מקים קרדשיאן עד הנכד שלכם: כך פושעים מפנים את הטכנולוגיה נגדכם

עולם הפשיעה הדיגיטלית מתפתח במהירות, ובכל פעם שנראה שנצליח להעלות את המודעות לתכסיסי הפשע הדיגיטליים מספיק כדי למנוע מרובם המוחלט של האנשים ליפול בפח – צצים טריקים חדשים והמירוץ להעלאת המודעות מתחיל מחדש. כל התקדמות טכנולוגית מנוצלת על ידי פושעים מקוונים כדי לפתח שיטות מתוחכמות יותר לגניבת מידע, כסף וזהויות למטרותיהם השונות, והפער בין הפיתוח הטכנולוגי לבין יכולת האכיפה והההגנה יוצר מרחב פעולה רחב שפשוט בלתי אפשרי לעצור.

הונאות הנדסה חברתית, שקיימות עוד משנות ה-90, הופכות מתוחכמות יותר ויותר עם הזמן – אך השיא מגיע בזכות שילוב הבינה המלאכותית: פושעים מצליחים לאחרונה להתקשר לקרבנות מסוימים ולדבר איתם בקולותיהם של בני משפחה שטוענים כי הם נמצאים במצוקה, או בקולותיהם של מנהלים בחברות שדורשים מהעובדים להעביר תשלומים לחשבונות הבנק של הפושעים; מערכות צ'אט ומרכזי "שירות" טלפוניים שמתחזות לתמיכה טכנית של חברות גדולות מצליחים להוציא מקרבנות תמימים פרטים אישיים או תשלומים שמנים, כמו במקרה האחרון של "הונאת ביינאנס" בישראל; והודעות דואר אלקטרוני מזויפות שקשה להבדיל ביניהן לבין הודעות אמתיות מצליחות לגרום לגולשים למסור פרטים לנוכלים.

פשיעת קריפטו פתחה זרועות פעילות חדשות לחלוטין עבור רמאים; מלבד גניבה ישירה של מטבעות דיגיטליים בדרכים שהוזכרו בפסקה הקודמת כדי להשתלט על ארנקי קריפטו, פושעים יוצרים מטבעות מזויפים, מבצעים תרגילי Pump&Dump (קידום בתשלום של מטבע שכל מטרתו לגרום לכמה מפורסמים, כמו צ’אק נוריס, קים קרדשיאן וג’יזל, להמליץ עליו לעוקבים שלהם, כדי למכור מטבעות וירטואליים במיליוני דולרים ואז להיעלם עם הכסף ולהשאיר את הקונים עם מטבע שהשווי שלו יורד שעות אחרי ההשקה לאפס), מפעילים תרמיות פירמידה דיגיטליות (כמו זו של FTX, שהכניסה את כל השוק ל"תרדמת חורף" של שנה שלמה לאחר שקרסה בדיוק כאשר השוק ניסה להתאושש מקריסות Terra ו"צלזיוס"); ומנצלים את האנונימיות היחסית של המטבעות הדיגיטליים להלבנת הון. הונאות NFT (נכסי קריפטו שאינם מטבעות, ולכן שוויים משתנה מאחד לשני גם באותה "סדרה", כמו Bored Ape Yacht Club) והשקעות במטבעות חדשים הפכו לפופולריות בקרב פושעים, המנצלים את ההבנה המוגבלת של הציבור בתחום.

מאגרי מידע אישי הפכו לסחורה חמה בשוק השחור הדיגיטלי – ביותר מצורה אחת: פושעים גונבים מידע מבסיסי נתונים של חברות, בתי חולים ומוסדות ממשלתיים, ויכולים למכור אותו באחת או יותר משלוש הדרכים הבאות:

1. מכירה לפושעים אחרים לשם ניצול המידע לפריצה וגריפת הון;
2. דרישת כופר מהחברה ממנה נגנב המידע כדי להימנע מהפצתו;
3. פנייה ישירה לאנשים שהמידע שלהם נגנב ודרישת כופר לשם אי פרסום מידע מביך, כפי שראינו בישראל במקרה של אתר ההיכרויות הגאה "אטרף".

כל פרט אישי – החל מכתובת מייל וסיסמה לשירות שממנו אפשר לדלות פרטי המשך או לשלוח ספאם לאנשי קשר, דרך פרטי כרטיסי אשראי שמאפשרים לגנוב כסף באופן ישיר, המשך בתעודות זהות שיכולות לשמש לגניבת זהות ועד פרטים שעצם פרסומם יכול להביך או אפילו לסכן את הקרבן – הוא אוצר עבור נוכלי רשת.

תוכנות כופר (“כופרות”, בעברית תקנית) הפכו לתעשייה מסודרת ומתוחכמת. קבוצות פושעים מתמחות בפריצה למערכות, הצפנת נתונים ומכירת המפתח לגישה אליהם לקרבנות. הן מפעילות "שירותי לקוחות" מקצועיים, מבטיחות דיסקרטיות ואפילו נותנות "אחריות" על הפתרון שלהן (עד כדי כך שכבר נרשמו מקרים של קבוצות האקרים שהתנצלו כשגילו שתקפו ארגון שכבר שילם “פרוטקשן” למתחרים, ואף מקרים של קבוצות שתקפו קבוצות מתחרות על החוצפה לחדור לארגון שהיה תחת “חסותן” לאחר תשלום כופר). חלק מקבוצות הכופר "מתמחות" בתקיפת בתי חולים, בתי ספר או מפעלים, ויודעות בדיוק איך לגרום נזק מרבי.

הונאות מסחר אלקטרוני התפתחו מעבר לאתרים שמחקים אתרים גדולים כדי לגנוב פרטי אשראי; פושעים יוצרים חנויות מקוונות עצמאיות לכאורה, שנראות לגיטימיות לחלוטין, ולפעמים אף שולחות כמה מוצרים ללקוחות כדי לרכוש את אמונם לפני שהן מתחילות להונות ולגנוב מהם כסף.

פישינג התפתח לכיוונים חדשים, תוך ניצול הרשתות החברתיות; פושעים יוצרים פרופילים מזויפים של בנקים, חברות ביטוח או מוסדות ממשלתיים ברשתות החברתיות. הם מפיצים קישורים מזויפים דרך הודעות אישיות ופרסומות ממומנות, ומנצלים את האמון שאנשים חשים בעת גלישה בפייסבוק, אינסטגרם, טיקטוק וכו’.

קבוצות פשיעה מאורגנת פועלות ממש כמו חברות הייטק מתוחכמות: הן מעסיקות מתכנתים אמתיים ומוכשרים מאוד, מנהלי פרויקטים, מחלקות שיווק ואפילו משאבי אנוש. חלק מהקבוצות מפעילות "אוניברסיטאות" פנימיות שמלמדות טכניקות פריצה חדשות, ומנהלות תחרויות פנימיות לעידוד "חדשנות פשע” (כלומר המצאת דרכים חדשות לרמות אנשים).

טכנולוגיות חדשות, כמו "האינטרנט של הדברים" (IoT), יוצרות פתחים חדשים לפשיעה; מצלמות אבטחה, מכוניות חכמות, מקררים מחוברים ומכשירים ביתיים חכמים הופכים לנקודות כניסה למערכות ביתיות ועסקיות. פושעים מנצלים את אבטחת הקצה הלקויה של המכשירים (כמו בחירת סיסמאות קלות או הישארות עם סיסמאות ברירת מחדל שכתובות במדריך למשתמש) וההבנה המוגבלת של המשתמשים בסיכוני האבטחה.

בינה מלאכותית משמשת גם את הפושעים לאוטומציה של התקפות; אלגוריתמים לומדים לזהות אנשים פגיעים במדיה החברתית, ליצור הודעות הונאה מותאמות אישית ולבחור תזמונים אופטימליים להתקפות. התקפות בוטים מתוחכמות יכולות לתקוף אלפי אתרים בו-זמנית, ולהתאים את הטקטיקה בהתאם לתגובות המערכות.

התגוננות בפני פשעי רשת חדשים דורשת שילוב של טכנולוגיה מתקדמת, מודעות ציבורית מתמדת ושיתוף פעולה בינלאומי. חברות סייבר מפתחות מערכות הגנה שמתבססות על בינה מלאכותית כדי לזהות התקפות חדשות, רשויות החוק משתמשות בכלים טכנולוגיים מתקדמים למעקב אחר פושעים, ואנחנו, ככלי תקשורת, מנסים ליידע אתכם, הקוראים, את סימני האזהרה של הונאות. כל אחד מבצע את תפקידו – ויחד אולי נוכל להוריד משמעותית את שיעור ההצלחה של פושעי הרשת.

הכתבה נכתבה בסיוע קלוד.