סייברסייבר - פרק 110 - סקסטורשן, הכופרה של הנפש

מישהו מנסה לסחוט אתכם עם הפצת תמונות אינטימיות? בלב כבד, ההמלצה שלנו היא לא לשלם, גם אם זה אומר שהתמונות שלכם יתפרסמו.

תאריך עליית הפרק לאוויר: 25/06/2024.

‏קריין: הפרק הזה של "סייברסייבר" עוסק בעבירות מין. מי שמוצאים שהם מתקשים להיחשף לחומרים כאלו מוזמנים לוותר על ההאזנה לפרק.

‏קריינית א': [מוזיקה אלקטרונית ברקע] סייברסייבר שלום, מיד נענה. בינתיים, מוזמנים להאזין למוזיקת מעליות, שנכתבה על-ידי מעליות, עבור מעליות. שיחתך חשובה לנו, אבל לחסוך משכורות של נציגי שירות חשוב יותר.

‏[צלצול טלפון]

‏[הקלטה] לימור: "סייברסייבר נעם ועידוק, כאן לימור קרליק. ואיזה קטע, הייתי צריכה לשנות סיסמא לג'ימייל, אז בחרתי ב"ניצחון מוחלט", וקיבלתי הודעה שצריך לבחור סיסמה חזקה יותר ומציאותית".

‏[מוזיקה אלקטרונית ברקע]

‏קריינית א': חלק מהשיחות מוקלטות לצורכי בקרה ושיפור אלגוריתם ה-deepfake.

‏קריינית ב': [בקול מהדהד] סייברסייבר, פודקאסט על האקרים ומאפים. עם נעם רי"ש ועידוק.

‏[מוזיקה נפסקת]

‏נעם: סייברסייבר, עידוק.

‏עידו: סייברסייבר, נעם רי"ש.

‏[פאוזה]

‏נעם: לפני כמה שבועות פנתה אליי מכרה וסיפרה לי שידיד שלה נסחט. מישהו הוציא ממנו תמונות פחות צנועות, ועכשיו הוא דורש ממנו כסף, או שהוא ישחרר את התמונות האלה למשפחתו ולחבריו.

‏עידו: תופעה שנקראת "Sextortion".

‏נעם: שילוב של המילים סקס ו-extortion, זאת אומרת, סחיטה על רקע מיני. מישהו אומר: [בקול מתכתי מעוות] "אם לא תעשה מה שאני אומר לך, אני אפיץ עליך תמונות, סרטונים, שמועות, או כל דבר אחר שיפגע במעמד המשפחתי, האישי והחברתי שלך". זה סוג של כופרה של הנפש.

‏עידו: וואו!

‏נעם: פיוטי.

‏עידו: כן.

‏נעם: והתופעה הזאת הולכת ונהיית יותר ויותר נוכחת גם בארץ. אז אמרנו, אם הגיעו אלינו בזמן האחרון כמה וכמה סיפורים של אנשים שנכנסו למצוקה כזאת ולא יודעים מה לעשות, אולי נדבר על זה הפעם, ונשתדל אפילו לצמצם את בדיחות האבא בפרק הזה.

‏עידו: כן. בהצלחה לנו.

‏נעם: בהצלחה לנו.

‏קריינית: [מוזיקה אלקטרונית] סייברסייבר.

‏עידו: יש הונאה ידועה - אתה מקבל אימייל מעצמך, ואומרים לך: [בקול מעוות] "היי, יש לנו בשורות עצובות בשבילך. אנחנו א… השתלטנו לך על המחשב, ראינו את כל הפעילות שלך ויש לנו את כל מה שעשית שם, ויש לנו תמונות שלך. אנחנו רוצים לעזור לך, אז הנה כתובת של ארנק ביטקוין. תעביר לנו כסף ואף אחד לא צריך לדעת מזה".

‏אתה רוצה לשלוח אימייל לבן-אדם ולהתחנן על נפשך, או לעשות משא ומתן כדי להוריד את הסכום - אין! כתובת השולח היא הכתובת שלך. אין לך עם מי להתכתב. הדרך היחידה שלך לתקשר איתם זה להעביר כסף לארנק הזה. עכשיו, במקרה הזה של ההונאה הספציפית הזאת - אין להם תמונות שלך. אין להם שום דבר שלך. זה פשוט אימייל המוני שנשלח. סיכויי הצלחה, אפילו נמוכים. [מצחקק] אתה יודע, אתה שולח מיליון ועשרה עונים? אז הרווחת 10 כפול כמה שזה לא יהיה שהם מבקשים…

‏נעם: בממוצע 300 דולר.

‏עידו: 3,000 דולר בשביל שליחת אימייל? לא רע. אתה, אתה רק צריך רשימה של אימיילים של קורבנות פוטנציאלים וארנק ביטקוין. אין, אין, אין באמת דרך ממש קלה לתפוס אותך.

‏נעם: וזה גם מגיע ב-toolkit ואתה אפילו לא צריך לדעת מה אתה עושה.

‏עידו: "Scamware as a Service". זה כמו ההונאות הממש נחותות - עוקץ ניגרי ודומיו - שאם אתה לא מספיק מתוחכם בשביל פשוט למחוק את זה, ואתה עונה לזה, אז זה הסינון הראשוני. זאת אומרת, במקום שיהיו מיליון אי-מיילים יוצאים ומיליון פניות בחזרה ואז הם יצטרכו, הנוכלים, לסנן את כל הפניות. הם עושים, באמת, הונאה ברמה מאוד נמוכה כדי להפיל בפח את האוכלוסייה הקטנה יחסית, שכן תיפול בזה.

‏נעם: אבל זה לא סוג ההונאות שאנחנו מדברים עליהם הפעם.

‏עידו: אנחנו מדברים על הונאות שבאמת מקבלים גם ראיה לכך שיש לסוחט מידע עליכם. אתה יודע שיש לו ת… הוא הראה לך.

‏בקו הסיוע של איגוד האינטרנט הישראלי דיווחו על 3,300 פניות בכל שנת 22'. ומבין המתקפות שהן לא מתקפות סייבר, שליש מהפניות היו פגיעות על רקע מיני, והפגיעה המינית הנפוצה ביותר הייתה הפצת תוכן אינטימי ללא רשות. הנתונים בארצות הברית, מאוקטובר 21' עד מרץ 23', שזה חצי שנה - [כך במקור] 13,000 דיווחים של סחיטה מינית מקוונת של קטינים, שנוגעת ל-12 אלף ושש מאות קורבנות. בחצי שנה. בארצות הברית.

‏נעם: רובם בנים.

‏עידו: רובם בנים. הובילה ללפחות עשרים התאבדויות. ואנחנו מדברים על רק חצי שנה, רק בארצות הברית, ורק מקרים מדווחים שטופלו. אנחנו יודעים שהרבה אנשים מפחדים לגשת לרשויות, מכיוון שהמבוכה גדולה מדי, והם לא רוצים לשתף בזה עוד גורמים, ובטח שלא אנשים שהם לא מכירים, ובטח שלא מקומות שמהם הסיפור הזה עלול לצאת הלאה.

‏נעם: על פי איגוד האינטרנט הישראלי, שעשה את הסקר הזה שהזכרת קודם, 94% מהקורבנות לא דיווחו למשטרה. זאת אומרת, המספרים שאנחנו רואים בארצות הברית, זה רק מספרים שהגיעו למשטרה. אפשר רק לדמיין מה כמות המקרים האמיתית. ואגב, גם פה בארץ, 40% מהפניות לקו הסיוע של איגוד האינטרנט של אזרחים ערבים…

‏עידו: גברים, גברים ערבים.

‏נעם: …גברים, נכון, היו סביב סחיטה מינית. זה פשוט מספרים מפחידים, והדבר הדי מחריד זה שכל שנה נראה שזה רק עולה, ועולה, ועולה, ועולה. בשנת 2023, ה-National Center for Missing and Exploited Children קיבל מעל 26,700 דיווחים על סחיטה מינית עבור כסף.

‏עידו: עלייה של יותר מ-150% - זה היה 10,700 ב-22'. אנחנו ניתן בהערות התוכנית לינקים לכל הסטטיסטיקות הללו.

‏מה שאנחנו מבינים מהעלייה של הסוג פשיעה הזה, זה שמדובר בפשע שקל לבצע, שהוא משתלם, זאת אומרת, משיגים את כספי הסחיטה, ושכנראה לא הרבה מהם נתפסים ונכנסים לכלא. כי אחרת לא היינו רואים עלייה כזאת מטורפת.

‏נעם: ואנחנו גם רואים את זה מהאנשים שפנו אלינו - שהאינסטינקט הראשון שלהם זה לשלם. קודם כל לשלם, כדי להעלים את זה.

‏קריינית: [מוזיקה אלקטרונית] סייברסייבר.

‏נעם: אז בוא נדבר על איך תוקפים מקבלים גישה לתוכן הזה.

‏[מוזיקת רקע]

‏עידו: בהרבה-הרבה-הרבה מאוד מקרים, הקורבנות נותנים את הגישה הזאת. לא בכוונה, אבל זה לא hacking, זה social engineering. זה לא מציאת חולשות במערכות ממוחשבות אלא מציאת חולשות בבני-האדם, בבני-האנוש.

‏נעם: אממ… כן, אבל… [מוזיקת רקע דרמטית ואגרסיבית] אנחנו לוקחים ממש כמובן מאליו, כאשר אנחנו מצלמים בטלפון שלנו, שזה רק שלנו. אבל בעצם אנחנו חולקים את זה עם העולם, ורק לא מספרים לעולם. אבל לפעמים העולם בא לבקר. מדיה חברתית, פייסבוק ואינסטגרם, ש… אנשים שולחים שם א… תמונות רגישות לעיתים, או מעלים לשם תמונות רגישות וחושפים אותן בפני חברים נבחרים בלבד - תוקף יכול להשתלט על החשבון הזה ולקבל את כל הגישה לתמונות שהועלו לשם. ואם העליתם תמונה על מנת לחשוף אותה לאדם יחיד ומיוחד - עכשיו גם לתוקף יש גישה לתמונה הזאת, והוא יכול להתחיל לסחוט אתכם.

‏אולי יום אחד נקדיש פרק על איך להשתלט על חשבונות [מצחקק] מדיה חברתית, ויש אלף דרכים לעשות את זה.

‏עידו: זו אינה המלצה!

‏נעם: זו אינה המלצה, וכמובן שלאף אחד אין דרך לעשות את זה. אם העליתם תמונות כאלה לאפליקציות היכרויות, גם שם לא מאוד מורכב לקבל גישה לחשבונות האלה, ומשם, הדרך לסחיטה קצרה מאוד.

‏לא הרבה, אולי, זוכרים את ה… או חושבים על העניין הזה, ושומרים את התמונות שלהם ב-"Google Cloud". הגוגל קלאוד מחובר לחשבון הג'ימייל שלנו, שאם תוקף משתלט עליו - וכאמור, יש שלל דרכים לעשות את זה - יש לו עכשיו גישה לכל מה ששמרתם. אם שכחתם את המפתח ל-"Google Storage" שלכם מתחת לעציץ בכניסה, תוקף מרושע יכול לקחת אותו ולקבל גישה בעזרת המפתח, ולהוריד את כל הקבצים שיש לכם על הענן. ואנחנו רואים את זה באחד הסיפורים שאני מאמין שנפרסם בעתיד הקרוב.

‏[מוזיקת רקע משתנה]

‏עידו: אתה זוכר את האירוע שבו ב-2014 הייתה דליפה מאוד-מאוד גדולה של תמונות פרטיות אינטימיות של מפורסמים?

‏נעם: ה-"Fappening".

‏עידו: אנחנו לא נסביר את השם הזה, אבל השם הזה הוא, הוא קשור לפעילות מינית. והיה שם פשוט אוסף מאוד-מאוד גדול, והתמונות האלה הופצו בקובץ מאוחד בכל רחבי הרשת, בטורנט, בכל מיני אתרי דליפות…

‏נעם: איך זה קרה?

‏עידו: התמונות נגנבו מ-iCloud של המון-המון סלבים…

‏נעם: אם התוקף משתלט על ה-iCloud, יש לו גישה לכל התמונות. כדי להיכנס לחשבון ה-iCloud היה צריך להקיש סיסמה בעלת ארבע ספרות.

‏עידו: ארבע ספרות! כל ילד בגיל 1 עד 9999… [צוחק]

‏נעם: אבל נניח גם להיכנס לטלפון, אתה יכול לשים סיסמה עם ארבע ספרות, ואם אתה תנסה פעם אחת, הוא יגיד לך "תנסה שוב".

‏עידו: כן.

‏נעם: תנסה עוד פעם, אוקיי. אז עכשיו תחכה שלוש שניות.

‏עידו: אחרי זה תחכה…

‏נעם: תחכה, תחכה, תחכה, תחכה שבוע וזה.

‏עידו: אתה לא יכול להפציץ את הטלפון בנסיונות. יש rate limits…

‏נעם: rate limit ו-slowdown וכל מיני דברים כאלה. [עידו מהמהם] מה שקרה באפל…

‏עידו: הם רצו שיהיה לך נוח.

‏נעם: נכון. לא זכרת אם זה 0001…

‏עידו: אז 0002…

‏נעם: תנסה 02, או 3…

‏עידו: 0003.

‏[הקלטה - מתוך הסדרה "The Office"]

Jim: “Does anybody know that password? ‘Cause otherwise we can’t do any work.”

Dwight: “Try 000000.”

[Typing sound]

Jim: “No.”

Dwight: “Okay, now try 000001.”

[Typing sound]

Jim: “Okay, I’m not doing every number.”

‏נעם: והיית יכול תוך שנייה אחת לנסות את כל המספרים. אחד מהם היה נכון. [עידו צוחק קלות] כל מה שהיית צריך זה את מספר הטלפון של הקורבן - וקיבלת גישה מלאה ל-iCloud שלו.

‏עידו: לא ייאמן. לא ייאמן.

‏נעם: ויש סיפור ממש מהזמן האחרון. יוזרים שצילמו תמונות ומחקו אותם - לפעמים לפני שש שנים - פתאום מצאו את התמונות שלהם, אחרי עדכון של ה… מערכת ההפעלה של האייפון שלהם, פתאום מצאו את התמונות שהם מחקו לפני שש - שנים, ב-2018, מופיעות בראש רשימת התמונות שלהם.

‏עידו: הכיצד?

‏[פאוזה]

‏נעם: אז אפל מאוד התנצלו על התקלה [צליל תקלה] [עידו צוחק] אבל אתה רק יכול לחשוב מה זו התקלה [צליל תקלה] הזו. כאשר אתה מוחק תמונה, היא עוברת לאיזשהו פח מיחזור כזה למשך 30 יום, ואחרי זה מופיע שם למעלה, "אחרי 30 יום זה יהיה permanently deleted". אז לא permanently ולא deleted. בגלל תקלה [צליל תקלה] תמונות שנמחקו, ואתה יכול לדמיין איזה סוג תמונות…

‏עידו: …אנשים ממהרים למחוק. אגב, גם בפייסבוק זה היה. חוקרים העלו תמונות לפייסבוק, שמרו את הלינק הישיר לתמונה עצמה - לא בתוך האלבום של פייסבוק אלא ממש לקובץ התמונה - מחקו את התמונה ובדקו וראו שהתמונות נשארות חודשים ואפילו שנים על השרתים של פייסבוק.

‏נעם: או - הסיפור שיוזרים צילמו תמונה ואז חתכו.

‏עידו: צילמת את עצמך מול מגש של בורקס תפוחי אדמה, נעם, וכדי לא להביך את עצמך באינטרנט לפני כולם…

‏נעם: אבל, אבל הפרצוף שלי יצא ממש יפה בתמונה הזאת!

‏עידו: הפרצוף יצא ממש יפה, אז אתה חותך רק את החלק של הפרצוף ומשתמש בו בפרופיל שלך בלינקדאין.

‏נעם: ואז מה מסתבר?

‏עידו: מה מסתבר? במספר כלי עריכת תמונות, "Markup" של גוגל פיקסל ו-"Snip&Sketch" ו-"Snipping Tool" של Windows, כדי שלא תאבד את הקובץ המקורי אם אתה עורך אותו…

‏נעם: …אז הוא שומר גם את ההיסטוריה כדי שתוכל לעשות "undo".

‏עידו: ובעצם יש לך קובץ כפול. מה שעל פני השטח זה החיתוך, ומה שמאחורי הקלעים זה הקובץ המלא. אז אתה פרסמת את הקובץ החתוך. ומי שהוריד אותו וחקר אותו, ואפילו יש כלי שעושה את זה, יכל למצוא את הקובץ המלא. זה CVE2023-21036, ובגלל המילה "crop" האירוע הזה זכה לשם "אקרופליפסה". [צוחקים]

‏נעם: וכך כל העולם עשוי היה להיחשף למגש בורקס תפוחי האדמה.

‏עידו: מ-ביך.

‏נעם: מ-ביך.

‏עידו: כשוטה הכפר של סייברסייבר אני יכול בעצמי לספר על כמה מקרים שבהם אני חשפתי על עצמי מידע בטעות. יום אחד פונה אלי מישהו בטוויטר ואומר, [בקול מעוות] "תקשיב, מצאתי קובץ שלך, שאתה בטח לא רוצה שיהיה שם". והוא שלח לי לינק, והלינק הזה היה לקובץ הכנסות שלי, שאיכשהו הורדתי עותק שלו, והעליתי אותו ל… מ… מ… שרת של הבלוג שלי, משום מה, אני אפילו לא יודע איך זה קרה.

‏נעם: הייטק!

‏עידו: אוקיי. [נעם צוחק] ומקרה נוסף זה, יש לי קובץ ששמור באיזשהו ענן, אבל שיתפתי אותו עם הגדרות שיתוף רחבות מדי. אז בעצם כל אחד שהלינק הזה מגיע אליו יכול להיכנס ולראות את הקובץ, במקרה הטוב. במקרה הרע הוא יכול לראות את כל הספרייה ומבנה הספריות.

‏ומקרה שלישי זה שגיליתי שיש לי חשבון, אממ… איך קוראים לדבר הזה של מיקרוסופט? OneDrive. אתה יודע, הוא עושה לך את זה אוטומטית, ואני נכנס ל-OneDrive, ואני אומר, "טוב, בחיים לא השתמשתי בזה", [בתדהמה] ואני מוצא שם דברים מהמחשב שלי. [נעם צוחק] אממ, אז כן, לא - זה לא תמיד באשמתנו, וזה אפילו לא תמיד האקרים שפורצים לנו, לפעמים אנחנו פשוט שופכים את זה באינטרנט.

‏נעם: אבל לא רק פריצה לחשבון שלנו, או טעות מצדנו יכולה לחשוף את המידע הזה.

‏עידו: לפעמים זה מישהו שלקח לכם לרגע את הטלפון ושלח לעצמו תמונות, או קיבל מכם תמונות…

‏נעם: הקשר הראשוני הזה…

‏עידו: …נוצר הרבה פעמים ברשתות החברתיות, כי הרבה יותר קל להשיג חשבון רשת חברתית של מישהו מאשר מספר טלפון. זה כלי מעולה לאיסוף מידע.

‏נעם: ויותר מזה…

‏עידו: …זה מקום שבו אנחנו שופכים על עצמנו הרבה מידע, מה השם שלנו, איפה גדלנו, איזה בית-ספר.

‏נעם: לפעמים אנחנו שולחים תמונה שלנו אוכלים א… בורקס משוקץ…

‏עידו: …בורקס פיצה!

‏נעם: [בגועל] בּוֹעעו! trigger warning. אוכלים בורקס פיצה כזה, לבן או בת הזוג שלנו, ואנחנו סומכים עליהם שזה יישאר רק בינינו. ואז יום אחד אנחנו רבים, ואותו בן או בת זוג, חולקים את התמונה שלנו, אוכלים בורקס פיצה, עם אחרים.

‏עידו: Shame.

‏נעם: תמונה שהיא מאוד רגישה, ומאוד לא נעימה, שחלקנו עם אדם עליו סמכנו, פתאום עזבה את השליטה שלנו, ונכנסה לשליטה של מישהו אחר. וזה, זה קורה הרבה. זאת אומרת, אנשים אוהבים לצלם את עצמם אוכלים בורקס פיצה, כדי א… לפתות בני או בנות זוג, ולא תמיד חושבים על מה יקרה אם אותו בן או בת זוג לא אמינים כמו שהם חשבו. או: פרופיל לא מוכר, חשבון שמתחזה לנערה יפת מראה [צחוק של ילדה] שולח בקשת חברות [צחוק של ילדה] לחשבון של גבר צעיר [בקול גברי - Oh yeah!] באפליקציות האלה. לפעמים אתה מאשר [בקול גברי - Hey], ואז הוא כבר חבר של מישהו במעגל החברים, ואז הרבה יותר קל לאשר אותו מסביב.

‏עידו: אז אם אתם, אם אתם מקבלים לפעמים הצעת חברות משונה ואתם מאשרים אותה ולא קורה כלום, יכול להיות שהשתמשו בכם בשביל לעבוד על אדם שלישי.

‏נעם: לגמרי. ולהתחיל לפנות אליכם…

‏עידו: בקטע פלרטטני של…

‏נעם: "אה, אתה מכיר את בינה? איזה בורקס פיצה טעים היא הייתה מכינה"…

‏עידו: בוא נדבר על בורקס פיצה.

‏נעם: ומפה דברים רק מידרדרים.

‏[מוזיקת רקע]

‏עידו: היי, אתה אוהב בורקס פיצה, אני אוהב בורקס פיצה…

‏נעם: רוצה לראות את הבורקס פיצה… שלי?

‏עידו: [בקול פתייני] רוצה לעלות אליי לבורקס פיצה?

‏נעם: לא. [צליל כישלון]

‏עידו: [בעצב] טוב.

‏נעם: בורקס משוקץ! [צוחקים] כמו במקרה, על אודותיו סיפרנו בתחילת הפרק, הבחור שנסחט, התחיל להתכתב עם איזשהי נערה יפת מראה, שהתחילה לפלרטט איתו ושלחה לו תמונות נועזות שלה - כנראה לועסת מאפים עם רוטב עגבניות - וביקשה ממנו גם. והוא, אממ, בלהט הרגע, שלח גם תמונה של מאפה ברוטב עגבניות.

‏עידו: ואז הוא גילה שני דברים עצובים: אחד, שהוא קיבל תמונות של גברת בינה, [במלעיל] בינה [במלרע] מלאכותית, ולא אישה אמיתית, ו-ב', שהאדם שאיתו הוא התכתב רצה אותו רק בשביל הכסף.

‏קריינית: [מוזיקה אלקטרונית] סייברסייבר!

‏נעם: אז, כאמור, יש כל מיני דרכים שתוקפים יכולים לקבל גישה למידע שלנו. ומפה, בעצם, מתחיל מסע. מתחילה איזושהי סאגה, שיכולה להיות מאוד קשה ומאוד מטלטלת, בטח לאנשים שזו הפעם הראשונה שלהם, שבה אומרים להם, [בקול מעוות] "או שאתה משלם לי, או שההורים שלך, והמשפחה שלך, ואולי הבני-זוג, או בנות-זוג, והילדים, והדודים, ו…"

‏עידו: אפשר פשוט לפרסם את זה ברשת, ו…

‏נעם: אני לא יודע אם כל אחד אכפת לו ממר "אברהם בֶּרְג-לַיים" שאוכל בורקס פיצה, אבל גברת ברג-ליים אולי תרצה הסברים.

‏עידו: אם אתה לא סלב, האיום הראשוני הוא לחשוף את זה לאנשים שאתה מכיר. אם אתה סלב זה הרבה יותר קל, כי כל אחד יוכל לזהות שזה אתה.

‏נעם: ושם המסע הזה מתחלק לשניים. יש את אלה שנלחצים, ומתחילים להתכתב ולהתמקח. והדרישות לפעמים מתחילות, תלוי בבן-אדם, אבל מתחילות מאלף דולר, משבע מאות דולר, משמונה מאות דולר, ואחרי שאנשים בוכים ומתחננים שאין להם כסף זה יכול לרדת גם לשלוש מאות דולר, שזה פחות או יותר המחיר הממוצע למקרה סחיטה כזה. לסחיטה ראשונה.

‏עידו: אתה מקבל את הסחיטה הראשונה בזול.

‏נעם: בהחלט.

‏עידו: [צוחק] זה תעריף מיוחד.

‏נעם: מי שלא משלם, אז לפעמים באמת מוציאים את התמונות האלה למשפחה ולחברים, וזה מאוד-מאוד-מאוד לא נעים. ומי שמשלם בכל זאת עושים את זה, ו-לוקחים לו את הכסף. ואם מדובר בנשים שנסחטות, הרבה פעמים מבקשים מהם במקום כסף - תמונות, ואז הם שולחות תמונות ואז מבקשים מהם כסף. ואז משתמשים בתמונות האלה כדי לפתות גברים אחרים - כדי לסחוט אותם.

‏עידו: ממש אֶקוסיסטם של גועל.

‏נעם: זה אקוסיסטם קסום.

‏עידו: אין לך דרך לנצח. אתה לא יכול לסמוך על ההאקרים, כי ההאקרים האלה לא מזדהים.

‏נעם: אין פרצוף מאחורי זה. אין מותג מאחורי זה.

‏עידו: כן, זה לא מותג.

‏נעם: זה הרבה מאוד פעמים אנשים בודדים באפריקה, במזרח אירופה, באסיה, שזו הפרנסה שלהם, ולכן גם הם לא מעורבים בזה רגשית. זה לא שאכפת להם לספר לאחותך איזה בורקסים אתה אוכל.

‏עידו: קבוצות סחיטה גדולות, קבוצות כופרה, קבוצות האקרים רציניות, דווקא כן מקפידות למלא את הצד שלהן בעסקה. אתה משלם כופר, והם מחזירות לך את הקבצים או את מפתח ההצפנה. ולמה זה? כי כמו בעולם העסקים הלגיטימי, אתה רוצה שיבואו אליך עוד לקוחות. אם יגלו שקבוצה מסוימת סוחטת אנשים, שמה להם כופרה, גונבת להם את המידע, מקבלת את הכופר ואז לא נותנת להם את מפתח ההצפנה, ומדליפה את המידע בכל זאת או מוכרת אותו, אין סיבה לקורבן הבא לשלם, כי הוא יודע, "אוקיי, יש להם את המידע שלי, הם חסמו את המחשבים שלי, אבל אם אני אשלם להם, המצב שלי לא ישתפר".

‏נעם: זה בדיוק עניין של מיתוג, אתה ממתג את עצמך ככנופיית פשע מרושעת אמינה. [צוחקים]

‏עידו: כבוד של גנבים!

‏נעם: כבוד, אתה אומר, [בקול מעוות] "אתה תשלם לי, אני לא אפרסם את המידע שלך, אף אחד לא צריך לדעת". אתה משלם, וזה באמת קורה, הכל טוב.

‏עידו: אבל, כמות מאוד גדולה של חברות שנפלו קורבן לכופרה, ל-ransomware, ושילמו, נופלות קורבן לכופרה פעם שנייה. משתי סיבות: אחת, כנראה שהאבטחה שלהם לא כל-כך טובה, ושתיים, יודעים שהם משלמות.

‏נעם: ואותו דבר כאן. ברגע שענית, אז קודם כל יודעים…

‏עידו: …סימנת את עצמך כמישהו שקיים, שהאי-מייל שלו קיים, שקרא את זה…

‏נעם: שהוא בלחץ.

‏עידו: …שהוא בלחץ.

‏נעם: ובן-אדם שמשלם פעם אחת נכנס לרשימת קורבנות משלמים. הוא הופך למטרה יוקרתית יותר, עבור אותן כנופיות רשע ופשע.

‏עידו: זה כמו ללחוץ על לינק להסרה בספאם. לחצת על הלינק - יודעים שהאימייל שלך פעיל, יודעים שקראת והשקעת, אתה תתחיל לקבל הרבה יותר ספאם.

‏נעם: מה שכן, לפעמים, כשלא עונים, הפושעים פשוט ממשיכים הלאה.

‏עידו: העלות של לנסות לפנות אליך שוב ולנער אותך, כאשר לא ענית בפעם הראשונה, היא יותר מדי גבוהה. אפשר פשוט לפנות לקורבן הבא.

‏נעם: נכון. וכמה שזה קשה לקבל, וקשה לשמוע, העצה שלנו היא: על אף הסיכון, לא לשלם. ההמלצה הזאת ניתנת בלב מאוד-מאוד-מאוד כבד, כי קיים סיכוי לא מבוטל שהתמונות האלה כן ידלפו, הסרטונים האלה כן ידלפו.

‏עידו: אבל אם נסתכל על זה מנקודת מבט של תורת המשחקים: יש למישהו שאתה לא מכיר תמונות שלך, הוא אומר לך, [בקול מעוות] "תשלם לי, והכל נעלם. It all goes away". אתה משלם לו. האם הוא יעמוד במילתו? לא ידוע.

‏נעם: אגב…

‏ביחד: כנראה שלא.

‏נעם: כמעט תמיד זה לא נגמר שם.

‏עידו: עכשיו, אם אתם משלמים, אז גם הפסדתם את הכסף, גם סביר להניח שהתמונות האלה לא יימחקו. אם לא שילמתם, יש סיכוי שההאקר ידליף את התמונות, אבל ברגע שהוא הדליף אותם - זהו, זה, הסתיים הקטע של הסחיטה כי התמונות כבר בחוץ. וגם יש סיכוי שהוא ימשיך הלאה, כי, כאמור, יותר פשוט למצוא עוד קורבן מאשר לשכנע אדם שהוא לא קורבן להפוך לקורבן.

‏קריינית: [מוזיקה אלקטרונית] סייברסייבר.

‏נעם: אנחנו רוצים לתת פה כמה טיפים מה לעשות [מוזיקת רקע] במידה וכזה דבר קרה, ואיך אפשר לצמצם את הסיכוי שדבר כזה יקרה. אז כדי לצמצם את הסיכוי, קודם כל, תעברו על הגדרות הפרטיות, בכל השירותים שאתם משתמשים, ותורידו את זה למינימום. זאת אומרת, רק אם אתם explicitly…

‏עידו: באופן מוצהר ו…

‏נעם: במודע.

‏עידו: במודע.

‏נעם: אתם אומרים, "אני רוצה לחלוק את תמונת הבורקס שלי עם עידו" - רק אז התמונה הזאת תשותף עם עידו, ולא "התמונה שלי פתוחה לכולם, אלא אם אני משנה את זה".

‏עידו: ברירת המחדל, בניגוד למה שהרשתות החברתיות מנסות ללמד אותנו, צריכה להיות "סגור, למעט אם החלטנו לפתוח. אתה לא יכול לראות, למעט אם אישרתי לך".

‏נעם: כדאי ללמוד ולהתאמן על זיהוי של ניסיונות פישינג, ניסיונות דיוג. [שיחה בקו טלפון משובש] "שלחתי לך קוד בוואטסאפ, אתה יכול לשלוח לי אותו? זה בטעות, ממש בטעות, אני מצטער, זה לא יקרה יותר, רק תשלח לי את זה הפעם ו…" וככה משתלטים לך על החשבון, או [שיחה בקו טלפון משובש] "תראה מה מצאתי, תלחץ פה, תוריד את התוכנית, תראה איזה יופי זה, יש פה למוּרים משתזפים בשמש". יש כלים שכדאי ללמוד להשתמש בהם, אפשר ללמוד עליהם עוד, באחד מכמה פרקים, לדעתי, שעשינו של CryptoParty, שמסביר על תקשורת בטוחה והיגיינה טובה ברשת.

‏קריין: [בקול מהדהד] פרק 36: "הפתרון למעקב בחסות הקורונה: קריפטופארטי".

‏[מוזיקה נעצרת]

‏נעם: מכיוון שרוב מקרי הסחיטה האלה מתבצעים ברשתות החברתיות, אפשר וצריך לדרוש מהרשתות החברתיות לעשות יותר. לעשות הרבה יותר. אם אנחנו הולכים ל-וקטור הכניסה הזה, לרשתות החברתיות, ואנחנו דורשים מהן "תעשו יותר", וזה יכול להיות אפשרות לזהות תמונות ידועות - אותה תמונה משמשת לסחיטה של הרבה מאוד פרופילים. הרשתות, יש להם את הכלים לזהות את התמונה הזאת, לזהות שמדובר בניסיון סחיטה ולעצור את זה במקום - או אפילו לתת לך הודעה: [כריזה] "שים לב, פנייה כזו משמשת פעמים רבות לניסיונות סחיטה. אל תחלוק מידע. האם אתה רוצה לדווח?"

‏או למשל רשימת החברים, אתה יכול להפוך אותה לפרטית, אבל ברגע שמישהו נהיה חבר שלך אין לך דרך להסתיר ממנו את רשימת החברים. זאת אומרת, אם אפילו אחד מהחברים שלך נפל, ואישר פרופיל של של אדם מרושע כזה, הוא פתאום מגיע אליך, והוא רואה עליך הרבה מאוד מידע.

‏עידו: ככה עבדו "קיימברידג' אנליטיקה" גם.

‏נעם: נכון. וכאשר אתה קטין, או אתה פלטפורמה שנותנת שירות לקטינים, אין סיבה לחשוף את רשימת החברים שלהם.

‏עידו: לאף אחד אין סיבה לחשוף את רשימת החברים שלו.

‏נעם: או אפילו, אפילו כברירת מחדל, תשאיר את זה סגור. אם יש קטין שרוצה שכל העולם יראה את רשימת החברים שלו, שיפתח את זה. אבל כברירת מחדל, מה שרוב האנשים מתכוונים אליו, אל תחשוף את זה.

‏הפניות האלה גם הרבה מאוד פעמים, הן מתחילות בצורה אוטומטית. זה באמת דברים מאוד פשוטים, הדפוסים האלה ניתנים לזיהוי, וככל הנראה גם מזוהים על ידי הרשתות החברתיות, אבל מעט מאוד נעשה כדי לטפל בהם, מכל מיני סיבות.

‏עידו: אנחנו יכולים להבין שיש להם אינטרס שלא יהיו מגבלות, שיהיה חוויה בלי חיכוכים.

‏נעם: זה לא רק זה. האינטרס של הרשתות האלה זה שתבלה כמה שיותר זמן בפלטפורמה שלהם. ואם אתה מבלה זמן בפלטפורמה שלהם בלראות מתכונים של פתיתים, או בלהיות נסחט על ידי פושע אלבני מרושע, זה לא אכפת להם - אתה עדיין מבלה זמן בפלטפורמה שלהם.

‏גם הדרך לדווח על ניסיונות סחיטה כאלה, הדרך לטפל בניסיונות סחיטה כאלה, עם כל הרגישות הנדרשת פה, זה דברים שכמעט ולא נעשים, ובטוח לא מתוקשרים למשתמשים על-ידי הרשתות החברתיות.

‏עידו: הן לא רוצות להודות ולתת נשק למתנגדים שלהם, ולהגיד "קורים אצלנו דברים נוראים!".

‏נעם: "לקטינים!"

‏עידו: לקטינים, אפילו. זה כמו שאתה תהיה יצרן מכוניות ותגיד "אני לא מעוניין לשים כריות אוויר כי זה רומז שמכוניות מתנגשות ומתרסקות".

‏נעם: רחמנא ליצלן.

‏עידו: כן.

‏נעם: זאת אומרת, זה סוג של לא להסתכל על הטרומבונים, [מוזיקת טרומבון] כמו שאמר ריכרד שטראוס.

‏קריינית: [מוזיקת טרומבון נמשכת] סייברסייבר. סייברסייבר.

‏נעם: אבל אולי כדאי גם להתייחס לעובדה שמארק צוקרברג לא מעלה תמונות של הילדים שלו לפייסבוק. [מרים את הקול] אז אם מארק צוקרברג, שיודע מה פייסבוק עושה עם התמונות האלה, לא מוכן להעלות תמונות לאינסטגרם או לפייסבוק או לכל אחת מהמערכות שתחת שליטתו, למה שאתם תעשו את זה, בשם השם?

‏עידו: זה כלל טוב כשאתם צריכים להשתמש באיזה מוצר, זה נקרא "Eat your own dog food".

‏[הקלטה - פרסומת לדוגלי] ששי קשת: "לכלב שלי קניתי דוגלי". [נביחות כלבלב]

‏עידו: האם היצרן משתמש במוצר של עצמו? האם הוא סומך על המוצר של עצמו? האם המוצר של עצמו מספיק טוב בשביל שהוא ישתמש בו?

‏נעם: וזה מארק צוקרברג. אבל טיקטוק - למה בשם השם שמישהו ישתמש בזה, [מרים את הקול] אם סין, מדינה שלמה! אֵם הטיקטוק, אוסרת על אזרחיה להשתמש בטיקטוק?

‏עידו: יש להם גרסה משלהם.

‏נעם: אז למה שאתם תעלו לשם את העניינים שלכם? את בורקס הפיצה הפרטי והאישי שלכם.

‏עידו: [בטון ילדותי, ברקע נשמע תינוק] אבל, אבל יש שם סרטונים ממש מעניינים.

‏נעם: אם היצרן לא אוכל את אוכל הכלבים של עצמו…

‏[הקלטה - פרסומת לדוגלי] ששי קשת: "דוגלי! [נביחות כלבלב] איזה טוב, אה?" [נביחות כלבלב]

‏נעם: אל תהיו אתם הכלבים. [עידו פורץ בצחוק]

‏[הקלטה - פרסומת לדוגלי] ששי קשת: "יופי, כלבלב!" [נביחות כלבלב]

‏קריינית: [צליל מעבר] סייברסייבר.

‏[מוזיקת רקע]

‏נעם: אבל מה לעשות כאשר, חלילה, דבר כזה קורה לכם? קודם כל, מאוד-מאוד-מאוד קשה לגרום למשטרה לעשות משהו.

‏עידו: כן, המשטרה לא אוהבת להתעסק בעבירות מין בעולם הפיזיקלי, אז היא בטח ובטח לא ממש מתעניינת בעבירות בעולם הווירטואלי.

‏נעם: זה לא רק זה, זה עניין של… זה לא תחום השיפוט שלה. מישהו מאלבניה מנסה לסחוט - אתה יודע כמה ניירת צריך למלא כדי להגיע אחרי זה לאלבניה? בהנחה שאתה אפילו יודע שזה אלבניה. אם אתה לא יודע מי זה, הסיכוי שהמשטרה כן תדע, או כן תעשה משהו, נמוך מ…

‏עידו: יש סיכוי טוב שמי שתגיע אליו להגיש את התלונה לא כל-כך יבין על מה אתה מדבר.

‏נעם: זה… זה יותר מזה.

‏עידו: "מה זה? סנאפצ'ט? מה זה? מה? רילס? אמרת רילס?"

‏נעם: זה גם הרבה פעמים, לפי מידע שמגיע אלינו, זה מגיע למקומות של, [בטון של יומנאי] "רגע אבל את שלחת לו את התמונה?"

‏עידו: האשמת הקורבן, קלאסיקה של התמודדות עם עבירות מין.

‏נעם: והתלונות האלה [צליל של קימוט נייר וזריקה לפח] באמת הרבה מאוד פעמים הולכות לפח.

‏עידו: אנשים שזה קרה להם מאשימים את עצמם. "למה שלחתי תמונה? למה לא נזהרתי?" ובכן, לא נזהרתם? כדאי להיזהר, למדו את החברים שלכם, את הילדים שלכם, את יקיריכם, את בני משפחותיכם, להיזהר. אבל זה לא אשמתכם.

‏נעם: זה בהחלט לא אשמתכם.

‏עידו: וזה עדיין לא אומר שמותר לעשות נגדכם פשע.

‏[מוזיקה מסתיימת]

‏נעם: יש בארץ, חוץ מהמשטרה כמובן, [בטון סרקסטי] שעליה אנחנו ממליצים בכל פה, שלושה גופים שיודעים ומומלץ לפנות אליהם.

‏אם אתם קטינים, או אם הפגיעה מתבצעת בקטין, תפנו ל-105. 105 - מוקד של המשטרה לטיפול, ויש להם גם את הידע וגם את היכולות לעשות את זה. לאיגוד האינטרנט יש קו חם…

‏עידו: "קו הסיוע לאינטרנט בטוח"…

‏נעם: ויש אפילו טופס באתר שאפשר למלא, והם "מדווח מוּכּר" לרשתות החברתיות. זאת אומרת, אפשר דרכם לגרום לסגירה של פרופילים או להורדה של מידע, והם עושים עבודה טובה מאוד.

‏ואחרון, יש עמותה שנקראת מא'את, שמורכבת ממומחים ועורכי דין וחוקרי סייבר שיעזרו בכל התהליך הזה של טיפול משפטי, טיפול פורנזי, לנסות למצוא מי עומד מאחורי ניסיון הסחיטה הזה, כי הרבה מאוד פעמים אלה כן אנשים שאנחנו מכירים. ואחר-כך הם יידעו לקחת אותנו יד ביד ולעזור לנו לעבור גם את הדבר הזה.

‏אלה שלושת הגופים בארץ שאנחנו מאוד ממליצים להשתמש בשירותיהם גם בזמנים הלא פשוטים, אחרי ניסיון סחיטה כזה. את כל המידע כמובן אנחנו נשים…

‏עידו: בהערות התוכנית. [מוזיקת רקע] ומלבד כל הדברים האלה דברו עם מישהו, תפנו למרכזי הסיוע לנפגעות ונפגעי תקיפה מינית. אמנם מדובר במשהו וירטואלי ובתמונות, ואף אחד לא פגע בכם פיזית - אבל זו עדיין פגיעה מינית. זה עדיין, זה נחשב גם עבירת מין, לפי החוק בישראל - להפיץ תמונות עירום של מישהו בלי רשותו.

‏נעם: בטח של קטינים, שזה כבר נכנס לקטגוריה אחרת לגמרי.

‏עידו: דברו עם היועץ או היועצת בבית-ספר, עם הפסיכולוג.

‏נעם: דברו עם ההורים.

‏עידו: תבינו שאתם לא אשמים במה שקרה, ושעדיף שההורים שלכם יידעו ויתמכו בכם מאשר שיהיה לכם סוד מהם, ותחזיקו אותו ותרגישו אשמים, והם לא ידעו למה אתם בדיכאון, במצב רוח כזה.

‏ביחד: אם אתם הורים…

‏עידו: אני אתן לך, כי אני אַל-הורה.

‏נעם: א… תרד מההורה. אם אתם הורים, תדברו עם הילדים שלכם. תסבירו להם את העקרונות של פרטיות. תסבירו להם את העקרונות של מה זה אומר להשתמש במכשיר אלקטרוני כדי לצלם את עצמם, מה זה אומר לחלוק את המידע הזה. אם לא נעים לכם לדבר איתם, תשמיעו להם את הפרק הזה. אבל מאוד-מאוד-מאוד חשוב שידעו, שכל מה שהם עושים, כל מה שהם מצלמים בהגדרה הוא ציבורי. ואם הם לא רוצים שמשהו יהיה ציבורי, שלא יצלמו. ואם הם צילמו, שיהיו מוכנים להתמודד עם ההשלכות של זה, ומאוד-מאוד חשוב שיידעו שאתם יחד איתם.

‏עידו: זה מסר חשוב להורים ובכלל למשתמשי טכנולוגיה, אבל זה גם מסר מאוד עצוב. כי אנחנו בעצם נותנים לרעים לקבוע איך אנחנו נתנהג, מה, מה אנחנו נעשה ואיך אנחנו נתקשר עם אנשים אחרים. וזה עצוב, אבל זה העולם. זה העולם שאנחנו נמצאים בו. האינטרנט הומצא בקטע אידיאלי כזה של "המידע רוצה להיות חופשי, ואנשים רוצים לעזור זה לזה". וחלק מהבעיות הטכנולוגיות הסייבריות של האינטרנט ושל הכלים השונים, זה בדיוק צורת החשיבה הזאת - שאין תפיסה של אנשים רעים בצד השני. האינטרנט הוקם בין אוניברסיטאות, וכולם חוקרים ורוצים לעזור אחד לשני. א… זה לא המצב.

‏נעם: אבל זה המצב האנושי. המצב האנושי הוא לדעת, להכיר את הסביבה, להכיר את חוקי הטבע שמסביבנו, ולדעת להתאים את עצמנו אליהם. ובמקרה של האינטרנט - כן, יש גם אנשים רעים, וכדאי להכיר את היכולות, כדאי להכיר מה הם יכולים לעשות ומה הם לא יכולים לעשות, ולבחור איך להתנהל.

‏[מוזיקה נעצרת]

‏[מוזיקת סיום]

‏עידו: [נאנח] פרק עצוב ובלי בדיחות אבא. אממ…

‏נעם: כמעט.

‏עידו: אבל… כן. [מצחקק] ועוד סיפורים על סחיטה מינית, על סקסטורשן…

‏קריין: [בקול מהדהד] פרק 83: "הלוואה בריבית פרוצה".

‏קריינית: סייברסייבר, פודקאסט על האקרים ומאפים. מגישים נעם רותם ועידו קינן.

‏האזנה לפודקאסט "סייברסייבר" בכל היישומונים Podlist.net/cybercyber

‏הערות התוכנית, חדשות וכתבות cybercyber.co.il

‏צרו קשר 055-277-6766 - SMS-ים והודעות קוליות בסיגנל, וואטסאפ וטלגרם, או באימייל - cyber@cybercyber.co.il.

‏"סייברסייבר" הוא הפקה של מעבדות "סייברסייבר לאבז" - רן בר-זיק, רן לוקאר, ונעם רותם. "פודקאסטיקו" עומר סנש ועידו קינן. ו"חדר 404".

‏עריכת סאונד גיא גרמן. מוזיקת אותות רזנר. מוזיקת פרסומות פריק. רישיון CC-BY. אולפן שמע פודקאסטים ויצירות סאונד. קריינות גיא גרמן וקרי וויציג סאי - זאת אני!

‏עידו: סייברסייבר, נעם רי"ש.

‏נעם: סייברסייבר, עידוק.

‏[מוזיקת סיום]

‏[מוזיקה מתחלפת]

‏עידו: אתה זוכר את הפרשה של תמונות עירום של פריס הילטון, שאני חושב שזה היה ב… לפני שנות ה-10, בשנות האפס של האלף הנוכחי, ב-2004.

‏נעם: לא לא, זה היה ב-2012, לדעתי.

‏עידו: זה 2012. אוקיי. וזה מצחיק כי…

‏נעם: לא, אני אומר את זה בביטחון כאילו אני זוכר.

‏עידו: כן. אז, אז הנה אנחנו נשאל את חברנו, מנוע חיפוש. [קולות הקלדה] אא… למה כל-כך קשה… אני עכשיו מחפש את זה ואני כותב: Paris Hilton nude photos leaked. אתה חושב שאני מקבל ידיעות חדשותיות בנושא?

‏נעם: אני מאמין שלא.

‏עידו: או! [צוחק] 2004 [צוחק צחוק נצחון]

‏נעם: 2004? וואו, איך שהזמן רץ שנהנים. אבל אנחנו סוטים.

‏[נביחות כלבלב מתוך הפרסומת ל"דוגלי"]

‏קריינית: [בקול מהדהד] סייברסייבר ולהשתמע.

לעוד פרקים של הפודקאסט לחצו על שם הפודקאסט למטה