פשיעת סייבר הפכה לחלק בלתי נפרד מעולם הקריפטו. רק בחודש שעבר בורסת הקריפטו Bybit נפרצה על ידי האקרים מצפון-קוריאה, שהצליחו לשדוד מטבעות קריפטו של לקוחות בשווי של 1.5 מיליארד דולר. אירועים כאלה אפשר להשוות ל"שוד בנק", אולם גם בעלי ארנקים דיגיטליים פרטיים ניצבים בפני סכנות יומיומיות של "כייסים", שמנסים לגנוב בדרכי עורמה כסף ישירות מארנקם.
לאחרונה, חשפה חברת הסייבר הישראלית סייברארק (CyberArk) נוזקה חמקמקה במיוחד, שמסתובבת ברשת כבר זמן רב ומכייסת אינספור ארנקים דיגיטליים, לעתים מבלי שבעל הארנק אפילו שם לב לכך. מי שגילה את הנוזקה הוא ארי נוביק, חוקר נוזקות במעבדות סייברארק, שחלק מעבודתו הוא "לפטרל" ברשת ולבלוש אחרי האקרים זדוניים. הוא בחר לכנותה "MassJacker Sparrow", על שם הפיראט הקולנועי הנודע ג'ק ספארו. לפי נתונים שהצליחו לאסוף בסייברארק, הנוזקה הצליחה כבר לגרוף שלל של מאות אלפי דולרים.
"לאור הפופולאריות הגוברת של תחום הקריפטו והתרחבות השימוש בארנקים דיגיטליים, היה מצופה שנוזקות בתחום הקריפטו יובאו יותר למודעות הציבור", אמר נוביק ל"ישראל היום".
תרגיל העוקץ של MassJacker Sparrow מתחיל, כמו פעמים רבות אחרות, באתר שמציע להורדה תוכנות פיראטיות, כלומר תוכנות מסחריות "פרוצות" שניתן להשתמש בהן בחינם (דבר המהווה, אגב, עבירה על החוק). בעולם הטכנולוגי נהוג להגיד "כשהמוצר בחינם - אתה הוא המוצר" - וזה נכון גם במקרה הזה: כאשר הגולש מוריד "לתומו" את אחת התוכנות הפרוצות ומתקין אותה במחשבו, הוא למעשה מאפשר גם לנוזקה נסתרת ("דלת אחורית") להסתנן למחשבו. שם, כמו כייס מיומן, היא ממתינה לרגע המתאים שבו תוכל לשלוח יד אל הארנק.
מהו ארנק דיגיטלי?
כאן כדאי להסביר מהו "ארנק דיגיטלי". ברמה הבסיסית ביותר, ארנק דיגיטלי מורכב משני מפתחות: מפתח ציבורי, שהוא למעשה הכתובת הפומבית המשמשת כל מי שרוצה להעביר אל הארנק שלך כספים; ומפתח פרטי, שבאמצעותו אתה נכנס לארנקך, מאמת את בעלותך עליו ומבצע ממנו העברות. שני המפתחות מורכבים ממחרוזת של עשרות תווים אקראיים. הכסף בארנק הדיגיטלי שלך אינו נשמר בבנק או אצל כל גוף פיננסי כלשהו. למעשה, הכסף שלך לא נשמר בשום מקום, אלא רק רשום ומתועד ברשת הבלוקצ'יין.
הבלוקצ'יין היא מעין "יומן חשבונות"' שמתוחזק ומאומת באופן רציף על ידי רשת של אינספור מחשבים ברחבי העולם, שמאמתים באמצעות קריפטוגרפיה כל עסקה חדשה ומעדכנים בהתאם את המאזנים. בשל המבנה המבוזר הזה, בלתי-אפשרי לזייף עסקאות ביטקוין, ולכן יש "אמון" בנכסים הפיננסיים הללו.
המפתח הפרטי הוא "ההוכחה" היחידה שלך לבעלותך על ארנק ספציפי ברשת הבלוקצ'יין. אם איבדת את המפתח הפרטי, איבדת לעד את ארנקך ותכולתו, ושום גורם פיננסי, ממשלתי או משפטי לא יוכל לסייע לך לשחזרו. ואכן, יש שלל סיפורים מסמרי שיער על אנשים שאיבדו את הגישה לארנקים בשווי מאות מיליוני ואפילו מיליארדי דולרים.
יש שני סוגים של ארנקים לניהול המפתחות: ארנקים "קרים" וארנקים "חמים". ארנק קר הוא כזה שאינו מחובר לרשת. למעשה, הארנק הקר הבסיסי ביותר הוא פיסת נייר שעליה רשומים המפתחות. יש גם התקני חומרה מיוחדים לאחסון בטוח של המפתחות. כאמור, אם איבדת את דף הנייר או את את התקן ה-USB - כספך ירד לטימיון. ארנק חם הוא ארנק מקוון, במתכונת של אפליקציה או חשבון מסחר בבורסת קריפטו. ארנקים חמים ניתנים לשחזור, משום שפרטיהם מוחזקים על ידי ספק שירות כלשהו, אך מנגד, הם גם חשופים כך לסיכוני פריצה ותרמית.
תרמית ה-copy-paste
נחזור לכייסים. כאמור, בשל העובדה שמפתחות הארנקים מורכבים מרצף של עשרות תווים, לא ניתן לזכור אותם בעל פה, בשונה ממספר חשבון בנק או כרטיס אשראי. לכן, לרוב, אם מישהו ישלח לך את המפתח הציבורי שלו, במטרה שתעביר אליו כספים, אתה תעתיק את המחרוזת באמצעות המקלדת או העכבר. כשאנחנו מעתיקים טקסט באופן זה, הוא נשמר בזיכרון "קצר הטווח" (RAM) של המחשב. ב"חלונות" הפונקציה הזו נקראת clipboard, וכולנו משתמשים בה באופן יומיומי: copy-paste.
כאשר הנוזקה שחדרה למערכת שלנו מזהה שהעתקנו אל ה-clipboard טקסט שנראה כמו מפתח של ארנק, היא מיד מחליפה את המפתח המקורי שביקשת להעתיק במפתח של ארנק דיגיטלי אחר, ארנק דיגיטלי שנמצא בבעלות העבריין שעומד מאחורי תרגיל העוקץ. כך, כאשר "תדביק" (paste) את מחרוזת המפתח כחלק מתהליך העברת הכספים, המחרוזת שתועתק תהיה זו של ארנקו של העבריין. משום שמדובר במחרוזת כה מורכבת, מרבית האנשים כלל לא ישימו לב שהעתיקו מפתח שונה - ויבצעו את העברת הכספים ישירות אל הארנק החלופי.
בסייברארק ביצעו "הנדסה הפוכה" של הנוזקה ואיתרו בתוכה קובץ עם רשימה של יותר מ-700 אלף ארנקים שונים. מדובר בארנקים שיצר הנוכל מאחורי התרמית. מתברר, שהנוזקה ידעה להחליף את המפתח המקורי במפתח "דומה", כדי להקטין עוד יותר את הסבירות שהמשתמש ישים לב ל"חילוף". מומחי סייברארק ביצעו בדיקה וגילו שהארנקים שאליהם ניתבה הנוזקה את הכספים הכילו מטבעות קריפטו שונים בשווי כולל משוער של יותר מ-330 אלף דולר - 290 אלף דולר מהם כבר נפדו.
חשוב להזהיר, MassJacker Sparrow עדיין מסתובבת ברשת. איך תדעו אם במקרה נדבקתם בנוזקה? פשוט העתיקו כתובת של ארנק והדביקו את הטקסט. אם הטקסט המודבק זהה לגמרי לזה שהדבקתם - אתם "נקיים".
נוביק מדגיש כי הנוזקה שגילה היא רק אחת הסכנות שאורבות לבעלי ארנקים, שחשוב להיות מודע אליהן. "הסיכונים בתחום הארנקים הדיגיטליים דומים לסיכונים השכיחים במרחב הדיגיטלי", הוא אומר. "ניתן לחדור לארנקים דיגיטליים בדרכים רבות, בין אם מדובר במתקפות פישינג, שנועדו להוציא מכם ברמייה את פרטי הארנק, מתקפות כופר, פלטפורמות זדוניות שמתחזות לבורסה או אפליקציית קריפטו - ועד ארנקים לא-מאובטחים או יירוט פרטי הגישה במקרה של שימוש ברשת תקשורת לא מאובטחת. לכן, כאשר מדובר בארנק הדיגיטלי, חשוב לשמור על כל כללי בטיחות המידע המקובלים".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו