מתקפת סייבר / צילום: Shutterstock, PabloLagarto
לפני מספר חודשים התקבל ברשות לאיסור הלבנת הון דיווח מאחד הגופים הפיננסיים על חברה ישראלית שפנתה לצד שלישי במטרה שיסייע לה להיחלץ מאירוע כופרה אליו נקלעה - מומחה לניהול משא-ומתן עם האקרים, ואותו צד שלישי רכש שלוש יחידות ביטקוין (בשווי של עשרות אלפי דולרים בעת הרכישה), אותן העביר לארנק הדיגיטלי של התוקף באמצעות נותן שירותים פיננסים ישראלי. בבדיקה שבוצעה ברשות לאיסור הלבנת הון עלה כי הארנק אליו הועברו הכספים מוכר כקשור לאירועי כופרה נוספים שאירעו בעבר. משם הועברו הכספים לארנק "צינור" (ארנק שמשמש אך ורק לקבלת כספים והעברתם לארנק אחר), אשר שימש גם כיעד לקליטת כספים נוספים בסך של 5.65 מטבעות ביטקוין, החשודים כתשלומים בגין כופרה שבוצעה מחוץ לישראל. מארנק ה"צינור" הועברו כלל הכספים לארנק שזוהה ככזה המצוי בבעלותו של נותן שירותים פיננסים איראני.
האירוע הזה, ואירועים נוספים שמדווחים לרשות לאיסור הלבנת הון על-ידי גופים פיננסיים, משרטטים את מסלול הכסף שמשולם על-ידי חברות ישראליות להאקרים בתקיפות סייבר מרגע התשלום ועד להלבנתו על-ידי העבריינים.
לפי הערכות הרשות, ברוב מקרי הכופרה מנסים הקורבנות לבצע העברות של עשרות אלפי שקלים ועד תשלומים של מעל מיליון דולר לתשלום בודד למבקשי הכופרה (האקרים). ממוצע הנזק ממתקפת סייבר בישראל באופן עקיף עומד על כחצי מיליון דולר למתקפה.
על רקע ריבוי מתקפות הסייבר והעלייה בדיווחים על מקרים "חשודים" בהלבנת הון במסגרת המתקפות האלה, הרשות לאיסור הלבנת הון מפרסמת מדריך "דגלים אדומים" שאם הם עולים ומצטברים, הם עלולים לרמוז על ניצול של המערכת הפיננסית לביצוע תשלומי כופר, כחלק משרשרת הלבנת ההון של הכספים המשולמים לעבריינים.
המדריך מציג שיטות פעולה בולטות שזוהו בארץ ובעולם ככאלה המיושמות על-ידי ההאקרים, לרבות תשלומים בנכסים וירטואליים (בדגש על ביטקוין), שימוש בארנקים דיגיטליים "חד-פעמיים" ובנותני שירותים בנכסים וירטואליים הרשומים בישראל לביצוע התשלומים, כולל עבור קורבנות זרים.
ניצני שימוש ב-NFT להעברת כספי כופר
דרכי הפעילות המרכזיים של העברת כספי הכופר שזיהתה הרשות מתמקדים בשימוש של אזרחים זרים בנותני שירותים פיננסים (ציינג'ים) שאינם במדינת הקורבן, בהם ביצוע תשלומי כופר בישראל על-ידי זרים (ללא זיקה לישראל); שימוש בפלטפורמות בינלאומיות למסחר בקריפטו; שימוש בבלדרי כספים, פעמים רבות בגורמים "משוטים", שאינם יודעים את מקור ומטרת ההעברות; ותשלום באמצעות חברות לניהול משברים, חברות ביטוח או עורכי דין, עם או בלי הצהרה מלאה בדבר זהות הלקוח עבורו משולם הכופר.
שיטות נוספות הן המרת כספים למטבע פיאט בבורסה לא מפוקחת; העברה לארנקים "חד-פעמיים"; שימוש בבורסות מבוזרות (DeFi); וכן שימוש בכרטיסי מתנה והמרת הכספים לרכישת מוצרים ברי-קיימא.
עיקר השימוש מבוצע בנכסים וירטואליים, אשר קל להמירם (דוגמת ביטקוין), לצד שימוש במטבעות בעלי רמת אנונימיות גבוהה יותר, וכן ניצנים לשימוש ב-NFT.
הרשות רואה שימוש גובר ב"מיקסרים", העברות מרובות ו-"Chain Hopping" על-מנת לטשטש את נתיב העברת הכספים ו"הרחקתו" מאירוע הכופר, למשל על-ידי ביצוע העברות בין מספר רב של ארנקים באותו מטבע; העברת תשלום הכופר בין מספר מטבעות וירטואליים (Chain Hopping) עד לנקודת היציאה; העברת התשלום שהתקבל במטבע וירטואלי ב"מיקסר" במטרה לטשטש את מסלולו וייעודו.
מיליוני תקיפות סייבר בשנה בישראל
מסקירת הרשות לאיסור הלבנת הון עולה כי תחום הכופרה צומח כתופעה גלובלית, שהיקפה מוערך בכ-20 מיליארד דולר בשנה וגדל בקצב גובר בשנים האחרונות, ובמיוחד לאחר התפרצות מגפת הקורונה. ניתוח מקרי הכופרה בישראל מציג רמת תחכום הולכת וגוברת וגידול משמעותי בהיקף התופעה בשנים האחרונות. בשנה האחרונה גדל מספר תקיפות הסייבר משמעותית (לפי הערכות עד פי 7) לכדי מיליוני תקיפות סייבר בכל שנה.
סקר עדכני של הלמ"ס ומערך הסייבר מיולי 2021 קבע כי כ-42% מהעסקים הגדולים (250 עובדים ומעלה) בישראל חוו מתקפות סייבר (חלקן נהדפו). סקרים של חברות אבטחה מציגים תמונה ממנה עולה כי כמחצית מהחברות בישראל חוו תקיפות כופרה, וקרוב למחצית מאלה שלא חוו - סבורות כי יותקפו בשנה הקרובה.
יחד עם זאת, מדובר בתופעה שקיים קושי להעריך את היקפה האמיתי בשל תת-דיווח. 91% מנפגעי העבירות המקוונות אינם מדווחים על העבירה לרשויות האכיפה. עוד עולה כי כ-80% מהארגונים שהחליטו לשלם את דרישת הכופר, חוו מתקפת כופרה חוזרת (לפי סקרים של חברות טכנולוגיה ואבטחת מידע).
במקרים אחרים נאלצות החברות שהותקפו לתקן את נזקי המתקפה. עלות תיקון ממוצעת בישראל נאמדת בכחצי מיליון דולר למתקפה ונחשבת לנמוכה יחסית בהשוואה לעולם (על בסיס חישוב הכולל את עלות הזמן הנדרש להתאוששות ממתקפה, הנאמד בעולם בכ-21 ימים בממוצע). נוסף על נזקים אלה, ישנו הנזק הכרוך בפגיעה במוניטין וכן ישנה אפשרות שהתוקפים לא יעמדו בהבטחתם וימכרו את המידע וכאמור לעיל שיתקפו שוב.
"סחיטת הכופר והלבנת ההון חופפות ומתלכדות"
לדברי ראשת הרשות לאיסור הלבנת הון ומימון טרור, ד"ר שלומית ווגמן-רטנר, "היקף תקיפות הכופרה גדל באופן מהיר מאוד. מדובר בתופעה בה עבירת המקור (סחיטת כופר) והלבנת ההון שנסחט - חופפות ומתלכדות כמעט לגמרי. התחקות אחר דמי הכופר יכולה לאפשר הגעה לעבריינים ולעתים אף תפיסת כספי הכופר לפני מימושו. צוות הרשות נמצא בחזית העשייה העולמית לביצוע חקירות כלכליות בתחומי פשיעה צומחים וחדשניים, לרבות התמודדות עם תופעות פשיעה מקוונת, נכסים וירטואליים ותשלומי כופרה".
ווגמן-רטנר מסבירה כי הרשות מנתחת ומעבירה את המודיעין הפיננסי שהיא חושפת לגופי האכיפה והביטחון להמשך טיפולן בנושא, לרבות בתחום הנכסים הווירטואליים. לדבריה, "כניסתו לתוקף בישראל של משטר איסור הלבנת ההון על נכסים וירטואליים מרחיב את מעגל המודיעין הפיננסי הזמין לרשות, ובעזרת הדגלים האדומים שאנו מפרסמים היום אנו מצפים לקבל מודיעין מדויק ואיכותי יותר, שיסייע לנו בפיצוח פרשיות נוספות בתחום זה".
בין המקרים שדווחו לרשות לאיסור הלבנת הון בשנה החולפת מוזכר מקרה בו לקוח זר ביצע רכישה של ביטקוין בסכום של כ-10,000 שקל באמצעות כרטיס אשראי. מבדיקה שביצע הגוף הפיננסי שהעניק ללקוח את השירות עולה כי מכתובת הארנק שנתן הלקוח על-מנת לקבל את המטבע הווירטואלי הועברו בעבר מטבעות וירטואליים לכתובת אחרת באירלנד, אשר ידועה ככתובת המעורבת בפעילות כופרה.
במקרה אחר שדווח התברר כי מחשבון בנק של חברה המתמחה בניהול משברים בוצעה העברה של עשרות אלפי שקלים לחשבון נותן שירות פיננסי לצורך רכישת ביטקוין. לדברי נותן השירות, נציג חברת ניהול המשברים ציין כי חברה שהעסיקה את שירותיו הותקפה על-ידי האקר, והביטקוין שנרכש ישמש לתשלום בגין מתקפת כופרה.
מקרה נוסף שדווח עסק בעמותה שהפקידה בחשבון אצל נותן שירותים פיננסיים (נש"פ) עשרות אלפי שקלים. מבירור שערך הנש"פ מול נציג העמותה עלה כי מדובר באירוע כופרה עקב פריצה לאחד משרתי העמותה, והיא מעוניינת לבצע רכישה של ביטקוין לצורך התשלום, לאחר שלדברי הנציג היא הונחתה לעשות כן על-ידי המשטרה. הנש"פ לא אישר את הפעולה, והכסף הוחזר לחשבון העמותה.
במקרה אחר, בחשבון בבעלות בני זוג מבוגרים עלתה פעילות חריגה של העברות בסך עשרות אלפי שקלים מגורמים שונים ומשיכות מזומנים בסכומים דומים. בבירור מול בעלי החשבון התברר כי הם הופעלו כבלדרי כספים (Money Mules) על-ידי האקרים רוסים שדרשו מהם למשוך את הכספים שמתקבלים לחשבונם ולהפקידם אצל נש"פ שירכוש מטבעות וירטואליים עבורם.
מקרה נוסף אותו מתארת הרשות לאיסור הלבנת הון עוסק בחברת לניהול משברים שביצעה רכישה של מטבע וירטואלי בעשרות אלפי שקלים, כאשר מבירור של הגוף הפיננסי מולה עלה כי הרכישה בוצעה לצורך תשלום עבור אנשים שנפגעו מכופרה ולעסקים שרוצים להחזיק מטבעות וירטואליים כאמצעי התגוננות למקרה שיעברו מתקפת כופרה.
עוד הגיע לרשות דיווח על אזרח זר שמערכות המחשב שלו הותקפו על-ידי האקרים וביצע מספר רכישות של מטבעות וירטואליים בסך של כ-100,000 שקל באמצעות כרטיס האשראי שלו לצורך תשלום כופר. הגוף המדווח ביצע בירור מול המשטרה על-מנת לוודא את אמיתות המקרה, וכן פנה לגוף בו מועסק האזרח הזר כדי לקבל מכתב רשמי המאשר את העסקתו והצהרה לגבי מקור הכספים.
דגלים אדומים: מתחושת לחץ של הלקוח ועד שימוש במיקסרים
על רקע ריבוי המקרים, הרשות לאיסור הלבנת הון מסמנת שורת דגלים אדומים לסקטור הפיננסי לזיהוי פעילות "חשודה" בתחום ולדווח עליה לרשות. בין הדגלים הללו נכללים דגלים המעידים על כתובת ארנק חשודה; העברה לארנק "חד-פעמי"; שימוש במתווך (לרבות שימוש בחברת ניהול משברים/חברת סייבר/משרד עורכי דין/חברת ביטוח עם/בלי הצהרה בדבר מהות הפעולה ו/או הגורם עבורו מבוצעת הפעולה); מידע חריג הנמסר על-ידי הלקוח; היעדר היכרות של הלקוח עם מטבעות וירטואליים; שימוש באמצעים טכנולוגיים לביצוע פעולה באופן אנונימי; תחושת לחץ/דחיפות של הלקוח; העברות במטבעות קריפטוגרפיים למדינות בסיכון גבוה לרבות בהיבטי כופרה; העברות למדינות שללקוח אין קשר פיננסי עימן; שימוש במיקסרים; העברות מרובות בפרק זמן קצר של מטבעות וירטואליים לארנק של לקוח בלא הסבר למקור הכספים; שימוש/המרה למטבעות בעלי אנונימיות גבוהה; שימוש במילים חשודות בתיאור ההעברה ועוד.