X

מפילים ברשת

כך פיצחה המשטרה את פרשת ההאקר מאשקלון • מפקדי יחידת הסייבר של המשטרה פותחים צוהר נדיר לשיטות הפעולה של היחידה, שמאפשרות להם לנטר תקשורת בין האקרים, לחדור למעמקי הרשת האפלה ולחשוף את העבריינים בשעת מעשה

טל אריאל יקיר
, עודכן
0
צילום: זיו קורן // רפ"ק אמיר לבון (עומד) ורפ"ק יניב עזאני במעבדת יחידת הסייבר. כמו חברת הייטק קטנה

ערב 21 במארס 2017, בסמטאות של אחת השכונות באשקלון, מסתובבים שני צעירים עם תרמילי גב. הם מפטפטים ביניהם, נראים כמו שני סטודנטים שסיימו עכשיו שיעור ארוך במכללה. אף אחד מהעוברים ושבים לא מתעכב עליהם במבטו ולא מבחין כי מהכיס בחולצתו של אחד מהם מבצבץ צינור צר וארוך.

פתאום הם נעצרים, ואחד מהם מקרב את הטלפון הסלולרי לאוזנו. חיוך רחב מתפשט על פניו. כמו מתוך סצנה בסרט מתח עוצר לצידם ואן לבן בחריקת בלמים, והשניים, בלשים ביחידת הסייבר של המשטרה, נבלעים בתוכו ונעלמים מהמקום בנסיעה מהירה. 

זה היה הרגע שבו נפתרה התעלומה הבינלאומית, שהעסיקה במשך יותר משנה את משטרת ישראל, את ה־FBI האמריקני ואת המשטרה הפדרלית באוסטרליה. אותו צינור, אנטנה המחוברת למכשיר אופטי ייחודי בגודל קופסת גפרורים, הצליח להתחבר לאנטנה מעוגלת וגדולת ממדים, שבצבצה מחלון של אחת הדירות בבניין הסמוך. התמונות שודרו ישירות ללפטופ על ברכיהם של שני חוקרים שהמתינו ברכב. את רשת הקשר המשטרתית מילאו קריאות שמחה.

יומיים אחר כך, ב־5 בבוקר, הקיפו את הבניין שמונה בלשים ושני האקרים משטרתיים. מרגע שניתנה ההוראה, נכנסו שלושה מהם ללובי של המבנה. שניים טיפסו במדרגות, ושלושה נוספים עלו במעלית. הם העירו משנתם נער צנום בן 18 וחצי, ואת אביו, שפתח את הדלת.

הנער, ששמו אסור בפרסום, היה ההאקר ששיגע את רשויות החוק בשלוש מדינות לאחר ששלח איומי שווא על מטען חבלה לבתי ספר, לבתי חולים, לחברות תעופה, לתחנות משטרה, לקניונים, ואפילו לסנאטור אמריקני. הוא מואשם גם באיומי סרק על עשרות ארגונים יהודיים בארה"ב. פעולתו חיזקה את התחושה כי האנטישמיות בארה"ב גואה, ואף הובילה להתייחסות מצידו של הנשיא דונלד טראמפ.

חצי שנה לאחר המעצר המתוקשר והפיצוח של התיק, שקיבל את המספר הרנדומלי 801, פותחים מפקדי הסייבר צוהר נדיר למתקני היחידה המסווגת, למעבדות הטכנולוגיות ולדרך שבה סיכלו איומי סייבר נגד בנק יהב, וגם חשפו - בתוך יומיים - פדופיל שביצע מעשי סדום בבתו בת ה־4 ומכר תמונות עירום שלה לעברייני מין במדינות אחרות. 

•   •   •

יחידת הסייבר המשטרתית הוקמה לפני ארבע שנים בתוך להב 433, היחידה הארצית למלחמה בשחיתות ובפשע המאורגן. מטרתה ניטור ונטרול של עבירות פליליות במרחב הקיברנטי כגון חדירה למאגרי מידע פיננסיים, סחיטה של גופים ציבוריים ופרטיים, הפצת נגיפי מחשב ותוכנות כופרה (הצפנת קובצי המחשב ושחרורם תמורת תשלום), הונאות בקנה מידה רחב ופדופיליה ברשת.

אנשי היחידה מסוגלים לחדור מרחוק למחשבי חשודים, לאתר ארנקים דיגיטליים וחשבונות ביטקוין חסויים, לנטר תשדורות דואר מוצפנות, לפצח טלפונים המגובים בסיסמאות, ואף לגלות את המספר הסידורי של כרטיס הרשת במחשב שממנו התבצעה העבירה (כתובת MAC), אף שאינו נמצא בידם. כל הפעולות, מדגישים ביחידה, מתבצעות בצווי בית משפט ואינן מופנות כלפי אזרחים מהשורה.

מפקד היחידה הוא ניצב־משנה מאיר חיון (45), בוגר לימודי משפטים וראיית חשבון, ששימש לפני שירותו במשטרה סמנכ"ל חברה שעסקה בהדרכת מחשבים. ב־1999 הצטרף למשטרה, למפלג עבירות מחשב ביחידה הארצית לחקירות הונאה, ומאז טיפס במהירות בסולם הדרגות. סגנו, רב־פקד יניב עזאני (39), המשמש גם ראש תחום טכנולוגיה, הגיע משירותי הביטחון לפני שלוש שנים וחצי.

עשרות אנשי היחידה, המנהלים את עבודתם בצללים, מגיעים מרקע דומה: חלקם האקרים, שגויסו מיחידות מחשבים בצה"ל ומחברות הייטק אזרחיות, וכאן הם מפתחים קודים ייחודיים למאבק בעבריינות רשת; חלקם חוקרים בעלי תארים במדעי המחשב והנדסת תוכנה; והשאר בלשים ואנשי מודיעין, שהגיעו משורות המשטרה ועברו השתלמויות על הזירה הווירטואלית.

הכניסה ליחידה, הממוקמת בקומה השלישית של להב 433 בלוד, מחייבת שימוש בכרטיס מגנטי מיוחד. במקום מסדרון חשוך משתקף מהחלונות הגדולים בלובי אור בוהק. על הקיר תלוי שלט אחד, שעליו נכתב בפשטות "סייבר". 

דלת המתכת הכבדה משמיעה זמזום עדין בפתיחתה. מבפנים זה נראה כמו חברת הייטק קטנה: קירות צבועים בצהוב עדין, תאורת ספוטים רכה, רצפות פרקט, ובמרכז - פינת ישיבה עתירת מגזינים באנגלית. 

מול משרדי החוקרים ממוקמת המעבדה הפורנזית־דיגיטלית, הנראית לרגע כמו מעבדה לתיקון מחשבים. מאחורי אינספור הכבלים, הגולשים מהשולחנות כמו נהר שחור, יושבים חוקרי המעבדה, מומחים לטכנולוגיה; עבודתם מתמקדת בהעתקת מידע מכל מוצר חומרה שיונח מולם, החל מהתקני אחסון חיצוניים ומכשירים סלולריים וכלה במחשבים, בטאבלטים ובראוטרים. הם יפיקו את הראיות גם אם הציוד ששימש לעבירה יוטבע במים, יישרף או ינותץ. 

לאחרונה רכשה המעבדה תוכנה ייחודית ומסווגת, המאפשרת למומחים למצוא קשרים בין קבוצות האקרים. בלחיצת מקלדת סורקת התוכנה עשרות מחשבים וכרטיסי רשת של חשודים, מאתרת תקשורת סמויה ביניהם, מחפשת אחר מידע מוצפן ומצליבה בין הנתונים. הכל בתוך שעות ספורות.


סמ"ש ליעד אברמוב, "האקר" במעבדת המחקר והפיתוח של היחידה. במידת הצורך מתחזים לאזרחים תמימים או לעבריינים // צילום: זיו קורן

ליד המעבדה הפורנזית־דיגיטלית נמצאת מעבדת המחקר והפיתוח. שם, מול מסכי ענק המציגים נוסחאות לפיתוח תוכנות ומפה המנטרת בזמן אמת פריצות לרשת בכל העולם, יושבים ההאקרים ("לוחמי הסייבר", בעגה המשטרתית). בראש הצוות עומד אופיר בן שלום, והאנשים שלו, בהם סמ"ש ליעד אברמוב (20), מפתחים אמצעים טכנולוגיים שאמורים לאתר מגמות חדשות בעבריינות הרשת הגואה. הם גם גולשים ב־DARKNET ("הרשת האפלה", הפועלת באינטרנט באמצעות תוכנת TOR), מתחזים במידת הצורך לאזרחים תמימים או לעבריינים ומאתרים פעילויות בלתי חוקיות, המתבצעות שם בהמוניהן, החל מסחר בנשק וכלה בעבירות מין קשות ובסחר בבני אדם.

בניגוד ליחידות סייבר בגופים ביטחוניים אחרים, ההאקרים המשטרתיים משתתפים גם בחקירות החשודים, שמתקיימות אצלם ביחידה. באמצעות החקירות הם מתחקים אחר מקור התוכנות הזדוניות, שיטות העבודה והכלים הטכנולוגיים שבהם השתמשו. 

אם תחום הטכנולוגיה הוא המוח של היחידה, מרכז הסייבר הארצי (מס"א), החדש יחסית, הוא הלב. בראש המרכז, הפועל ללא הפסקה, עומד רפ"ק אלעד (בילי) בליבאום, ולצידו סגניתו, פקד דנה ברוך. יחד איתם עובדות שש בנות שירות לאומי. המרכז אחראי לקשר עם 50 יחידות פדרליות החברות באמנת בודפשט לטיפול בפשיעת מחשב.

כמו כן, בוחנים במס"א את התלונות המוגשות לתחנות המשטרה בארץ, העוסקות באינטרנט, החל מאיומים באמצעות הפייסבוק וכלה בסחר בסמים דרך הדארקנט. במידת הצורך מסייע המרכז לתחנות בפתרונות טכנולוגיים, או מקבל לידיו חקירות מורכבות. כיום מטופלות ביחידה כ־30 חקירות עצמאיות, ובנוסף מסייעים החוקרים לכעשר חקירות חיצוניות מדי יום ביומו.

•   •   •

במשרדו של רפ"ק עזאני אפשר למצוא עדיין שרידים מהתקופה הטרופה שבה שקדו אנשי הסייבר על איתורו של ההאקר מאשקלון. שתי הדלתות במרכז ספריית הקיר הגדולה מכסות על מצבור עצום ומסודר להפליא של חפיסות שוקולד, ופלים, עוגיות ושקיות במבה - תזונה אופיינית ללילות רוויי אדרנלין וחוסר בשינה. לידם, על מדף חיצוני, ניצבת בובה בדמותו של אלברט איינשטיין וידו מקישה שוב ושוב על רקתו, כדי להזכיר לו להמשיך לחשוב גם כשנראה שאין פתרון.

עזאני מכיר את הסיטואציה מקרוב, בעיקר מחקירה 801. מעשיו של ההאקר מאשקלון החלו עוד ב־2015, אבל הדרמה הגיעה לישראל רק במארס 2016. אימייל קצר שנשלח אל מחשבי מס"א ממשטרת ניו זילנד ציין כי ב־24 וב־25 בפברואר התקבלו התרעות על פצצות, שהוטמנו לכאורה בשטחי בתי ספר. הלימודים במדינה הושבתו ליום אחד, אף שלא נמצא כל מטען חבלה.

הניו־זילנדים ניסו לאתר את מקור שיחות האיום, אולם התברר כי העומד מאחוריהן השתמש בשירותי חיוג מוצפנים הנקראים "ביטפון" ו"פלייפון", או בתוכנת "איבונה", הממירה טקסט לקול נשי מתכתי. הבדיקה הובילה לכתובת IP המשויכת לישראל.

המספר נבחן במעבדת המחקר ביחידה והוביל מייד לביתו של א', איש כוחות הביטחון המתגורר באשקלון. אנשי החקירות והמודיעין ערכו בדיקת רקע שקטה וגילו כי א' נשוי עם שני ילדים קטנים, ללא עבר פלילי וללא רקע טכנולוגי.

"חשדנו כי המאיים השתמש בתוכנת VPN (המאפשרת גלישה מוצפנת באינטרנט; ט"א), וייתכן שכלל אינו מתגורר בארץ", משחזר עזאני. "למרות זאת, באנו לביתו של א' עם צו חיפוש ועם ציוד טכנולוגי מיוחד. כשראה אותנו הוא היה מופתע ומבוהל, אבל אִפשר לנו להיכנס. התחברנו למחשב שלו וגילינו שהרשת בביתו אינה מוגנת בסיסמה, ושהמחשב מלא בווירוסים".

זו היתה רק ההתחלה. ב־21 ביוני, בשעות הבוקר, התקשר אדם במבטא אנגלי לקניון "אייס מול" באילת וטען כי במקום הוטמן מטען חבלה רב־עוצמה. כוחות משטרה הוקפצו לקניון, עם כלבים לזיהוי חומרי נפץ, אולם דבר לא נמצא. זמן קצר אחר כך התקבלה שיחה דומה בגרנד קניון בחיפה.

התסריט חזר על עצמו אחר הצהריים במלון רויאל ביץ' באילת, שם הודיע המאיים כי מטען חבלה יתפוצץ במקום בתוך 25 דקות. למקום הוזעקו חבלני משטרה וכוחות מג"ב, וגם השב"כ הוכנס לתמונה, מחשש שמדובר בפיגוע. לאחר שלא נתגלה דבר, העריכו השוטרים שמדובר במעשה קונדס. 

•   •   •

באוגוסט 2016 התקבלה במס"א אימייל מה־FBI, ובו דיווח על שלושה איומים על הטמנת פצצות במטוסים - שהגיעו כולם מכתובת IP בישראל.

ב־4 ביולי היתה זו טיסת אמריקן איירליינס מלונדון לשיקגו, וב־22 ביולי - טיסת דלתא איירליינס, שהיתה אמורה להמריא מניו יורק למיאמי. בשני המקרים פונו הנוסעים מהמטוסים ונאלצו להמתין בשדה שעות רבות.

איום שלישי התקבל בשדה התעופה JFK בניו יורק במהלך טיסת אל על לישראל ב־5 ביולי, ולפיו הוטמנה פצצה במטבחון המטוס. מאחר שהטייס היה מעל שווייץ, הוזנקו לאוויר שני מטוסי קרב מקומיים מסוג F-18, שהיו בכוננות ליירט את הטיסה אם תישקף ממנה סכנה לנמצאים על הקרקע. בסריקה שערך צוות המטוס לא נמצא דבר.

"המידע על כל האיומים לא הגיע לידינו בזמן אמת, ולא היתה שום אינדיקציה שתאפשר לקשר את האיומים לאדם אחד", מסביר עזאני, "זו היתה יכולה להיות, למשל, עבודה של דאעש, שמבקש לבדוק את מהירות התגובה של האמריקנים".

אלא שאז נפרץ הסכר והחוטים החלו להיטוות. התברר כי כבר ביוני התקבלו איומים על הטמנת מטעני חבלה במוסדות אמריקניים רבים - ובהם דיסניוורלד, בתי ספר, ואפילו תחנות משטרה. באחד המקרים טען המאיים כי הוא מחזיק כמה ילדים מניו ג'רזי כבני ערובה ומתכוון לדקור אותם. 

סנ"צ חיון החליט לפתוח בחקירה פעילה. כתובות ה־IP שדרכן גלש ההאקר החלו להיערם. רובן התרכזו באשקלון. פעם אחר פעם נסעו הבלשים דרומה וגילו שמדובר בקורבנות תמימים, שהרשת האלחוטית שלהם נפרצה.


מרכז הסייבר הארצי בפעולה (שנייה משמאל: פקד דנה ברוך). אחראים לקשר עם 50 יחידות פדרליות המטפלות בפשיעת מחשב בעולם // צילום: זיו קורן

באחד מערבי שישי של ספטמבר בשנה שעברה הגיעו שני בלשים וחוקר מעבדה לדירה של זוג קשישים. השוטרים העריכו כי אין להם קשר לאיומים, אבל ביקשו לבדוק אם אחד הילדים או הנכדים נוהג להשתמש במחשב בביתם.

"הגענו מאוחר, כי ההאקר נהג להתחבר בשעות הבוקר והצהריים בארה"ב", מספר ראש תחום החקירות ביחידה, רפ"ק אמיר לבון, "בני הזוג היו בדרכם למיטה ונבהלו כשראו אותנו בפתח. הדגשנו שאין לנו טענות נגדם וביקשנו מהם אישור להתחבר למחשב, לראוטר, לטאבלט ולסמארטפון. גם כאן התברר שההאקר מנצל את הרשת האלחוטית שלהם".

עזאני: "דמותו של החשוד לא היתה ברורה בשלב הזה, והתנהלנו קצת בערפל. הוא היה יכול להיות צעיר מקומי, האקר סיני שמסווה את עקבותיו, או אפילו גורם טרור".

בדצמבר נכנס שחקן חדש לזירה - המשטרה הפדרלית של אוסטרליה. ביום אחד בלבד, 16 בחודש, התקשר ההאקר ל־62 בתי ספר ביבשת - לכולם הודיע על מטען חבלה או על ירי שאמור להתבצע על תלמידים.

בזכות ריבוי המעשים ובעזרת טכנולוגיה ייחודית, הצליחו החוקרים הישראלים לעלות על ראיית זהב. הם איתרו את מספר כרטיס הרשת של המחשב שממנו התבצעו האיומים: C4:E9:84:13:0C:B4. זהות החשוד היתה עדיין עלומה, כי בשום שלב הוא לא גלש על הרשת הביתית שלו, שהיתה עשויה להוביל לחשיפתו.

כבר למחרת נפרסה בחדר הישיבות מפה ענקית של אשקלון. כל רשת פרוצה שההאקר גלש דרכה סומנה בנעץ צבעוני. ככל שהנעצים התרבו, כך היה אפשר לזהות שטחים "סטריליים", שבהם היה ברור שהוא לא מתגורר. לחיון ולעזאני כבר לא היה ספק שההאקר מתגורר באשקלון.

בינואר 2017 גובשה בחקירה שיטת עבודה אקטיבית. ההאקרים ביחידה צללו לנבכי הדארקנט כדי לאתר טביעות אצבע דיגיטליות של החשוד. הם גילו כי גלש לאתר הנקרא "אלפא ביי", ובו הציע שירותי סווטינג (איום לשם הפחדה) תמורת תשלום במטבעות ביטקוין. והיה גם מחירון: עבור שיחת איום ברצח בבית פרטי, ביקש ההאקר 40 דולרים. עבור הפחדה בטבח בבית ספר - 80 דולרים, ועבור הודעה על מטען חבלה במטוס - 500 דולרים. הכסף שולם רק אם האיומים הובילו להקפצת כוחות חירום ולפינוי המוסדות.

אגב, לאחר מעצרו של החשוד אותרו במחשבו ארבעה ארנקים דיגיטליים ששימשו אותו, ובהם יותר מ־180 מטבעות ביטקוין, המוערכים ב־875 אלף שקלים.

במקביל, יצאו הבלשים לרחובות אשקלון לעבודת שיטור קלאסית, על גופם ציוד אופטי. מכשור דומה, חזק יותר, הוצב במרפסות דירותיהם של חמישה תושבים, שעל רשתות האינטרנט שלהם גלש ההאקר. המטרה היתה לתעד את הפעילות בשטחים הסטריליים ולזהות אנטנה גדולה וחזקה במיוחד, המסוגלת לאתר אותות רחוקים. 

ואז שינה ההאקר את יעדיו. ב־16 בינואר הוא הודיע על מטענים שהוטמנו בבתי ספר ישראליים, ובהם בן־גוריון ברחובות, אוסישקין ויצחק שדה בכפר סבא, שז"ר בהרצליה, אביב בתל אביב והדרור במבשרת ציון. לכל המקומות הגיעו שוטרים ולא מצאו דבר. למחרת התמקד ההאקר בבתי ספר יהודיים בבריטניה ובארה"ב ובכ־60 קהילות ומרכזים יהודיים של ה־JCC (Jewish Community Center). 

•   •   •

בשיחות הוועידה הרבות שערכו החוקרים עם ה־FBI והמשטרה האוסטרלית ניכרה המבוכה על פניהם. "האפשרות שמדובר בחשוד ישראלי שמאיים על יהודים בחו"ל מצטיירת רע מאוד בעולם", אומר עזאני, "גם האפשרות שזה גורם עוין לישראל עוררה אי נוחות, כי פירושו של דבר היה שעד לאותו רגע פעלנו לפי נוהל עבודה שגוי.

"הסווטינג השפיע גם על הלך הרוחות בארה"ב. שלושה שבועות לאחר כניסתו של טראמפ לתפקיד הוא כינס מסיבת עיתונאים, שבה נשאל על יחסו לאיומים המדוברים. הוא אמר שיעשה כל שביכולתו כדי לעצור את הגזענות המבעבעת, ולנו היה ברור שהלחץ לאתר את ההאקר גובר". 

הודעות האיום נמשכו עד 15 במארס השנה. במועד הזה שלח ההאקר אימיילים על פצצות המוטמנות בכ־20 מרכזיים יהודיים בארה"ב. כעבור שמונה ימים, ב־23 במארס, הוא נעצר.

"כבר בכניסה לדירה ראינו בחלון המטבח את האנטנה ההיפרבולית, שנקלטה בצילומים שלנו", מספר חיון, "זו היתה הפעם הראשונה שנתקלתי בה בשימושים פליליים. הנער השתמש באנטנה קטנה, שקולטת אותות בטווח של 360 מעלות. בכל פעם שהנער מצא רשת לא מוגנת הרחק ממקום מגוריו, הוא התביית עליה באמצעות האנטנה החזקה.

"הנער לא דיבר איתנו, רק ישב על המיטה בשקט והביט בנו. רגע לפני שסיימנו לקחת את הציוד, הוא קם פתאום ממקומו וניסה לתקוף שוטרת. סמ"ש ליעד אברמוב קפץ עליו והשכיב אותו על המיטה".


מפקד היחידה, נצ"מ מאיר חיון (עומד), והצוות הטכני של המעבדה הפורנזית. יפיקו את הראיות גם אם הציוד יוטבע במים, יישרף או ינותץ // צילום: זיו קורן

בחדרו של הנער נמצאו מחשב נייד וכ־20 כרטיסי רשת חיצוניים. המחשב הועבר למחלקה הפורנזית והתגלה כאוצר ראייתי. בתיקייה מיוחדת תיעד הנער הקלטות של השיחות שביצע, וכן הגיעו החוקרים ישירות לחשבונות הביטקוין שלו ולתכתובות שניהל בפורומים שונים.

בין השאר, התברר כי הנער החל את פעילותו עוד ביוני 2015, כשהטריד בכיר במשרד ההגנה האמריקני. אחר כך השתמש בדארקנט כדי לסחוט את ארנסטו לופז, סנאטור ממדינת דלאוור, שגינה את שיחות האיום שהגיעו לבתי הספר.

למרות כל הראיות, הכחיש הנער בחקירתו את החשדות נגדו. באפריל השנה הוגש נגדו כתב אישום חמור על ידי עו"ד יוני חדד ממחלקת הסייבר בפרקליטות המדינה. האישומים כוללים סחיטה באיומים, פרסום ידיעות כוזבות, קשירת קשר לביצוע פשע, חדירה למחשב כדי לבצע עבירה, הלבנת הון, וגם תקיפה של שוטרת בעת מעצרו. 

"זה היה אחד התיקים המאתגרים של היחידה", מסכם חיון, "שיתוף הפעולה עם גורמי חקירה בינלאומיים הוכיח את עצמו. שיטות הפעולה של ההאקר אמנם לא היו חדשות, אבל השילוב ביניהן ומגוון האמצעים הקשו עלינו בהתחלה". 

יש לך השערה למה הוא עשה את זה, מלבד רווח כספי?

"קטונתי מלהבין את נפשו, אבל אני מעריך שמדובר בשיכרון כוח. בעיניי זו סתם בריונות".

סנגורו של הנער החשוד, עו"ד יורם שפטל, מסר בתגובה: "לא ננהל את התיק סביב השאלה אם הנער עשה את המעשים או לא, אלא סביב הטענה אם הוא אחראי למעשיו ואמור לעמוד לדין. הדו"ח הדיאגנוסטי שהוצא על ידי בית החולים הדסה, תסקיר שירות המבחן ואבחון של הפסיכיאטר המחוזי קבעו כי הנער סובל מאוטיזם. הוא אינו מבחין בין טוב לרע, ושוהה כעת במרכז בריאות הנפש של שירות בתי הסוהר.

"בימים אלה אנו נלחמים להוציאו משם ולהעבירו למעצר בית בהשגחת הוריו. בית המשפט המחוזי דחה את בקשתנו, ולכן הגשנו ערעור לבית המשפט העליון". 

•   •   •

בשונה מהמרחב הפיזי המוגבל, בווירטואלי אין גבולות. מיליוני אנשים בעולם מנצלים בכל יום את האנונימיות שמספקת הרשת האפלה כדי לבצע פשיעת סייבר. מרביתם הם פדופילים, שהמירו את הגינות החשוכות במחשב הביתי, שבו הם יכולים להחליף חומר תועבה בלחיצת מקש. עברייני מין אלו הפכו לאחד היעדים המרכזיים של היחידה, ובין השוטרים פועל צוות ייעודי לנושא.

החקירה הבולטת בנושא החלה ב־26 ביוני השנה, כששוטרים בנורבגיה פרצו לביתו של חשוד בפדופיליה שכינה את עצמו ברשת "ג'יימי", ותפסו אותו בשיחת צ'אט עם משתמש בשם "דוד", שהציע לשדר לו בסקייפ, בזמן אמת, פגיעה מינית בבתו בת ה־4 - תמורת תשלום.

השוטרים המתינו לסרטון כמה דקות, אולם דבר לא נשלח. לאחר יותר משבועיים של חקירה, ב־12 ביולי, הם שלחו למס"א את שני הפרטים היחידים שהיו בידם: שם סקייפ ואימייל. 

"לא היה לנו ספק שאנחנו נכנסים לפרשה הזו במלוא הכוח", אומר חיון, העתיד להתמנות בקרוב לראש יחידת מאו"ר - מערך משטרתי ואזרחי למניעת אלימות ופשיעת רשת נגד ילדים, שיפעל תחת המשרד לביטחון הפנים. "פעוטה שהופכת לקורבן מין מצד אביה היא לא עניין שסובל דיחוי.

"ניסינו לאתר את כתובת ה־IP של המחשב שממנו בוצעה ההתכתבות, ומצאנו את שמו האמיתי של האיש, שאינו דומה כלל לדוד. בהתחלה קיימנו חקירה שקטה, והתברר שמדובר במשפחה למופת עם הורים שעובדים במשרות בכירות במגזר הציבורי, ולהם בת קטנה. ביררנו גם מתי החשוד יוצא לעבודה, איך נראה סדר היום שלו ולאיזה גן הולכת הילדה".

ב־14 ביולי ב־6 בבוקר התמקמו חמישה בלשים סביב ביתו של "דוד", ובידיהם תמונותיו. הם קיוו שאשתו תצא עם הילדה לסידורים או לקייטנה, כדי שלא ייאלצו לעצור אותו בנוכחות הבת, אולם הדבר לא קרה. ב־15:40 עלה רפ"ק לבון לרשת הקשר ואמר רק מילה אחת: "פעל". 

בפשיטה על הדירה הוחרמו מחשבו של "דוד", כוננים חיצוניים והטלפון הסלולרי שלו. הציוד הועבר למעבדה הפורנזית, ותכולתו זעזעה גם את ותיקי החוקרים. בתחילה נמצאו במחשב יותר מ־100 אלף תמונות מחרידות, הכוללות קטינים המקיימים יחסי מין.

כ־1,000 תמונות וסרטונים אחרים אוחסנו בתיבת הדרופבוקס באינטרנט, 2,400 תצלומים אותרו בתיבת האימייל, ומאות תמונות נוספות, שבהן תועדו מעשי סדום בקטינים, נמצאו תחת אפליקציה סלולרית החסומה בסיסמה. 

הצוות הטכני סרק גם את תכתובת הסקייפ וגילה בהודעות כי פדופיל מדנמרק הציע ל"דוד" שיבצע מעשים מיניים בבתו ויפעיל את הווידאו בטלפון הסלולרי כדי שיוכל לצפות בו בשידור חי. הדני הציע לשלם עבור התיעוד 35 דולרים. 

"את הסרטון עצמו לא היה לנו, ולכן פנינו למשטרת דנמרק", מספר חיון, "העברנו להם כינוי סקייפ, אימייל וכתובת IP, כי היה ברור לנו שהדני לא הסתפק בשידור של חצי דקה, אלא הקליט אותו. התברר שצדקנו.

"פדופיליה שוברת אותי. אדם שפוי לא יכול להבין איך מסרסרים בילד שלו. כשהתגייסתי למשטרה לפני כמעט 20 שנה, חשבתי לתומי שעברייני מין פועלים בפארקים חשוכים. שנתיים אחר כך, כשהתוודעתי להיקף התופעה ברשת בישראל ולאופי המפלצתי של העבירות, איבדתי את התמימות". 

לפני כחודש הגישה עו"ד אפרת פאר־גרונדלנד ממחלקת הסייבר בפרקליטות המדינה כתב אישום נגד "דוד". הוא מואשם במעשה סדום בתוך המשפחה, בסחר בבני אדם, במעשים מגונים בנסיבות אינוס, בעשיית שימוש בגופו של קטין לעשיית פרסום תועבה בידי אחראי ובהחזקת פרסום תועבה ובו דמותו של קטין.

•   •   •

ערב יום חמישי, 17 באוגוסט. ביחידת הסייבר ניכרת תכונה רבה, ורפ"ק עזאני מתרוצץ עם ארשת סוד על פניו בין מעבדת המחקר והפיתוח לבין מס"א. בחדר הישיבות, מעל לשולחן הארוך, מתמלא הלוח הלבן בחיצים ובשרבוטי טוש כחול של החוקרים, ובהם קטעי משפטים כמו "לבדוק עובדים שפוטרו", "עובדים קיימים", "תעודות זהות" ו"מאגר לקוחות". פקד דנה ברוך ממתיקה סוד עם נוי, בת שירות, ושתיהן מתרכזות בתכתובת שרצה במהירות על אחד ממסכי המחשב מולן.

כך נקלענו לסופה של דרמה, שהחלה עשרה ימים לפני כן. אימייל מוצפן, ובו איום לחשוף מספרי חשבונות ופרטי לקוחות, טלטל את בכירי בנק יהב וגרם להם להאמין כי נמצאה פרצה במערכת האבטחה שלהם. בעקבות תלונתם התחזו ההאקרים ביחידה למנהלי הבנק והתכתבו עם הסוחט, שדרש 990 אלף שקלים ב־68 מטבעות ביטקוין. כדי לאתר עקבות דיגיטליים של הארנק הווירטואלי שלו, העביר הבנק רק 2,000 שקלים. 

כדי לאמוד את היקף הנזק הצפוי, שלחו ההאקרים לסוחט הודעה מיוזמתם וביקשו דוגמה למידע שברשותו. רק אז התברר כי לא היה בידיו כל מידע פיננסי.

שלושה ימים לאחר ההתכתבות האחרונה, ב־20 באוגוסט, נעצר ליאור שרעבי (33) מפרדס חנה. מבדיקת מחשבו האישי נחשפה הפרשה, המפורטת בכתב האישום שהוגש נגדו לפני כשבועיים על ידי עו"ד איתי גוהר ממחלקת הסייבר בפרקליטות המדינה.

התברר כי במשך כשנה וחצי, עד דצמבר 2015, עבד שרעבי כמנהל תמיכה טכנית בחברת אקטיב טרייל, המספקת דיוור אלקטרוני לבנקים, לחברות אשראי וביטוח ולמוסדות אקדמיים. עם עזיבתו, בשל חילוקי דעות מול הממונים עליו, הוא העתיק מידע מהמחשבים.

על פי כתב האישום, במארס השנה הוא מכר את המידע תמורת 6,000 שקלים לחברה לניהול תיקי השקעות בבני ברק. שרעבי לא הסתפק בכך, וביולי פנה גם לחברה שבה עבד וניסה לסחוט אותה תמורת 1.8 מיליון שקלים, שישולמו במטבעות ביטקוין.

אקטיב טרייל פנתה לרשות הלאומית להגנת הסייבר, יחידה אזרחית ממשלתית המפעילה מרכז סיוע במטרה לספק פתרונות ואמצעי הגנה לחברות במשק. בעת שאקטיב טרייל מושכת זמן בכוונה ומתמקחת על הכופר, ניסה שרעבי את מזלו גם מול בנק יהב. הוא אותר בדרך מתוחכמת, באמצעות מספר הארנק הדיגיטלי שהחזיק. 

"הבנק נבחר באופן מקרי מתוך רשימה של חברות", אומר סנ"צ חיון, "למרבה המזל, שרעבי לא הצליח לפרוץ לשום מאגר מידע של הבנק. מקרים כאלה ודומים לו הם הסיבה שהצטרפנו לאחרונה לפרויקט העולמי, NO MORE RANSOM, הקורא לציבור לא לשלם עבור תוכנות כופרה, אלא לפנות למשטרה. באתר הנושא את שם הפרויקט ניתנים בחינם כלים וקישורים המסוגלים לפתוח את המחשב ואת הצפנת הקבצים, והם מתעדכנים מעת לעת".

שרעבי מואשם בסחיטה באיומים, בפגיעה בפרטיות ובחדירה לחומר מחשב כדי לעבור עבירה. מעצרו הוארך עד 1 באוקטובר. 

סנגורו, עו"ד אבי חימי, מסר כי מרשו "שיתף פעולה בחקירתו ולקח אחריות על מעשיו. אני מאמין ששיתוף הפעולה שלו עם המשטרה וחרטתו הכנה יקבלו ביטוי ביום הדין".

לדברי רפ"ק עזאני, "מעבר לעבירה הפלילית היה כאן סיכון מדינתי. אילו היו בידיו חומרים רגישים שהוא היה מאיים לפרסם בדארקנט, הבנק היה עלול לקרוס ולגרום לתגובת שרשרת, שהיתה משפיעה על הכלכלה בישראל".

tala@israelhayom.co.ilטעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

כדאי להכיר