בדק אבטחה של אתרי בנקים - ועוכב לחקירה

ביום ה' עיכבה המשטרה לחקירה את א.ר, מתכנת ויועץ טכנולוגי בן 25, המועסק בחברת היי טק גדולה, בחשד לעבירות על חוק המחשבים וקבלת דבר במירמה. ראש צוות החקירה, רפ"ק יואל שפנר, ממפלג עבירות מחשב שביחידה הארצית לחקירות הונאה, מסר היום (ב') ל-ynet כי החשוד שוחרר בערבות לאחר החקירה.

א.ר נחקר לאחר שהעלה לאתרו דפים מזויפים של אתרי בנקים שונים בארץ, כהוכחה לטענתו כי איתר באתרים אלה פרצות אבטחה המאפשרות לגנוב את פרטי הגולשים. החשוד, שלא פירסם את הדפים, העלה אותם לאתרו כהדגמה לכשלי אבטחה המאפשרים להונות גולשים ברשת (שיטת הונאה המכונה "פישינג").

לטענת א.ר. פירצת האבטחה שגילה, מסוג XSS (קיצור ל-Cross Site Scripting), מאפשרת לנוכלים לשתול קוד זדוני באתרי בנק הפועלים, בנק דיסקונט, בנק מזרחי והבנק הבינלאומי הראשון.

פירצת XSS משמשת לביצוע התקפות שונות, בהן שתילת מידע מזויף וקוד זדוני באתר, שבעזרתו נגנבים קבצי Cookie של גולשים, בהם מאוחסנים לרוב פרטי כניסה לאתר או מידע אישי אחר. הדפים המזוייפים יכולים להכיל למשל טופס להכנסת מספר כרטיס אשראי או כל שדה קלט אחר, שבו מתבקש הגולש להקליד מידע. הגולשים משוכנעים כי הם מבקרים באתר האמיתי של הבנק על פי כתובת האתר בשורת הכתובת של הדפדפן, ולא חושדים בנוכלים שעשויים לגנוב מהם סיסמאות, שמות משתמש ומספרי חשבון בנק.

במקרה כזה, יכול התוקף להתחזות לגולש בעת כניסה לאתרים מסוימים, לשלוח דואר אלקטרוני בשמו, או פשוט לעשות שימוש במידע שנחשף לעיניו.

לדברי רפ"ק שפנר, המשטרה נמצאת כעת בשלבי סיום של החקירה, ובקרוב תגיש את המלצותיה לפרקליטות. "חקרנו את א.ר ואת האנשים בבנק שהגיש נגדו את התלונה, וכן אנשים בבנק נוסף, ובדקנו את המחשב שלו. כרגע מוקדם מדי לקבוע אם יוגש נגדו כתב אישום".

ל-ynet נודע, כי החשוד טען לאחרונה כי איתר פירצות אבטחה בכמה מאתרי הבנקים, שלדבריו איפשרה לשתול קוד זדוני באתר, וכך לקבל גישה למידע אישי של הגולשים, הכולל למשל סיסמאות, שמות משתמש ומספרי חשבון בנק. "ניתן לזייף את דף הכניסה לאתר, ולגנוב את שם המשתמש והסיסמה של הגולשים, שמשוכנעים שהם באתר האמיתי של הבנק, מכיוון שזה מה שהם רואים בשורת הכתובת של הדפדפן", הוא הסביר לאחרונה.

"לא נגרמו נזקים"

הבנקים מסרו בתגובה כי אכן בוצעו ניסיונות חדירה לאתרים השיווקיים שלהם, אולם אלה אותרו על ידי מערכות האבטחה שלהם, וטופלו באופן מיידי על ידי הצוותים האחראים לנושא.

מבנק הפועלים נמסר לנו לאחרונה, כי "אבטחת המידע הינה בראש סדר העדיפויות של הבנק. הבנק מתייחס בכובד ראש לכל פנייה של לקוח וכך גם טופלה הפנייה של א.ר. לקוחות הבנק יכולים להשתמש בבטחה באתר הבנק". היום מסרו לנו שם גירסה סותרת, על פיה "איננו מכירים את המקרה ואנו לא מגיבים לנושא אבטחת מידע".

מהבנק הבינלאומי הראשון נמסר בשבוע שעבר, כי "לא הייתה כל פגיעה במערכת של הבנק הבינלאומי, וכמובן שלא נגרם כל נזק לאתר או לקוחותיו או לגולשים. מיד כשנודע על ניסיון התחזות שנעשה באתרים פיננסיים אחרים, ביצע הבנק את הפעולות המתבקשות על מנת למנוע את האפשרות של ניסיון התחזות".

הבנקים מחויבים לפרסם

למרות שלא נגרמו נזקים, גורמים במערכת הבנקאית גילו לנו כי אחד או שניים מהבנקים הגישו תלונה במשטרה נגד א.ר., בגין ניסיון לפרוץ לאתריהם. על פי אותם גורמים, "הבנקים מחויבים להגיש תלונה למשטרה ולדווח לבנק ישראל על כל נסיון חדירה למערכות המחשב שלהם".

מבנק המזרחי נמסר, כי הפעילות החריגה באתר זוהתה וטופלה באופן מיידי. "מיד עצרנו את הנסיון הזה, ובמקביל, עלינו על המקור, וכאשר התבררה זהותו - הגשנו תלונה במשטרה, כמו גם דיווח לרשויות, כמקובל במקרים אלו".

בדיקת אבטחה - פעולה מבורכת או עבירה?

האם גולשים המנסים לבדוק אבטחה של אתרים מתוך מטרה לשפרם וללא כוונת זדון עלולים להחקר, בחשד לעבירה על החוק? נראה שכן, מאחר וא.ר., חובב אבטחה כלל לא הסתיר את מעשיו וזהותו ופירסם את הפרצות באתרו. החשוד אף פנה מיוזמתו לגורמים בבנקים, באמצעות דואר אלקטרוני או טופס מקוון באתר. הוא נפגש עם נציגי הבנק הבינלאומי בנוגע לבעיה, וכן יצר קשר עם נציגי בנק המזרחי ובנק הפועלים.

בדיקת רמת האבטחה של האתר - חיובית

אם יוגש כתב אישום, לא תהיה זו הפעם הראשונה בה תתמודד המערכת המשפטית עם מקרה דומה. בספטמבר, 2004, זיכה בית המשפט המחוזי בירושלים את אבי מזרחי מניסיון פריצה לאתר המוסד, לאחר שהשתכנע כי התכוון לבדוק את אבטחת האתר ולא לפרוץ אליו.

עם זאת, השופטים לא אישרו את קביעתו של שופט בית משפט השלום בירושלים, אברהם טננבוים, לפיה בדיקת אבטחה של אתרי אינטרנט (האקינג) היא פעולה מבורכת, המיטיבה עם הציבור. בפסק הדין התקדימי שלו כתב טננבוים, כי "אין כל פסול שגולשים יפרסמו ברבים אתרי אינטרנט (ובעיקר שרתי אינטרנט) שאינם מאובטחים. אם רשימה כזו תפורסם ברבים, יהווה הדבר תמריץ וזרז לאחראים לתקן את חורי האבטחה שלהם. גולשים הבודקים את פגיעותם של אתרים פועלים במידה מסוימת לטובת הציבור ואם עושים זאת הם בכוונה טובה וללא להזיק אף ברוכים יהיו".

"לא יכולים לדעת מה הכוונות לפני החקירה"

למרות ששופטי המחוזי, הכט, רביד ואפעל-גבאי לא אישרו את כל קביעותיו של עמיתם, הם לא מצאו לנכון להתערב בממצאיו העובדתיים, ודחו את הסקת המסקנות המשפטיות ביחס לנסיבות שבהן תחול העבירה של חדירה לחומר מחשב לדיון עתידי של בתי המשפט.

רפ"ק שפנר מאשר, כי החשדות נגד א.ר. "אינם רציניים", זאת, מאחר והחשוד לא הפיץ את הדפים המזויפים שבנה כדוגמה להימצאותה של הפירצה. "אנחנו לא יכולים לדעת מה הכוונות של מישהו לפני החקירה, ולכן חקרנו אותו, קיבלנו את גירסתו, ביצענו הצלבות של מידע כדי לאמת או להזים את הגירסה שלו, ונכון לעכשיו, התמונה מצטיירת כהרבה פחות חמורה ממה שחששנו".

"יכול להיות כי לא.ר. היו כוונות טובות", אמר שפנר, "אבל הפלטפורמה הזו יכולה לשמש גם אחרים, בעלי כוונת זדון, שיחברו לעשות שימוש לרעה במידע שנחשף, ובדפים המזויפים".