כך זה עבד: ההאקרים פעלו ללא הפרעה במשך שבעה חודשים

ההאקרים שפרצו לאתרים הישראליים עבדו במשך חודשים, חיפשו אתרים עם פרצות, ניצלו כשלים בבנייתם ושאבו מהם מידע על כרטיסי אשראי של אלפי ישראלים. ייתכן מאוד שהם היו ממשיכים לעשות זאת עוד חודשים רבים, לולא תגלית מקרית של חוקר אבטחת מידע ישראלי. כך בוצעה והתגלתה גניבת כרטיסי האשראי המקוונת הגדולה - שלב אחר שלב.

לדברי מומחי אבטחה, מדובר בפרשה שמתגלגלת כבר הרבה זמן. "המידע שנאסף מהאתרים לא נאסף בלילה או בשבוע, אלא במשך חודשים רבים", אומר ל"כלכליסט" דיוויד ממן, סמנכ"ל טכנולוגיות בחברת אבטחת המידע GreenSQL. "אפשר לראות את זה לפי המספר הרב של כרטיסי האשראי שהם לא מעודכנים או לא פעילים".

לדבריו, "האתרים שמהם נגנב המידע נפרצו באמצעות תוכנות חופשיות ונפוצות, שעושות בשבילך את עבודת הפריצה. התוכנה מחפשת כשלים בדרך שבה נבנה האתר ומנצלת אותם כדי לגנוב את המידע. דוגמה לכשל נפוץ היא אתרים שלא 'מחטאים' את המידע שגולשים יכולים להזין בטפסים. אם במילוי טופס אני מצליח להזין אפוסטרוף בתחילת מילה, זו כבר תחילת החדרה של קוד לאתר. מי שבונה את האתר יכול למנוע את זה בקלות - פשוט למנוע הזנת סימנים מיוחדים מסוג זה".

"האתרים מחפשים רווחים ולא משקיעים באבטחה"

פעיל אנונימוס. הכחישו כל קשר | צילום: בלומברג

"מרבית האתרים שנפרצו הם אתרים של קופונים או של מכרזים פומביים, שחייבים להזין בהם כרטיס אשראי כדי לקחת בהם חלק", אמר ל"כלכליסט" מ', חוקר אבטחת מידע בחברת 2Bsecure, שביקש להישאר בעילום שם מכיוון שעבודתו כוללת פעילות מול גופי ביטחון. "רמת אבטחת המידע שלהם לא גבוהה, כי הם רוצים למקסם את הרווח ולא משקיעים באבטחה. הקימו אותם אנשי שיווק שרוצים לגזור קופון, ולא מומחי אבטחה. בדרך כלל הם משתמשים בפלטפורמות קוד פתוח כמו dropl, שהקוד שלהן חשוף בפני כולם. ברגע שמגלים פרצה בקוד, קל לפרוץ לכל האתרים".

האקרים, מוסיף ממן, לא צריכים להתאמץ יותר מדי כדי לגלות את האתרים האלה. "יש תוכנה שמנצלת את החיפוש של גוגל כדי לאתר אתרים ניתנים לפריצה. אני יכול לבקש מהתוכנה שתחפש לי את כל האתרים הניתנים לפריצה בישראל ולקבל רשימה. זה מסביר באיזו קלות זה נעשה", הוא אומר. גם האופן שבו אספו הפורצים את המידע שהציגו מעיד על חוסר התחכום שלהם. "רואים שחלק מכרטיסי האשראי לא תקינים. הם שלפו מספרים בלי לבדוק מהיכן הם גונבים את המידע. הם גנבו הכל, גם אם היתה עמודה או רשומה בשם 'לא קביל' או 'לא פועל".

ההאקרים הבינו שעוקבים אחריהם ומיהרו לפרסם

לדברי כמה מומחים, הפריצות לאתרים התנהלו במשך כשבעה חודשים, וייתכן שהיו ממשיכות להתנהל באין מפריע עוד תקופה ארוכה - לולא פעולותיו של חוקר האבטחה מ'. "ל־2Bsecure יש לקוח גדול שבתקופה האחרונה ניסו לפרוץ בצורה מסיבית לאתר שלו", מספר מ'. "הוא ביקש לחקור את המקור של המתקפות, ומצאנו כמה כתובות IP שהגיעו ממקור מסוים שלא הסתיר את עצמו. אחת מכתובות ה־IP האלו היתה של פורום בערבית".

מ' מספר כי "נכנסנו לפורום ונרשמנו אליו בדרך לא דרך - זה פורום מחתרתי שצריך טכניקה מסוימת כדי להירשם אליו. באחד הפוסטים שם מישהו כתב שמצא כרטיסי אשראי ישראליים ונתן לינק, שדרכו הגענו לקובץ טקסט עם 150 כרטיסי אשראי. המשכנו לקרוא את ההתכתבות, ובסופה מישהו הגיב ואמר למפרסם המקורי: 'אתה לא רציני, יש לנו קובץ יותר כבד וזה הלינק'. הלינק הזה הוביל לקובץ של 30 מגה, שהכיל בסיסי נתונים שלמים של כרטיסי אשראי".

מ' עדכן את מנהל החברה, וזה מיהר לדווח על התגלית לחברות כרטיסי האשראי ולשאר הגורמים הרלבנטיים. שעתיים אחרי התגלית, ההאקרים עצמם כבר נקטו מהלך יזום לחשיפת הגניבה באמצעות פריצה לאתר הספורט One. "הם ביצעו פריצה קטנה לאחוז קטן מהשרתים של One, וביצעו הפניה אוטומטית לאתר שבו היה כל המידע", מסביר ממן. "המטרה לא היתה לפרוץ ל־One, אלא רק להעביר משתמשים לאתר שלהם. הוא נבחר כי זה אתר גדול שאפשר לפרוץ אליו".

תזמון הפריצה, אומר מ', לא היה מקרי: "יש להם מערכות בקרה מתוחכמות. ברגע שנכנס מישהו שלא אמור להיות שם, הם מגיבים. לדעתי הם פרסמו את המידע ברגע שקלטו בפורום שלהם כתובות IP מישראל. כנראה שזה מה שהטריד אותם, והם החליטו לפרסם את המידע לפני שמישהו אחר יעשה את זה".