בפעילות מודיעינית מפוארת של אנשי המודיעין ביחידת הסייבר הארצית בלהב 433 (פקודיי לשעבר), ובפיקודו של סנ"צ דודי קץ, זוהו שלושה שודדים לגביהם נאספו ראיות ולבסוף (היום) נעצרו על חם, כאשר הגיעו למפגש במטרה לבצע שוד מזויין פעם נוספת.

לאחר פעילות מודיעינית מורכבת שהחלה ביחידת הסייבר, הצטרפו יחידות נוספות בינהן, היחידה הארצית ללוחמה בפשיעה הבינלאומית (היאחב"ל) ויחידות נוספות מלהב 433 וממחוז חוף.

העבריינים שזיהו את הפוטנציאל של שימוש ברשת האינטרנט לשם ביצוע עבירות מניבות רווח רב, בסיכון נמוך ושמירה יחסית על אנונימיות, שיכנעו באמצעות מחיר נמוך מהשער של מטבעות וירטואלים, קונים פוטנציאלים להגיע למפגש שאינו וירטואלי (עם מזומנים) ובאותו מעמד שדדו אותם באלימות ושימוש באיומי נשק.

רצ"ב הודעת הדוברות של המשטרה:

יחידת להב 433 ביצעה מעצר "על חם" של 3 חשודים בגין ניסיון לשוד אלים בתחום המטבעות הקריפטוגרפיים (מטבעות דיגיטאלים).

במסגרת פעילות מבצעית "מסלול בטוח" והמאבק הלאומי לטיפול בפשיעה בחברה הערבית, בעבירות הפשיעה המקוונת בתחום המטבעות הדיגיטאלים. יחידת הסייבר בלהב 433 ניהלה חקירה סמויה אודות אירועי שוד שבוצעו במסגרת עסקאות לכאורה במטבעות קריפטוגרפיים.

עפ"י החשד, שלושת החשודים נהגו לפנות באמצעות הרשתות החברתיות לרוכשים פוטנציאלים של מטבעות דיגיטאלים, תוך שהם מציעים שער חליפין נמוך ממחיר השוק ומפתים אותם להיפגש פיזית, ע"מ לקבל את הכסף המזומן ובתמורה להעביר לרוכשים את המטבעות הדיגיטאליים כביכול.

מתוך חומרי החקירה שהצטברו, עולה כי החשודים שנפגשו עם הרוכשים, ביצעו כלפיהם שוד אלים באמצעות איומים בנשק ושדדו את הכסף המזומן מבלי שהעבירו את המטבעות הדיגיטאלים כפי שהתחייבו בעסקה.

כאמור, היום עם המעבר לחקירה גלויה ולאחר מספר פעולות שבוצעו באמצעים טכנולוגים מתקדמים, יחידה 33 של להב 433, ביצעו מעצר של שלושה חשודים תושבי עכו בשנות ה-30 לחייהם בזמן ניסיון ביצוע שוד באזור הצפון.

החקירה מנוהלת במשטרת ישראל ובליווי מחלקת הסייבר בפרקליטות המדינה.

שלושת החשודים הועברו לחקירה ביחידת הסייבר בלהב 433 בחשד לשוד מזויין בנסיבות מחמירות, במהלך היום וככל שידרש הם יובאו לדיון הארכת מעצר בבימ"ש השלום בראשל"צ.

מאת אייל שרון, לשעבר ר' תחום מודיעין ביחידת הסייבר להב 433

תחום הסייבר פולש לכל חלקה בחיינו בהווה והצפי לשינוי עתידי הינו רק התגברות התופעה. למילה סייבר אין הגדרה חד משמעית ומוסכמת (באף שפה) וכל השומע אותה מפרש אותה כמיטב הבנתו וידיעותיו. במאמר זה, המופנה בעיקרו לאוכלוסיית חוקרים פרטיים ועורכי דין, אנסה להביא נקודת מבטי לגבי עיקרי הנושאים הקשורים בחקירת סייבר אזרחית.

בחודשים האחרונים, פנו אלינו, חברות, אנשים פרטיים, חוקרים פרטיים ועורכי דין אשר ביקשו שירות דומה והאינטראקציה איתם הביאה אותי להבנה שיש לחדד את האפשרויות הגלומות בהסתייעות בחוקרי סייבר מנוסים.

לעיתים, קיימת ההרגשה שמזמיני השירות מאמינים שאדם הבקיא בעולמות הסייבר הוא "קוסם סייבר", ותוצאות העבודה תתקבלנה במהירות האינטרנט המהיר.

אציין שאם קיימות ראיות החוקר, ככל הנראה ימצא אותן, אולם מאמר זה יפרט כיצד וחלק מהמכשלות הקיימות, לדוגמה:

• אם הנחקר מתאמץ להסתוות מראש (ובהנחה שהוא יודע מה הוא עושה) הסיכויים קטנים בהרבה.

• אם לא קיימות כאלו בגלל שלא היו מלכתכילה - לא יהיו ראיות למצוא.

בגדול אפשרי לחלק את סוגי החקירות לשלושה סוגים:

1. חקירה לגבי אדם / דמות וירטואלית

2. חקירה לגבי ארגון / אתר אינטרנט / רשת מחשבים

3. איסוף ראיות פורנזיות ישירות ממחשב / טלפון סלולרי / כל מדיה דיגיטלית אחרת.

סוגי החקירות המתוארות, שונות אחת מהשנייה הן בהתייחסות לחקירה והן בכלים בהם יבוצע שימוש. חקירת הסייבר יכולה להופיע בצורת חקירה ראשית או חקירה משנית / תומכת, בחקירה מורכבת יותר.

בנוסף, אזכיר שההתייחסות למשקל הראיות בדין האזרחי, שונה ממשקלן לצורך הוכחת עוולה מהותית מהדין הפלילי. יחד עם זאת, תמיד יש לזכור שחקירה עלולה להסלים מאזרחית לפלילית. או אז, החוקר צריך לאסוף ראיות ולתעד אותן בצורה טובה ומדויקת יותר ולפי פקודת הראיות.

במאמר זה ההתייחסות למילים חקירה, ראיות, מידע ומודיעין ברוב המקרים זהה.

מאפייני חקירת הסייבר

1. פניה לחוקר הסייבר – הפניה לחוקר הסייבר תעשה על פי רוב, ע"י מתווך (חוקר פרטי או עו"ד) אשר מזהה צורך בחקירה עבור הלקוח. פניה זו צריכה להיות מפורטת ככל האפשר. במקרה כזה, הלקוח של חוקר הסייבר יכול להיחשב הגורם הפונה או הלקוח הסופי. בכל אחד מהמקרים, חוקר הסייבר צריך לבצע תשאול יסודי של הלקוח הסופי שכן הוא יכול לדעת פרטים חשובים מאד לחקירת הסייבר שהמתווך כלל אינו יודע לשאול וגם אם שמע אותם יתכן שלא ייחס להם חשיבות.

2. משך החקירה:

קשה מאד להעריך את משך החקירה, אשר תלוי בגורמים רבים לדוגמה:

א. חיפוש במחשב או בסלולרי:

1) נפח המידע

2) כמות קבצים

3) שיחזור קבצים מחוקים

4) איתור ראיות בכלים אוטומטים או ידניים

5) מערכות הפעלה שונות.

ב. כריית מידע ברשת האינטרנט – כריית המידע הינה פעולה מתמשכת ומעת לעת אף מוערמים קשיים על פעולה זו בשל שינויים המבוצעים ע"י ספקיות תוכן (לדוגמה פייסבוק, אינסטגרם טיקטוק וכד')

משפיעים על יכולת השימוש בכלי החיפוש והכרייה. הפלטפורמות בהן נאסף מידע, משתנות חדשות

לבקרים, לדוגמה פייסבוק משנה אחת לכמה חודשים את האתר והממשק, עובדה זו מקשה על העבודה על העבודה ומצריכה ביצוע התאמות אשר לוקחות זמן. דוגמה מעולה היא ההכרזה של פייסבוק על שינוי השם ל META.

חקירה ידנית, ועבודת החוקר בכובע של אנליסט סייבר, נדרשת בחלק גדול מהמקרים, מטבע הדברים היא תהיה איטית הרבה יותר מאיסוף מכלי חיפוש אוטומטיים.

ג. רישום ותיעוד הממצאים – על החוקר להעלות על הכתב מסמך המפרט, מציג ומתאר את הממצאים ומתודולוגית הבדיקה. כל ממצא ברשת האינטרנט יכול להשתנות או להעלם מסיבות שונות.

ד. פעולות מול רשויות, ארגונים וחברות - התכתבות לקבלת הבהרות, צווי בית משפט אזרחיים וכו'

3. תכליות החקירה – נושאי חקירה יכולים להיות מגוונים לדוגמה:

א. איתור אדם או אנשים

ב. זיהוי דמות וירטואלית

ג. איסוף ראיות לבית משפט על עבירה, חד פעמית או מתמשכת (לדוגמה לשון הרע)

ד. איסוף מודיעין לטובת חקירה בבימ"ש

ה. Due diligence – איסוף מידע על מצב כלכלי אישי של אדם או חברה כחלק מבדיקת נאותות.

ו. איסוף מידע עסקי על שותפים או מתחרים

ז. איתור מיקום גאוגרפי לפי תמונות או סרטונים

4. רמת שיתוף פעולה מהלקוח הסופי – נתקלנו במקרים בהם הלקוח הסופי אינו משתף פעולה עד הסוף

ומעוניין להסתיר חלק מהמידע. בסעיף זה שתי הערות:

א. חוקר הסייבר עלול למצוא את האינפורמציה המוסתרת תוך כדי החקירה.

ב. הסתרת מידע ע"י הלקוח הסופי, פוגעת ביכולת להגיע לתוצאות וכמובן מאריכה את משך החקירה

5. פורנזיקה דיגיטלית – פורנזיקה דיגיטלית, משמעה מציאת ראיות במדיות דיגיטליות דוגמת מחשב, טלפון סלולרי, דיסק חיצוני, זיכרון נייד, רשת מחשבים, ענן וכד'. בין אם הן קיימות (לוגי) או מחוקות / מוסתרות (פיזי). ראיות אלו צריכות להיות מטופלות ומתועדות בהתאם לפקודת הראיות, על מנת להתמודד עם טענות נגד בבית משפט. כאמור ישנם משתנים רבים המשפיעים על חילוץ הראיות, לדוגמה ראיות מחוקות שנדרש לשחזרן, בין אם שחזור מוצלח או שחזור חלקי. וכמובן, פרשנות שיש לתת לראיות בדוח הסופי.

6. כלי החקירה - כלי חקירה מבוססים על ידע נרחב כיצד פועלת רשת האינטרנט ומעקב מחקר יומיומי של המבנה והשינויים בפלטפורמות בהן מבוצעות החקירות. כלים אלו וכלי התיעוד של מידע דיגיטלי, מתפתחים, משתנים ולעיתים מפסיקים לפעול מאחר ואין להם יותר תמיכה מצד המפתחים. במקרים אחרים, כלים נחסמים על ידי הפלטפורמות בהן מבוצעת החקירה (לדוגמה רשתות חברתיות שהמדיניות שלהן היא איסור שימוש בכלים אוטומטים לשמירת המידע המפורסם בפלטפורמה שלהן).

7. עלויות החקירה – מצד הלקוח בין אם זה החוקר / עו"ד או הלקוח הסופי, נכון לנסות ולברר את עלות החקירה. יחד עם זאת, לחוקר בד"כ קשה להעריך את כמות העבודה שיש להשקיע בחקירה ולכן קיימת אפשרות תמחור שונות לדוגמה בנק שעות, שלבי עבודה (בדיקת היתכנות, שלב א, ב וכד') ולהתקדם לפי הצורך. יש להניח שאם החקירה תגיע למבוי סתום בשלב ראשון, לא נסגר עליה הגולל. כמו בכל חקירה, החוקר בחלק מהמקרים ניזון מטעויות שהנחקר מבצע.

לעיתים, לאחר תחילת איסוף הראיות, ימצא מידע חדש, שבאמצעותו אפשר לקיים מעקב וירטואלי, מעת לעת אחר הנחקר ולעיתים אף לתכנן ולבנות כלי חקירה ייחודיים וייעודיים לחקירה ספציפית ולנחקר ספציפי. כלים כאלו, לוקח זמן לאפיין ולהקים ויש משמעות מיוחדת לידע ולניסיון של החוקר.

8. חוות דעת לבית משפט – סיכום תוצרי החקירה או מעיון במסמכי תיק קיים (לפי דרישת לקוח) ניתן להכין חוו"ד מומחה שתוצג בבית המשפט.

9. הכנת סנגור / תובע – ניתן לקבל ייעוץ פרונטלי כחלק מסיכומי החקירה בנוגע לראיות שיוצגו בבימ"ש וחקירת עדים בגינן.

לסיכום

מאמר זה בא לתאר בפני כל מי שקם לו הצורך לבצע חקירת סייבר מכל סוג שהוא, חלק מהיכולות, התכליות, המכשלות והשיקולים הקיימים כמו גם את אופן הפניה וחשיבות שיתוף חוקר הסייבר במידע. יחד עם זאת, חשוב להדגיש שלחקירת סייבר אמורה להיות תוצאה מספקת עבור הלקוח ולכן על הלקוח להגדיר במדויק לאילו תוצאות הוא מצפה שהחוקר יכוון את מאמציו.

מאמר זה הינו זרקור קטן על עולם חקירות הסייבר ומומלץ בכל מקרה להתייעץ עם חוקר הסייבר לגבי יכולות, בכל מקרה בו קיים ספק.

מאמר זה נכתב ע"י אייל שרון, לשעבר ראש תחום המודיעין ביחידת הסייבר הארצית בלהב 433, בעל ניסיון של קרוב ל 20 שנות מודיעין וחקירות סייבר. לאחר הפרישה הקים את TENCYBER וביחד עם:

• עו"ד דרור בוזגלו לשעבר בחקירות יחידת הסייבר של משטרת מחוז תל אביב.

• מר פיליפ רוזנטל, הקים וניהל את מחלקת הפורנזיקה של משרד השריף ב NYPD כ- 25 שנים, חוקר פרטי בעל רישיון PI בארה"ב.

מבצעים עבודה כמתואר במאמר לשביעות רצון הלקוחות.

מידע נוסף על סוגי שירותים והמוזכרים, תוכלו למצוא באתר TENCYBER.COM

בפעילות מודיעינית מעולה של יחידת הסייבר הארצית של המשטרה בלהב 433, הניבה שתי תוצאות מעולות. שוטר סמוי שפעל בטלגרם והביא למעצר חשוד שמכר כופרה, שיועדה להפצה על ידי הקונה. החשוד הישראלי, מיכאל זייצב, בן 23 תושב נתניה, שמכר ransomware as a service נעצר, וראיות שנאספו בחקירה הובילו לכתב אישום על פשעי הסייבר וסחר בסמים. בפעילות זו מנעו השוטרים המשך הפצה של כופרה על ידי חשוד ישראלי. מעצר מפיצי כופרה הינו נדיר יחסית בפעולות

האכיפה בעולם כולו.

כתב אישום הוגש לבית המשפט נגד החשוד.

An excellent intelligence operation of the National Cyber Unit of

Israel Police in Lahav 433, yielded two excellent results. An undercover policeman acted on the telegram and brought to arrest a suspect who sold a RANSOMWARE, which was intended for distribution by the buyer.

The Israeli suspect, Michael Zaitsev, a 23-year-old from Netanya, who sold "RANSOMWARE As A Service", was arrested, the evidence that gathered during the investigation led to an indictment for cybercrime and also drug dealing via Telegram. In this activity, the police prevented the continued distribution of RANSOMWARE by an Israeli suspect. The arrest of RANSOMWARE dealers and distributors is relatively rare in enforcement operations worldwide.