מורים בישראל מתמודדים עם קשיים רבים בין כותלי בית הספר, אבל חלקם נאלצים גם להתמודד עם פשיעת סייבר של התלמידים. "במקרה אחד, תיכוניסט סחט מורה שהתחברה לחשבונות המקוונים האישיים שלה באמצעות מחשב בבית הספר", מספר לנו מומחה אבטחת המידע, דורון סיוון. "התלמיד ההאקר גנב מידע אישי ודרש כופר של אלף דולרים כדי לשמור אותו לעצמו. המורה הייתה נבוכה ולא רצתה להגיש תלונה למשטרה". וזה רק קצה הקרחון. מתברר שתופעת הסחיטה המקוונת של תלמידים על ידי תלמידים אחרים נפוצה בישראל ובתי הספר לא ממש יודעים איך להתמודד איתה.
בשנה האחרונה נתקלנו לא מעט בתופעה מכוערת של סחיטת משתמשים במחשב ובסמארטפון באמצעות תוכנות כופר המכונות Ransomware, אבל תופעת הסחיטה ברשת ממש לא מסתיימת שם. ככל שחיינו הופכים למקוונים יותר ויותר, רמת האבטחה שאנחנו מקפידים עליה יורדת ומשתמשים צעירים חשופים יותר מכל לסחטנות ברשת. למעשה, מכל תופעות הבריונות ברשת - סחיטה היא האיום המשמעותי ביותר על צעירים בישראל, מסביר דורון סיון, הבעלים של חברת - Madsec, בין חברות אבטחת מידע לעסקים מהמוכרות בארץ.
לדברי סיון, תופעת הסחיטה בבתי הספר מתחלקת לשניים: סחיטה של תלמידי יסודי בכמה עשרות שקלים וסחיטה של בני נוער בסכומים הרבה יותר גבוהים. "הבריונות הקלאסית מחצר בית הספר עברה לרשת", הוא אומר. "לסחיטה על בסיס נעילת סיסמאות, השתלטות על מחשב וכו'".
סיון מסביר כי ילדים בכיתה ו'-ז' סוחטים לרוב ילדים קטנים בסכומים של כמה עשרות שקלים, על ידי חסימה של חשבונות אישיים כמו ג'ימייל, פייסבוק, חשבון באתר פלייסטיישן וכו'. "ילדים לא מודעים כל כך לאבטחת מידע אז הם משתמשים באותה סיסמה בכל מקום. אם הם נכנסים לג'ימייל מהמחשב בבית הספר ולא מתנתקים, למשל, הסוחטים משנים סיסמה ומשתלטים על הפרופיל של גוגל או פייסבוק".
או במילים אחרות, אם האקר צעיר נכנס למעבדת מחשבים בבית הספר, אחרי שהסתיים שיעור, הוא פשוט צריך לעבור בין המחשבים ולחפש דפדפנים שמתחברים אוטומטית לפרופילים ברשתות חברתיות. אם לא מתנתקים מהם, ניתן בכמה קליקים להגיע לכל התכתובת בפייסבוק או במייל, לכל התמונות השמורות בגוגל Photos ועוד אבל לרוב הסחיטה מסתיימת בנעילת החשבון ידנית והעברת הסיסמה החדשה תמורת הכופר.
מקרה אחד שדורון זוכר בבית ספר יסודי אירע לאחרונה. "בכיתה ה' מסוימת בבית ספר מסוים כל הבנות בכיתה ננעלו מחוץ לחשבונות פייסבוק וגוגל שלהן. כל אחת שילמה 60 שקלים", מספר סיון ואומר כי זה ממש לא מקרה בודד ומקרים דומים מתרחשים מאות פעמים בחודש ברחבי הארץ. הפגיעה הקשה ביותר היא באזורים שמחוברים יותר לטכנולוגיה, עם סטטוס סוציו-אקונומי גבוה יותר; בבתי ספר שלכל הילדים יד גישה למחשבים קל יותר לפגוע בהם וכנראה שגם תהיה להם גישה קלה יותר לכספי הכופר שהבריונים דורשים. "הילדים מבקשים מההורים כסף וההורים לא יודעים לאן הכסף הולך", אומר דורון ומבהיר שבמקרים רבים של סחיטה פונים דווקא לחברות אבטחה פרטיות ולא למשטרה, "למרות שהמשטרה עושה עבודה מעולה בסייבר. אנשים חושבים שהמשטרה מטפלת רק בפשיעה ישנה. אנשים נבוכים מזה אז החכמה היא לדרוש סכום קטן".
בתיכון זה נהיה גרוע יותר
"בקרב בני-נוער יש אמנם פחות מקרים אבל הם הרבה יותר קשים", מסביר סיון. "האקרים בתיכון גונבים מחבריהם מידע רפואי רגיש, מידע אישי, תמונות פרטיות וגם נועלים להם את הפרופילים (כמו במקרי הסחיטה ביסודי -א.ד)".
"ילדים בתיכון עושים קורסים מקצועיים ביוטיוב - הם האקרים לכל דבר", אומר סיון ומסביר כי הוא נתקל במקרים בהם נוזקה נשתלה במחשב של בית הספר ואז לתלמיד ההאקר למעשה יש גישה לכל הפרטים של מי שמשתמש במחשב או אפילו למי שמשתמש ברשת.
מקרה סחיטה אחד שדורון זוכר הוא של נערה שביקשה להיבחר לתפקיד מסוים (פרטיה צונזרו מחשש לפגיעה בפרטיותה) וחזרה בה בעקבות תמונות עירום שלה, שנחשפו בעקבות פריצה למחשבה הפרטי. היא קיבלה מייל מהתוקפים, ויתרה בלית ברירה על התפקיד אליו היא ניסתה להיבחר ומהבושה לא הלכה לדווח למשטרה על המקרה. במקרה אחר, שהוא נתקל בו, האקרים בתיכון נועלים מחשבים בתוכנת כופר לפני הגשה של עבודה גדולה ודורשים 500-800 שקלים תמורת המידע. "קל מאוד לייצר את תוכנות הכופר", מסביר דורון.
במקרה נוסף, שסיון נתקל בו, הסוחט גילה שאחד התלמידים בבית הספר מסתיר את זהותו המינית ואיים לחשוף שהוא הומוסקסואל. "במקרים אחרים הם משיגים תמונות פוגעניות והילדים משיגים את הכסף, גם כשמדובר במאות שקלים. אם מדובר באלפי שקלים, הם מנסים לפעמים לפנות למורים, אולם בדרך כלל הילד חושש ומסרב לשתף פעולה".
רק בחודש ינואר, סיון נתקל באופן אישי בכ-17 מקרים של סחיטה של בני נוער ולדבריו יש עוד עשרות מקרים כאלה מדי חודש, שמגיעים לחברות אבטחת מידע אחרות או לא מדווחים כלל. בחלק מהמקרים התלמידים משלמים במזומן כמה מאות שקלים ישירות לתוקף, בסוג של בריונות קלאסית אבל במקרים החמורים יותר, כשנדרש כופר של אלפי שקלים מהקורבן, "החבר'ה המתוחכמים דורשים כופר בביטקוין - מטבע דיגיטלי". לא ניתן לעקוב אחרי העברה של ביטקוין וכך האקר מתוחכם יכול להטיל את אימתו על תלמידים בעילום שם.
"443 של המשטרה עוזרים מאוד אבל אנשים נבוכים אז הם פונים לחברות סייבר פרטיות. אני לא יכול לתקוף חזרה את ההאקר אבל אני מנסה לאבטח את המידע ואז אנחנו שולחים מייל להאקר ומנסים לפתור את זה עד מידה מסוימת. אם אי אפשר אז פונים למשטרה", מבהיר סיון.
לדבריו, לפעמים התקיפה חמורה אבל לכאורה ללא קורבנות אז קשה יותר לעלות עליה: "התלמידים מורידים ממחשבי המורים או משרתי בית הספר מבחנים לפני מועד הבחינה והמורים לא מבינים בכלל שהם מותקפים".
ביחידת הסייבר של המשטרה אומרים כי הם מכירים את דפוס הפעולה הזה, בו מעורבים בני נוער צעירים. אולם במשטרה מציינים כי מבחינתם לא מדובר בתופעה, בין היתר בשל העובדה שלא מעט מהקורבנות מסרבים להתלונן במשטרה. למעט מקרים בודדים, של קורבנות שמתלוננים, רבים מעדיפים שלא לערב את המשטרה לעתים בלחץ ההורים שחוששים באופן שגוי שמעשי הסחיטה יובילו את ילדיהם לחדרי חקירות ולהחמרה במצבו של הילד שלהם ולפעולות חמורות יותר מצד ההאקרים.
איך הם עושים את זה?
"אם השארת איפשהו דפדפן פתוח בבית הספר, או שגלשת בצורה לא מאובטחת במחשב של בית ספר, אפשר דרך הזיכרון המטמון של המחשב, הקאש והקוקיז, להגיע לרשימת אתרים והסיסמאות שלהם. כל מי שגלש במחשב בבית הספר חשוף לפריצה אם הוא לא נקט באמצעי אבטחה, ולרוב תלמידים אינם מודעים לכך שעליהם למחוק את מה שנותר על המחשב מהגלישה שלהם ברשת. שיטה נוספת היא שימוש בתוכנות סניפר (Sniffer) חינמיות שאפשר להוריד מהרשת וללמוד כיצד להשתמש בהן במדריכים מקוונים. ניטור רשתות Wi-Fi בית ספריות, לדברי סיון, היא דרך פופולרית להאזין למידע שעובר ממכשירים של תלמידים ולחפש קורבנות שהפרטים שלהם זמינים. דרך שלישית היא פישינג מתוחכם של הוספת תוסף לדפדפן המנטר את המידע. כלומר, התלמיד מגיע לאתר שהוא רצה אבל על הדרך הוריד תוסף לכרום שמאותו רגע משדר לתוקף מה הוא עושה ולהיכן הוא גולש.
האשליה שמחשבי בית הספר מוגנים היא שמאפשרת להאקרים לנצל את תמימות חבריהם לספסל הלימודים. למעשה, מסביר דורון, בית הספר מקפיד רק להתקין תוכנות אנטי-וירוס ולדאוג שהתלמידים לא יפגעו מגורמים חיצוניים אבל "בית הספר צריך להיות מודע שהוא פלטפורמה לסחיטה. בית הספר לא מודע לזה שמנצלים את מעבדות המחשבים והרשת האלחוטית כדי לתקוף אחרים והם לא בודקים אם תלמיד אחד פוגע בתלמיד אחר. בית הספר צריך לאבטח את המחשבים וללמד את הילדים אבטחת מידע. אפשר לעבוד עם דפדפן אנונימי שלא שומר קוקיז ועוד. להגן על הילדים כשהם קטנים".
מקרים נוספים של ניצול תשתיות בית הספר על ידי תלמידים-האקרים ניתן לראות במתקפות DDos המבוצעות משרתי בית הספר או הספרייה. לדברי דורון, האקר שמשיג גישה לשרת של המוסד החינוכי שבו הוא לומד תוקף ארגונים רבים בעולם כשהארגון המותקף חושב שבית הספר תוקף אותו. "זה קורה המון", מסביר דורון, ומפנה אצבע מאשימה בעיקר לבתי הספר שלא פועלים להגן על התשתיות שלהם מבפנים.
"יש אפילו פגיעה גדולה יותר", אומר סיוון. "במקרים רבים תוקפים את הילדים כדי להגיע להורים. אם האבא הוא מנכ"ל של חברה גדולה הוא כנראה מתחבר מהבית למשרד דרך ה-Wi-Fi. אם אני מנטר את המחשב של הילד אני יכול להשתלט על המחשב של האבא ומשם עובר לרשת של העבודה".
מה אפשר לעשות?
לדברי סיון, בתי-הספר צריכים להקשיח את מדיניות הגלישה מתוך בית הספר. המטרה טובה - לחשוף את הילד לטכנולוגיה - אבל התשתיות מנוצלות לרעה ואם בתי ספר היו מאתחלים את המחשבים בסוף כל שיעור, ומשתמשים בדפדפנים אנונימיים, המידע האישי לא היה נשמר והפריצות הקלות יותר היו נמנעות. כמובן שגם התלמידים צריכים לקחת אחריות ולזכור לעדכן סיסמאות מדי פעם, לא להשתמש באותה הסיסמה לכל השירותים וחשוב גם להיות מודעים לכל נושא הפישינג - לא להקליק על לינקים חשודים, לא להיכנס לאתרים עם כתובת חשודה וכמובן לא להוריד אף קובץ שנשלח במייל או בתוכנת מסרים למחשב או לסמארטפון.
אבל הכי חשוב - מומלץ להורים להיות מעורבים יותר בחיי ילדיהם ולהבין כיצד הם מתנהלים במרחב המקוון. יום האינטרנט הבטוח, שחל היום (שני), הוא הזדמנות מעולה להזכיר לכולנו שאבטחת מידע היא אמנם מציקה כשצריך להקליד סיסמאות ולהקפיד להחליף אותן, אבל כשהמידע שלנו הופך לנחלת הכלל, או נגנב מאיתנו ומוצפן, ההתמודדות הופכת להיות הרבה יותר קשה.
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.
אבי אשכנזי סייע בהכנת הכתבה.