fbpx !-- Global site tag (gtag.js) - Google Analytics -->

פורץ דרך: פריחת הרושעות | נעם רותם

הן מתנהלות כמו חברות הייטק, עם מנהלים, מתכנתים, מעצבים ואף שירות לקוחות. אבל בפועל מדובר בארגונים שכל עבודתם היא קצירת מידע המוני ממחשבים, כולל אלה שלכם, ומכירתו לכל דורש. הכירו את ההתפתחות המרהיבה בעולם הרושעות | מדור טכנולוגי חדש שילמד אותנו את כללי ההתנהגות בג'ונגל

0

אמרה ידועה גורסת ש"אם תיפגע אנושות בתאונה, חבר טוב יבוא להלוויה שלך, אבל חבר אמת ירוץ וימחק את היסטוריית הגלישה מהמחשב לפני שבני משפחתך יגיעו אליו". זה אולי משעשע, אבל המידע שנמצא על המחשב שלנו הפך מזמן ליקר ערך עבור גופים רבים, לגיטימיים יותר או פחות.

אלפי ישראלים יושבים כעת בביתם, אולי אפילו מול המחשב, בלי לדעת בכלל שכל פרטיהם מוצעים למכירה ברשת, ואפילו לא תמורת יותר מדי כסף. בניגוד לרוגלות מדויקות כמו פגסוס של חברת NSO, שלטענת החברה מופעלות אך ורק נגד ארכי־נבלים, ולטענת אחרים גם נגד מתנגדי משטר, כאן מדובר על אנשים רגילים מן היישוב.

כלומר, ייתכן שחלקם הם ארכי־נבלים או מתנגדי משטר, אבל אם נמשיל את הרוגלות של חברות הסייבר ההתקפי לצלצל חד ומדויק, כזה שבעבר הופעל נגד לווייתנים, הכלי שבאמצעותו נשאב המידע של אותם אלפי ישראלים דומה יותר לרשת דייגים, כזו האוספת בדרכה גם סרדינים, דגי טונה וכמה מדוזות. מה שבא.

עוגי פלצת

לא מדובר במשהו מתוחכם מדי: משכנעים את המשתמשים ללחוץ על קישור כזה או אחר, לפעמים להוריד איזה כלי שאותו הם מחפשים, והופ – הרושעה עושה את זממה במכשיר וגונבת ממנו כל מה שרק אפשר. זה לא מעט, כמובן.

ראשית, כל הסיסמאות השמורות בדפדפנים עושות דרכם לידי הפושעים. נמצאות שם סיסמאות לחשבונות הדוא"ל, לחשבונות הרשתות החברתיות, לחשבונות הבנקים, קופות החולים, סיסמאות למערכות של העבודה, למערכות צבאיות (מתגייסים, מתברר, עושים היום הכל ברשת) ועוד ועוד ועוד.

אחרי הסיסמאות נשלחות גם כל הקוקיות (עוגיות) השמורות על המחשב, מה שמאפשר, פעמים רבות, לעקוף מנגנוני הזדהות. באמצעות לקיחה של קוקית אחת ממחשב אחד ושתילתה במחשב אחר, הגנב בעצם מתחזה לבעליה החוקי של הקוקית, ומערכות רבות (כמעט כולן, למעשה) אפילו לא יטרחו לבקש ממנו סיסמה, אלא יכניסו אותו אחר כבוד לחשבון כאילו היה בעליו החוקי.

גם היסטוריית הגלישה משותפת עם התוקפים, מה שמאפשר למי שהמידע נופל ברשותו ללמוד לא מעט על המשתמש. אדם שחשבונותיו מספרים כי הוא עובד במערכת החינוך אולי היה חושב פעמיים לפני שהיה משתף את הרגלי הגלישה שלו באתרי מין או באתרים בעלי אופי ממלכתי פחות. כל עמוד ועמוד שבהם גלש הקורבן נחשף לעיני התוקפים, ואם מישהו ימצא בהם עניין, זה יכול להעמיד את הקורבן במצב מביך מול סביבתו.

התוקפים גם לוקחים כמה "צילומי מסך" ברגעים שונים, רואים מה בדיוק עושה המשתמש באותו רגע, מה פתוח לו על המסך, שואבים מהמחשב הנגוע את רשימת כל התוכנות המותקנות בו, כל התהליכים הרצים ברקע, כל החיבורים ומידע טכני נוסף, והדבר יכול לאפשר להם לזחול מהמחשב הנגוע למחשבים אחרים באותה הרשת.

גם קבצים נגנבים, בעיקר קובצי טקסט, שבחינה מדגמית שלהם מראה שהם בעיקר מכילים סיסמאות נוספות או פרטי גישה לחשבונות אחרים, אבל לפעמים גם מכתבים, עבודות לבית הספר, ונתקלתי אפילו בתמלול של שיחה עם בעל בית שעל פי הטקסט נשמע כמו אדם בלתי נעים בעליל. בקיצור, רוב הדברים הקריטיים לזהותנו ברשת נחשפים לעיני התוקפים, שבתורם יעשו הכל כדי להוציא מהם את המרב.

זילות המקצוע

מדובר באלפי ישראלים שכל המידע הזה נלקח מהם, אבל לא מדובר רק בהם. מאות אלפי משתמשים ברחבי העולם נפלו, וממשיכים ליפול, קורבן לרושעה הזו, שמה שמייחד אותה הוא הקונספט רושעה כשירות (Malware as a service).

אם בעבר יזם שאפתן בתחום הרושעות היה נדרש לדעת דבר או שניים באבטחת מידע, לכתוב קוד, לבדוק אותו על מספר גדול של מערכות, להקים שרתים במקומות שונים בעולם, להסוות את התקשורת, להצפין, לחמוק משלל מערכות זיהוי איומים, להפיץ תיקונים ועוד. היום כל מה שהוא צריך זה כרטיס אשראי ולהתחיל לקבל את המידע.

תמורת כמה מאות שקלים בחודש, ולפעמים אפילו פחות, אפשר לקבל גישה לתועפות של מידע מפולח ומסודר, זמן קצר אחרי שנקצר ממחשבי הקורבנות. אם זמן הוא לא גורם חשוב במיוחד בשבילכם, רוב המידע ישוחרר חינם כחודש לאחר גניבתו, וכך כל אדם בעל גישה לרשת יכול לחטט בנבכי חייהם של אלפים, ופוטנציאל הנזק הטמון כאן הוא עצום.

החברות המפעילות את שירותי הרושעות הללו מתנהלות כחברות הייטק לכל דבר, רק שבמקום למכור שירותי ענן להגשת פרסומות, נניח, הן עושות את אותו הדבר בתחום הרושעות. יש להן מנהלים, מאפייני מוצר, מתכנתים, מעצבים, ואפילו מחלקת שירות לקוחות יעילה. אוטופיה לגנבים.

הטרנד הזה הולך וצובר תאוצה בשנים האחרונות, ואפשר למצוא שלל שירותים מרושעים המוצעים למכירה לאנשים שאינם טכניים, אבל מעוניינים לטבול את רגליהם בעולם הפשיעה המקוונת. ברם, האבולוציה החדשה והמדאיגה שלו חושפת את המידע הגנוב לעיני כל, ולא רק למי שמשלם.

עם התגברות התחרות בענף, מחלקות השיווק בכנופיות הסייבר המקוון ניסו למצוא דרכים להתבלט מעל מתחריהן ונאלצו להיות יצירתיות יותר כדי להביא לידיעת לקוחות פוטנציאליים את מרכולתן.

אם בעבר הן פעלו כשכירות חרב שנשכרו בידי לקוחות לביצוע פעולות מדויקות יחסית – נניח לפרוץ למערכות של חברה מסוימת ולהוציא מתוכן את המידע העסקי – עם התפתחות התעשייה והתחרות בה, הן התחילו ליזום פעולות כאלה בעצמן: לפרוץ לשלל מערכות, להוציא מהן את המידע, ואז לחפש קונים למידע הזה בקרב המתחרים של אותם הקורבנות. השווקים האלה עדיין פעילים מאוד, ואפשר למצוא בהם אינסוף מידע ממערכותיהן של המוני חברות ברחבי העולם.

 

צמיחת הכופרות

ישנם חוקרים המצביעים על נקודת המפנה בתעשייה, עם כניסתה לתחום הכופרות: תוכנות זדוניות המצפינות את המידע השוכן במחשבי הקורבנות ודרישת תשלום כדי לקבל מפתח שיאפשר לפענח מחדש את המידע שנלקח כבן ערובה.

ארגונים רבים, בעיקר ברוסיה ובמזרח אירופה, הקימו מוקדי תמיכה ושירות לקוחות גדולים ש"עזרו" לקורבנות שמחשביהם נפלו ברשת לרכוש ביטקוין או מטבעות קריפטוגרפיים אחרים כדי שיוכלו להעביר תשלום לכנופיות הכופרה. על פי כמה פרסומים, הצליחו לגרוף בדרך זו מאות מיליוני דולרים בכל רחבי העולם.

אבל כידוע, אף פעם אין כזה דבר "מספיק", וכנופיות הפשע המקוון לעולם ינסו לסחוט עוד כמה דולרים מהלימון הזה. השלב הראשון היה לא להסתפק בהצפנה של המידע על מחשב הקורבן ולמכור לו מפתחות פענוח, אלא לגנוב את המידע טרם הצפנתו, כדי לבדוק אם יש שם חומרים בעלי ערך.

כך, תמונות מביכות, חשבונות בנק או מטבעות קריפטוגרפיים אחרים, סיסמאות ועוד נשלחים למערכות הכנופיות, ולעתים הן מוצאות בהם שימוש נוסף. דרך הפעולה הזו הניבה לפעמים מציאות, אבל ברוב המכריע של המקרים היה מדובר בבזבוז זמן ומשאבים שהסיט את הפוקוס מפעילותה העיקרית – שתילת כופרות וגריפת כספי הערובה.

המידע העודף הזה פתח שוק משני של מכירת המידע הגנוב לחברות אחרות שהתמחו בעיבודו ובניצולו. ככל שהזמן בין קצירת המידע לבין עיבודו היה קצר יותר, כך גבר הסיכוי שהקורבן לא הספיק להחליף סיסמאות ולהגן על חשבונותיו.

הצלבות בין דליפות קודמות ממסדי נתונים של חברות אשראי ובנקים, חברות מסחריות וארגונים ממשלתיים לבין המידע שנקצר ממערכות הקורבנות עזרו לסמן מטרות עסיסיות יותר, כאלה ששווה להשקיע בהן מאמץ רב יותר כי הן ככל הנראה מחזיקות נכסים שאפשר יהיה לגנוב.

אבל ככל שזרם המידע גבר והיקפיו גדלו, כך בחרו החברות האלה להתמקד כמעט בלבד בדגים השמנים, ואלפי קורבנות אחרים לא זכו לטיפול דומה. גם המיקום הגיאוגרפי של הקורבנות היה שיקול מכריע, וכל קורבן מחוץ לתחומי צפון אמריקה ומערב אירופה כמעט שלא זכה להתייחסות. כאמור, בעיני הכנופיות היה מדובר בפוטנציאל רווח מפוספס, ואת זה הן לא אוהבות.

 

כמה עולה מנוי

כך נפתח שוק שלישי של מידע גנוב, כזה שהכיל מידע ממחשבי המוני קורבנות שלא היו חשובים מספיק לכנופיות הגדולות, אבל עדיין היה בעל ערך לאופרציות נישתיות יותר – כאלה המתמחות בתחום פשע מקוון ספציפי מאוד, למשל מכירה של חשבונות ברשתות החברתיות, השתלטות על חשבונות במשחקים מקוונים, הפעלת רשתות בוטים או פעילות בטריטוריות גיאוגרפיות ספציפיות.

ככל שהזמן בין גילוי העובדה שמחשב הקורבן נפרץ לבין הזמן שכנופיות הפשע ניצלו אותו היה קצר יותר, כך אחוזי ההצלחה שלהן היו גדולים יותר. הבעיה הייתה שמטרת הכופרה היא למשוך את תשומת הלב של הקורבן, בשעה שהשתלטות על חשבונותיו דרשה זריזות וחשאיות.

הדיסוננס הזה, בין הצורך בתשומת לב לבין הצורך בחשאיות, הוליד זן חדש של רושעה: Stealer, או בעברית "שואבה". הרושעה הזו מופצת בשלל אמצעים, לא שונים מאוד מהאמצעים הנמצאים בשימוש בידי הכופרות כמו שליחת לינקים מזיקים למשתמשים באמצעות דוא"ל, מסרים מיידיים, או בשתילתן בתוצאות החיפוש של תוכנות מועילות יותר.

בניגוד לכופרה שמיד עם התקנתה מציגה הודעה מאיימת למשתמש, שבה היא מודיעה שכל המידע על המחשב הוצפן ושייך עכשיו לכנופיית התוקפים, שואבה עושה הכל כדי שלא יבחינו בה לזמן רב ככל האפשר, במטרה לאפשר ללקוחותיה לנצל את המידע הגנוב לפני שבעליו החוקי יידע שהוא כבר לא רק שלו.

הגופים השותלים ומפעילים את השואבה, מוכרים מעין "מנוי" המעניק גישה לכל המידע הגנוב דרך ממשק משתמש נוח שמאפשר פילוח והתמקדות בדיוק בחלקי המידע הרלוונטיים.

מנוי כזה נמכר במחירים שנעים בין כמה עשרות לכמה מאות דולרים בחודש, עם הנחות נוספות על קנייה מראש, וכמו בכל בית עסק מקוון שמכבד את עצמו, הם מציעים מבצעים לחגים ולאירועים מיוחדים.

המנויים זוכים לגישה מלאה למידע זמן קצר אחרי שנקצר, ונהנים גם מעדכונים תכופים לממשק כדי להקל את עבודתם ולפתור באגים ותקלות. אבל המוחות השיווקיים המבריקים בכנופיית הפשע המקוון לא עוצרים כאן, וכדי למשוך לקוחות חדשים הם פשוט משחררים את המידע הגנוב הישן יותר לאחר שעבר זמן מסוים ממועד קצירתו, זמן מספיק, לטעמם, כדי שהמנויים המשלמים ינצלו אותו.

כך הם נהנים מכל העולמות: ראשית, שומרים לעצמם את הדגים השמנים באמת; שנית, מוכרים את המידע לכנופיות מתמחות; שלישית, מוכנים מנויים לגישה למידע הטרי; ולבסוף, אחרי שכבר מיצו כל מה שאפשר, משתמשים בשאריות כדי למשוך לקוחות משלמים חדשים. אלו אופרציות מהוקצעות ומשומנות שמכניסות למפעיליהן המון כסף בכל חודש ‒ והכל על חשבוננו.

 

    LinkedInEmailWhatsAppTwitterFacebook