הפריצה למאגרים, הסחיטה ודרישת התשלום: אישום נגד סוחט הבנק

השיג מאגרי מידע, איים לפרסמם וניסה לסחוט את בנק יהב וחברה נוספת תמורת מטבע וירטואלי: מחלקת הסייבר בפרקליטות המדינה הגישה היום (ג') לבית המשפט המחוזי בתל אביב כתב אישום נגד ליאור שרעבי, תושב פרדס חנה בן 32, בגין עבירות של סחיטה באיומים המביאה לידי מעשה, סחיטה באיומים, ומספר עבירות של פגיעה בפרטיות וחדירה לחומר מחשב כדי לעבור עבירה אחרת.

כתב האישום מפרט מסכת ארוכה ושיטתית של חדירה לחומר מחשב והעתקת מאגרי מידע המכילים מידע פרטי ורגיש על אודות מיליוני אנשים. על פי כתב האישום, שהוגש ע"י עו"ד איתי גוהר ממחלקת הסייבר, נאמר כי שרעבי, עובד לשעבר של חברת אקטיב טרייל (Active Trail), המספקת שירותי דיוור ישיר לאלפי לקוחות, נהג לחדור למערכות הממוחשבות שלה ללא הרשאה ולהעתיק מאות מאגרי מידע שהיו מאוחסנים בשרתיה. בדרך זו, העתיק הנאשם והחזיק ברשותו מאות מאגרי מידע המכילים מידע פרטי ורגיש על מיליוני אנשים.

לפי האישום, ב-8 באוגוסט שלח שרעבי שלוש הודעות דוא"ל לשלושה בעלי תפקידים בבנק יהב: אחראי אגף קמעונאות, מנהל מחלקת תשתיות ומנהל אגף מחשוב וטכנולוגיה. הוא הסתיר את זהותו האמיתית ואת זהות המחשב שממנו התקשר באמצעים טכנולוגיים מתוחכמים.

שרעבי בבית המשפט, הבוקר(צילום: מוטי קמחי)

ההודעות היו זהות בתוכנן, בשפה העברית, ובהן ציין כי הוא איתר פרצת אבטחה במערכת הנמצאת בשימוש הבנק, ודרכה השיג נגישות מלאה למאגרי המידע של הבנק ויכולת להוריד רשומות המכילות בין היתר שם פרטי, שם משפחה, מספר טלפון, כתובת, מספר תעודת זהות, ארבע ספרות אחרונות של מספר כרטיס אשראי ומספר חשבון בנק.

הוא ציין כי עד כה הוריד מתוך מאגר המידע 2,000 רשומות מלאות המכילות מידע על אודות לקוחות הבנק, ולשם המחשה צירף קישור לרשימה, שאותה העלה לאינטרנט בסמוך לפני כן ופרסם אותה באתר מידע רגיש של לקוחות - כל זאת בלא ידיעה של האנשים שפרטיהם מצוינים ברשומות, ושל הבנק.

בהודעה איים על אנשי הבנק כי אם לא יועברו אליו עד סוף היום 8.554 ביטקוין (שווה ערך נכון למועד הגשת כתב האישום לכ-125 אלף שקל) - הוא יפרסם את הרשומות המלאות. כמו כן ציין שרעבי שימשיך להעתיק לרשותו כ-5,000 רשומות מתוך מאגרי המידע של הבנק, מדי יום, עד שישולמו לו 68 ביטקוין נוספים (שווה ערך לכ-990 אלף שקל), ובמידה שהבנק יבחר לא לשלם את הכסף - הוא יפרסם את המידע הרגיש במקום ובזמן שבו יבחר.

הסנגור אבי חימי(צילום: מוטי קמחי)

לאחר קבלת הודעות דוא"ל אלה יידע הבנק את המשטרה, ומכאן ליוו חוקרים את המשך ההתכתבות עם שרעבי. הבנק, באמצעות אחד הנסחטים, ניהל איתו התכתבויות שהבהירו לו שפרסום המידע עלול להוביל לפגיעה קשה ב"יהב".

ב-10 באוגוסט הועבר סכום של 0.16 ביטקוין (כ-2,000 שקל) לארנק אלקטרוני לפי דרישה של הנאשם. כמה ימים אחר כך נמסר לו שהבנק מעוניין לסיים את האירוע באופן מהיר ושקט על מנת לצמצם נזקים. אבל שרעבי לא הפסיק, ושלושה ימים לאחר מכן הוא נעצר.

סנגורו עו"ד אבי חימי: "כפי שנוכחתם בדיון, הנאשם שיתף פעולה באופן מלא עם רשויות החקירה. מדובר בליקוי מאורות. המניע שלו בשלב זה הוא אישי ועמוק. בהמשך בית המשפט יתוודע אליו. החרטה שלו אמיתית, כנה ועמוקה ונמשיך בהליכים ונקווה לטוב".

עו"ד איתי גוהר ממחלקת הסייבר בפרקליטות המדינה: "כתב האישום כולל מסכת פעולות סחיטה כלפי חברה וכן כלפי בנק יהב תוך הסוואת פעולותיו. בנוסף הוא חדר לחומר מחשב והוציא מאות מאגרי מידע שמכילים מידע פרטי ורגיש של מילוני אנשים".

המעשים שלו היו מתוחכמים: בכתב האישום נאמר עוד כי שרעבי השתמש במאגרי המידע שלקח משרתי החברה ובעזרת חיתוכים סטטיסטיים שונים, יצר רשימות של אנשים אמידים. את הרשימות שיצר, מכר הנאשם בהזדמנויות שונות לבית השקעות שחיפש פרטי התקשרות של משקיעים פוטנציאליים על מנת לשווק להם את שירותיו.

כתב האישום הוגש לאחר חקירה של יחידת הסייבר בלהב 433, בשיתוף יחידת המו"מ באגף המבצעים משטרת ישראל ובסיוע הרשות הלאומית להגנת הסייבר במשרד ראש הממשלה. במקביל לכתב האישום, מבקשת הפרקליטות להאריך את מעצרו של הנאשם עד תום ההליכים המשפטיים נגדו. בינתיים יישאר במעצר עד החלטה אחרת.