זה יכול לקרות לכל אחד מאיתנו, כמו שזה קרה לרעות (שם בדוי). לחיצה אחת אומללה על קישור במייל דיוג (פישינג) זדוני הובילה אותה למסלול קפקאי, ששיאו פיטורים ממקום העבודה והגשת כתב אישום פלילי. נגלה כבר עתה, שהסוף היה טוב, אבל יש גם מוסר השכל - קחו ברצינות את כל האזהרות, אל תלחצו על קישורים.
הסיפור הזה עשוי מחומרים, שהיו מזכים תסריטאי מוכשר באוסקר למפעל חיים. "הוא מאוד חריג, הסיפור שלי, זה כמו סרט רע", אומרת רעות. אבל לא מדובר פה בסרט, אלא בהשתלשלות מקרים מעוררת השתאות, עם הרבה בורות ורק מעט שכל ישר. משטרת ישראל ופרקליטות המדינה לקחו חלק במצעד האיוולת, ורק בזכות שופטת עם שכל בקודקודה נמנע כאן סוף טראגי.
אילוסטרציה של תכנים לא ראויים ברשתאילוסטרציה של תכנים לא ראויים ברשת
טעות שהובילה להסתבכות
(צילום אילוסטרציה: shutterstock)
הכל התחיל ביוני 2018, כשהגיע מייל לתיבה של רעות במקום העבודה. זה היה מייל ממערכת האופיס 360 המשרדית, נושא את התמונה והעיצוב הרגיל של חברת מיקרוסופט. "נרשמה כניסה לכתובת המייל שלך ממיקום לא מוכר", אמר המייל, "המערכת שלנו לא בטוחה שזו את, ולכן הוצאנו אותך מכל המחשבים והפסקנו את העברת המיילים לכתובתך עד שתאשרי את הכניסה". מתחת לטקסט הופיעה שורת קישור עם הכיתוב: "לחצי כאן".
רעות היתה מזכירה בחברה משפחתית קטנה, שעובדת עם משרד הביטחון ועם גופים בתעשיית הכימיה והמזון, האוניברסיטאות ובתי החולים. באותו זמן המנכ"לית שהתה בחו"ל ורעות חשבה שאולי זו הסיבה להודעה על "מיקום לא מוכר". היא לחצה. הדבר הבא שראתה היתה טופס הזדהות רגיל לגמרי של מיקרוסופט. היא הקלידה את שם המשתמש והסיסמה. ואז לא קרה כלום. "רק אחרי כמה חודשים נזכרתי שבכלל ביצעתי את הפעולה הזו", היא אומרת בשיחה עם ynet, "כשעשיתי את זה לא קרה שום דבר אז הנחתי שזה לא עבד, אז התעלמתי והמשכתי לתייק".
מייל הפישינג שהוביל לפשע סייברמייל הפישינג שהוביל לפשע סייבר
מייל הפישינג שהוביל לפשע סייבר
(צילום מסך)
אבל האמת היא, שהלחיצה של רעות הניעה מערכת תרמית וזיוף משוכללת, שנועדה להוציא סכומי כסף גדולים מהחברה. קבוצת האקרים באינדונזיה חדרו למחשבי החברה והחלו בהכנות למתקפה. מסביר עידו נאור, מומחה סייבר ומנכ"ל Security Joes: "מדובר במתקפת BEC (זיוף מייל עסקי), שהיא מאוד נפוצה ובאמצעותה נגנבים מאות מיליוני דולר מדי שנה. התוקפים מתחברים ל-office.com במקום רעות, ואז נשארים רדומים לתקופה, מסתכלים מה קורה בחברה, מתי עומד לעבור כסף, באיזה אישורים משתמשים בחברה".
התוקפים איתרו את מסמך, שבאמצעותו החברה מורה לבנק להעביר סכומי כסף לספקים. הם הכינו שורה של הוראות העברה, עם מספרי חשבונות הבנק שפתחו במדינות אקזוטיות. המסמכים נשלחו מהחשבון של רעות, אבל עוררו את חשדו של מנהל הבנק. "הם עשו זיוף גרוע, כנראה שמאוד מיהרו. אם אתה מזייף מסמך תעשה את זה על הצד הטוב ביותר", מגחכת רעות. מנהל הבנק פנה למנכ"לית החברה וביקש לדעת אם אישרה את ההעברות המסתוריות. המנהלת החווירה ועצרה את התהליך מיד. אף שקל לא יצא מהחשבון. זה חשוב להמשך.
ואז הגיע השלב העצוב מבחינתה של רעות: מנהלת החברה האשימה אותה בניסיון להוציא כספים במרמה מהחברה. היא זימנה אותה לשימוע לפני פיטורים. "אני הואשמתי וגורשתי מהמשרד, בלי הסבר", היא אומרת וחונקת דמעה, "לא האמינו לי כשאמרתי שזה האקר". באותו יום היא פוטרה מהעבודה. לא עברו כמה ימים, והיא זומנה לחקירה במשטרה, לא חקירה בתחום הסייבר, אלא בתחום ההונאה. החשדות היו "גניבה בידי עובד" ו"זיוף".
האקרהאקר
האקר ממלזיה היה אחראי לכל הבלגן
(צילום: shutterstock)
כמה זה נפוץ, שעובד שלחץ על קישור פישינג מפוטר ומואשם?
נאור: "מאוד נדיר. אני הייתי מאוד מופתע מהיהירות של החברה, להאשים עובדת על פעולת סייבר. האחריות נופלת על החברה ועל אנשי המחשבים בחברה. אם היו מפעילים אימות דו-שלבי זה לא היה קורה. והם היו צריכים גם לזהות את העקבות של הפריצה והפעילות של הפורצים".
החיבור בין נאור ורעות קרה כשהבינה שמצבה מחמיר. שבועיים אחרי הפיטורים מצאה עצמה רעות בחדר החקירות של המחלקה לחקירות הונאה. "אני הייתי מזועזעת", היא מספרת, "דרשתי שיירד חוקר ממחלקת סייבר, קומה מלמעלה. בא איזה בחור שלא התעניין בכלל". החוקרים הציגו בפניה את המסמכים המזויפים. רעות אמרה להם שמעולם לא ראתה אותם וביקשה שיאתרו את המייל הזדוני שנשלח אליה. הם לא טרחו.
"החקירה של המשטרה היתה בדיחה, ואז הם זרקו את זה לפרקליטות ואמרו להם - 'תתמודדו עם זה'", היא מספרת. בפרקליטות עברו על חומרי החקירה והחליטו להגיש כתב אישום. גם שם לא טרחו לבדוק שמא יש אמת בטענה של רעות כי נפלה קורבן להאקר ממלזי, והתעלמו מחוות הדעת המקצועית שהגיש נאור.
בית הדין לעבודה בתל אביבבית הדין לעבודה בתל אביב
בית הדין לעבודה בתל אביב
עכשיו מתחיל החלק הטוב. במקביל לאירועים הקפקאיים האלה ניהלה רעות מאבק על פיטורים שלא כדין בבית הדין לעבודה. במסגרת הליכי הפשרה שם, השופט דורון יפת הוביל להסכמה של מנכ"לית החברה הנתבעת לשפוך אור על האירועים האמיתיים. התברר שמיקרוסופט אישרה שאכן מדובר היה במייל פישינג מזויף. התברר גם, שכל עובדי החברה קיבלו את אותו מייל פישינג, ושאיש המחשבים אמר למנכ"לית להתעלם. רק שכחו להתריע לכולם, לחסום, להחליף סיסמאות.
וכך קרה, שמשטרת ישראל ופרקליטות המדינה קיבלו מכתב ממנכ"לית החברה בעניין תלונתה על הונאה מצד העובדת שלה. אחרי שהתלונה הזו הובילה לחקירה, להמלצה על הגשת כתב אישום ולפתיחת הליכי המשפט, עכשיו ביקשה המנכ"לית לסגור את החקירה. "אין לחברה עוד כל טענות", היא כותבת, ומצרפת את המסמכים המוכיחים שהיה מדובר במתקפת סייבר. זה לקח עוד שלושה דיונים בבית משפט השלום בתל אביב, עד שנאותה הפרקליטות לחזור מה מכתב האישום.
קשה להבין את נחישותה של החברה לתבוע את העובדת שלה. קשה הרבה יותר להבין את הנחישות, אולי חוסר ההבנה בעולמות הסייבר, של משטרת ישראל והפרקליטות, שלא חסו על עובדת תמימה במקום לבחון את האחריות של החברה לאירוע.
אחרי זה הציעו לך לחזור לעבודה?
"לא הייתי מעוניינת. זה החזיר אותי למסלול המקצועי שלי והיום אני רכזת שכר בחברה, שמכבדת את עצמה ואת העובדים שלה, ואני מבסוטית. לפחות משהו אחד טוב יצא מזה".
מהפרקליטות נמסר בתגובה: "בעקבות החומר החדש שהציגה ההגנה, הטענות שהועלו בהליך הגישור ובעקבות הערת בית המשפט בדיון בתיק, בחנו את עמדתנו מחדש והודענו על חזרה בהסכמה מכתב האישום. יובהר כי אין משמעותה של החזרה זיכוי הנאשמת".
המשטרה נמנעה ממסירת תגובה.