שורה של חברות פיננסיות הפועלות בישראל ספגו בשבועות האחרונים מתקפות סייבר וניסיונות לסחיטה באיומים - כך עולה מתחקיר שערך TheMarker. החברות שהותקפו הן חברות ישראליות, או חברות הפועלות בחו"ל אך נמצאות בבעלות ישראלית ומחזיקות משרדים בישראל, ובעיקר חברות אינטרנטיות מתחום המסחר במטבעות (פורקס) ובאופציות.
דורשים 500 ביטקוין
כל המתקפות, או רובן, התנהלו בדרך הבאה: גוף או אדם בלתי־ידוע, ככל הנראה מרוסיה או מאחת ממדינות חבר העמים לשעבר, הצליח לשתול באתרי החברות תוכנה זדונית (malware), ולאחר מכן שלח למנהלי החברות צילומי מסך המוכיחים, לטענתו, את החדירה. התוקפים טענו כי הם יכולים לגרום לחברה נזק או לגנוב ממנה מידע ונתונים, כגון רשימת לקוחות, וביקשו תשלום כופר כדי לא להוציא את האיום לפועל.
ככל הידוע, סכום הכופר המבוקש בכל המקרים הוא 500 ביטקוין. שער הביטקוין הוא כיום כ–250 דולר לביטקוין, כך שהסכום המבוקש הוא כ–120 אלף דולר - סכום שאינו גבוה במיוחד לחברות המגלגלות עשרות מיליוני דולרים בשנה. לפי הערכות, התוקפים נקבו בסכום נמוך כדי לעודד את התוקף לשלם את הכסף במקום לפתוח במאבק מול הפורצים. את הפנייה למנהלי החברות, לאחר הפריצה, ביצעו התוקפים ישירות לטלפונים הסלולריים של מנהליהן, או באמצעות טקסט בתוכנת הוואטסאפ של טלפון המנהל (שמות חלק מהחברות שהותקפו ומנהליהן נמצאים בידי המערכת).
ככל הידוע, המתקפה בוצעה בבת־אחת נגד כמה מחברות הפורקס והמסחר בחוזים מסוג "אופציות בינאריות" הפועלות בישראל, ואולי במקומות נוספים בעולם. כך, במקביל למתקפה על חברות בעלות מאפיינים ישראליים, הודיעה בסוף השבוע שעבר חברת שירותי הפורקס הגדולה FXCM, שלה גם שלוחה ישראלית, על מתקפת סייבר נגדה.
החברה, שמרכזה בארה"ב, מסרה כי פרצת סייבר במערכותיה איפשרה העברת כספים של "מספר מועט" של לקוחות - אך אלה כבר קיבלו את כספם בחזרה. החברה מסרה עוד כי צוות של מומחי סייבר וחוקרי FBI עוסקים בחקירת האירוע. FXCM מסרה כי קיבלה הודעת אי־מייל מאדם הטוען כי השיג גישה לנתוני לקוחות החברה - בדומה למתקפה על החברות הישראליות. בעקבות המתקפה, ביקשה החברה מלקוחותיה להחליף את סיסמאותיהם ולהמשיך לנהל את חשבונותיהם באתר כרגיל.
ככל הידוע, החברות הישראליות לא פירסמו את דבר המתקפה. בניגוד לחברת FXCM, הרשומה בארה"ב וכפופה לרגולציה האמריקאית, החברות הישראליות ככל הנראה אינן מחויבות לפרסם את דבר האירוע. חלק מהחברות אינן רשומות בישראל, אלא בקפריסין ובמדינות אחרות. הן פועלות תחת כללי הרגולציה הקפריסאית ואינן משרתות לקוחות בישראל - בין השאר כדי להימנע מרישום ברשות ניירות ערך.
חברות אחרות, שגם הותקפו, נרשמו ברשות ניירות ערך בבקשה לקבל היתר בעקבות התקנות החדשות לזירות מסחר, שאותה פירסמה הרשות באחרונה, אך הרשות עדיין לא החלה לפקח עליהן באופן מעשי. מומחי סייבר ויועצים בענף העריכו כי ייתכן שאחת הסיבות לכך שדווקא ענף זה נבחר למתקפה היא העובדה שמדובר בחברות שחוששות מפרסום וממעורבות של מוסדות כגון המשטרה והרשויות להלבנת הון. TheMarker פנה למשטרה בשאלה אם התקבלו בימים האחרונים תלונות על מתקפות סייבר המלוות בניסיונות סחיטה, אך תגובת המשטרה לא התקבלה עד למועד פרסום הידיעה.
עוד ב-TheMarker
קרן סינית חדשה תשקיע 30 מיליון דולר בסטארט-אפים ישראליים
ברקליס משיק בישראל תוכנית האצת סטארט-אפים
האם לדווח למשטרה ולציבור על הפריצה?
בחברות שהותקפו התקיימו דיונים בשאלה אם לדווח על הפריצה ועל ניסיונות הסחיטה ואם לשלם את הכופר. ככל הידוע, במקרים דומים - בישראל ובעולם - כ-30% מהחברות החליטו לשלם את דמי הכופר. סוגיה נוספת שמעסיקה את החברות היא אם לדווח על האירוע לציבור הלקוחות. בחברות שהותקפו הוקם צוות טיפול באירוע, הכולל יועצי סייבר חיצוניים, עורכי דין (משרד עורכי הדין הרצוג־פוקס־נאמן הוא בין היועצים הבולטים בענף בישראל, והוא מעורב לפחות בחלק מהאירועים), מומחי משא ומתן לניהול מגעים עם הפורצים, אנשי יחסי ציבור ומומחי ביטוח.
נכון להיום, ככל הידוע, רוב החברות הישראליות נמנעו מפנייה למשטרה, ולא ידוע על אף חברה שפנתה בהודאה ללקוחותיה. החברות מעריכות כי הנזק הגדול ביותר מהפריצה - גדול יותר מהשלכות האירוע עצמו - עלול להיות הפגיעה התדמיתית והשפעתה על הלקוחות.
על פי כללי רשות ניירות ערך לחברות הרשומות למסחר בבורסה (שאינם זהים לכללי הפיקוח על זירות המסחר), חובת הדיווח היא על פי שיקול הדעת של החברה, והמבחן הוא "מהותיות" האירוע. סעיף 36 לתקנות דו"חות תקופתיים ומיידיים קובע כי "בדו"ח יובאו פרטים בדבר כל אירוע או עניין החורגים מעסקי התאגיד הרגילים בשל טיבם, היקפם או תוצאתם האפשרית, ואשר יש להם, או עשויה להיות להם, השפעה מהותית על התאגיד".
במקרה של "זירות המסחר" - מונח שבישראל מתייחס כיום בעיקר לאתרי פורקס, השקעות והימורים על מטבעות, מדדים וניירות ערך - התקנות קובעות כי לא כל הדיווחים יהיו פומביים, ושאלת הפומביות של דיווחים בנוגע לתקיפות סייבר תלויה בנסיבות הספציפיות של האירוע.
על פי דיווחים שנמסרו ל-TheMarker, המתקפות האחרונות לא גרמו נזקים כלשהם לחברות. בשוק נפוצו שמועות שונות, ובהן על גניבת רשימות של לקוחות וניסיונות למכור אותן לחברות מתחרות - אך לעת עתה לא נמצאו לכך הוכחות. מקורות בענף אף אמרו כי בעבר פנו אליהם גורמים שהציעו לרכוש "רשימות לקוחות" של המתחרים שלהם.
גם לגבי זהות התוקפים אין בשוק "זירות המסחר" הסכמה. חלק מהפעילים מעריכים כי מדובר בפושעי סייבר מזרח־אירופאים, שזיהו פרצת אבטחה במערכת מסוימת שכמה מחברות הפורקס משתמשים בה, ולכן המתקפה בוצעה בכל החברות הללו בבת־אחת. מומחית סייבר הסבירה כי לאחר שגילו את הפרצה, לתוקפים יש אינטרס לתקוף בבת־אחת, כי אילו היו תוקפים רק חברה אחת, המידע היה עובר בתעשייה ושאר החברות היו פועלות לסגור את הפרצה.
מקורות אחרים חושדים כי ייתכן שהמתקפה הוזמנה מהפורצים בידי אחד המתחרים בענף, כחלק ממאבקי התחרות בין החברות. כל החברות והיועצים מאשרים כי נראה שהתוקפים מקורם ברוסיה או במדינות חבר העמים, וזאת על סמך התנסחותם באנגלית.
כאמור, נראה שהמתקפה על חברות הפורקס רחבת היקף, ואולי אף עולמית. על פי דיווח ב"וול סטריט ג'ורנל", בעוד FXCM והחברות הישראליות סירבו להתייחס למתקפות באופן מפורש ולציטוט, מקורות בחברות אחרות אישרו כי מדובר באירועים חמורים.
"זהו עניין עצום לברוקרים בתחום מטבע החוץ", אמר תומאס פטרפלי מחברת אינטראקטיב ברוקרס גרופ לכתב "וול סטריט ג'ונרל". לדבריו, גם החברה שלו סופגת לעתים מתקפות מסוג של DDOS- Denial of Service, המיועדות להאט את המערכות של האתר המותקף - נושא קריטי בעבור ברוקר המספק שירותי מסחר מקוונים - באמצעות יצירת עומסים והוראות פעולה אוטומטיות. "הם מפציצים אותך (...) ואנחנו לא יודעים אם המסרים וההוראות אמיתיות או לא", הוסיף פטרפלי.
חלק מהחברות לא בנו מערכת הגנה מתאימה
אף שגם הן סופגות לעתים מתקפות מסוג DDOS - שאולי הוזמנו בידי מתחריהן - גל המתקפות הנוכחי על החברות הישראליות לא היה כזה, אלא מסוג אחר - החדרה של "סוס טרויאני" למערכת של חברת הפורקס במטרה ליצור דלת כניסה שבאמצעותה יוכל התוקף להיכנס שוב למחשבי החברה, ואם צריך - לממש את האיומים. לפחות בחברת פורקס אחת אישרו המנהלים כי זוהה סוס טרויאני כזה, וכי הוא נוטרל בידי מומחי הסייבר של החברה. באופן טיפוסי, סוס טרויאני מוחדר למחשבי החברה המותקפת באמצעות אי־מייל שכולל תוסף או קובץ מצורף, באמצעות משחקים שעובדי החברה עשויים להוריד ולהפעיל, או באמצעות גלישה לאתרים שיודעים להחדיר תוכנה כזאת למחשבי המשתמשים.
"לדעתי, ההתקפה הזאת היא ניסיון פישינג", אמר אחד הפעילים בענף. "התוקף מנסה את מזלו מול כולם באותה צורה. הוא מבקש מכולם 500 ביטקוין. זה לא הרבה, משהו כמו 120 אלף דולר, אבל אם נניח שכל 20 חברות הפורקס הישראליות הותקפו, ואם בשליש מהמקרים התוקף הצליח לקבל את הכסף, הוא עשה בקלות כמה מיליוני דולרים".
גל המתקפות על החברות הפורקס מוכיח כי לפחות חלק מהן לא הקפידו עד היום לבנות סביב המחשבים שלהם הגנות סייבר מתאימות, כפי שעולה מההצלחה של הפורצים - גם אם זו התאפשרה בשל שימוש במערכת תומכת שכמה מחברות הפורקס משתמשות בה.
משיחה עם מנהלי סייבר במערכת הבנקאות, לעומת זאת, עולה כי בבנקים לא צלחו, ככל הידוע, מתקפות דומות, והם לא סבלו מסחיטה ואיומים מהסוג שעמו מתמודדות כעת זירות המסחר. בחברות הפורקס שהותקפו דווח כי הדבר הראשון שבוצע הוא בדיקת פרצות וחיזוק ההגנות של האתרים נגד מתקפות של האקרים.
עם זאת, גם מערכות הגנה יעילות נגד תקיפות חיצוניות אינן תרופה מושלמת נגד פשעי סייבר. באחרונה פורסם כי עובדים בחברת כרטיסי האשראי של בנק לאומי גנבו נתונים על מיליון לקוחות ו-2 מיליון כרטיסי אשראי, ופנו לבנק בניסיון לקבל 3 מיליון דולר תמורת מסירת הרשימות.
רק בחודש שעבר סיפר יו"ר בנק לאומי, דוד ברודט, בעדות בבית המשפט המחוזי בתל אביב במשפטם של הגנבים, על הנזק שהפרשה היתה עלולה לגרום לבנק: "כל עוד הדבר לא נודע לציבור, הפוטנציאל היה לא ממומש - אבל ידענו שאם ייוודע לציבור שהבנק נסחט בהיקף כזה, הוא עלול למשוך את פיקדונותיו, ותהיה פאניקה ציבורית גדולה מאוד ואובדן אמון במערכת הבנקאות בכללותה", אמר ברודט.
לדבריו, "היינו בחרדה יומיומית, בדאגה גדולה, כי האירוע התמשך. לקחנו צוות שיעזור לנו במשא ומתן, ובמשך כמעט שבועיים הקדשנו את רוב זמננו לניהול המשבר הזה. במונחים של בנק, זהו אירוע חמור מאוד. כדי לקדם את העניין, היינו מוכנים להיענות לבקשות הסוחט, והסכמנו להעביר 50 אלף שקל".
אירוע זה, גם אם שיטת הפריצה בו אינה דומה למתקפה הנוכחית על זירות המסחר, משקף את סערת הרוחות שאליה נקלעים מנהלי החברות שמותקפים באירוע של סחיטה מסוג זה, ובעיקר החשש מהנזק שעשוי להיגרם לארגון עקב פרסום הסיפור ופאניקה של לקוחות שישמעו עליה. בנק לאומי, אגב, רכש באחרונה פוליסת ביטוח נגד נזקי התקפות ונזקי סייבר, תחום שנמצא עדיין בחיתוליו בישראל, ושנמצא בבחינה גם בחברות אחרות - לרבות זירות המסחר וחברות הפורקס שהותקפו באחרונה.