האם פושעי העולם התחתון הישראלים עוברים לפשעי סייבר? מספר חשודים שנעצרו לאחרונה מעוררים דאגה בקרב רשויות האכיפה. בפרקליטות המדינה מעריכים שהמקרים שנחשפו הם רק קצה הקרחון. רם לוי, מומחה להגנת סייבר, מתריע: "אם הפשיעה בישראל תהפוך לפשיעת סייבר, אנחנו צריכים להתחיל לדאוג. זו המגמה הכי מסוכנת שיכולה להיות פה".
לפני כמה שבועות לכדה המשטרה את מיכאל זייצב, תושב נתניה בן 23, והוא הואשם במכירת תוכנות כופרה בקבוצות בטלגרם. זייצב פרסם באחת הקבוצות מודעה למכירת כופרה. הצצה לקבוצה מגלה שהוא הציע למכירה גם אפליקציות לשיגור ספאם ולביצוע פעולות פישינג. יחידת הסייבר הארצית בלהב 433 הפעילה שוטר סמוי, שהתעניין לדעת אם הכופרה תאפשר לו לגנוב לקוחות מיריב עסקי שלו. המוכר השיב בחיוב ופירט את תכונות הכופרה בהרחבה ואפילו התפאר שהוא משמש כמתווך עבור פושעי סייבר "איראנים, הודים, וקצת רוסים פה ושם". השוטר הסמוי ביצע שתי עסקות נפרדות תחת שתי זהויות שונות, ורכש עותקים של הכופרה תמורת 500 דולר לעותק, כשהתשלום מועבר בביטקוין לארנק הווירטואלי של המוכר.
בדיקת התוכנה על-ידי חוקרי המשטרה העלתה כי מדובר בכלי הצפנה חזק, שנועל את קובצי הקורבן ואינו מאפשר להשתחרר מהם אלא תמורת תשלום עבור מפתח ההצפנה. התוכנה מאפשרת לבחור אילו קבצים לנעול במחשב הנתקף והיא שותלת אוטומטית מכתב כופר בכל אחת מהתיקיות של המחשב. במחשב ה-ASUS של הנאשם מצאו החוקרים סרטוני הדרכה להפעלת כופרה וחלקים ממכתבי דרישת כופר.
במחלקת הסייבר בפרקליטות המדינה אומרים כי האירוע מפנה את תשומת הלב לפעילות מכירה וקנייה של תוכנות כופרה ונוזקות בטלגרם, פעילות שחשיפתה קשה באופן מיוחד לנוכח העובדה שהחשודים פועלים באמצעים שונים להסוואת זהותם ולהסוואת התשלומים שהם מקבלים בתמורה לפעילות האסורה. בפרקליטות לא יודעים להגיד אם הכופרה נמכרה לפושעים ישראלים, או אם נעשה בה כבר שימוש כחלק מהתקפות הכופרה בישראל, ואולם מביעים חשש שקבוצות טלגרם ואולי סיגנל ישמשו ל"הצפת" כלי פשיעת סייבר החוצה, לשוק הישראלי.
החששות האלה מתחזקים על רקע אירועים נוספים שמעידים על התעניינות גוברת של גורמי פשיעה ישראלים בפשיעת סייבר. לפני כמה חודשים עצרה המשטרה ארבעה חשודים בהפעלת "תשתית פישינג". החשודים הקימו מערך לשיגור מתקפות פישינג בהודעות SMS, ששימשו לגניבת פרטי כרטיסי אשראי מאזרחים בישראל, תוך התחזות להודעות רשמיות של פייפאל. באמצעות מספרי כרטיסי האשראי הגנובים הם העבירו תשלומים ללא כיסוי לארגונים ואנשים פרטיים וקיבלו בתמורה חלק מהסכום במזומן. באירוע אחר עצרו חוקרי מחלק הסייבר ביחידה המרכזית בשיתוף עם מערך הסייבר הלאומי שלושה אנשים בחשד למתקפת סייבר נגד לקוחות בנקים, גניבת זהויות של לקוחות בנקים מרכזיים בישראל וגניבת מאות אלפי שקלים. כמו כן, נעצרו שני עברייני סייבר ישראלים שביצעו הונאת פישינג בפורומים של סוחרים בביטקוין ברשת וגנבו סיסמאות לארנקים דיגיטליים, שאפשרו להם גניבת סכומים גבוהים במטבעות וירטואליים שונים מארנקים דיגיטליים ברחבי העולם.
במשטרה מביעים דאגה זה זמן רב מהתגברות פשיעת הסייבר בישראל. המפכ"ל הקודם רוני אלשיך אמר ב-2018: "העולם הפך להיות מחובר ורשתי והמהפכה התחוללה גם בתחום הפשיעה. כך למשל אין צורך לקחת סיכון על-ידי שוד בנק, אם אפשר לגנוב את אותו הסכום בקלות באינטרנט. אין צורך לנהל קזינו בלתי חוקי, אם אפשר להמר באינטרנט. וכך גם לגבי עבירות הפדופיליה. עבירות ברשת האינטרנט חושפות את אזרחי המדינה לאיום פלילי מכל רחבי העולם ולהפך, פותחות אפשרויות אינסופיות עבור עבריינים ישראלים".
רם לוי, מנכ״ל חברת קונפידס ולשעבר מרכז ועדת הסייבר של משרד ראש הממשלה, אומר שאם עולם הפשע בישראל יגלה את פשיעת הסייבר, יהיה הרבה יותר קשה להתמודד איתו מאשר עם פושעי סייבר זרים. "עד היום רוב התקיפות של חברות ישראליות, בסבירות גבוהה בוצעו על-ידי ארגונים שלא נמצאים בישראל", הוא אומר. "אם הפשיעה בישראל תשתנה ותהפוך מפשיעה אלימה לפשיעת סייבר, אז מצבנו יהיה בכי רע".
לדבריו, פושעי סייבר ישראלים יכולים להגיע פיזית אל הקורבנות, לשתול במחשבים שלהם נוזקות מסוכנות באמצעות דיסק-און-קי או או דרך דומה ולעקוף את כל מנגנוני ההגנה. "הסיבה שהם לא עושים את זה היא לדעתי, שהם עדיין לא הבינו שיש יותר סיכוי להרוויח כסף בסייבר מאשר בפשיעה אלימה. יש פה גם כוח אדם מקצועי, גם נגישות, גם סיכוי קטן להיתפס. כשאתה לוקח את כל הדברים האלה ביחד, אז זו המגמה הכי מסוכנת שיכולה להיות פה. כשהפשיעה האלימה בישראל תגיע לאזורים של הסייבר, אז באמת אנחנו צריכים ממש להתחיל לדאוג".
האיום שבשימוש בטלגרם למטרות פשיעה הוא כנראה רק הקדימון לאיום האמיתי שבשימוש בסיגנל המאובטחת יותר. בחברת מודיעין הסייבר הישראלית אינטסייטס (Intsights), המתמחה בדארקנט ובמיפוי פשיעת הסייבר, מתריעים שסיגנל עלולה להפוך לפלטפורמה לעבריינים עד כדי חלופה לדארקנט. אלון ארבץ, מנהל הפעילות בישראל, אומר כי החברה זיהתה דיונים בין האקרים שעוסקים במידת ההתאמה של המערכת לשימושים עברייניים, עד כמה אפשר לסמוך על האנונימיות שהיא מעניקה, ועוד. "אנחנו יכולים לראות שיש כבר התעניינות גדולה מצד האקרים והם שוקלים לעבור לסיגנל כעוד ערוץ שהם יכולים להשתמש בו", אומר ארבץ.
יותם כ"ץ, מנהל מוצר באינטסייטס, אומר שבדיונים נצפו האקרים, אנרכיסטים ומפיצי תיאוריות קונספירציה רוסים, גרמנים, איטלקים, אמריקאים וערבים. אומר כ"ץ: "זו רק ההתחלה. בינתיים הצלחנו לראות פריצות של שרתים, קבוצות שעוסקות במחאה נגד השלטון וקבוצות שעוסקות במידע גנוב. אם הם ישתכנעו שזה בטוח, הדברים הבאים יהיו כרטיסי אשראי למכירה, סיסמאות גנובות, סחר בסחורה גנובה ועד שוק שחור שכולל סמים, נשק ולעיתים גם הזמנת מתקפות (סייבר ופיזיות)".
האם סיגנל מעניקה להם חשאיות כמו הדארקנט?
"הארגון מצהיר שההודעות במערכת לא נשמרות על השרתים שלהם, אפילו לא באופן מוצפן. גם אם יינתן צו של בית משפט, מה שהם יוכלו לתת זה זמן החיבור האחרון, תאריך יצירת החשבון ומספר הטלפון של המנוי".