הרשות לאיסור הלבנת הון ומימון טרור במשרד המשפטים פרסמה סקירה רחבה של תחום תשלומי הכופר בעקבות אירועי סייבר, ודרכי הלבנת ההון המופק מהם לתוך ניצול לרעה של המערכת הפיננסית ודגלים אדומים על תקיפות כופרה כמקור הכנסה מרכזי ומניב של האקרים.
בסקירה, הרשות סיפקה הצצה לשיטות הפעולה בתחום, נתונים על היקפי התופעה בארץ ובעולם, דרכי הלבנת ההון והשימוש במטבעות קריפטוגרפים, דוגמאות לדיווחים לרשות, חשיפת חקירה כלכלית שביצעה הרשות, בה התחקות אחר כספי הכופר הובילה לאיראן ועשויה להצביע על טיב המתקפה ועוד.
תחום הכופרה צומח כתופעה גלובלית, שהיקפה מוערך בכ-20 מיליארד דולר בשנה וגדל בקצב גובר בשנים האחרונות, ובמיוחד לאחר התפרצות מגפת הקורונה. ניתוח מקרי הכופרה בישראל, מציג רמת תחכום הולכת וגוברת וגידול משמעותי בהיקף התופעה בשנים האחרונות.
השפעת הקורונה
במסגרת זאת בשנה האחרונה גדל מספר תקיפות הסייבר משמעותית (לפי הערכות עד פי 7), לכדי מיליוני תקיפות סייבר בכל שנה. חלק ניכר מהתקיפות מכוונות ליעדים משמעותיים, כש-42% מהעסקים הגדולים בישראל חוו מתקפת סייבר. 91% מנפגעי העבירות המקוונות אינם מדווחים לרשויות האכיפה על תקיפת הסייבר שחוו (האכיפה בתחום מוגבלת לאור תופעת תת-דיווח). כמו כן עלה מהסקירה שכ-80% מהארגונים שהחליטו לשלם את דרישת הכופר חוו מתקפת כופרה חוזרת (לפי סקרים של חברות טכנולוגיה ואבטחת מידע).
לאור זאת, הרשות לאיסור הלבנת הון ומימון טרור במשרד המשפטים מפרסמת סקירה ביחס לניצול של המערכת הפיננסית לביצוע תשלומי כופר. המדריך מציג טיפולוגיות ושיטות פעולה בולטות שזוהו בארץ ובעולם ככאלו המיושמות על ידי ההאקרים, לרבות תשלומים בנכסים וירטואליים (בדגש על ביטקוין), שימוש בארנקים דיגיטליים "חד פעמיים" ובנותני שירותים בנכסים וירטואליים, הרשומים בישראל לביצוע התשלומים, כולל עבור קורבנות זרים.
המסמך שפורסם מכיל מידע רב בנוגע לאופי תשלומי הכופרה ומנגנוני השיטה, דוגמאות לדיווחים שקיבלה הרשות בנושא וכן פרשייה בה חקירה כלכלית שביצעה הרשות אחר כספי הכופרה ששולמו, הובילה לאיראן. לפי הערכות הרשות, ברוב מקרי הכופרה מנסים הקורבנות לבצע העברות של עשרות אלפי שקלים ועד תשלומים של מעל מיליון דולר לתשלום בודד למבקשי הכופרה (האקרים). ממוצע הנזק ממתקפת סייבר בישראל באופן עקיף עומד על כחצי מיליון דולר למתקפה. בנוסף, ניכר כי כלל תשלומי הכופרה שדווחו לרשות בארץ בוצעו באמצעות העברות במטבע ביטקוין.
התשלום בקריפטו
דרכי הפעילות המרכזיים של העברת כספי הכופר שזיהתה הרשות מתמקדים בדפוסי פעולה (טיפולוגיות) מרכזיות אלו: שימוש של אזרחים זרים בנותני שירותים פיננסים (ציינג'ים) שאינם במדינת הקורבן, לרבות ביצוע תשלומי כופר בישראל על-ידי זרים (ללא זיקה לישראל); שימוש בפלטפורמות בינלאומיות למסחר בקריפטו; שימוש בבלדרי כספים (Money Mules), פעמים רבות בגורמים "משוטים", שאינם יודעים מקור ומטרת ההעברות; תשלום באמצעות חברות לניהול משברים, חברות ביטוח או עו"ד, עם/בלי הצהרה מלאה בדבר זהות הלקוח עבורו משולם הכופר; המרת כספים למטבע פיאט בבורסה לא מפוקחת; העברה לארנקים "חד פעמיים"; שימוש בבורסות מבוזרות (DeFi); וכן שימוש בכרטיסי מתנה והמרת הכספים לרכישת מוצרים ברי קיימא. עיקר השימוש מבוצע בנכסים וירטואלים, אשר קל להמירם (דוגמת ביטקוין), לצד שימוש במטבעות בעלי רמת אנונימיות גבוהה יותר, וכן ניצנים לשימוש בNFT.
הרשות רואה שימוש גובר ב"מיקסרים", העברות מרובות ו-"Chain Hopping" על מנת לטשטש את נתיב העברת הכספים ו"הרחקתו" מאירוע הכופר, למשל על-ידי ביצוע העברות בין מספר רב של ארנקים באותו מטבע; העברת תשלום הכופר בין מספר מטבעות וירטואליים (Chain Hopping) עד לנקודת היציאה; העברת התשלום שהתקבל במטבע וירטואלי ב"מיקסר", במטרה לטשטש את מסלולו וייעודו.
הסקירה עצמה כוללת שורת דגלים אדומים לסקטור הפיננסי לזיהוי פעילות בתחום, ביניהם נכללים למשל, דגלים המעידים על כתובת ארנק חשודה; העברה לארנק "חד-פעמי". שימוש במתווך (לרבות שימוש בחברת ניהול משברים/חברת סייבר/משרד עו"ד/חברת ביטוח עם/בלי הצהרה בדבר מהות הפעולה ו/או הגורם עבורו מבוצעת הפעולה), מידע חריג הנמסר ע"י הלקוח, היעדר היכרות של הלקוח עם מטבעות וירטואליים, שימוש באמצעים טכנולוגים לביצוע פעולה באופן אנונימי, תחושת לחץ/דחיפות של הלקוח, העברות במטבעות קריפטוגרפיים למדינות בסיכון גבוה לרבות בהיבטי כופרה, העברות למדינות שללקוח אין קשר פיננסי עימן, העברות מרובות בפרק זמן קצר של מטבעות וירטואלים לארנק של לקוח בלא הסבר למקור הכספים ושימוש במילים חשודות בתיאור ההעברה ועוד.
____________________________________________________________