האקרים חשפו: "רשת בוטים סעודית פועלת בישראל"

ההאקרים נעם רותם ויובל אדם, שהביאו לסגירת כמה רשתות בוטים, איתרו רשתות מערב הסעודית ומרוסיה שמנסות להשפיע על השיח בישראל • תחת מעקב גם שתי רשתות גדולות שמפעילות מפלגות ישראליות • משרד החוץ, שמכיר בחומרת הבעיה, מדווח לטוויטר כדי להיאבק בהפצת פייק ניוז לקראת הבחירות

פעילות הרשת של קמיוניטי ומשרד החוץ וחשבונות מזוייפים שהתקבלו / צילומי מסך
פעילות הרשת של קמיוניטי ומשרד החוץ וחשבונות מזוייפים שהתקבלו / צילומי מסך

עשר רשתות בוטים שמופעלות מערב הסעודית, רוסיה, ארה"ב, וישראל פועלות כיום ברשת החברתית טוויטר ומפיצות תכנים הפונים לקהל הישראלי. כך מגלה ל"גלובס" ההאקר והאקטיביסט הישראלי נעם רותם. רשתות אלה מצטרפות לרשתות שכבר אותרו על ידי חברת הסייבר קלירסקיי ושפעלו מאיראן.

מזה מספר חודשים פועל רותם במשותף עם איש אבטחת הסייבר יובל אדם לגילוי ועצירת רשתות הבוטים המופעלות על ידי גורמים בישראל ומחוצה לה במטרה לשבש ולהשפיע על הדיון הציבורי ברשת החברתית, הפופולרית במיוחד בקרב אנשי תקשורת ובידור.

על פי רותם, רשת הבוטים הסעודית, שפעילה מזה 11 חודשים מפיצה כעת תכנים תמימים כחלק מדפוס פעילות שנועד להכינה לשימוש ביום פקודה. מספר המשתמשים בכל אחת מעשר הרשתות הללו מונה לדברי רותם בין עשרות למאות משתמשים. שתיים מבין הרשתות, אומר רותם, "מופעלות על ידי שתי מפלגות בישראל".

השניים כבר חשפו בעבר והביאו לסגירת רשתות בוטים שפעלו ברשת החברתית. אחת הרשתות, שמוקדה היה בטורקיה, הפיצה מסרי תמיכה בראש הממשלה בנימין נתניהו, ובמקביל השמיצה את רעייתו. באותו מקרה, החשד המקורי הופנה לעבר אחת המפלגות בישראל מאחר שאחד המשתמשים המרכזיים ברשת נשא את שמו של מקורב לאשת ראש הממשלה. החשד בפעיל ובמפלגה הוסר לאחר שחקירה מעמיקה של רותם וחברו העלתה כי הרשת מופעלת מחו"ל וכי אין קשר בינה לבין הפעיל והמפלגה. כחלק מאותה חקירה אף יצרו השניים קשר ישיר עם מפעילי הרשת הטורקית באופן שניקה לדבריו מכל חשד את הפעילים הישראלים.

רשת נוספת שנסגרה על ידי השניים נחשפה בחדשות 12 בשבוע שעבר. רשת זו, שהופעלה מלבנון, הפיצה לינק לאתר שבו פרטים אישיים על ראש מוסד ועל דובר צה"ל בערבית, יחד עם פרטים על הוריהם, ילדיהם, אחיהם ובנות זוגם. "דיווחנו על המקרה למוסד והצענו להם את הקוד לשרת ממנו פעלה הרשת. הם אמרו 'תודה' אך מאז לא שמענו מהם יותר", מספר רותם.

בכוונת השניים להביא בקרוב לסגירתן של יתר הרשתות, באמצעות דיווח לרשת טוויטר. לדברי רותם, "הרשתות הישראליות גדולות מאוד יחסית לגודלה של טוויטר בישראל, עם כאלף משתמשים בכל רשת".

משרד החוץ משתף פעולה בעקיפין

יבול רשתות הבוטים של רותם ואדם הוא תוצאה של עבודה יסודית ועקבית שהם מבצעים מאז הקיץ האחרון. באוגוסט, חודשים לפני ההתרעה של ראש השב"כ נדב ארגמן על חשד לניסיונות השפעה זרות בבחירות, השניים כבר השיקו קמפיין גיוס המונים שיסייע להם במאמצי ההתחקות שלהם אחר רשתות בוטים בטוויטר. בימים אלה, בעקבות הקדמת הבחירות, הם מריצים קמפיין גיוס נוסף.

הקמפיין הראשון היה טכני מיסודו: טוויטר מאפשרת למפתחים גישה למאגרי המידע שלה ולקבל נתונים על מספר רב של משתמשים במרוכז, אך היא קובעת מכסה על מספר המשתמשים עליהם ניתן לבקש נתונים. הקמפיין של רותם ואדם ביקש מהקהילה, לה הם מדווחים על בסיס כמעט יומיומי בטוויטר, להשתמש במכסה שלהם. "זכינו להיענות יפה. אספנו כמה מאות הרשאות והיום יש לנו יכולת לפנות עשרות מיליוני פעמים לקבל את המידע הדרוש לנו, והרבה יותר ממה שצריך ברשת הישראלית".

במסגרת הקמפיין הנוכחי, בשיתוף עם 'הברית הישראלית', 'הבלוק הדמוקרטי', ואתר 'העין השביעית', כבר גויסו למעלה מ-32 אלף שקלים, מתוך יעד של מאה אלף. מטרת הגיוס, על פי רותם, היא לאפשר לשניים לגייס כוח אדם בתשלום שיסייע להם במשימה. "התוכנית הייתה להיכנס גם לפייסבוק ובנינו תוכנית עבודה שתאפשר לנו לשלב את הפעילות הזאת עם העבודה הרגילה, אך הקדמת הבחירות טרפה את הקלפים ותוכנית שיועדה ל-12 חודשים צריכה עתה להידחס לשלושה בלבד. הקמפיין נועד לגייס את המשאבים שיאפשרו לנו לשכור אנשים ולשלם להם כדי שיקדישו לפרויקט את מלוא זמנם".

הקשר עם הקהילה הוא כמובן לא רק לשם זכויות פניה לדאטה בייס של טוויטר או לגיוס כספים. כך למשל פנה רותם בסוף השבוע שעבר לקהילה וביקש שתדווח על פרופילים חשודים: "אני אשים את זה פה עכשיו כי בקרוב נידרש לזה: יש פרופילים מזויפים שמתחזים לאנשי שמאל אבל מופעלים על ידי קמפיינים של הימין. הפרופילים האלה יתחילו לפרסם פוסטים קיצוניים ואלימים שיהפכו למטרה בידי הימין לצבוע את כל המחנה ולהסית את השיח מנקודות שלא נוח להם לדבר עליהם. שימו לב ודווחו לנו". בהקשר זה רתם אמר ל"גלובס": "‏אנחנו רואים את זה קורה בקטנה היום, ועל פי קמפיינים אחרים בעולם בדרך כלל זה קורה לקראת יום הבחירות".

פעילותם של רותם ואדם לא נעלמה גם מהגורמים הממשלתיים שפועלים לקידום האינטרסים של ישראל ברשת. לאחרונה החלו גורמים במשרד החוץ של ישראל, הפועלים לנטרול השפעות מרעילות על השיח הציבורי ברשתות החברתיות, בסוג של שיתוף פעולה לא רשמי עם הפעילים הללו ועם עיתונאים.

איש משרד החוץ אלעד רצון, ראש מחלקת המחקר והפיתוח של המשרד הפועל מלונדון, הסביר את הדינמיקה מאחורי הקלעים ומדוע נדרש שיתוף הפעולה של הציבור ובראשו העיתונאים: "בכל המקרים הללו נעשה שימוש בחשבון טוויטר שהציג עצמו כאדם בעל עניין (בדרך כלל מאירופה), שפנה בהודעה ישירה לעיתונאים מובילים בישראל עם הסיפור המזויף, בתקווה שהעיתונאי ייפול בפח ויפיץ את הסיפור בעצמו, ובכך ילבין את הזיוף ויספק לו לגיטימציה בקרב הציבור. בכל אחד מהמקרים הללו, מאחורי כל חשבון שפנה לעיתונאים עמדה רשת של כמה מאות חשבונות טוויטר רובוטיים שנועדו לספק לגיטימציה לחשבון שפנה לעיתונאי על ידי כך שעקבו אחריו, ועשו לייקים וריטוויטים לתוכן שייצר אותו חשבון".

בהודעה שנשלחה למאות עיתונאים, דיווח רצון על סגירתה של רשת בוטים שפעלה ישירות כדי להשפיע ספציפית על עיתונאים. במוקד הדיווח עמד פרופיל מזויף בשם אליסון דרמר ממנו נשלחו לעיתונאים הודעות אישיות (DM) עם לינקים לפייק ניוז. על פי ההודעה של רצון, אחת ההודעות, כללה "ציטוט פיקטיבי של ציפי לבני המבקרת את ראש המוסד על אופן ניהול פרשת רצח העיתונאי הסעודי חקשוגי". הודעה אחרת כללה "ציטוט פיקטיבי של ראש שירותי המודיעין האוקראיני לשעבר המפרט את שמותיהם של 47 סוכני מוסד וסיירת מטכ"ל הפועלים באוקראינה".

על פי רצון, דבר ההודעות של "אליסון דרמר" ושל דמות פיקטיבית נוספת בשם "בינה מלמד" - חשבון שהתחזה לאישה יהודייה בריטית ממנצ'סטר - נחשף בעקבות פנייתם של העיתונאים שקיבלו את ההודעות הפיקטיביות ודיווחו על כך לרותם ולפעיל רשת נוסף בתחום הסייבר, רן בר-זיק.

"הבנו שחובה ליצור בריתות של חוקרים"

רותם ואדם, מצידם, נעזרים ברצון לצורך גישה לטוויטר. רצון, העומד בראש גוף של משרד החוץ המקביל בהיקפו לשגרירות קטנה, פועל מלונדון, בשל הנגישות למטות של החברות הרב לאומיות האחראים על אזור המזרח התיכון. היחידה, מספר רצון, "הוקמה ב- 2015 לאחר שמנכ"ל המשרד יובל רותם החליט לבנות יחידה של דיפלומטים שילמדו לתכנת ויהיו מסוגלים לדבר עם המהנדסים של החברות הכי טכנולוגיות בעולם בשפה שלהם, ולהראות להם איך ניתן לבצע מניפולציות על הפלטפורמות שלהם".

בהודעה לעיתונאים שנשלחה בסוף השבוע האחרון כתב רצון כי "החשיפה של החשבונות החשודים הביאה, עד כה, לסגירתם הסופית של 282 חשבונות טוויטר, ביניהם החשבונות שיצרו קשר עם העיתונאים וחלק מרשתות הרובוטים מאחוריהם, שעליהם יכולנו לספק מספיק הוכחות לחברת טוויטר על מנת להצדיק את הסגירה".

את ההוכחות, משיג כאמור רצון מהפעילים, שגם מסייעים לו להתגבר על מכשול תקציבי. "בניגוד לפייסבוק, טוויטר מתפרנסת לא רק מפרסום אלא גם ממכירת דאטה. 5 מיליון קריאות מידע עולות 10,000 אירו, ואם נעם רותם יכול להגיע ל-25 מיליון קריאות מידע בחינם בזכות שיתוף הפעולה של הקהילה אז זה עוזר לנו מאוד.

"בנוסף, טוויטר לא אוהבים לדבר עם מדינות ישירות אז אני בא אליהם ואומר - 'אם אתם לא מקשיבים לי כמדינה, אז הנה העבודה של נעם רותם והנה עוד עבודה של חוקר אחד שמוודא עבודה של חוקר שני'. במשרד החוץ הבנו, כשהתחלנו לדבר את השפה הזאת, שאנחנו חייבים ליצור קואליציות של חוקרים שמתמחים, יחד עם חברות שיכולות לספק שירותים בתחום, ויחד עם אנשים פרטיים שיש להם אינטרס".

רצון, שביקש לגייס את העיתונאים לטובת הפרויקט, שלח הודעה נוספת ובה מנה שורה של מקרים בהם הופץ פייק ניוז שנועד לעיניים ישראליות: "מאז מועד ההכרזה על הבחירות נחשפו חמישה ניסיונות זרים לזרוע מידע פיקטיבי בקרב עיתונאים בישראל". על פי ההודעה, הפרסומים השקריים טענו כי "יאיר נתניהו מחפש להשקיע כספי משפחת נתניהו בדובאי"; האשימו את ראש המוסד לשעבר שכביכול טען ש"ליברמן סוכן רוסי"; הפיצו כי "משפחתו של נתניהו מתנצרת/פסולה"; טענו כי "שגריר ישראל בשוודיה מתווך בין ארה"ב לחות'ים בתימן", והפיצו כי "ציפי לבני טוענת שראש המוסד טעה בטיפול בפרשת חקשוגי" וכי "המוסד פועל באוקראינה". הטענות הופצו באמצעות לינקים לעמודים מזויפים של עיתון אירופי, עמוד מזויף של אוניברסיטת הרווארד, חשבונות טוויטר שהתחזו למופעלים על ידי חרדים, לעמוד מזויף של עיתון ישראלי ברוסית וכתבות בבלוגים ברוסית.

משתפים רשימת חשבונות חסומים

הדמות הפיקטיבית שהפנתה לאתר המזויף של הרווארד נחשפה על ידי בר-זיק, שפנה לצורך העניין לחברת Commun.it (קומיוניט) והיא זו שחשפה את הרשת שמאחוריה. שמו של מנכ"ל קומיוניט, רן מרגליות, עימו רוקם משרד החוץ שיתוף פעולה בימים אלה, הוזכר גם הוא במכתב של רצון.

במסגרת שיתוף פעולה זה משתמשת קומיוניט במוצר שלה - שבמקור נועד לניטור טוויטר עבור מותגים - כדי לנטר את התייחסויות הרלוונטיות לישראל. החברה השיקה גם יחד עם משרד החוץ פרויקט שיאפשר גם כן להתחקות אחר רשתות בוטים.

בהמשך ההודעה ששלח רצון לעיתונאים הוא מסביר את אחד האפיקים שבהם יפעל שיתוף הפעולה עם קומיוניט: שיתוף רשימות משתמשים חסומים כדי שתשמש כרשימת קצות חוט לבדיקת חשבונות החשודים כמזויפים. "מטרת הכלי", מסביר רצון, היא "לאפשר לעיתונאים בישראל, המהווים יעד ראשון להתקפות הדיסאינפורמציה, לשתף באופן אוטומטי את רשימת החשבונות אותם הם חסמו. כל רשימות החשבונות החסומים תאוחדנה יחדיו בטבלה אחת. הטבלה הזו תשותף עם כל החוקרים המוכרים ועם העיתונאים שיבחרו לסייע. הטבלה תאפשר להצליב בין חשבונות חשודים שחוזרים על עצמם וכן להציף מקרים שלא דווחו או לא זוהו בעבר".

מרגליות מספק הצצה על אופן הבדיקה לאחר קבלת קצות החוט - "ברמת החשבון הבודד בודקים כל מיני מאפיינים שלא גלויים למשתמש הרגיל אך גלויים לנו. כך למשל, אם אנו רואים ששפת הממשק של המשתמש שנחסם על ידי כמה עיתונאים היא טורקית, אך הוא מצייץ בעברית - זה כמובן מדליק נורה אדומה. או אם הוא כותב שהוא גר בישראל אבל מצייץ באמצע הלילה. אנחנו גם בודקים מי עושה לו לייקים מאין הם ומה איכות השפה שבה הם משתמשים".

"במקרה של המשתמש המזויף בינה מלמד", מספר מרגליות, "הגענו למעגלים של 11 מיליון פרופילים בטוויטר, חלקם לא בעייתיים, ומתוכם הצטמצמנו לרשת של 150 חשבונות בלבד. יש כאן המון אלמנטים של ביג דאטה והצלבת נתונים שנועדה לצמצם את כל הרעש במדיה החברתית ולדעת למצוא את החשודים האלה - בינתיים יש לנו כבר 2,400 כיוונים שונים ואנחנו ממשיכים לבדוק ולחפש. ככל שיהיו יותר עיתונאים ומשתתפים בפרויקט כך נקבל מידע רב יותר וטוב יותר".

המעקב של משרד החוץ הוא רק אחרי ניסיונות השפעה זרים. את המעקב אחר הרשתות המופעלות על ידי מפלגות מבצעים רותם וחבריו ללא מעורבות ממשלתית. "אפשר להגיד שאנחנו עוקבים אחרי כמה רשתות של מפלגות ישראליות", אומר רותם, ומבטיח - "אנחנו שואפים לחשוף אותן ולדווח על מנת שיסגרו אותן, וזה עומד לקרות ממש בקרוב".

מוועדת הבחירות המרכזית נמסר: "מטבע הדברים לא ניתן לפרט אילו אמצעים ושיטות נקטו ונוקטים הוועדה וגופי ביטחון השונים כחלק מההיערכות לבחירות לכנסת ה-21.

הוועדה מבקשת להדגיש כי סוגיות התפשטות תופעת הפייק ניוז ופעילות הבוטים ברשת מונחות על סדר יומה של הוועדה, ופעילות הוועדה בהקשר זה מתבצעת בהתייעצות ובשיתוף עם הגורמים המקצועיים הרלוונטיים בישראל, ובהם מערך הסייבר הלאומי, כאשר אחריות הנוגעים בדבר היא על פי סמכויותיהם בהתאם להוראת הדין".