לנוכח ההישג המרשים שרושמת ישראל במבצע החיסונים, יצר משרד הבריאות מתווה "תו ירוק", שיאפשר הקלות מהגבלות מסוימות עבור מתחסנים. אלא שהביקוש הרב לחזור לשגרה, לצד תופעות כמו מתנגדי חיסונים, יצרו כר פורה לפעילות זייפנים ברשת, שמציעים "תעודת מתחסן" מזויפת תמורת מאות ואפילו אלפי שקלים.
מבדיקה שערכנו עולה כי מדובר בתעשייה שלמה של זיוף שנמצאת בשיאה בתקופה האחרונה, בעיקר משום שכרגע מדובר בתעודה לא מאובטחת, שקל מאוד לשכפל. המקום הנגיש ביותר שבו אפשר להשיג זיוף של הדרכון הירוק הוא כמובן יישומון טלגרם, שהפך לאחד הכלים הפופולריים ביותר לסחר בלתי חוקי בסמים, בתרופות מרשם ואפילו בנשק. הכל, כמובן, מתחת לאף של המשטרה.
המחירון והשיטה
"השליח מגיע לכתובת שתשלח", כתב לנו סוחר אנונימי במסמכים מזויפים בטלגרם. אם תהיתם, קל מאוד היה להגיע אליו ולגורמים אחרים באמצעות חיפוש "תעודות זהות" או "מסמכים מזויפים" - רק תקלידו צירוף מילים הגיוני. סוחר נוסף ששוחחנו איתו ציין כי מדובר ב"שירות חדש" שמחירו הוא 2,000 שקלים. את העבודה ניתן לקבל בתוך 48 שעות.
הצעה נוספת שקיבלנו היתה ב-600 שקלים, ויש גם כאלה שדורשים מחירים נמוכים יותר במטבע חוץ - 100 יורו בלבד. חשוב להדגיש כי מדובר ברכישה אנונימית, הן מצד הסוחר והן מצד הרוכש, עניין שמקשה את איתור הפעילות באמצעות משטרת ישראל.
אחד מהסוחרים אף ציין כי את הכסף יש להעביר ב"שיטת המטמון", שבה ככל הנראה נדרשים מבקשי העבודה להטמין את הכסף בתוך מעטפה במיקום מסוים שנקבע מראש כדי שלא תתבצע העברה ידנית. שיטה אחרת להעברת המזומנים היא באמצעות קוד למשיכת מזומן מכספומט ללא כרטיס. גם במקרה הזה, מובטח ששליח יגיע עד אלינו עם הזיוף.
"אפשר לזייף תעודות מתחסן בצורה תעשייתית"
"תעודת מתחסן היא רעיון טוב שמיושם בצורה לא כל כך טובה", מסביר אמיר כרמי, מנהל אבטחת מידע, HackerU Solutions, בשיחה עם "ישראל היום". "מופיעים בו השם המלא, מספר תעודה הזהות, תאריך הלידה של בעל הדרכון, ותאריך החיסון והתפוגה שלו, שאמורים כביכול להיבדק גם באמצעות ברקוד QR שניתן לקריאה מהירה במסופי מעבר – כמו אולם קולנוע או נתב"ג".
"אלא שהברקוד מכיל רק את השם המלא של בעל הדרכון, מספר סידורי של הדרכון ותאריך החיסון והתפוגה.
כלומר, למרות שמספר תעודת הזהות ותאריך הלידה של בעל הדרכון רשומים עליו בקובץ ה-PDF, הם לא נבדקים ומאומתים בברקוד", מוסיף כרמי.
"הבעיה היא שניתן בקלות לפענח את הברקוד ואת הקידוד שלו, לראות את המידע, ובאותה המידה קל גם לזייף את המידע שמכילים השדות. השילוב של שני הנושאים הנ"ל יאפשר לזייף תעודות בצורה תעשייתית, והתחושה שלי היא שאם הם אכן יכנסו לשימוש שוטף אנחנו נראה מאוד מהר אתרים או קבוצות מסרים שמאפשרים לזייף תעודות מתחסנים ללא כל צורך בידע טכני".
כרמי מסביר כי הפרטים האישיים שהדרכון מכיל מהווים פוטנציאל לבעיות פרטיות גם כן, בידיעה שהתשתית הוקמה בצורה חפוזה: "כמו שניתן לראות מהאתר שאמור להנפיק את התעודות שמושבת כבר מספר ימים, אני חושש שמאגר המידע שמכיל את הפרטים האישיים של המתחסנים איננו מאובטח כיאות, ומקווה מאוד שלא נראה ממנו דלף מידע בשבועות או החודשים הקרובים".
״הצפנה יחסית פשוטה״
״אפשר לזייף את התעודה הזאת״, אומר עודד ואנונו, ראש מחקר חולשות מוצרים בחברת אבטחת הסייבר צ'ק פוינט שחקר את הנושא, בשיחה עם “ישראל היום”. מדובר בפורמט טקסט-PDF, כזה שאפשר לזייף או לשכפל אותו בצורה פשוטה עם כל תוכנת עריכת תמונות. כחלק מהתעודה מתווספת חתימת ברקוד (QR Code), החתימה מוצפנת בהצפנה שנקראת base64 שזוהי הצפנה יחסית פשוטה לפענוח והנתונים שמצפינים הוא השם בעברית, כולל תוקף התעודה בלבד״.
לדבריו, לכל מי שמנפיק תעודה יש ערך מתמטי ייחודי בשרתים של משרד הבריאות. ״הציפייה היא שתהיה מערכת דיגיטלית (מסוף ברקוד) צד לקוח שיהיה לה קשר ישיר לשרתים של משרד הבריאות והיא תעשה ולידציה (תיקוף) של זהות האנשים בנוסף לאימות ויזואלי של תעודת זהות. כך למשל אדם שרוצה לזייף את התעודה ולהיכנס עמה לאולם קולנוע - יציג דף אישור מזויף שהוא התחסן״.
״ברגע שהחתימה תעבור סריקת ברקוד אמור לחזור אישור עם שם האדם, אבל אז יגלו על פי תעודת הזהות שזה לא הבן אדם הנכון וימנעו את כניסתו. במקרה ולא תמומש הבדיקה עם שרתי משרד הבריאות לא יהיה ניתן לאכוף זיופים של התעודות״, מסכם ואנונו.
אין חתימה דיגיטלית
"על פי התמונה באתר של משרד הבריאות ניתן לראות כי התעודה (כמו הדרכון הירוק) היא טקסט מודפס, כאשר הברקוד המצורף הוא פשוט קידוד של הטקסט המצורף. לא משולב בברקוד הזה שום צורה של אבטחה, ולו הפשוטה ביותר״, אומר אנדריי יארמנקו, סמנכ"ל טכנולוגיה, Hub Security, המתמחה בפתרונות אבטחת מידע לבנקים וחברות פיננסיות, בשיחה עם ״ישראל היום״.
״למעשה, קל מאוד לזייף תמונה של התעודה הזו, ואין דרך לברר האם היא אמיתית, אלא באמצעות בדיקה מול נתוני המחוסנים על-פי מספר תעודת זהות, ואם בדיקה כזו כבר מתבצעת, אז אין צורך בקובץ של התעודה״.
יארמנקו מדגיש כי לתמונת התעודה הייתה משמעות לו היתה משולבת בברקוד חתימה דיגיטלית פשוטה. ״שילוב של חתימה כזו, המאומתת באמצעות רשם מוכר, היה מאפשר לכל דפדפן לבדוק האם התעודה בתוקף או לא. מדובר בפתרון פשוט, בעלות זניחה. למעשה, כל חשבונית דיגיטלית שנשלחת היום בישראל חתומה כך, והרוב המכריע של אתרי האינטרנט משתמשים באותה הטכנולוגיה, כך שניתן ליישם אותה גם בתעודת מתחסן".
ממשרד הבריאות נמסר בתגובה: "התו ירוק טרם הושק. תעודת מתחסן בפורמט הנוכחי נועדה לספק מענה מהיר וראשוני. במקביל, המשרד בוחן מול מדינות אחרות בעולם ומול ארגון הבריאות העולמי, יישום ברקוד מאובטח בפורמט סטנדרטי שיהיה מקובל במדינות רבות בעולם, ולכשיוגדר - תופק תעודה חדשה במבנה הרלוונטי".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו