חקירה וירטואלית: להב 433 בעידן הפשיעה ברשת

יחידת הסייבר במשטרה מטפלת בתיקים המורכבים ביותר בתחומה, ופועלת במציאות מורכבת עם אילוצים שאין בגופי ביטחון אחרים. "כדי להבין את הייחודיות צריך להסתכל עלינו כ-FBI הישראלי", אומר קצין בכיר ביחידה לישראל דיפנס

משרדי להב 433 בוד. צילום: מתוך אתר משטרת ישראל

מיוחד לקראת סייברטק גלובל בתל אביב: יחידת הסייבר הארצית של משטרת ישראל פועלת תחת יחידת להב 433, אליה מופנים התיקים המורכבים בתחום פשיעת הסייבר בישראל. בראש היחידה עומד סנ"צ אבי מייברג, קצין חקירות ותיק ומנוסה בלהב 433. "על מנת להבין את הייחודיות של להב 433 צריך להסתכל עלינו כ-FBI הישראלי", אומרים יניב עזני, ראש תחום הטכנולוגיה וסגן מפקד היחידה, ושירה בלה, קצינה טכנולוגית ביחידה. היחידה פועלת ממקום מושבה בעיר לוד במבנה של להב 433, כאשר הגישה אליה עוברת במסדרון חקירות ארוך ממנו מסונפים מספר חדרי חקירות. בסוף המסדרון ישנה דלת המובילה למטה היחידה.

ביטחון בכל מקום: בואו לעקוב אחרינו באינסטגרםבפייסבוק ובטוויטר

מבנה היחידה מזכיר כל בניין משרדים אחר המאכלס חברות היי-טק. חדרי עבודה מסונפים ממסדרון ראשי, חדר ישיבות מודרני ומסכי מחשב פזורים על שולחנות העבודה. היחידה מחולקת לשלושה צירים מרכזיים - חקירות, מודיעין וטכנולוגיה, וכוללת יועץ משפטי ייעודי המתמחה בתחום הטכנולוגי. במקביל ליחידת הסייבר, הוקמה יחידת אחות, 105 - היחידה למניעת אלימות נגד קטינים ברשת. כלל החקירות מגיעות ליחידה לאחר אישור של מפקד להב 433 ושלושת הצירים ביחידה מטפלים יחדיו בכל תיק. מדובר ביחידה קטנה יחסית ואינטימית שיד כולם בכל. "אנחנו מנתבים את המשאבים בהתאם לצורך המבצעי", מסביר עזני.      

 אחד התיקים שפוצח לאחרונה על ידי היחידה בסיוע של כלל היחידות בלהב 433 הוא ארגון הפשע 420, שהפעיל את רשת הטלגראס. מדובר בארגון פשיעה שעשה שימוש בתוכנת המסרים טלגרם ותשתיות טכנולוגיות מתקדמות לצורך מכירת סמים בישראל ובעולם כולו. בין מבצעי היחידה הנוספים שניתן לפרסם נכללת גם התפיסה לפני כשנתיים את ההאקר מאשקלון, והפריצה ללאומי קארד. "מטבע הדברים איננו יכולים לחשוף את כלל שיטות העבודה, אך היכולות שלנו, טכנולוגיות, מודיעיניות וחקירתיות משולבות ומכסות את כל התחומים -  הרשת האפלה, רשתות חברתיות, פלטפורמות יישומי מסרים מידיים, פורומים וכל מקום בו העבריינים עושים שימוש", מסביר עזני.

 דרכה של חקירה

כיצד מתנהלת חקירת סייבר במשטרה? ובכן, המקור לתלונה יכול להיות כל אזרח המגיע לתחנת משטרה ומתלונן על חשש לפשע בסייבר, או במרחב המקוון, כפי שמוגדר בשפה הרשמית במשטרת ישראל. אלו יכולים לכלול פריצה לטלפון, חשש למעקב, מתקפת כופר, גניבת כספים (מתקפת BEC כדוגמא), סחיטה, הונאה ועוד. מקור נוסף יכול להגיע מחו"ל.

המשטרה חתומה על אמנת בודפשט לשיתוף מידע בין משטרות בעולם, ומקיימת שיתופי פעולה בינלאומיים נרחבים עם מדינות וארגון האינטרפול. עוד מקור יכול להיות תופעה ארצית. מרכז הסייבר הארצי שפועל ביחידה מסתכל ברמה השוטפת על כלל פשיעת הסייבר המדווחת בארץ. למשל, אם רואים אוסף תיקי תלונה ממקומות שונים בארץ עם מכנה משותף, יכולה להתחיל חקירה. שוב, ליחידת הסייבר מגיעים רק תיקים מורכבים. חקירות סייבר רבות מנוהלות ביחידה המרכזית במחוז הרלוונטי.

 עם קבלת התיק לפיצוח, יושבים גורמי המודיעין, החקירות והטכנולוגיה ומגבשים דרך פעולה. בחלק מהפעמים מדובר בחקירה יחסית פשוטה שהפשע כבר נעשה והחשוד נתפס, ואז מבצעים איסוף מהיר של ראיות פורנזיות מהתקני המחשוב והתקשורת ומגישים כתב אישום. בחלק מהמקרים החקירה יכולה להתנהל חודשים ואף יותר מכך, בהתאם לאופי החקירות המורכבות המנוהלות בלהב 433. באלה, הטיפול בתיק מתחיל בעיקר באיסוף מודיעין וראיות ורק כאשר מתגבשת תשתית מספיקה מגישים כתב אישום. "בפרשת טלגראס, למשל, לקחו חודשים לבנות את המיפוי המלא ולהבין שמדובר בארגון פשע. בסוף הצלחנו להגדיר אותו ככזה על פי החקיקה בישראל. זו עבודת נמלים של כל המערכים ביחידה", מסביר עזני.

צילום אילוסטרציה: Bigstock

האתגרים אינם נגמרים עם החלטת דרך הפעולה. היות ומדובר בחקירה במרחב הווירטואלי, היעדים לפעמים נעלמים מהמסך. אם היעד מחליף חומרה, משתמש ב-VPN, או מסווה את עצמו בשיטות שונות, המשטרה צריכה למצוא דרכים יצירתיות להשיג המשכיות באיסוף המודיעין ואיתור ראיות. המעבר של דפדפנים, תוכנות מסרים מידיים ורשתות חברתיות להצפנה מקצה לקצה אינה מקלה על עבודת שירותי אכיפת החוק. "הצפנה, מטבעות מבוזרים, שירותי VPN ועוד, כל אלה כלים שנמצאים בידי כל אזרח והם מהווים אתגר טכנולוגי למשטרה", מציין עזני מבלי לחשוף יתר על מידה.

הכתבות הכי נקראות באתר:

ראש השב"כ: "סיכלנו בשנה האחרונה 560 פיגועים"

סוכם: תוספת תקציב לצה"ל לשנתיים הקרובות

דיווח: נחשפה זהותו של מנהיג ארגון דאעש החדש

בריטניה ניסתה את מערכת מסך הברזל של אלביט

טורקיה ביצעה ניסוי בטיל אוויר-אוויר חדש מתוצרתה

 "אם זה לא מספיק, המשטרה פועלת במסגרת משפטית שונה מאשר רוב גופי ביטחון אחרים בארץ המתעסקים בתחום הסייבר. המשמעות היא שלפעמים יש לך תמונה כמעט מלאה של מי עשה את הפשע ואיך, אבל חסר לך מידע ראייתי שישלים את התמונה על מנת להגיע להעמדה לדין. ישנן סוגיות משפטיות רבות שעדיין נמצאות בתהליך אל מול העולם הטכנולוגי ומאתגרות את העולם המשפטי. מהיועצים המשפטיים, הפרקליטות ואף השופטים.

עבור יחידת הסייבר, אילוצים אלו משולים לכך שלפעמים אתה נלחם בפשע עם ידיים קשורות מאחורי הגב. ועדיין, אנחנו מצליחים. חלק מהקרדיט להצלחה זו מיוחס לליווי משפטי צמוד של היועצת המשפטית שלנו, המלווה כל חקירה מיומה הראשון וכן למחלקת הסייבר בפרקליטות המדינה שמלווה אותנו באופן שוטף", מדגיש עזני. בסופו של תהליך, מרבית החקירות ביחידה מגיעות לכתב אישום. חלקן הקטן נגנז מחוסר ראיות, וחלק נוסף מחכה להשלמה מודיעינית או חקירתית.

 כלי הכרחי: שיתופי פעולה

המלחמה בפשעי סייבר החלה עוד לפני שנים רבות במפלג עבירות מחשב שהוקם במשטרה, וקיבלה תנופה משמעותית לפני כחמש שנים עם הקמת יחידת הסייבר. עם זאת, תפיסת אכיפת החוק המסורתית עדיין נדרשת להתאים עצמה למרחב הווירטואלי. "אחד הקשיים המרכזיים הוא מהותו של המרחב המקוון והעדר גבולות טריטוריאליים", מסביר עזני.

"כמעט כל גוף אכיפת חוק בארץ או בעולם מוגדר בבסיסו על פי טריטוריה. מדינה, מרחב, עיר וכו'. אבל בסייבר - אין גבולות. אם אזרח מגיש תלונה במחוז צפון, אבל ההאקר נמצא במחוז דרום, ויש קורבנות נוספים בכל הארץ ואף במדינות נוספות בעולם, מי צריך להוביל את הטיפול? אותה בעיה קיימת בין מדינות. אמנם ישנו שיתוף פעולה פורה, אבל אם בישראל מגישים צו עם בקשה לקבל מידע מספק שירות במדינה אחרת, התוצאה תלויה בחקיקה והרגולציה המקומית באותה מדינה, הסכמים בינלאומיים ואף יחסים דיפלומטיים.

הפשיעה בסייבר אינה עובדת לפי גבולות. התוקף יכול לפרוץ לתשתית לגיטימית בארץ אחת, לזהם אותה, ולתקוף דרכה יעד במדינה אחרת. כך גם בתוך ישראל. הפשיעה בארץ ובעולם עברה מזמן למרחב הווירטואלי בדמות העסקת האקרים, אנשי IT, מומחי תקשורת ועוד. הם בונים לעצמם את סט הכלים הדרוש כדי לעבור לפשיעה קיברנטית", אומר עזני.

 היבט נוסף לפעולת המשטרה הוא הצורך בשיתופי פעולה. יחידת הסייבר של המשטרה היא רק גוף אחד מתוך רבים בישראל. גופי הביטחון בארץ, מערך הסייבר הלאומי, רשויות אכיפה מקבילות והפרקליטות הם גופים נוספים העוסקים בתחום הסייבר בישראל. לכאורה, לכל אחד חלק מוגדר בעוגה. במציאות, החלקים לפעמים חופפים. הייחוד של המשטרה הוא בכך שהיא מובילה את האכיפה מול הציר הפלילי.

"כמעט כל חקירה בעולם הסייבר מנוהלת בשיתוף פעולה עם מספר גופים בארץ או בחו"ל. לפעמים יש גם מעבר תיקים בין הגופים השונים. אם התיק התחיל כפלילי, והפך לטרור או הפוך. לפעמים תיק התחיל כחקירת סייבר, והפך לחקירה ביחידה הארצית למאבק בפשיעה הכלכלית. אלו רק דוגמאות בודדות", מציין הקצין.

 אין ספק כי המלחמה בפשעי סייבר כרוכה באילוצים ייחודיים הנובעים מהעובדה שבסוף הדרך תיק החקירה מגיע לבית משפט. לרוב, הסניגור ינסה למצוא פערים בכתב האישום ואיסוף הראיות שהוביל לכתב האישום, ואנשי יחידת הסייבר יעשו הכל על מנת שהראיות בתיק יהיו חזקות ויציבות. מציאות זו מטילה על אנשי היחידה אילוצים ייחודיים שאין בשירותי ביטחון אחרים, ואלה דורשים מאנשי היחידה יצירתיות ותושייה, במסגרת החוק.

"אחד האתגרים שלנו לשנת 2020 הוא עדכון המסגרת המשפטית והרגולציה שיתאימו להתפתחויות הטכנולוגיות, ויאפשרו למשטרה לשפר את האפקטיביות במלחמה בפשעי סייבר. ישנה הבנה במשרד המשפטים שמסגרת החוק צריכה להתאים את עצמה לשינויי הטכנולוגיה. גופי הפשיעה בארץ כבר פועלים בסייבר, כך גם ארגוני פשיעה בחו"ל המשתמשים לעיתים בתשתיות ישראליות, מה שיוצר חלק מהמורכבות המשפטית", מסכם עזני.

אולי יעניין אותך גם