ההאקר מערערה: כך גנב גאון מחשבים בן 28 כ-338 אלף שקל

בתחכום המאפיין פורצי מחשבים מפורסמים, פצח אחמד מסארווה במתקפת סייבר על ההגנות של המערכות הפיננסיות המאובטחות בארץ, ליקט סיסמאות של לקוחות - וחגג על חשבונם

האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

בשנת 2015 הגה בחור צעיר מערערה, אחמד מסארווה שמו, תוכנית עבריינית שאפתנית לגניבת כספים מלקוחות של הבנקים ושל חברות האשראי בארץ. זאת, תוך ישיבה נינוחה וחמימה על כיסא המחשב בביתו. במסגרת התוכנית השיג הצעיר, בן ה-28, את קוד המשתמש והסיסמה הסודית של לקוחות בנקים שונים בישראל, דרך אתרי האינטרנט המאובטחים שלהם, וכן את פרטי כרטיסי החיוב ועותק דיגיטלי של מסמכים רשמיים מזהים של אותם לקוחות.

הפרטים החסויים של החשבונות שימשו את מסארווה לצורך ביצוע עסקאות באמצעותם, תוך התחזות לבעליהם, וכן למשיכת כספים מהחשבונות ו/או העברתם לחשבונות שדרכם יוכל לקבל את הכספים. זאת, בין היתר, באמצעות העברות בנקאיות להטענת כרטיסי מט"ח של בנק הדואר, העברות לנותני שירותי מטבע לטובת רכישת מטבע וירטואלי מבוזר מסוג ביטקוין ומשיכת מזומנים ממכשירים למשיכת מזומנים.

בנוסף השתמש מסארווה בפרטי כרטיסי החיוב ובעותק דיגיטלי של המסמכים הרשמיים המזהים, לצורך ביצוע עסקאות באמצעותם, תוך התחזות לבעליהם, רכש לעצמו מוצרים ושירותים על-חשבון לקוחות חברות האשראי והבנקים, ואף השתתף בהימורי ספורט על חשבונם.

בתקופה שבה נוהל המבצע העברייני, היו לצעיר מערערה 12 מיילים שונים, והיו בבעלותו או בשימושו 27 כרטיסי "סים" למכשירי טלפון ניידים שונים - רובם כרטיסים מסוג PrePaid, המשולמים מראש בלי צורך להזדהות בפני חברת התקשורת הסלולרית.

בשנים 2015 ו-2016 פרץ מסארווה לחשבונות שונים והשתמש במאגרי מידע בלתי חוקיים הכוללים עשרות אלפי חשבונות דוא"ל של אזרחים ישראלים, סיסמאות משתמשים לכניסה לאתרי אינטרנט שונים, מספרי טלפון ופרטים מזהים נוספים, פרטים של אלפי כרטיסי חיוב של אזרחים ישראלים, ובשלב מסוים אף החזיק מאגר "אגרון", שבו פרטי כלל אזרחי המדינה מתוך מרשם האוכלוסין, לרבות שם, מספר זהות, כתובת, תאריך וארץ לידה, קשרי משפחה ומספרי טלפון.

חדר ל-36 חשבונות וגנב מהם כספים

באמצעות המאגרים והמידע שהשיג וכן כרטיסי האשראי "הגנובים", משך מסארווה מחשבונות הבנק של לקוחות תמימים ולא חושדים 338 אלף שקל. במסגרת מסע השופינג שביצע על-חשבון אחרים, רכש מסארווה בין היתר נעליים, בשמים ורחפן.

הסיפור הזה, סיפורו של גאון המחשבים מערערה, שהחליט להשתמש בידע שלו על-מנת לבצע תרמית וליטול כספי אחרים, הגיע באחרונה לסיומו בגזר דין של בית המשפט המחוזי בתל-אביב, ששלח את מסארווה ל-31 חודשי מאסר בפועל (בניכוי 107 ימי המעצר שריצה) וכן הטיל עליו 28 חודשי מאסר על-תנאי.

זאת, לאחר שמסארווה הודה והורשע על-פי הודאתו, במסגרת הסדר טיעון, בעבירות של חדירה למחשב כדי לעבור עבירות של פגיעה בפרטיות, קבלת דבר במירמה בנסיבות מחמירות, גניבה וניסיון גניבה, התחזות לאדם אחר, הונאה בכרטיסי חיוב והלבנת הון.

הפרשה, אשר מעוררת תחושות קשות של חדירה לפרטיות וחוסר נוחות ביחס לאופן שבו נשמרים פרטינו החשובים ביותר באינטרנט, מעלה על סדר היום את הקלות הבלתי נסבלת שבה יכול אלמוני - במקרה זה, צעיר מכפר בצפון - לגזול כספים של אחרים, בלי שיצטרך אפילו לצאת מהבית או לקום מכיסאו מול המחשב. לקוחות הבנקים שכספם נגזל אף סייעו לו לבצע את התרמית בלי שידעו זאת.

איך הוא עשה זאת? במסגרת כתב האישום המתוקן, שבעובדותיו הודה מסארווה, מתוארת השיטה: מסארווה השיג את קוד המשתמש והסיסמה של עשרות לקוחות הבנקים ואת מסמכי ההזדהות שלהם, בין היתר, באמצעות פעולות "דיוג" שביצע, הוא שלח ללקוחות הבנקים מסרונים והודעות דוא"ל כוזבים, אשר נחזו להיות הודעות מהבנק או מגוף פיננסי אחר, הקוראים ללקוח להיכנס לקישור המצורף למסרון או להודעת הדוא"ל, להזין את פרטיו האישיים, לרבות קוד המשתמש והסיסמה להתחברות לחשבון הבנק, פרטי כרטיס החיוב שלו, ועותק דיגיטלי של מסמכים רשמיים מזהים ("הדיוג").

כניסת לקוח הבנק לקישור אשר צורף למסרון או להודעת הדוא"ל, הפנתה את הלקוח, ללא ידיעתו, אל עמוד כוזב ומטעה בעל כתובת אינטרנט הנחזית להיות עמוד הכניסה לאתר הבנק - "האתר המתחזה". לאחר הזנת פרטיו האישיים באתר המתחזה, הועברו הפרטים אל מסארווה או מי מטעמו.

לצורך קידום התוכנית העבריינית וביצועה נערך מסארווה מבחינה טכנולוגית, ובין היתר רכש שמות מתחם (Domain Names) שונים להקמת אתרי האינטרנט המתחזים; רכש שרתי מחשב (Computer servers) הממוקמים במקומות שונים בעולם, שעליהם אחסן את ערכות הדיוג, ובכלל זה את אתרי האינטרנט המתחזים ואת הפרטים אשר התקבלו מלקוחות הבנק; הצטייד בתוכנת מחשב המשמשת כ"מחולל מספרי טלפון" ומאפשרת יצירת רשימה של מספרי טלפון ישראליים, שאליהם שלח את מסרוני הדיוג; ועשה שימוש בשירותי הפצת מסרונים והודעות דוא"ל, לצורך שיגור מסרוני הדיוג והודעות הדיוג.

לאחר שמסארווה או מי מטעמו השיגו את קוד המשתמש והסיסמה של עשרות לקוחות בנקים לשם התחברות לחשבונות הבנק או את פרטי כרטיסי החיוב, הוא חדר שלא כדין, תוך שימוש ברשת האינטרנט, אל חשבונות הבנק, המוחזקים במחשבי הבנק, בתל-אביב, בלוד ובמקומות נוספים, במטרה למשוך מהם כספים.

החל משנת 2015, או בסמוך לכך ועד מעצרו במאי 2016, חדר מסארווה, בעצמו או באמצעות אחרים שלא כדין, באמצעות רשת האינטרנט, אל 36 חשבונות של לקוחות בנקים שונים בישראל, גנב מהם כספים בסכום כולל של 180,808 שקל וניסה בנוסף לגנוב כספים בסכום כולל של 183,254 שקל.

 

תכנון, תחכום ונזק לאנשים תמימים

הכספים נמשכו על-ידי מסארווה, בין היתר באמצעות העברות בנקאיות להטענת כרטיסי מטבע חוץ (מט"ח), המונפקים על-ידי בנק הדואר, משויכים לחשבון וירטואלי בבנק הדואר, וניתן להטעינם במזומן, על-ידי העברת כספים מחשבונות בנקים; העברות לנותן שירותי מטבע לרכישת ביטקוין; ובאמצעות שימוש בשירותי SMS שבמסגרתם יכולים לקוחות בנק לאומי להעביר כספים מחשבון הבנק שלהם לאדם אחר, באמצעות העברת הודעת SMS ומתן הוראה באתר האינטרנט של הבנק להעברת סכום כסף אל מספר טלפון נייד אחר (עד 2,000 שקל ביממה).

לאחר מתן ההוראה באתר האינטרנט של הבנק, נשלח מסרון עם קוד אל מספר הנייד המזוכה, ובעליו יכול לבצע את משיכת הכסף במזומן בכל מכשיר למשיכת מזומנים בארץ של אותו בנק, באמצעות קוד וללא צורך בכרטיס מגנטי.

במקביל לגניבת הכספים מחשבונות הבנק שאליהם חדר, מסארווה ביצע וניסה לבצע הונאות רבות בכרטיסי חיוב; תוך שימוש בפרטי כרטיסי החיוב ולעיתים אף בעותק ממסמכי הזדהות רשמיים, שאותם השיג באמצעות פעולות הדיוג, וכן בנתונים מתוך מאגרי המידע אותם החזיק שלא כדין. כך, קיבל במירמה בנסיבות מחמירות כסף, מוצרים ושירותים בשווי של 128 אלף שקל, וכן ניסה לקבל במירמה מוצרים ושירותים בשווי של 51 אלף שקל ו-1,100 יורו.

עוד הורשע מסארווה בעבירות הלבנת הון, לאחר שהודה כי כדי למנוע את חשיפת מעשיו, ביצע פעולות הסתרה והסוואה של המעשים שביצע והכספים שגנב, לרבות מסירת פרטים כוזבים, התחזות לאחרים, שימוש בכתובות מייל כוזבות ושימוש בטלפונים "מבצעיים".

מסארווה ביצע את התרמית בתחכום המאפיין האקרים מפורסמים בעולם. הוא הקים מערך שתוקף את ההגנות שמציבות המערכות הפיננסיות המאובטחות ביותר בארץ ופתח במתקפת סייבר של איש אחד - בסיועם של אחרים אמנם, אך כשהוא "המוח" מאחורי הפעילות.

יצוין כי זאת לא הייתה ההסתבכות הראשונה של גאון המחשבים מערערה עם החוק. ב-2009 הורשע מסארווה בעבירה של חדירה לחומר מחשב ומחיקת חומר ממחשבים, והוטל עליו מאסר על-תנאי. שנה קודם לכן, ב-2008, הוא הורשע בעבירה של חבלה חמורה ונשלח ל-30 חודשי מאסר בפועל.

השופט מרדכי לוי ציין בגזר דינו של מסארווה כי "העבירות שבוצעו על-ידי הנאשם הן חמורות ביותר. במעשיו של הנאשם בולטות מספר נסיבות לחומרה, ובהן בעיקר התכנון וכן התחכום הרב שבמעשים, הנזק הרב שנגרם בפועל ופוטנציאל הנזק הנוסף שעלול היה להיגרם למספר גבוה של אנשים תמימים".

אולם השופט בחר לקבל את הסדר הטיעון בין הצדדים ואת המלצתם לעניין העונש, בין היתר בשל החיסכון בניהול ההליך המשפטי הממושך. זאת, גם מאחר שבמהלך המשפט היו צפויים להישמע יותר מ-100 עדי תביעה.