תשלום דמי הכופר להאקרים נורמל, ותחת עיני הרשויות נולדה תעשייה חדשה

חברות רבות במשק ספגו מתקפות כופרה בשנים האחרונות - מתקפות סייבר שבהן כנופיות השביתו את מערכות המחשוב שלהן או שהצליחו לשים ידיים על מידע רגיש - ודרשו דמי כופר על מנת שלא לחשוף אותן. מעטות מהחברות, אם בכלל, היו מוכנות להודות בכך.

● בלעדי|קנסות במיליונים: לראשונה המדינה תטיל על דירקטורים אחריות למניעת מתקפות סייבר 
● מייסד קרן הגידור הגדולה בעולם מעריך: זה הסיכון העיקרי שמאיים על הסדר העולמי 

מתוך מאות חברות שהותקפו בשנים האחרונות, רק ספורות התפרסמו - הידועות שבהן הן המתקפות על שירביט, בית החולים הלל יפה, הבאנה לאבס של אינטל והטכניון. גם במקרים אלה לא נודע אם הן שילמו דמי כופר בסופו של דבר, זאת מלבד שירביט, שסירבה לשלם וספגה בשל כך נזק כבד - היא נקנסה ב-11 מיליון שקל בידי רשות שוק ההון והביטוח.

מנהלים רבים מעדיפים לשלם את דמי הכופר ולשמור את הפרשה כולה תחת מעטה שתיקה. בכך הם נמנעים מנזק תדמיתי, אך מהציבור נמנעת הידיעה שהמידע הפרטי שלהם היה בסכנה. מתחת לפני השטח נולדה תעשייה שמגלגלת מיליוני דולרים, הכוללת חברות ביטוח סייבר, משרדי עורכי דין ומומחי משא-ומתן וסייבר; ומנגד תעשייה לא פחות משגשגת של כנופיות האקרים שהכניסו בשנה החולפת סכום שיא של 1.1 מיליארד דולר, כפול ממה שהכניסו בשנה שלפניה, כך על פי סוכנות הביטוח האודן. לפי מערך הסייבר, מספר תקיפות הכופרה שדווחו לה בכל 2023 עמד על 103 - בעוד שבשמונת החודשים הראשונים של 2024 בלבד כבר נרשם מספר זה. ואלה רק האירועים שדווחו - מספרם האמיתי עשוי להיות גדול מכך.

תשלומי הכופר, מתברר, עוברים מחשבון לחשבון תחת עיניהן הפקוחות של הרשויות. בישראל מערך הסייבר, רשות הפרטיות או משטרת ישראל לא נוהגות להטיל סנקציות על משלמי כופר, והסיכוי שיצליחו לשים ידיים על התוקפים קלוש. בארה"ב לא אחת למדה הבולשת הפדרלית (FBI) על תשלום כופר לאחר מעשה, אך גם היא חסרת אונים במניעתם. כשהיא מתערבת, זה קורה בדיעבד ובדרך כלל ללא סנקציות כלפי המנהלים שהחליטו לשלם.

לפי מערך הסייבר, הכופר הממוצע עומד על 1.7 מיליון דולר, סכום גבוה למדי, אך נמוך בהשוואה לנזק שהיה יכול להיגרם. תביעות מצד לקוחות שהמידע שלהם נחשף וקנסות מרשויות רגולציה עשויות להשית נזק כבד יותר, שלא לדבר על אובדן אמון הלקוחות ועל הנזק התקשורתי למותג.

"רוב החברות שמותקפות נשבעות שלא ישלמו, אבל בסופו של דבר רובן משלמות", אומר רובי ארונשוילי, מנכ"ל ומייסד חברת הסייבר סיי (Cye). לדבריו, מעל ל-80% מהמנהלים שחווים תקיפות מסכימים לנהל משא-ומתן עם התוקפים, ולמעלה ממחצית משלמים בסופו של דבר. "מדובר בנתון הרשמי אבל המספרים שאנחנו רואים מדברים על כ-62%".

לוחצים בנקודות כואבות

מה מוביל חברות להחליט לשלם את דמי הכופר? ארונשוילי מספר כי ההאקרים לומדים היטב את החברה לפני שהם מסתערים, והם הפכו מתוחכמים ביכולתם ללחוץ על הנקודות הכואבות. כנופיות אלה מתנהלות כיום כחברות מסחריות לכל דבר: יש להן מחלקת מחקר, מחלקת תקיפה ואפילו מערך תמיכת לקוחות שבאמצעותו יכולים הנתקפים לגשת ולקבל פרטים על התקיפה. בתקיפות האחרונות מופנה המנכ"ל הנתקף לבלוג מושקע ובו הסבר על השלבים הבאים. "מערכי התמיכה האלה, שפעילים 24/7, יעילים פי כמה וכמה מכמה ממחלקות השירות בחברות הגדולות", אומר ארונשוילי. גם תשלום הכופר עובר התאמה אישית, כאילו היה הצעת מחיר ללקוח: היא מותאמת לגודל הארגון, ההכנסות שלו, חשיבות המידע שנגנב ומידת ההגנות שהושקעו בו.

 רובי ארונשוילי / צילום: יורם רשף

אם בעבר הסתפקו ההאקרים בנעילת המחשבים או השרתים ובבקשת כופר באמצעות הודעת דוא"ל, או קובץ שמוסתר באחת התיקיות, הרי שכיום המחקר המקדים שהם מבצעים מביא אותם לגנוב מידע רגיש על לקוחות: חלופות דוא"ל, קבצים עם נתוני אשראי, מידע רפואי אישי, סיכומי ישיבות מסחריות או מסמכי קניין רוחני. הם לא מסתפקים רק במשלוח דגימה של המידע כדי להגביר את אמינות האיום שלהם - ההאקרים החדשים עושים ניצול ציני בלקוחות של החברות הנתקפות ומגיעים אליהם ישירות, דרך מספר הטלפון האישי או הרשתות החברתיות, כדי שאלה יפעילו לחץ על החברה הנתקפת. ברבים מהמקרים, מנכ"לים שהחליטו שלא לשלם כופר על נעילת מערכת המחשוב שלהם, יתייאשו וישלמו אותו נוכח סחיטה על בסיס דליפת מידע.

חשיפת מידע רגיש הוא מינוף משמעותי לסחיטת דמי כופר במדינות שבהן הרגולטור יכול לתבוע את החברה הדולפת: "ההאקרים יודעים שהחברה חשופה לתביעות על פי חוקי הפרטיות באירופה (GDPR) שיכולות להגיע ל-4% מהמחזור החודשי שלה, אז הם מגיעים מראש עם הצעה נמוכה יותר", אומר ארונשוילי. "ובאמת, למה לשלם קנס של 4%, כשאפשר לשלם חצי אחוז? זה נשמע מגוחך, אבל כשזה קורה לך - זה כבר לא מגוחך".

סוג חדש ומדאיג במיוחד של סחיטה שעדיין לא יובא לישראל אך החל להרים ראש בשנה האחרונה בארה"ב ובאירופה, הוא סחיטה על בסיס מין (sextortion) באמצעות גניבת תמונות או סרטונים בעלי אופי מיני מקטינים - לרוב ילדיהם של מנכ"לים בחברות בעלות פרופיל גבוה. ההאקרים יוצרים קשר עם בני הנוער דרך הרשתות החברתיות ומשכנעים אותם לדרוש כופר מאביהם ולאחרונה, לגשת למחשב האישי של אביהם המנכ"ל ולהוריד אליו קובץ זדוני.

סודות מחדר המשא-ומתן

בהתמודדות עם הכופר נאספים גורמים רבים שמספקים מעטפת משפטית ופיננסית למנכ"ל, ומאפשרים את העברת הכספים לעברייני הרשת. מתקפות הכופרה נערכות בדרך כלל בזמנים הכי פחות צפויים - בשעת לילה, בסופי שבוע או בחגים. "הדבר תמיד מגיע בהפתעה ומייצר בהלה בקרב ההנהלה של החברה המותקפת", מספר עו"ד סהר זמיר, סמנכ"ל ומנהל אגף תביעות בקבוצת הביטוח גור, שמספקת, בין השאר, ביטוחי סייבר בישראל. "אז מגיע הטלפון המודאג שבו מתייעצים איתנו לגבי הצעד הבא. אנחנו יוצרים קשר עם חברת הביטוח ומקימים למעשה חמ"ל שמורכב מ'מוניטור' - עורך דין שמייצג את חברת הביטוח ומשמש כעיניים והאוזניים שלה בישראל, מומחה למשא-ומתן, מומחה סייבר ופורנזיקה ויועץ משפטי. באותו הרגע אנחנו סוגרים עם כולם את שכר הטרחה, יוצרים קבוצת וואטסאפ עם הנהלת החברה ויוצאים לדרך".

 עו''ד סהר זמיר, סמנכ''ל ומנהל אגף תביעות בגור קבוצת ביטוח / צילום: באדיבות המצולם

סוכנויות ביטוח הסייבר שפעילות בישראל - כמו גור והאודן, ובמידה מעטה יותר גם מארש, איון, לידרים ולמדה - מתורגלות בתפעולו אירועי הסייבר. לא פעם עולים לשיחות הזום הליליות אותם אנשים, שכבר מכירים זה את זה.

בזמן שמומחי סייבר מתחילים לאמוד את הנזקים ולאתר את הקבצים הזדוניים במערכות, מתחיל במקביל משא-ומתן נמרץ בחמ"ל נפרד, ממודר ומסווג. לרוב מנהל אותו מומחה בתחום המשא-ומתן, כזה שעבד קודם לכן בתפקידים דומים בארגוני הביטחון, שנשכר במיוחד לאירוע. "למשא-ומתן שכזה יש שלוש מטרות", אומר עו"ד נוי ארז, מנכ"ל קריטיקל אימפקט, חברה לניהול משברי סייבר ומשא-ומתן, שהקים עם אל"ם (במיל') דורון הדר, בעברו מפקד יחידת המשא-ומתן המטכ"לית. "הראשונה היא השגת מודיעין על התוקף כדי להבין מיהו, איזה מידע הוא מחזיק, כמה זמן הוא נמצא על תשתיות המחשוב של הנתקף ועד כמה הוא אמין; השנייה היא משיכת זמן כדי ללמוד עליו עוד ולייצר למנהלים גמישות בשיקול הדעת, והשלישית היא הגעה לעסקה בהנחה ומעוניינים בה".

מומחים כמו ארז אינם מציגים את עצמם בשמם במשא-ומתן שכזה. ההפך הוא הנכון - הם מתחברים בדרך כלל ממחשבים מוצפנים, כתובות מייל חד-פעמיות בשירותים מוצפנים, באמצעות דמות בדויה - אווטאר שמאחוריו סיפור אישי בדוי שנתפר לעיתים לגופו של כל משא-ומתן. באמצעותו מנסים המומחים לרכוש את אמון התוקף, בדרך כלל על ידי הצגת כוונות טובות ויצירת מצג כאילו מדובר באדם מן השורה. "כשבונים אמון, הבקשה לעוד זמן נתפסת אצל התוקף כאותנטית, וככזו שנעשית לטובת עסקה", אומר ארז. "אבל ככל שהוא חושב שהחברה מושכת זמן ולא באמת תשלם, הנטייה שלו היא לא לתת הארכה. לעיתים נבקש מה שאנחנו קוראים לו 'אות חיים', כלומר שיוכיח שיש בידיו קבצי מידע, או שנשלח לו קבצים מוצפנים כדי שיפתח ויוכיח שהוא ההאקר שגנב את מפתח ההצפנה".

אף שהמנהל מוקף אנשי מקצוע, המתמצאים במשא-ומתן ובסגירת עסקאות עם האקרים, לא תמיד ההמלצה מביאה לסוף שמח. "אם אנחנו חושבים שהתוקף לא לגיטימי ויש חשש שהוא לא יספק את מפתח ההצפנה או שלא ימחק את המידע הגנוב, נמליץ שלא לשלם", אומר ארז. "ואם לדעתנו הנזק שנגרם הוא בר תיקון וניתן לשחזר את המידע, נגיד ללקוח להסתפק בזה ולא לשלם".

למרות זאת, מעיד ארז, אירוע שבו האקר מקבל את כספו אך לא ממלא את ההבטחה שלו, הוא נדיר ביותר. "בשבע השנים שאני בתחום ראיתי רק מקרה אחד כזה", הוא אומר. "להאקרים יש אינטרס לקיים את ההבטחה שלהם - הם רוצים לשמור על המוניטין שלהם ושימשיכו לשלם להם. יש כאלה שמתפארים בדמי הכופר שגבו בבלוגים שלהם. ולמי שלא משלם - אין אצלם שחור-לבן, הם יפעילו את הסנקציה במלואה".

התשלום נעשה לאחר שחברת הביטוח שוכרת חברה המתמחה בעסקאות קריפטו. כתובת ארנק הקריפטו מועברת אליה מגורמי המשא-ומתן, ולאחר שמוודאים שהתוקף איננו נמצא ברשימה אסורה של גורמי טרור או ברשימת המבוקשים, מתבצעת ההעברה.

כופר בחסות החוק

תעשייה גדולה תומכת בתשלומי הכופר להאקרים ודואגת שהם ייעשו בהיקפים קטנים ככל האפשר ויופנו רק להאקרים הנכונים - אולם התוצאה היא תשלום על סחיטה לארגון עברייני, שלכל הפחות עוסק בפשיעה כלכלית. לפיכך, האם תשלום הכופר הוא מעשה חוקי?

ועדת דוידי, שהקים שר המשפטים הקודם גדעון סער במטרה להילחם באמצעים משפטיים בתופעות מקוונות חדשות, קבעה שתשלום כופר הוא "פעולה בלתי רצויה שלא מסייעת למשלם הכופר". אולם, הוועדה לא המליצה להציב איסור גורף, עבודתה לא הושלמה והמלצותיה לא יושמו בתקופת הממשלה החדשה. האיסור מתבטא רק בתשלום לגופים הנמנים על רשימות הרשות להלבנת הון, הבולשת הפדרלית, האינטפול ורשויות אחרות ככאלה העוסקים בטרור. רוב כנופיות הכופרה הקבועות משתדלות להתרחק מהן כדי להמשיך וליהנות מזרם ההכנסות.

כך, תעשיית הכופר ממשיכה להתקיים כמעט באין מפריע: ההאקרים ממשיכים לרשום הכנסות שהולכות וגדלות, מנהלי החברות הנתקפות נמנעים ממבוכות ומקנסות על דליפת מידע, ומסביב צומחות תעשיית סייבר וביטוח למטרות אלה.

"אין גוף שאוסר על תשלומי כופר. הרשויות אינן יודעות איך לאכול את התופעה", אומר ד"ר דן חי, מומחה סייבר וראש משרד עורכי דין המלווה חברות בעת מתקפות שכאלה. "ברור שזה תשלום לא לגיטימי, אך לפעמים אין ברירה. ראינו מה קרה לשירביט - הם לא שילמו וספגו קטסטרופה כזו, שכופר היה עולה להם פחות. לכן, מדובר על הסכמה שבשתיקה של כל הגופים הרגולטוריים. הרשות להגנת הפרטיות במשרד המשפטים מבקשים דיווח כזה ועשויים לפעול, אך הם לא יבקשו ממנהל שלא לשלם כופר. כולם מבינים שזו מציאות שנכפתה על הגופים המותקפים ושתשלום כופר הוא פתרון נוח וזול. אם לא תשלם זה יעלה לך ביוקר, בין אם בקנסות על דליפה או בתביעות ייצוגיות".

 עו''ד דן חי

רשות המסים לא רואה בתשלום כופר לעבריינים כהוצאה מוכרת, ומעולם לא הוציאה חוזר בנושא; במערך הסייבר מתעניינים במתקפה רק כשהיא מגיעה לחברות המוגדרות כחיוניות לביטחון הלאומי; רשות ניירות ערך מעוניינית בדיווח רק אם החברה בורסאית; וברשות שוק ההון - רק אם מדובר בגוף בנקאי או פנסיוני. לגבי כל שאר הארגונים, קיימת סנקציה של הרשות להגנת הפרטיות נגד ארגונים שדלף מהם מידע, אך לא אם הארגון שילם כופר למניעת הדליפה. עם זאת, דיווח וולנטרי לרשות ולמערך הסייבר עשוי לסייע להפעיל את ארגוני הביטחון כך שהאקרים עשויים לשלם את המחיר על מעשיהם.

סנקציות של מיליונים

מהרשות להגנת הפרטיות במשרד המשפטים נמסר בתגובה: "הרשות פועלת בתחום מתקפות הכופרה במספר אפיקים במקביל, בהתאם לחומרת האירוע והיקף נושאי המידע שנפגעו: לצורך הקטנת הנזק והפגיעה בפרטיות, הרשות מסירה פרסומים מהרשת המציגים את המידע שהודלף; לצורך איתור התוקף, פועלת הרשות באמצעות סמכויות החקירה הפליליות שלה על מנת להביאו לדין. אם האירוע נגרם בשל אי עמידה בדרישות אבטחת המידע הקבועות בחוק, מפעילה הרשות את סמכויות האכיפה המנהליות. תיקון 13 לחוק הגנת הפרטיות שאישרה מליאת הכנסת באוגוסט קובע סנקציות כספיות שעלולות להגיע למיליוני שקלים. ארגון שעבר מתקפת כופרה ועומד בהגדרת 'אירוע אבטחת מידע חמור' חייב בדיווח לרשות להגנת הפרטיות. לעניין תשלום הכופרה, מדובר בהחלטה ארגונית שאין בה כדי להשפיע על האופן בו הרשות מנהלת את הליכיה מול הארגון".

גילוי מלא: כפי שפרסמנו בזמן אמת, קבוצת פשיעה כלכלית בינלאומית מתוחכמת וידועה לרשויות ביצעה לפני מספר שבועות תקיפת סייבר נגד מערכות גלובס. התקיפה לוותה בבקשת כופר כספי, אולם אנו, כארגון עיתונאי הדוגל בשקיפות ובאי שיתוף פעולה עם פשע, קיבלנו החלטה לא לשלם כופר וגם לא לנהל משא-ומתן עם העבריינים. עו"ד נוי ארז המרואיין בכתבה ייעץ לגלובס בתהליך.