושב באחת מהבורסות שאנחנו עובדים איתן, אנחנו יכולים לעצור את ההמרה מביטקוין לשקלים או דולרים".
רשויות הביטחון מצליחות למנוע הזרמת כסף קריפטו לישראל?
"רשויות הביטחון הישראליות מנסות להבין איך להתמודד עם זה. יש דברים שהן מסוגלות לעשות, אבל מובן שיש דברים שהם חדשים ומחוץ לתפיסה שלהן. הן עושות מה שהן יכולות עם הכלים שיש להן, והן מיום ליום משתפרות. אבל הרבה יותר קל לתקוף מאשר להגן".
מאז 7 באוקטובר נראה שהפעילות האיראנית ברשתות החברתיות התעצמה במידה ניכרת. מומחים מתחום הסייבר ומתחומי ההשפעה על תודעה אומרים לנו שמדובר במאמץ נרחב לסכסך ולפלג, לגרום להסתה ושיסוי של ישראלים אלה באלה, והוא קורה עכשיו, ממש בימים אלה, באמצעות הרשתות החברתיות. הפעלת הסוכנים המגויסים נועדה להביא את ההסתה והשיסוי האלה לרחובות ממש.
המפעילים האיראנים מיטיבים לזהות את נקודות השבר בחברה הישראלית ומלבים שנאה מתוך שימוש בנושאים הקשורים לחטופים, למחאה, להסתה נגד "אחים לנשק". המסרים שלהם מטורגטים אישית למשתמשים שהרבה פעמים מהדהדים אותם ומגבירים את התפוצה. כך מושגת המטרה של זריעת בלבול וייאוש, ואולי הובלת אנשים מסוימים למעשים לא רציונליים, למשל שיתוף פעולה עם סוכנים איראנים.
אחד הארגונים הישראליים שעוקבים אחרי ההתרחשויות מקרוב הוא "פייק ריפורטר", שעוד ב-2021 חשף ניסיונות השפעה איראניים באמצעות רשתות חברתיות. אחיה שץ, מנכ"ל פייק ריפורטר, אומר שמאז אוקטובר התופעה התעצמה מאוד. הבעיה העיקרית היא שקשה מאוד לזהות משתמשים מזויפים. פעם היה מקובל להניח שאם הפרופיל חסר תוכן, ללא חברים ועם תמונה גנרית, זה פרופיל מזויף. סממן נוסף היה עברית משובשת, לעיתים מגוחכת. אבל כל זה כנראה השתנה עכשיו. "הם משתפרים בשפה בצורה יוצאת דופן בעקבות שימוש בכלים של AI. הם מייצרים הרבה יותר תכנים ובשפה יותר טובה", אומר שץ.
בן גיגי מוסיף: "הם פורצים למשתמשים לחשבון ומפעילים אותו, ואז יש להם חברים ופוסטים, ומאוד קשה לאתר את זה. זה יכול להיות פרופיל של מישהי שממשיכה להעלות פוסטים – ואין לה מושג שמישהו משתמש בזהות שלה. אנחנו מדברים כאן על יכולות ברמת מדינה, לא ברמת ארגון פשע".
מה אפשר לעשות כדי להתמודד עם הסכנה?
"צריך לשים לב לאופי ההתקשרות, לא רק אם יש לבן אדם תמונה וחברים. האם הטקסט נראה מוזר, האם ההצעות שמגיעות נראות בעייתיות. אנחנו עושים פעולות להעלאת מודעות ללקוחות, ובכל פעם אני מקבל פנייה ממישהו שקיבל הודעות חשודות. יש לאיראנים מערך סייבר מכובד והם עובדים מאוד קשה כדי להפיל אותנו וכדי לערער את המשטר מבפנים".
שץ: "הם פורחים כשאנחנו נובלים. כשיש שיסוי וקיטוב ושנאה הם נכנסים ומנסים להקצין ולקטב עוד יותר, ואנחנו רואים את זה מתחילת המלחמה. זו פעולה מאוד חכמה: אם לא מגלים אותם הם מצליחים להיטמע ולהפעיל אנשים ולחדור יותר ויותר גם לעולם הממשי, ואם מגלים אותם ומפרסמים את זה, זה מייצר פחד וחרדה בציבור ומחשבה שהם נמצאים בכל מקום ושכל אחד עלול להיות בוט איראני".