כייסות וירטואלית כואבת ריאלית

האם הרגשתם לאחרונה כי קרס חד נתפס בארנקכם והעלים אותו תוך שניות? לא מדובר בכייס זריז, אלא בנוכלים מתוחכמים אשר מתמחים ב"דיג" נתונים, בדרך כלל פיננסיים, של גולשים תמימים ברשת האינטרנט. ההבדל התהומי בין שני הכייסים – האמיתי והקיברנטי הוא בהתייחסות החוק אליהם. הכייס בעולם האמיתי מבצע עבירה של גניבה לפי סעיף לחוק העונשין. הכייס הקיברנטי לעומתו עובר על שלל עבירות בנוסף לגניבה – הונאה, פגיעה בפרטיות, חדירה למחשב ועוד. כניסת רשת האינטרנט לכל תחום בחיינו הביאה כמו תמיד חסרונות לצד היתרונות העצומים שלה. אמנם רובנו יכולים לנהל את חיינו, פשוטו כמשמעו, מסלון ביתנו. לשם כך, אנו רוצים ולפעמים אף נאלצים למסור פרטים אישיים לגופים שונים ברחבי האינטרנט. בדיוק על עיקרון זה בנויה שיטת הפישינג – דיג קיברנטי.

שיטה זו מבוססת ברובה על יצירת אתרי `דמה` משוכפלים הזהים לחלוטין לאתרים לגיטימיים, כמו אתרי בנקים, אתרי משלוחים, אתרי חברות אשראי ועוד. באתרים אלה מקומות יעודים לתוכם הגולשים התמימים מזינים את נתוניהם המוכמנים – מספרי כרטיסי אשראי, סיסמאות, חשבונות בנק וכל מידע אישי אחר אשר הנוכל מבקש לחשוף. עכשיו כל שצריך הוא לאסוף את השלל, ואיך עושים זאת? בדרכים ערמומיות. לרוב, הנוכלים שולחים כמויות מסיביות של הודעות דואר אלקטרוני מאתר מזויף המתחזה לאתר לגיטימי. הודעות מסוג זה נחזות כהודעות המגיעות ממקורות שניתן לבטוח בהם, אך כוללות כאמור קישורים לאתרי אינטרנט מזויפים כגון אתרי בנקים, באמצעותם נעשה ניסיון להונות את המשתמשים כך שיחשפו מידע רגיש.

הגולש התמים חושב כי ההודעה היא באמת מהבנק או מחברת האשראי שמבקשים לרענן את המידע הרלוונטי אליו והכל "למען שמירה על אבטחת המידע האישי", לא פחות. או אז הגולש, מאוד שמח על היוזמה הברוכה של הבנק ברצון מכניס את פרטיו על מנת להיכנס לאתר. לוחץ הגולש על מקש ה-Enter על מנת לשגר את המידע למערכות המחשוב של הבנק ולפתע מוצגת הודעת שגיאה "מתנצלת" בגין תקלה כלשהי בתקשורת ומציעה לגולש לנסות במועד מאוחר יותר. כמובן שבמועד המאוחר יותר חשבונו של הגולש הרבה יותר "קל".

ב-2006 התוודענו גם לסוג מתקפה חדש העושה שימוש במענה קולי, שכבר הספיק לקבל את השם ווישינג (Vishing – Voice Phishing). עברייני גניבת המידע עולים מדרגה וכבר לא מסתפקים במשלוח הודעות דואר אלקטרוני המזמינות נמענים תמימים להיכנס לאתרי אינטרנט מתחזים. עתה שולחים העבריינים הודעת דואר אלקטרוני הכוללת מספר טלפון לבירורים בלבד. תוכן הדואר האלקטרוני מודיע לנמען כי חשבון הבנק שלו נחסם ועליו להתקשר למספר הטלפון המופיע בהודעה. בצד השני של מספר הטלפון, מענה קולי הדורש מן המתקשר להזין את פרטיו האישיים כדוגמת מספר חשבון הבנק שברשותו. דוגמה נוספת לווישינג פורסמה על-ידי ה-FBI שהזהיר משתמשים מפני מעשי הונאה חדשים באמצעות הודעות דואר אלקטרוני מרוצח שכיר הדורש מהמשתמשים לשלם כופר של אלפי דולרים או שחייהם יהיו בסכנה. לפי הודעות הדואר הרוצח השכיר נשכר על ידי חבר של מקבל ההודעה. מקבלי ההודעה נתבקשו להשיב מהר להודעת הדואר ולספק את מספר הטלפון שלהם.

הסטטיסטיקה יודעת לספר כי רוב האזרחים הנופלים קורבן למעשי ההונאה שייכים לשכבות המבוססות יותר. ככל שהקורבן עשיר יותר, הסבירות שהוא ייפול למלכודת קטנה יותר, אך כאשר זה קורה, הוא נופל בסכום גבוה יותר. מומחים בתחום צופים כי לקראת עונות החגים חלה עליה משמעותית בכמות ההונאות ברשת והמומחים צופים כי אחד מכל עשרה קונים בחגים עתיד להיתקל בניסיון הונאה. ההונאות באינטרנט מהוות מכה לא קטנה גם בעבור סוחרים ולא רק עבור צרכנים. קימות הערכות כי כל סוחר המשתמש באינטרנט צפוי לעבור לפחות ניסיון הונאה אחד. מדו"ח ה-FTC (רשות הסחר הפדרלית בארה"ב) ניתן ללמוד כי במהלך 2005, התקבלו יותר מ- 680,000 תלונות מאזרחים שסבלו מהונאות, מתוכן כ- 37% עסקו בגנבת זהויות. על פי נתוני הדו"ח, הקורבנות דיווחו על נזק כספי בהיקף כולל של כ-680 מיליון דולר. 49 מהמתלוננים דיווחו על הפסדים של מיליון דולר ויותר! כתוצאה ממעשי ההונאה ו- 14 אלף מהם התלוננו על הפסד של למעלה מ-5,000 דולר.

בדו"ח נוסף שפורסם מטעם צוות חשיבה של המכון המלכותי ליחסים בינלאומיים באנגליה, ניתן לראות כי מעשי הונאה דרך האינטרנט, הונאות בכרטיסי אשראי ופעילות הלבנת כספים שמקורם
בניגריה, עולים לבריטניה מיליוני פאונד בשנה. הדו"ח מורה כי הפעילות העבריינית כוללת הונאה שמחברי הדו"ח קראו לה "סכום מתקדם" – הונאה בה יוצרים הפושעים קשר עם הקורבנות דרך דואר אלקטרוני ומציעים להם הזדמנות להרוויח מיליוני דולרים. למקבל ההודעה נאמר כי הוא יכול להרוויח עמלה תמורת עזרה בהעברת הכספים לשולח ההודעה.בדומה לפישינג ה"רגיל" הקורבן צריך לשלוח פרטי בנק או אפילו מזומן, כביכול על-מנת לסייע בשוחד פקידים מושחתים ואז מבצעי ההונאה מרוקנים את חשבון הבנק של הקורבן. בין שלל הגרסאות היצירתיות של מעשי ההונאה הללו, לקורבנות הוצע סיכוי להרוויח חלק מחסכונות משפחתו של סאדאם חוסיין ואפילו כסף שנגזל מהריסות מרכז הסחר העולמי אחרי מתקפת ה- 11 בספטמבר.

מחקר של חברת ייעוץ הולנדית אשר עסק אף הוא בהונאות פישינג, נמצא כי ההפסדים הכוללים של הונאות מסוג זה ליחידים ולחברות בריטיות בשנת 2005 היה כ-520 מיליון דולר. רק מצבה של ארה"ב היה גרוע יותר, שם הפסידו 720 מיליון דולר באותה השנה. חברת הייעוץ מצאה כי למרות שמעשי ההונאה הללו פורסמו בהרחבה, אנשים עדיין מתפתים להיענות להצעות הללו מתוך שילוב של תאוות בצע, נאיביות והרגשת עליונות גזענית. גם פירמת רואי החשבון KPMG חקרה את הנושא ומסרה כי היקף ההונאות בשנת 2005 היה לא פחות מ-900 מיליון פאונד (7 מיליארד ש"ח בקירוב) ובשנת 2006 המצב רק החמיר: בחצי השנה הראשונה אנו כבר עומדים על מעל 600 מיליון פאונד.
למרות שמצבה של ישראל טוב מאשר ארה"ב ואירופה, יש לזכור כי גם בישראל חלה עלייה בכמויות ההונאה באינטרנט. חברת אלדין פרסמה כי ישראלים הפסידו כ-10 מיליון דולר במהלך שנת 2005 כתוצאה מהונאה וגניבת זהויות באינטרנט ו מומחים מתחום האבטחה של גוגל מצאו כי האתרים של eBay ,PayPal ובנק אמריקה מרכזים 2/3 (63%) מהונאות אתרי האינטרנט. ההונאה פועלת באופן שבמהלך הגלישה באתרים אמינים, קופצת הודעת דואר אלקטרוני. לחיצה על ההודעה, מעבירה את הגולש התמים לאתרם של הנוכלים אשר מנסה לדלות מהגולש פרטים אישיים כדוגמת מספר כרטיס האשראי שברשותו. מערכת האבטחה של גוגל מצאה כי שלושת האתרים של eBay ,PayPal ובנק אמריקה מושכים את מרבית האתרים המזויפים.

לאחרונה ניתן לראות כי חברות הטכנולוגיה אינן ממתינות לסיום טחינת הצדק האיטית ומנסות למנוע את תופעת הפישינג בעצמן. מיקרוסופט היא בין החברות הטכנולוגיות הנוקטות בפעילות יזומה כנגד תופעת הפישינג ובשנה שעברה השיקה יוזמה גלובלית לאכיפת התופעה. במסגרת זו גם הכריזה מיקרוסופט על שיתוף פעולה עם הממשל בניגריה, אפריקה. מדינה זו ידועה כאחד מן המקורות הגדולים ביותר להונאות באמצעות דואר אלקטרוני. בקרוב, אמור שדה הכתובת באינטרנט אקספלורר 7 להפוך לירוק בעת גלישה לאתר חוקי. שדה הכתובת הצבעוני מתוכנן להוות סימן היכר לאתר בטוח, על ידי מתן "אור ירוק" להמשיך בעסקאות באתר. זהו עוד כלי במאבק נגד מעשי הונאה מסוג פישינג.
הרעיון להפוך את שדה הכתובת לצבעוני, הינו חלק מן הקווים המנחים שנוצרו על ידי פורום תוכנת הגלישה CA, ארגון המאגד חברות המנפיקות אישורים לאתרי אינטרנט ויצרנים עיקריים של תוכנות גלישה. בין יתר הפעילויות היזומות של מיקרוסופט בשנה האחרונה, ניתן לראות הגשת 117 כתבי תביעה אזרחיים נגד גורמים שהונו את לקוחותיה במטרה לדלות מהם פרטים אישיים כגון מספרי כרטיסי אשראי. וכן הגישה החברה 129 תביעות בנושא זה גם באירופה ובמזרח התיכון. חברה נוספת שנלחמת בתופעת הפישינג הינה אמריקה אונליין (AOL) אשר פתחה ב-3 תביעות אזרחיות לסעד כספי כולל של 18 מליון דולר נגד "כנופיות" העוסקות בדייג ואיסוף מידע. העילה, הפרת חקיקה משנת 2005 במדינת וירג`יניה האוסרת על פעילות של דייג מידע.

גם הרשויות אינן טומנות ראשן בחול ופועלות בעניין. לאחרונה פורסם כי 17 אנשים נעצרו על-ידי הרשות הפדראלית לחקירות (FBI) בחשד לעבירת גניבת ומכירת עשרות אלפי מספרי כרטיסי אשראי. מתברר כי מדובר בחברי כנופיה מארה"ב ומזרח אירופה אשר גנבו מספרי כרטיסי האשראי באמצעים שונים לרבות באמצעות חדירה למאגרי מידע, הפעלת שיטות הונאה על-ידי פישינג והתקנת תוכנות ריגול במחשבים במטרה לעקוב אחר הקשת המשתמש על מקשי המחשב. עשרות אלפי מספרי האשראי הגנובים נשלחו לגורמים שונים סביב העולם באמצעים שונים במטרה לייצר כרטיסי אשראי מזויפים. במאי 2006, נעצרו למעלה מ-565 אנשים בצפון אמריקה ובאירופה במסגרת מבצע בינלאומי נגד הונאה מבוססת אינטרנט ואמצעים אחרים. המבצע הבינלאומי שכונה "Global Con" התמקד בפעילות הונאה באמצעות הגרלה והימורים, הצעות להשקעות אשר אינן קיימות, עסקאות כרטיסי אשראי ללא הרשאה והונאה על עמלות.

הפושעים השתמשו באמצעים שונים, לרבות באינטרנט, טלמרקטינג ושליחת דואר אלקטרוני המונית, על מנת ליצור קשר עם קורבנותיהם. ממש לאחרונה אדם מקליפורניה עומד לרצות 101 שנות מאסר בכלא פדראלי לאחר שחבר מושבעים מצא אותו אשם במשלוח הודעות דואר אלקטרוני שמטרתן הונאה ובפשעים קשורים נוספים. ג`פרי ברט גודין בן ה-45 הורשע על ידי חבר מושבעים בבית משפט מחוזי בלוס אנג`לס. גודין נאסר בשנה שעברה ונמצא אשם בניהול מזימות פישינג מתוחכמות. בחלק ממעשי ההונאה הוא שלח הודעות דואר אלקטרוני המתחזות למחלקת הכספים של חברת AOL כדי לשכנע אנשים לתת לו את פרטי האשראי שלהם. הוא עשה שימוש בפרטים כדי לבצע רכישות. לשם ביצוע מעשי ההונאה השתמש גודין במספר חשבונות של חברת EarthLink שנפרצו. דרך חשבונות אלו הוא שלח את הודעות הדואר האלקטרוני ללקוחות AOL עם מעשי ההונאה. בהודעות מתבקש המקבל הקורבן לעדכן את פרטי התשלום שלו והוא מוזהר שאם לא יעשה כן תפסיק AOL את מתן השירותים שהוא מקבל. הלקוחות הופנו לאתר מזויף לאיסוף פרטי אשראי.

לקראת סוף 2006, עברה הצעת חוק חדשה באנגליה, את המשוכה האחרונה והפכה לחוק. החוק קובע כי מתחילת שנת 2007, כל אתר אינטרנט המתחזה להיות אתר אחר או אף מוכר או מוסר כלים העשויים לשמש להשגת נתוני גולשים עשוי להיות מורשע בהונאה. החוק נחשב כמהפכני באנגליה משום שעד היום הונאה באינטרנט הייתה עשויה להיכנס לתוך שמונה סעיפי חוק שונים, אשר לא עסקו בעבירת ההונאה במפורש, אלא: "השגת קניין באמצעים פסולים" למשל. בית המחוקקים האנגלי מקווה כי החוק ישיג את מטרתו, ולשם כך ניתנו לחוק שיניים – עונש מאסר מקסימאלי של 10 שנים. באנגליה מקווים כי החוק יביא לשיפור ניכר בטיפול בתופעה, שכן הנזק הנגרם מהונאות אלו אדיר. לעומת זאת, בקליפורניה, ארה"ב נחקק באחרונה חוק נגד פישיניג אך המושל שוורצנגר אשר חתם עליו לא נתן לו שיניים פליליות, למרות שהחוק מאפשר שימוש בסעיפי חוק אחרים לרבות נקיטה בהליכים פלילים.

בישראל אין כיום חוק המוקדש באופן יעודי רק לסוגיית הפישינג. אולם פעילות עבריינית שכזו נכנסת למסגרת מספר חוקים. לדוגמה, סעיף 3 לחוק המחשבים יכול להתאים לתופעת הפישינג, כל עוד הפרשנות של הסעיף לעניין התוצאה המתקבלת מהטעיית בעל המידע תענה על הגדרת "מידע כוזב" או "פלט כוזב". סעיפים 4-6 לחוק המחשבים אשר יכולים בנסיבות מסויימות להתאים לתופעת הפישינג, ככל שמדובר על עבריינים המשתמשים בצלצל במקום בחכה, לדוגמה – חדירה או שימוש בנגיף מחשב על מנת לאסוף מידע אודות לקוחות חברות אשראי או בנקים.

הפישינג עונה גם כל הגדרות מרמה וזיוף בחוק העונשין. לכן, המקבל דבר במרמה, דינו – מאסר שלוש שנים, ואם נעברה העבירה בנסיבות מחמירות, דינו – מאסר חמש שנים. מאידך, המקבל דבר בתחבולה או בניצול מכוון של טעות הזולת שאין בהם מרמה, דינו – מאסר שנתיים. המזייף מסמך, דינו – מאסר שנה; זייף מסמך בכוונה לקבל באמצעותו דבר, דינו – מאסר שלוש שנים; ואם נעברה העבירה בנסיבות מחמירות, דינו – מאסר חמש שנים. יש לציין כי גם המגיש או מנפק עמוד אתר מזויף או משתמש בו בדרך אחרת, בידעו שהוא מזויף, דינו כדין הזייפן.

בנוסף לעבירת המרמה, קימת עבירת ההונאה וההתחזות, המהווה את הבסיס לפעילות הפישינג. בהתאם לסעיף 441 לחוק העונשין נקבע כי מי שמציג עצמו בכזב כמישהו אחר בכוונה להונות, דינו – מאסר שלוש שנים; מאחר והעבירה הקלאסית לעניין פישינג היא גניבה, בין אם גניבת פרטים ובין אם גניבת זהות, סעיף 383. לחוק העונשין קובע כי אדם גונב דבר אם הוא… נוטל ונושא דבר הניתן להיגנב, בלי הסכמת הבעל, במרמה ובלי תביעת זכות בתום לב, כשהוא מתכוון בשעת הנטילה לשלול את הדבר מבעלו שלילת קבע. לענין גניבה – "נטילה" – לרבות השגת החזקה – בתחבולה. דינו של הגונב – מאסר שלוש שנים, זאת אם לא נקבע לגניבה עונש אחר לאור נסיבות העניין.

גם החזקת הפרטים אשר דג העבריין מקורבנו, הינם עבירה בפני עצמה, בשל היותם ברוב המקרים שווי כסף: לכן כל מי שיקבל במזיד, בעצמו או על-ידי שלוח, דבר, כסף, נייר ערך או כל נכס אחר, כשהוא יודע כי בפשע נגנב, נסחט, הושג או נעשה בו, והנוטל עליו בעצמו או על-ידי שלוח, לבדו או ביחד עם אחר, את השליטה או העשייה בנכס כאמור, דינם – מאסר שבע שנים. כמובן שכל העבירות הללו חלות גם לגבי מבצע בצוותא ומסייע.

 ניתן אף להטיל אחריות פלילית על האדם אשר יצר את דף האינטרנט המדומה המשמש לדיג הנתונים. חוק הגנת הפרטיות חל אף הוא על עבירת הפישינג, משום גניבת פרטיו הסודיים של הקורבן לשם הפקת רווח, כאשר סעיף 2 לחוק הגנת הפרטיות קובע כי פגיעה בפרטיות היא אחת מאלה: שימוש בשם אדם, בכינויו, בתמונתו או בקולו, לשם ריווח. לבסוף, עבירת הפישינג מעלה גם עילה לתביעה נזיקית כנגד העבריינים, מכורח פקודת הנזיקין, חוק הגנת הפרטיות וחוק עשיית עושר ולא במשפט.

בישראל עדיין לא הורשע אדם משום שביצע פישינג. העבירה הכי קרובה הייתה פרשת הסוס הטרויאני – פ 40061/06 מדינת ישראל נ` רות בת תומס האפרתי,מיכאל בן יוסף האפרתי, שם הוחדרה תוכנה למחשבי הקורבנות וזו שאבה מידע לא מסונן אל מחדירי הווירוס. מדובר למעשה בפישינג אקטיבי, למרות שהמעשה לא הוגדר כלל כפישינג, לא בתקשורת ולא בבית המשפט.

תופעת הפישינג לא תעלם כנראה בזמן הקרוב. כאשר מספר אתרי ההונאה, באמצעות דייג פרטים אישיים, מגיע לשיא כל הזמנים ולא נראה כי פעילות משפטית ואכיפה בסדר גודל שמושקע כיום, הופכת את חיי ה"דייגים" לקשים יותר. אמצעי המאבק העיקריים נגד פישינג הינם אכיפה מוגברת, טכנולוגיה, חינוך ומודעות.