עבור הציבור המילה "מתקפת סייבר" נשמעת כמו פעולה אחידה של כמה ילדי כאפות, אולם שיחה עם מומחה למו"מ מול חוטפים מגלה עולם מרתק, מגוון, מסוכן ואלים. אז איך מזהים חוטף ומדוע להזדהות פשוטה כגבר או אישה יכולה להיות משמעות מרחיקת לכת?
"במו"מ שניהלתי לאחרונה, זמן לא רב מרגע שהזדהיתי בפניו כאישה - הוא כותב לי שכרגע הוא צריך ללכת להתקלח, כאילו מדובר בצ'אט בטינדר. הרי ברור שלו הייתי מציג את עצמי כגבר, הוא לא היה מוצא עניין בלספר לי כמה הוא אוהב לחפוף את השיער עם שמפו חוחובה. מה שאומר בסופו של יום, שזכר הוא זכר, בין אם הוא מחזר אחרי אישה ובין אם הוא חוטף מידע".
כך נפתחה השיחה שלנו עם מוטי קריסטל, אחד שיודע דבר או שניים על ניהול מו"מ עם חוטפי בני ערובה. במשך 25 שנים הוא עוסק בתחום מרתק זה, במסגרתו לקח חלק בלא מעט תהליכי משא ומתן שניהלה מדינת ישראל ובשנים האחרונות. הוא מספק פתרונות לחברות וארגונים שנקלעו לתופת של אירוע סייבר. מוטי אינו הגורם היחיד שפועל מאחורי הקלעים: הזינוק שחל במספר מתקפות הכופר בעולם הביא ליצירת תפקיד חדש של מומחים, שנמנים עם צוות התגובה שמטפל באירוע ונשכרים לשם כך ע"י החברה עצמה, או באמצעות חברת הביטוח שנכנסת לנעליה, ולמעשה נוטלת את הפיקוד ומנווטת באמצעות אנשיה את הספינה באוקיינוס החשוך של מתקפת כופרה.
"לעין בלתי מזוינת כל התקיפות נראות כמעט אותו הדבר", מסבירים זוהר ואבי צדיק, מבעלי סוכנות הביטוח צבר - מסוכנויות הביטוח הדומיננטיות בישראל בתחום הביטוח העסקי והסייבר, "בעלי החברה נקלעו בוקר בהיר למשבר שאין להם הבנה כיצד להתחיל להתמודד איתו וכמובן שאין להם את הכלים שיש לאנשי המו"מ שחברת הביטוח מציבה בחזית עבורם. אלה רגעים בהם לא מעטים מהם, שיש להם רקורד עסקי עשיר מאוד והתמודדות עם מצבים מאוד מורכבים, שבאים ואומרים לך - קחו את ההגה ותוציאו את הארגון מהסיוט הזה".
וכיצד אנשי המו"מ מנווטים? איך זה נראה מאחורי הקלעים? על פניו, אותו אזכור של ההליכה למקלחת אותו הזכיר מוטי מצטייר כמו עוד פרט שולי, אך בפועל, מדובר בקרס פסיכולוגי שהונח בכוונה תחילה, על מנת להגדיל את החיבור הבין אישי עם ההאקר ולסייע לו להמשיך ולפצח את הפרשה.
אחת מהנחות היסוד היא כי לרוב החוטפים הם 'ילדי כאפות חננות' שהחליטו להצטרף לכמה חברים כמותם ולעשות כסף קל מהצד. בפועל, מאחורי לא מעט מתקפות עומדים ארגוני פשיעת סייבר מקצועיים באופן מבהיל, שמנהלים מערכת מסודרת לעילא, שכוללת תפקידים מוגדרים, ראשי מחלקות שפועלות באמצעות תרשימי זרימה ונהלי עבודה, כאלו שלא מעט מהחברות בישראל רק יכולות להתקנא במופת הארגוני שלהן. הם משקיעים סכומי עתק בפיתוח כלי פריצה וחלקם אף עובדים באמצעות זכיינים. הרצינות שלהם תהומית, עד כדי כך שאחת מקבוצות הפשיעה המסוכנות והגדולות בעולם, מייז, גם פתחה אתר אינטרנט, בו מסופקים, בין היתר, דוחות סיכום למהלכים שהם ביצעו, שכוללים את הערכת הנזק שנגרם לחברה ואינפורמציה נוספת ומטרידה כגון זהות אנשי המקצוע ששכרה החברה המותקפת. עד כדי כך.
אי לכך, אחד מהשלבים הראשוניים טרום המו"מ הוא לזהות את המוטיבציה של התוקף: האם מדובר בעובד שמחפש נקמה, קבוצת האקרים מקצועית שלא תסתפק בכופר זעום או שמא חבר'ה צעירים, בתחילת דרכם הפלילית, שניתן יהיה לספק עם כמה מאות דולרים? הניתוח מסתמך על מכלול של אינדיקציות, חלקן טכנולוגיות פורנזיות, אך חלקן הארי מגיע מלמידה ואיפיון של דפוסי ההתנהגות שלהם.
מטבע הדברים, לא ניתן לחשוף באופן מלא את סט כלי העבודה ומגוון האינדיקציות שמתבססים עליהם לצורך איפיונו של הכופר, אולם ניתן למשל את 'סרגל ההתרגשות' - לרוב, כאשר מדובר בעבריינים שאלו צעדיהם הראשונים בעולם דרישות הכופר, ניכר כי הם מתרגשים באופן טבעי מההייפ שכרוך בסיטואציה הזו ומקיימים תקשורת תגובתית מאוד: "הם מגיבים מהר, יש פינג פונג מהיר בטלגרם", אומר קריסטל, "זה נראה אחרת לגמרי כאשר מן הצד השני יש קבוצת האקרים חזקה ומנוסה, שלוקחת את הזמן ומכלכלת את הצעדים שלה באופן מחושב.
"בהמשך או במקביל לכך, פועלים מומחי המו"מ מבעד לתבנית קבועה מראש, שכוללת שלושה שלבים בדרך לפיתרון המשבר. הראשון הוא ההכלה: הרגעה של האירוע והנמכת גובה הלהבות הרגשיות. קשה לנהל מו"מ יעיל עם האקר לחוץ או מוצף רגשית, ממש בדומה לכך שלא ניתן לנהל דיאלוג מפרה עם בן זוג זועם. תחילה מורידים את מפלס הזעם, ואז ניתן להתקדם לשלב הבא - ההתחברות. בנקודת זמן זו, על ציר הטיפול באירוע, מגיע הרגע בו נדרש לייצר את החיבור הבין אישי בין הצדדים: זה יכול להיות חיבור רגשי אותו יוצרים באמצעות כל מיני מניפולציות. למשל, יש מקרים בהם אני מציג את עצמי כבן של המנכ"ל או הבעלים של החברה - זה יוצר הזדהות אצל הצד השני ומעמיק את 'הדיבור' בינינו. לצד זאת, החיבור גם יכול להיות אינסטרומנטלי. אפשר להשתמש בטקטיקה של 'ההנהלה לא מעוניינת לשלם אבל שנינו יודעים שצריך לסגור עסקה'. כך אני יוצר למעשה ברית של סוגרי עסקאות, שמתבססת על ההבנה כי קיימת היררכיה ארגונית בה הכופר לא מדבר בהכרח עם זה שמקבל את ההחלטות".
אותה טקטיקה משמשת פעמים רבות את מנהלי המו"מ לצורך רכישת זמן. הם מייצרים מצג של דיון ענייני ואמיתי על גובה הכופר, בעוד ברקע, גורם נוסף בצוות התגובה של מומחי הסייבר פועל על מנת לשחזר את הקבצים. ברגע שהעבודה הסתיימה והמנוף של ההאקרים קרס, איש המו"מ מברך אותם בלהתראות ובזה הסתיימה עבודתו. אך גם ההאקרים, לבטח המתחוכמים והמנוסים שבהם, ראו דבר אחד או שניים בחייהם ובטרם הם נועלים את הקבצים, הם מוודאים בדרכים כאלו ואחרות שלא נותר גיבוי זמין.
שלושת השלבים שצוינו מעלה ייעשו בהלימה להיבט נוסף : סוג התקיפה עימה מתמודד הארגון או החברה. קיימים, למעשה, ארבעה סוגי תקיפה שנבדלים זה מזה ברמת התחכום.
- הסוג הראשון הוא 'הכופרה הפשוטה' - מצב בו מושתלת לך במחשב תוכנת כופרה פשוטה יחסית, לרוב באמצעות קבוצות האקרים לא מקצועיות, שדורשים עבור שחרור המידע סכומים נמוכים שנעים סביב 10 אלף דולר.
- בקומה עליונה יותר ניצבת 'שירותי כופרה אוטומטיים' - כאן כבר מדובר בתעשייה של ממש בה "בתי חרושת", מפתחים מנוסים, מייצרים תוכנות כופרה ומעבירים אותן לזכיינים שפועלים באופן רוחבי ובמקביל כנגד אין ספור מטרות, כאשר סכומי הכסף שמבוקשים עבור שחרור המידע כבר קופצים לרמות אחרות לגמרי ונעים סביב 200-300 אלף דולר. היה והם מצליחים, הזכיין מעביר סכום מסוים ליצרן הווירוס, משל היה סניף של ארומה. בשונה מהשלב הראשון, כל תהליך המשא ומתן נעשה תוך שימוש במערכות אוטומטיות וחלקן אף בבוט. כמו בחיים, כשאתה מתעצבן על הבוט שנותן לך שירות באתר רגיל, גם כאן, האתגר של הנושא ונותן הוא לפצח את הבוט ולהגיע לבן אדם שאפשר לשכנע אותו לתת הנחה גדולה יותר או להאריך את הדדליין.
- ולהיכן יש עוד לטפס? ל'הצפנה הכפולה' - בשונה מהקומות מטה, כאן מתמודדים בעלי העסקים או הארגונים גם עם דרישה לתשלום בעבור פתיחת הקבצים המוצפנים, וגם תשלום על מנת למנוע גניבת מידע רגיש כמו תעודות זהות, פספורט או פרטי אשראי מלאים, אותו ניתן למכור בנקל בדארקנט. סכומי הכופר בקומה זו גבוהים ממליון דולר, ואת ההצפנה הכפולה מנהלות בדרך כלל קבוצות התקיפה המתוחכמות יותר. בשנה האחרונה החלו אותן קבוצות תמיכה להשתמש בשיטות אלימות יותר כדי לשכנע את הקורבנות לשלם: החל משימוש בפרסומות פייסבוק, אתרי שיימינג כדי לחשוף את התנהגות הקורבן, ואף שיחות במבטא רוסי כבד למנהלי החברות, ולעודד אותן לשלם את הכופר.
- ומעל לכל, ניצבת הקומה הרביעית, שמוגדרת כאופרה אחרת לגמרי. במקרה כזה, המידע שנגנב אינו כרטיס אשראי או נתונים אישיים אלא נוסחאות סודיות של מוצרים, מידע על פיתוחים טכנולוגיים ששווים הרבה מאוד כסף. מקרה ידוע "שהתחפש" למתקפת כופר היתה תקיפה בחודש יוני האחרון על אוניברסיטת קליפורניה. האוניברסיטה שילמה סכום של 1.14 מליון דולר כופר, אולם ניתוח של ההתכתבות עם התוקפים מצביע כי הכסף לא היה המניע, אלא ככל הנראה דווקא מחקר החיסון לקורונה המתקדם של האוניברסיטה.
וכמה עבודה יש לאותם מנהלי מו"מ? לדברי זוהר ואבי צבר, מערך הסייבר פרסם כי בשנת 2019 קיבל המערך דיווחים על 200 אירועי כופרה בישראל, אולם במציאות המספרים גבוהים משמעותית" "זה קורה מונים רבים מעבר למה שהציבור חשוף אליו. לתקשורת מגיעים רק רסיסים מהאירועים בגינם משלמות החברות במצטבר עשרות מיליוני דולרים".