יחידת הסייבר (Cyber Division) של ה-FBI (הלשכה הפדרלית לחקירות) היא אגף ייעודי בתוך הארגון, האחראי על הובלת המאמץ הלאומי של ארה”ב בתחום אכיפת החוק נגד פשיעה וטרור במרחב הקיברנטי. היחידה הוקמה בשנת 2002 במסגרת רה-ארגון פנימי שנועד לתת מענה לעלייה המשמעותית באיומי סייבר על ביטחון לאומי ושלום הציבור. ה-Cyber Division מרכז תחתיו את כל חקירות הסייבר המרכזיות של ה-FBI, לרבות פשיעה מקוונת, ריגול וסייבר-טרור, תוך שימוש באמצעים טכנולוגיים מתקדמים ובמומחי חקירה דיגיטלית. היחידה אחראית על חקירות חדירות למערכות מחשב, התקפות סייבר מצד מדינות וגורמי טרור, הונאות אינטרנט מתוחכמות, גניבת זהות ומידע, ופשעים חמורים אחרים המתבצעים באמצעות רשתות מחשבים.
ל-Cyber Division יש סמל רשמי הכולל נשר ודימוי כדור הארץ מחובר למעגלים אלקטרוניים, לצד המוטו “Identify, Pursue, Defeat” (“זהה, רדוף, הכרעת היריב”), המשקף את משימת היחידה: זיהוי התוקפים, רדיפתם עד למיצוי הדין, ונטרול איומי הסייבר על ארה”ב. היחידה פועלת במטה ה-FBI בוושינגטון די.סי. (בניין ג’יי אדגר הובר), והיא חלק מזרוע רחבה יותר בארגון הנקראת “ענף הפשע, הסייבר, התגובה והשירותים” (Criminal, Cyber, Response, and Services Branch), לצד יחידות נוספות. במסגרת זו, ה-Cyber Division משתפת פעולה באופן הדוק עם יחידות אכיפת חוק אחרות וקהילת המודיעין האמריקאית כדי לתת מענה כולל לאיומי סייבר מורכבים.
רקע היסטורי והקמת היחידה
ראשית האכיפה הפדרלית בתחום הסייבר
עוד לפני הקמת ה-Cyber Division, עסק ה-FBI באכיפת חוק בתחומי עבירות המחשב כבר משנות ה-80 וה-90 של המאה ה-20. עם התפתחות המחשוב האישי והאינטרנט, הופיעו עבירות חדשות כמו פריצות למחשבים, וירוסים והונאות מקוונות. בתחילה טופלו עבירות אלה ביחידות הצווארון הלבן או במסגרת חקירות הונאה, אך עם הזמן הובן שיש צורך בהתמחות ייעודית. כבר בשנת 1991 הוקמה ב-FBI יחידת תגובה וניתוח מחשבים (CART, Computer Analysis and Response Team) לשם סיוע בחקירת פשעים באמצעות ניתוח מחשבים וראיות דיגיטליות. בהמשך, לקראת סוף שנות ה-90, הקים ה-FBI את המרכז הלאומי להגנת תשתיות (NIPC, National Infrastructure Protection Center), גוף רב-סוכנויות שישב במטה ה-FBI ונועד להגן על תשתיות קריטיות מהתקפות סייבר ולחקור חדירות למערכות מחשוב של משרדי ממשל ותשתיות (למשל בתחומי חשמל, מים ותקשורת). NIPC, שהוקם בשנת 1998, שילב כוחות של ה-FBI עם נציגי סוכנויות כמו ה-Secret Service, ה-CIA ומשרדים ממשלתיים נוספים, ושימש כחלוץ במאבק בהאקרים ואיומים על מערכות חיוניות.
אירועי סוף שנות ה-90 ותחילת שנות ה-2000 העצימו את תחושת הדחיפות סביב איום הסייבר. בשנת 2000 אירעה המתקפה הידועה בשם Love Bug (וירוס “ILOVEYOU”) שגרמה נזק עולמי, ובארה”ב נחקרה על-ידי ה-FBI כמקרה בולט של פשע סייבר בינלאומי. באותה שנה גם הוקם מרכז קבלת התלונות לעבירות אינטרנט, IC3 (Internet Crime Complaint Center), כמיזם משותף ל-FBI ולמרכז הלאומי לפשיעה כלכלית (NW3C). ה-IC3 איפשר לציבור ולחברות לדווח מקוונת על הונאות ופשעי מחשב, והפך לכלי מרכזי באיסוף מודיעין על מגמות הפשיעה הקיברנטית. כבר בשנת 2002 קיבל ה-IC3 (שנקרא אז IFCC) כ-75,000 תלונות בשנה על פשעים מקוונים, נתון שהמחיש את היקף התופעה והצורך בהגברת מאמצי האכיפה.
הקמת ה-Cyber Division לאחר 11 בספטמבר 2001
לאחר פיגועי 11 בספטמבר 2001, עבר ה-FBI רה-ארגון מקיף כדי להתמודד עם איומי הטרור והבטחון הלאומי של המאה ה-21. אחד השינויים העיקריים היה מיקוד מוגבר באיומי סייבר, מתוך הבנה שטרוריסטים ומדינות יריבות עלולים להשתמש במרחב הקיברנטי לתקיפה ולהשגת מודיעין. ביולי 2002 הכריז ה-FBI על הקמתה של יחידת Cyber Division כיחידה עצמאית חדשה במטה, שתרכז את כלל חקירות הפשיעה המקוונת והסייבר-טרור תחת קורת גג אחת.
הקמת ה-Cyber Division נועדה “לטפל בפשעי סייבר באופן מתואם ויעיל” ולשלב את המומחיות הטכנית של הסוכנות בחקירות אלה במקום אחד. האחריות החדשה של היחידה כללה טיפול בטרור קיברנטי, ריגול תעשייתי ומדינתי דרך האינטרנט, פריצות וחדירות למערכות מחשב והונאות מחשב גדולות. הוגדרה מטרה לשלב יכולות מודיעיניות בחקירות, כלומר לא רק לחקור לאחר אירוע, אלא גם לאסוף מודיעין מקדים על כוונות תוקפים ולהתריע על מגמות. כפי שה-FBI ציין: “אנו מיישמים את רמת המומחיות הטכנית והחקירתית הגבוהה ביותר” כדי להיאבק באיומי הסייבר, והחל מ-2002 רוכזו חקירות בעלות זיקה סייברית תחת קורת גג אחת, לשיפור התיאום והיעילות.
באותה עת, ה-FBI גם החל ביצירת צוותי סייבר מיוחדים ב-56 משרדי השדה (Field Offices) של הארגון ברחבי ארה”ב. בכל משרד שדה הוקמו יחידות סייבר המונות סוכנים ואנליסטים מאומנים, שתפקידם “להגן מפני חדירות, גניבת קניין רוחני ומידע אישי, פורנוגרפיית ילדים והונאות אינטרנט” בקהילות המקומיות. בנוסף, כבר בראשית הפעילות הוקמו “צוותי פעולה קיברנטיים” (Cyber Action Teams, CAT) הנכונים לנסוע לכל מקום בעולם כדי לסייע בחקירות חדירות מחשב חמורות. צעד זה שיקף את ההבנה שאיומי סייבר אינם מוגבלים לאזור גאוגרפי, וה-FBI רצה יכולת תגובה מהירה גלובלית.
התפתחות היחידה ותרבות הסייבר ב-FBI לאורך השנים
מאז הקמתה ב-2002, הלכה ה-Cyber Division והתפתחה על רקע שינויים טכנולוגיים מואצים. באמצע שנות ה-2000, עם העלייה החדה בהתקפות על מערכות ממשלתיות ועסקיות כאחד, ה-FBI חיזק עוד את היחידה. בשנת 2005 הוקם במסגרת ה-Cyber Division צוות ה-CAT (Cyber Action Team) באופן רשמי, כדי לתת מענה לגידול בכמות ובמורכבות חקירות החדירה (Intrusions) שהגיעו למשרדי השדה. לא כל משרד מקומי החזיק אז די מומחיות להתמודד עם מתקפות סייבר מורכבות, והצוות הנודד מילא את החסר, סוכני CAT המנוסים היו נשלחים לחקור זירות אירוע דיגיטליות קשות, בין אם בעיר קטנה בארה”ב ובין אם במדינה זרה, כדי לסייע בזיהוי התוקפים ושיטות הפעולה.
באותן שנים, ה-FBI גם המשיך לחזק שותפויות. בשנת 2008, הוקם באופן רשמי ה-NCIJTF (National Cyber Investigative Joint Task Force), מרכז משולב לחקירות סייבר לאומיות, המנוהל על ידי ה-FBI ומשמש פלטפורמת שיתוף פעולה עם למעלה מ-30 סוכנויות אכיפה ומודיעין אמריקאיות. ה-NCIJTF הפך לגוף המרכזי לתיאום חקירות ומבצעי סייבר אמריקאים, ובו משתתפים נציגים מגופים כמו ה-CIA, ה-NSA, מחלקת ההגנה, מחלקת ביטחון המולדת (DHS) ועוד. שיתוף הפעולה ההדוק הזה נולד מתוך הכרה שכל סוכנות מביאה יכולות ייחודיות, ה-FBI עם סמכויות אכיפה פליליות, ה-NSA עם יכולות מודיעין אותות, ה-CIA עם מודיעין חוץ, ו-DHS בתחום הגנת התשתיות, ושיחד ניתן לצייר תמונה שלמה של איום ולתאם תגובה. ה-NCIJTF זכה למעמד רשמי ב-2008 כחלק מיוזמת Comprehensive National Cybersecurity Initiative של הבית הלבן, והוגדר כנקודת מוקד לאומית לחקירות איומי סייבר.
במהלך שנות ה-2010, גדל מאוד היקף הפעילות. ה-FBI הפנה משאבים נוספים ל-Cyber Division נוכח התקפות בולטות, כגון גל מתקפות כופרה (Ransomware) על בתי חולים וגופים ציבוריים, פריצות למערכות של חברות ענק (לדוגמה פריצת Sony Pictures בשנת 2014 שיוחסה לצפון קוריאה, וגניבת מידע עצומה מחברת Equifax ב-2017 שיוחסה לסין). היקף האיומים אילץ מעבר מתפיסה של “חקירה לאחר אירוע” לתפיסה פרו-אקטיבית יותר: “זיהוי, שיבוש והרתעה” של פשיעת סייבר לפני שתגרום נזק נרחב. בשנת 2016 נשיא ארה”ב אז, ברק אובמה, חתם על הנחיה נשיאותית מספר 41 (Presidential Policy Directive 41) בנושא תיאום תגובת הממשלה לאירועי סייבר. בהנחיה זו נקבע כי ה-FBI הוא הסוכנות המובילה בתחום התגובה לאיומי סייבר (threat response), במקביל לכך שמחלקת ביטחון המולדת מובילה בתחום הגנת התשתיות (asset response). כלומר, במקרה של מתקפת סייבר משמעותית, ה-FBI אחראי להיבטי החקירה, ייחוס התוקפים ופעולות אכיפה נגדם, בעוד DHS/סוכנויות אחרות מסייעות לקורבנות לשקם את מערכותיהם.
כחלק מהיערכות זו, הוקמו “תאי מיקוד איום” (TFC, Threat Focus Cells) בתוך ה-Cyber Division, המשלבים מומחי תוכן מה-FBI ומסוכנויות שותפות כדי להתעמק כל אחד באיום סייבר ספציפי (למשל תא שמוקדש לאיום הכופרה, תא אחר לאיומי ריגול סיני וכו’). התאים גמישים בהרכבם ומשנים מיקוד לפי התפתחות האיומים, ופעולתם מבוססת מודיעין עדכני.
ה-Cyber Division גם שם דגש על פיתוח כח-אדם מיומן. כבר מ-2002 החל ה-FBI תוכנית הכשרה ייעודית לסוכני סייבר, תוך אפשרות לנתב סוכנים בעלי ידע מוקדם בקוד/רשתות למסלולים מואצים. במשך השנים, הוקמו מעבדות לרפואה דיגיטלית (RCFL, Regional Computer Forensic Labs) אזוריות לשימור וניתוח ראיות דיגיטליות, המשרתות הן את ה-FBI והן את רשויות החוק המקומיות. בנוסף, היחידה מטפחת “האקרים אתיים”, סוכנים ואנליסטים בעלי כישורי פריצה וניתוח קוד, כדי שיוכלו להתמודד עם עברייני סייבר בזירה הטכנולוגית שלהם.
ההווה: Cyber Division בעשור השלישי של המאה ה-21
כיום (נכון ל-2025), יחידת ה-Cyber Division ניצבת בחזית המאבק בפשיעה קיברנטית עם ניסיון של למעלה משני עשורים. בראש היחידה עומד עוזר המנהל (Assistant Director) בריאן א. וורנדרן (Bryan A. Vorndran) שמונה לתפקיד במרץ 2021. וורנדרן ואנשי צוותו מנהלים ארגון גדל: לפי עדות בקונגרס מ-2022, ה-FBI מעסיק מעל 1,000 אנשי סייבר (סוכנים, אנליסטים וצוות טכני) ברחבי המדינה. מתוך אלו, יותר מ-800 סוכנים מיומנים בתחום הסייבר מפוזרים ב-56 משרדי השדה ו-350 משרדי משנה ברחבי ארה”ב. משמעות נתון זה היא שכמעט בכל עיר מרכזית ישנם סוכני FBI עם הכשרה להתמודד עם אירוע סייבר, וה-FBI יכול להציב תוך זמן קצר צוות תגובה בכל מקום בארה”ב. מעבר לכך, באמצעות רשת הנציגים בחו”ל (Legal Attachés), ניתן להציב סוכן FBI על סף כל דלת בכ-70 מדינות תוך יום אחד כדי לסייע בחקירה בעלת זיקה בינלאומית. אין שום ארגון אכיפה אחר בעולם עם פריסה גלובלית כזו, דבר המדגים את עוצמתו וייחודו של ה-FBI במרחב זה.
היחידה כיום מחולקת למספר ענפי משנה (Branches) מרכזיים:
- ענף מבצעי הסייבר (Cyber Operations Branch), אחראי על ניהול החקירות בפועל (לרבות ניהול צוותי השדה, ה-CAT והפעולות הגלובליות).
- ענף המדיניות, המודיעין ושיתוף הפעולה (Cyber Policy, Intelligence, and Engagement Branch), מתמקד בפיתוח מדיניות סייבר אסטרטגית, ניתוח מודיעין איומי סייבר ושיתופי פעולה עם גורמי ממשל, תעשייה ושותפים בינלאומיים.
- ענף היכולות הקיברנטיות (Cyber Capabilities Branch), אמון על פיתוח הכלים הטכניים, בניית היכולות המבצעיות (כגון כלי תקיפה והגנה דיגיטליים) והכשרת כוח האדם, כדי להבטיח שה-FBI יעמוד בחזית הטכנולוגיה.
מבנה זה נועד לתת מענה מקיף: מהכשרה וכלים (Capabilities), דרך הבנה אסטרטגית וקשרים (Intelligence & Engagement), ועד ביצוע החקירות והמבצעים עצמם (Operations). על שלושת הענפים מנצחים מספר סגני עוזר המנהל (Deputy Assistant Directors), ולצד בראש הפירמידה עומד עוזר המנהל (AD) של היחידה, בכפיפות ישירה לראש הענף המשולב (EAD של Criminal, Cyber, Response & Services Branch).
עם התעצמות איומי הסייבר הגלובליים, ה-Cyber Division של היום מדגיש אסטרטגיה התקפית: ה-FBI הצהיר שמטרתו היא להטיל סיכונים ותוצאות על יריבים קיברנטיים ולהרתיע אותם. אסטרטגיה זו, שהוכרזה רשמית בספטמבר 2020 על-ידי מנהל ה-FBI כריסטופר ריי, מתמקדת בניצול הסמכויות הייחודיות, היכולות ברמה עולמית, והשותפויות ארוכות-הטווח של ה-FBI כדי להפוך את הפעילות ההתקפית של פושעי ומדינות הסייבר ליקרה ומסוכנת עבורם. הדבר בא לידי ביטוי בתיאום פעולות אכיפה בינלאומיות מתוזמנות (כפי שיורחב להלן), בהגשת כתבי אישום פומביים נגד האקרים זרים (מדיניות “Name and Shame”), ובהרחבת שיתופי המידע עם קורבנות ועם המגזר הפרטי כדי לצמצם פגיעות.
ה-Cyber Division של ה-FBI צמחה מצוות קטן בראשית שנות האלפיים לאחד הגופים המובילים בעולם בחקירות סייבר. היא משלבת מומחי טכנולוגיה, אנליסטים וסוכנים מנוסים, תוך למידה מתמדת מאינספור מקרים שנחקרו לאורך השנים. היחידה עברה מאסטרטגיית “תגובה בלבד” לאסטרטגיה פרואקטיבית והתקפית, והפכה לגורם מרכזי בהרתעה ובמאבק בפשיעת הסייבר הגלובלית.
תחומי אחריות וסמכויות היחידה
אחריות ליבה של ה-FBI בתחום הסייבר
ה-FBI, באמצעות ה-Cyber Division, הוא הסוכנות הפדרלית המובילה בארה”ב לחקירת התקפות סייבר שמבוצעות על-ידי עבריינים, מדינות יריבות וארגוני טרור. תחום האחריות הוא רחב מאוד, וכולל הן חקירת עבירות פליליות במרחב המקוון (כגון הונאות אינטרנט, גניבת זהות, חדירה לא חוקית למחשבים, הפצת תוכנות זדוניות, סחיטה מקוונת וכדומה) והן התמודדות עם איומי סייבר על הביטחון הלאומי (כגון מתקפות סייבר בחסות מדינות, ריגול קיברנטי וטרור סייבר).
באופן מעשי, בכל פעם שמתרחש בארה”ב אירוע של פריצה או תקיפה על רשת מחשבים, בין אם זו פריצה למאגרי מידע של חברה גדולה, התקפת כופרה המשביתה עיר שלמה, או חדירה למערכת של גוף ממשלתי, ה-FBI הוא הגוף הפדרלי שיגיע לחקור, לאסוף ראיות, ולנסות להביא את האחראים לדין. הסמכות החוקית של ה-FBI במקרים אלו נובעת מחוקי הפדרל האמריקאיים, ובעיקר מTitle 18 of the U.S. Code הכולל שורה של עבירות המתאימות למעשי סייבר שונים. בין הבולטים:
- חוק הונאות המחשב וההתעללות במחשב (Computer Fraud and Abuse Act, 18 USC §1030), זהו החוק הפדרלי המרכזי נגד פריצה וחדירה לא חוקית למחשבים. הוא אוסר על גישה בלתי מורשית ל”Computer Protected” (מחשב מוגן, כהגדרתו, כולל מחשב בשימוש מוסד פיננסי או חברה שפועלת בין-מדינות), על גרימת נזק באמצעות וירוסים/תולעים, גניבת מידע ממחשבים פדרליים או המשמשים מסחר בין-מדינתי, ועוד. העונשים תחת חוק זה יכולים להגיע לעד 10 שנות מאסר (ואף יותר, למשל עד 20 שנה אם העבירה סיכנה חיי אדם או קשורה לריגול זר).
- הונאת תקשורת (Wire Fraud, 18 USC §1343), שימוש באינטרנט או באמצעי תקשורת אלקטרוניים כדי להונות (למשל הונאות “פישינג” או “עוקץ ניגרי” בדוא”ל) הוא עבירה פלילית שדינה עד 20 שנה בכלא (ועד 30 שנה אם מערב מוסד פיננסי). רוב ההונאות המקוונות הרחבות מטופלות תחת סעיף זה.
- גניבת זהות והונאת מכשירי גישה (Identity Theft & Access Device Fraud, 18 USC §1028, §1029), חוקים אלו משמשים במקרים של גניבת מספרי כרטיסי אשראי, חשבונות, או התחזות ברשת. למשל הפעלת אתר “דיוג” לגניבת סיסמאות בנק, ה-FBI יחקור ויחיל סעיפים אלה. גניבת זהות חמורה (Aggravated Identity Theft) אף מחייבת עונש מינימום של שנתיים מאסר בנוסף לכל עונש אחר.
- עבירות נוספות: שימוש לא חוקי בכרטיסי אשראי, הפצת פורנוגרפיית קטינים (שגם נחשבת “פשע סייבר” כשזה קורה ברשת, וה-FBI מטפל בזה עם יחידת עבירות ילדים), הפצת תוכנות זדוניות (Malware) וסוסים טרויאנים לצורך הונאה או שיתוק מערכות, סחיטה באיומי מתקפת סייבר (שמשלב סעיפי איומים וסחיטה, כגון 18 USC §875(c), איום להעביר מסר פוגעני), ועוד.
הסמכות של ה-FBI בחקירת עבירות אלה היא כלל-ארצית (בניגוד למשטרות מדינתיות המוגבלות למדינה שלהן). למעשה, מרבית פשעי הסייבר נחשבים לפדרליים משום שהם מערבים רשתות בינלאומיות/בין-מדינתיות. גם אם התוקף והקורבן באותה מדינה, שימוש באינטרנט בדרך כלל מהווה “כלי בינערוני” המאפשר לפדרלים (FBI/Secret Service) לקחת סמכות.
בנוסף לפן הפלילי, ה-FBI מממש סמכויות גם בתחומי ביטחון לאומי: כאשר מדובר בהתקפה קיברנטית של מדינה או סוכניה, או ארגון טרור, ה-FBI (כגוף אכיפת חוק) חוקר כדי לאסוף ראיות ולהביא להעמדה לדין, אך הוא פועל יחד עם גורמי מודיעין. יש לו סמכויות חקירה על פי חוקי ביטחון (למשל, יכול לפנות לבית המשפט המיוחד לפי חוק המודיעין הזר FISA כדי לקבל צו מעקב אלקטרוני על סוכן זר שמעורב בהתקפת סייבר).
גבולות הסמכות, מה ה-FBI לא עושה בסייבר
חשוב להדגיש גם מה לא נמצא בסמכות ה-FBI בתחום הסייבר, כדי להבין את תחומי האחריות:
- ה-FBI אינו גוף הגנתי טהור: כלומר, הוא לא אחראי ישירות על אבטחת הרשתות והתשתיות הקריטיות של ארה”ב (זוהי אחריות מחלקת ביטחון המולדת, ובעיקר הסוכנות לאבטחת סייבר ותשתיות, CISA, וכן סוכנויות סקטוריאליות). ה-FBI לא יושב לנהל חומות אש עבור חברות או סוכנויות אזרחיות, הוא נכנס לפעולה כאשר אירוע מתרחש (או מתגלה תוכנית לפשע סייבר) כחלק ממילוי תפקידו כגורם חקירה ואכיפה.
- ה-FBI אינו ארגון צבאי או מודיעיני מחוץ לארה”ב: הוא לא מבצע מבצעי סייבר התקפיים נגד מדינות בחו”ל כמו שייתכן שזרועות אחרות (למשל פיקוד הסייבר של הפנטגון, NSA) יעשו. ל-FBI יש אמנם סמכויות חקירה גם מחוץ לגבולות (באמצעות שיתופי פעולה ומשרדי נספחים), אבל הוא כפוף למגבלות החוק האמריקאי והבינלאומי; הוא לא “תוקף” שרתים במדינה זרה ללא שיתוף פעולה או לפחות בסיס משפטי (למשל, צו בית משפט אמריקאי שמאשר השתלטות על דומיינים זדוניים).
- ה-FBI אינו תובע או שופט: תפקידו הוא חקירתי. לאחר חקירת מקרה סייבר והשלמת תיק ראיות, הוא יעביר לפרקליטות (מחלקת המשפטים, DOJ) להחלטה על הגשת כתב אישום פדרלי. כלומר, הוא לא קובע אשמה סופית ולא גוזר עונשים, זה תפקיד בתי המשפט. אבל ברור שבשלב החקירה, ל-FBI יש השפעה אדירה, והוכחות שיאסוף ישמשו במשפט.
- ה-FBI לא מטפל בעניינים אזרחיים או הפרות חוזה/רגולציה טכנולוגית: למשל, דליפת מידע עקב רשלנות אינה עבירה פלילית כשלעצמה (אלא אם יש חוק מיוחד שהופר). תפקידו אינו אכיפת רגולציית פרטיות או תקני אבטחת מידע, אלו תחומים אזרחיים/מנהלתיים. הוא כן עשוי לסייע אם מתגלים פשעים תוך כדי (כמו עובד חברה שגנב מידע).
- ה-FBI לא מטפל בעבירות סייבר זעירות ברמת מדינה/עיר כאשר אין היבט בין-מדינתי: לדוגמה, סכסוך בין שני אנשים מקומית שכולל השתלטות על חשבון פייסבוק, זה עשוי להיחקר ע”י משטרה מקומית כעבירה (אם בכלל), ולאו דווקא ע”י ה-FBI. אך במציאות, כמעט כל שימוש לרעה באינטרנט מקושר לכמה מדינות, ולכן לרוב ה-FBI יוכל להתערב אם רוצים.
שיקולים משפטיים ומגבלות בחקירות סייבר
חקירות סייבר של ה-FBI כפופות לאותם עקרונות חוקתיים של כל חקירה פלילית אחרת, בתוספת אתגרים יחודיים:
- כדי לבצע חיפוש ותפיסת מחשבים או נתונים, ה-FBI נדרש לצו חיפוש מבית משפט פדרלי (אלא אם כן בעל המחשב נותן הסכמה או שיש סיבה דחופה מאוד כמו מניעת סכנה מיידית לחיים). למשל, כדי לפרוץ לתוך מחשב של חשוד מרחוק ולהפעיל בו “כלי חקירה רשתית” (Network Investigative Technique), חייבים לקבל אישור שופט. אכן, היו מקרים בהם ה-FBI קיבל צווי בית משפט להתקין תוכנה במחשבי חשודים דרך האינטרנט כדי לגלות את מיקומם, אבל כל זה נעשה תחת פיקוח משפטי.
- כאשר מדובר במעקב אלקטרוני (כגון ציתות לתקשורת אינטרנט, איכון סלולרי, או מעקב אחר תוכן דוא”ל), ה-FBI חייב לעמוד בדרישות חוק ה-ECPA (Electronic Communications Privacy Act) ותקנות ה-FISA אם רלוונטי. למשל, לקבל צו האזנה (Title III warrant) לתפיסת תוכן של תקשורת ברשת, בדומה להאזנת טלפון.
- בחקירות סייבר בינלאומיות, ה-FBI כפוף להסכמים בינלאומיים: אם צריך ראיות משרת במדינה אחרת, לא ניתן פשוט לקחת, יש לפנות דרך אמנת סיוע משפטי (MLAT) או בקשת סיוע מנקודת הקשר 24/7 של אותה מדינה. לעיתים, חוקרי FBI יתלוו לפשיטה במדינה זרה אך לא יוכלו בעצמם לתפוס מחשב, זה יעשה על ידי המשטרה המקומית.
חשוב לציין שבתחום הסייבר יש לעיתים טשטוש בין אכיפה למודיעין. ה-FBI הוא גוף אכיפה, אך חלק מתפקידיו (בעיקר דרך ה-Cyber Division) חופפים לעולם המודיעין: איסוף מידע מודיעיני על פצחנים, מעקב סייבר חשאי אחר חוליות האקרים זרות, וכו’. אולם, ה-FBI תמיד יפעל במסגרת חוקית, למשל שימוש במידע שמקורו ב-NSA (שיכולה לסייע בכפוף לחוק בהעברת מודיעין על זרים) מצריך עמידה בנהלים מיוחדים.
עוד מגבלה היא עניין הריבונות הזרה: ה-FBI יכול להוציא צו אמריקאי להשתלטות על שם מתחם (Domain) ששימש לפשע, אך אם השרת הפיזי במדינה אחרת, צריך שיתוף פעולה. במקרים מסוימים ה-FBI פועל במרחב הווירטואלי באופן יצירתי: לדוגמה, היה אירוע שבו ה-FBI קיבל אישור מבית משפט אמריקאי להחליף תוכנה זדונית בשרתים נגועים בכל העולם (מבלי “לדרוך” פיזית בכל מדינה) כדי לנטרל איום, זה בוצע בתיאום עם גורמי אכיפה בינ”ל, אבל מראה את הגבול הנדחק של הסמכות.
לסיכום, ה-Cyber Division נושאת באחריות כבדה: להגן על הציבור, העסקים ומוסדות הממשל מפני פשיעה ברשת, תוך שמירה על שלטון החוק. כפי שניסח זאת מנהל ה-FBI לשעבר ג’יימס קומי: “ה-FBI ימצא את העומדים מאחורי חדירות סייבר וייתן להם דין וחשבון, לא משנה היכן יהיו, ומי שיהיו”. עם זאת, הפעולות תמיד ייעשו במסגרת החוק, ובשיתוף כלל המערכת, תובעים, שופטים, ושותפים בינלאומיים, כדי להבטיח שגם במרחב חסר גבולות כמו האינטרנט, שלטון החוק ייאכף כראוי.
טכנולוגיות מתקדמות וטכניקות חקירה דיגיטליות
חקירות הסייבר שמנהלת יחידת ה-Cyber Division הן מהמורכבות בעולם, ודורשות שימוש מושכל במגוון טכנולוגיות חדישות וטכניקות פורנזיות מתקדמות. להלן סקירה של כמה מהכלים והשיטות העיקריים שבהם נעשה שימוש במסגרת החקירות הדיגיטליות של ה-FBI:
זירת הפשע הדיגיטלית ו-Intrusion Forensics (פורנזיקה של חדירות)
כאשר ארגון או אדם מדווחים על חדירה (Intrusion) למערכות מחשב, למשל, סימנים לכך שגורם בלתי מורשה חדר לרשת החברה, ה-FBI מפעיל צוותי מומחים כדי לנתח לעומק את “זירת הפשע הדיגיטלית”. פורנזיקת חדירות היא אמנות פירוק האירוע הדיגיטלי לגורמיו: חוקרי הסייבר אוספים לוגים (יומני מערכת) משרתי הרשת, קובצי זיכרון (RAM dumps), תצלומי מצב (Images) של כוננים קשיחים, ותנועות ברשת (Traffic captures) אם זמינות. לאחר איסוף החומרים, נעשה ניתוח מוכוון:
- ניתוח לוגים ונתוני רשת, מאתר נקודות בזמן שבהן התבצעה פעילות חשודה (למשל ניסיונות כניסה כושלים רבים ואחריהם כניסה מוצלחת; או תעבורה מוצפנת גדולה היוצאת לשרת זר).
- שחזור ציר זמן (Timeline), יצירת ציר כרונולוגי של פעולות התוקף: מתי חדר, אילו פקודות הריץ, אילו קבצים לקח או שינה. כלי פורנזי ייעודי ושיטות כמו “ניתוח מטא-נתונים” עוזרים לשחזר פעולות גם אם התוקף ניסה למחוק עקבות.
- ניתוח נתוני זיכרון (Memory forensics), במקרים רבים, מלוא טביעות האצבע של הנוזקה והתוקף נמצאות בזיכרון הפנימי (RAM) של השרת שהותקף, ולא בהכרח על הדיסק. מומחי ה-FBI משתמשים בכלים כגון Volatility ו-Redline כדי לחלץ מידע מזיכרון: אילו תהליכים רצו, אילו חיבורים פתוחים היו, ואפילו מה היתה התקשורת המוצפנת לאחר פענוח במידה והמפתחות בזיכרון.
- שימור chain of custody, לוודא שכל הנתונים שנאספו הם קבילים בבית משפט: נעשית “העתק-סטרילי” (Imaging) של כוננים, ויודגש כל העת תיעוד מי נגע בראיות, כדי שההגנה לא תטען לזיהום הראיה.
בחקירות אלה, ה-FBI מפעיל מעבדות פורנזיות דיגיטליות מתקדמות. אחת הדוגמאות היא צוות “המעבדה לפורנזיקה דיגיטלית מתקדמת” (Advanced Digital Forensics Team, ADF) הפועל תחת ה-Cyber Division. צוות ADF מורכב ממהנדסי Reverse Engineering (הנדסת-לאחור של קוד זדוני) ואנליסטי חדירות ברמה גבוהה. כאשר חקירה מסוימת דורשת ניתוח תוכנה זדונית מורכבת במיוחד או הבנה עמוקה של פעולות ההאקר, צוות ה-ADF נכנס לפעולה. לעיתים, הוא פועל מרחוק בזמן שצוות השטח (כגון ה-CAT, ראה להלן) מצוי באתר הקורבן. למשל, כאשר צוות ה-FBI אוסף נתונים מזירת אירוע, ה-ADF במקביל מקבל בזמן-אמת עותקים של הנתונים למרכז הניתוח, ושם חברי הצוות מנטרים את הממצאים, מפענחים חלקי קוד חשוד, ונותנים משוב לצוות בשטח. במילים אחרות, אפילו אם באתר הנתקף נוכחים רק 2-3 סוכני FBI, מאחוריהם יכול לעמוד צוות גדול של מומחים המציץ בכל ממצא באופן מיידי.
ניתוח נוזקות (Malware Analysis)
מרכיב קריטי כמעט בכל חקירת סייבר גדולה הוא ניתוח הנוזקה שבה השתמשו התוקפים. נוזקה (Malware) יכולה להיות וירוס, תולעת, סוס טרויאני, כופרה, רוגלה או כל תוכנה עוינת אחרת. מטרת ניתוח הנוזקה היא כפולה:
- להבין כיצד היא פועלת, מה היא עושה למחשב הנתקף, איזה מידע היא גונבת או מצפינה, כיצד היא מתקשרת החוצה.
- לזהות מי יצר אותה או השתמש בה, לעיתים קוד מכיל רמזים (כמו שמות קבצים בשפה מסוימת, חתימות ייחודיות) המובילים לקבוצת תקיפה ידועה.
ב-FBI פועלת מעבדת ניתוח נוזקות מתקדמת, וצוותים כמו ה-ADF הנ”ל עוסקים בכך יומם ולילה. התהליך כולל:
- הנדסה לאחור (Reverse Engineering), מפעילים דיאסמבלרים וכלי ניתוח (IDA Pro, Ghidra וכו’) כדי לפרק את הקוד הבינארי של הנוזקה ולזהות את הלוגיקה שלה. אם הנוזקה מצופנת או “מואפלת” (Obfuscated), יש צורך בשיטות מתקדמות להסרת ההגנות שלה.
- הרצה בסביבה מבוקרת (Sandboxing), מפעילים את הנוזקה בסביבת מעבדה מבודדת (למשל מכונה וירטואלית שאינה מחוברת לרשת או מחוברת דרך סימולציה) וצופים מה היא עושה: לאילו כתובות IP היא מנסה להתחבר, אילו קבצים היא משנה, וכו’. ה-FBI מפעיל חוות של “ארגזי חול” כאלו כדי לתעד את התנהגות הנוזקה.
- ניתוח דינמי וקסטומיזציה, בחלק מהמקרים, הנוזקה מתוחכמת ולא תראה התנהגות בלי “trigger” מסוים (למשל דורשת קלט סיסמה או שתגיע תאריך מסוים). אנליסטים יתאימו את הסביבה (יזינו קלט, ישנו שעון מערכת) כדי להפעיל את כל רכיביה.
- שיתוף ממצאים, לעיתים קרובות, ה-FBI משתף Hashes (חתימות קריפטוגרפיות של הקובץ הנגוע) ו-Indicators of Compromise (IoCs) אחרים עם גופים רלוונטיים (כגון CISA, חברות אבטחה ושותפים בינלאומיים) כדי שאחרים יוכלו גם לאתר את הנוזקה אצלם. ה-FBI גם משתמש במאגרי מידע מודיעיניים, למשל בודק אם אותו hash הופיע בתיקים קודמים או בדיווחי חברות אנטי-וירוס. כך ניתן לקשר בין אירועים: “אה, הנוזקה הזו שתקפה את בנק X היא גרסה דומה לנוזקה שראינו אשתקד אצל חברת Y, ומאחוריה עמדה קבוצה רוסית ידועה”.
- פיתוח כלי פענוח, במקרה של התקפות כופרה (Ransomware), ניתוח מעמיק של הנוזקה (שהיא תוכנה המצפינה קבצי קורבן ודורשת כופר) עשוי לאפשר פיתוח “מפתח פענוח” אם התוקפים עשו טעויות. ה-FBI לעיתים עובד עם שותפים (למשל מעבדות חברות אנטי-וירוס, או מומחי אקדמיה) כדי לנסות לפצח את ההצפנה ולשחרר את הקבצים בלי לשלם. היו מקרים שבהם ה-FBI אכן הצליח להשיג מפתחות פענוח והעביר אותם בחשאי לקורבנות כדי שיוכלו להשתקם. במקרה של מתקפת הכופרה הידועה על חברת הבשר JBS וחברת התוכנה Kaseya ב-2021, ה-FBI ושותפיו הפעילו מהלך מורכב שבסיומו גם הופצו מפתחות פענוח לקורבנות, נתפסו יותר מ-7 מיליון דולר במטבעות וירטואליים ששולמו, ואף נעצרו שלושה חשודים ברחבי העולם. הישג כזה התאפשר בזכות הבנה עמוקה של הנוזקה (של כופרת REvil במקרה זה) ותיאום בין-ארגוני.
ניצול רשת (Network Exploitation) ככלי חקירתי
Network Exploitation בהקשר ה-FBI משמעו שימוש בכלי תקיפה והשתלטות, באופן חוקי ובפיקוח, כדי להשיג ראיות דיגיטליות ולהשבית איומי סייבר. במילים אחרות, ה-FBI לעיתים “פורץ בחזרה” (Hack-Back) למערכות או שירותים, אך בניגוד לפורעי החוק הוא עושה זאת תחת אישור בתי משפט ותוך תיעוד, כשמטרת הפעולה היא איסוף מודיעין או ניטרול נזק.
ישנן מספר דוגמאות ושיטות:
- Network Investigative Technique (NIT), זהו שם כוללני לכלים שה-FBI מפעיל כדי לזהות פושעים המסתתרים באנונימיות רשת. למשל, אחד האתגרים הוא עבריינים המשתמשים ב-Tor או ב-VPN כדי להסתיר את כתובתם. ה-FBI פיתח כלים המושתלים בדפדפן/מחשב של החשוד (לעיתים דרך ניצול חולשות), שגורמים למחשב של החשוד עצמו לחשוף את כתובת ה-IP האמיתית שלו ל-FBI. ידוע מקרה של מבצע Playpen (2015), בו ה-FBI השתלט על אתר טרף פדופילי אנונימי ברשת האפלה, הפעיל אותו לזמן מה תחת פיקוח, ובמקביל הטמיע קוד NIT בדפי האתר. כל גולש שנכנס לאתר קיבל “שתול” לדפדפן שהדליף ל-FBI את ה-IP שלו. כך אותרו למעלה מ-1000 גולשים חשודים בעולם, ורבים נעצרו.
- חדירה לשרתי שליטה (C2), לעיתים, כדי לנטרל Botnet (רשת “זומבים”) שהשתלטה על אלפי מחשבים תמימים, נדרש להשתלט על שרת השליטה שבו משתמשים ההאקרים. ה-FBI, בשיתוף עם גורמים בינ”ל, מבקש צו כדי להעתיק את השליטה: למשל, ידוע מבצע Coreflood (2011), שבו רשת Botnet גדולה נוטרלה כאשר ה-FBI קיבל אישור בית משפט להשתלט על דומיינים ששימשו את הנוזקה ולפקוד על מחשבי הזומבי לכבות את עצמם. פעולה זו בעצם הייתה מתקפת נגד, שליחת פקודה לתוכנה הזדונית במחשבי אנשים (בלי שהם מודעים), אבל נעשתה לטובתם כדי להסיר איום.
- מעקב ותפיסת שרתים בחו”ל, ה-FBI עשוי לעקוב אחרי תעבורה כדי למצוא את השרת בו מוחזק המידע הגנוב או שמשמש כ”דלת אחורית”. אם השרת במדינה ידידותית, לעיתים ה-FBI יעביר בשקט את המידע לרשויות שם כדי שאלו יוציאו צו מקומי. קרה גם שה-FBI שלח סוכנים עם צו אמריקאי למדינה זרה מתואמת וביצע Image לשרת (העתק מדויק) בשיתוף המקומיים, בלי להמתין לכל התהליך המשפטי, כאשר היה חשש שימחקו הנתונים.
- Honeytokens ושתלים, כחלק מטקטיקת network exploitation, ה-FBI עשוי להשתמש גם ב”פיתיונות דיגיטליים”, למשל, בשיתוף הקורבן לנטוע קובץ מפתה (כמו קובץ עם שמות משתמש וסיסמאות) עם נגישות אינטרנטית, אשר מכיל מעקב. כשההאקר גונב אותו ופותח, מחשבו מדווח לשירות FBI. זוהי טכניקה מורכבת שדורשת תאום עם הקורבן ומיומנות גבוהה.
חשוב להבין שכלי network exploitation של ה-FBI מפותחים בזהירות משפטית. כל שימוש בהם צריך לעבור את מסננת התיקון הרביעי לחוקה (הגנה מפני חיפוש בלתי סביר). לכן, לעיתים, אפילו אם טכנית אפשרי לפרוץ למחשב של חשוד ולקחת ראיות, ה-FBI יעדיף דרך אחרת או ימתין לצו.
כלי מעבדה פורנזית ופיצוח הצפנה
לא פעם חוקרי ה-FBI ניצבים מול הצפנות חזקות, לדוגמה, טלפון חכם נעול של חשוד, או קובץ מוצפן במחשב החשוד. היחידה מפעילה מעבדות מתקדמות היכולות לנסות לפצח או לעקוף הצפנות:
- כלי פריצה לסלולר ומחשבים, ה-FBI משתמש בכלים מסחריים של חברות מובילות (Cellebrite, Celebrite וכד’) כדי לחלץ מידע מטלפונים נעולים. לאחר מקרה סן-ברנרדינו (2015), בו iPhone של טרוריסט היה נעול, ה-FBI אפילו רכש פתרון מסטארטאפ ישראלי לפתיחת המכשיר. כיום, כמעט לכל דגם טלפון חכם יש פרוצדורה מסוימת במעבדות הפורנזיות.
- Brute Force ושימוש בסופר-מחשבים, כאשר נתקלים בקובץ או דיסק מוצפן (למשל בהצפנת TrueCrypt, או ארכיון RAR עם סיסמה חזקה), נעשה ניסיון ניחוש סיסמאות אוטומטי. ה-FBI מפעיל אשכולות GPU שיודעות לנסות מיליוני שילובי מפתחות בשנייה. הם גם שואבים נתונים פרסונליים (למשל, מנסים שמות מקורביו של החשוד, תאריכים, מילים שהוא השתמש בהן בעבר) כדי לצמצם מרחב.
- שיתוף עם NSA ומעבדות לאומיות, במקרים קשים במיוחד, ה-FBI עשוי לפנות לסוכנויות כמו NSA שמחזיקה אמצעי פיצוח חזקים ואולי חולשות לא ידועות. לדוגמה, אם ה-FBI יתמודד עם תקשורת מוצפנת של חשוד טרור, ה-NSA עשויה לסייע בפענוח (כפוף לחוקי FISA). כמו כן, מעבדות כמו Sandia או Lawrence Livermore עשויות לתרום מומחיות מתמטית.
- מעקף (Bypass), במקום לפצח הצפנה חזקה, מחפשים דרך לעקוף. למשל, במקום לפצח את ביטקוין (שזה בלתי אפשרי מעשית), ה-FBI לרוב מחפש את נקודות התורפה: המחשבים של בעלי הארנק, או חילוט מפתחות הפרטיים בזמן מעצר. אכן, כאשר ה-FBI הצליח לתפוס בשנת 2022 כ-3.6 מיליארד דולר בביטקוין שנגנבו מבורסת Bitfinex (הנתפס הגדול אי פעם במטבעות קריפטו), זה לא בגלל שהוא פרץ את הבלוקצ’יין, אלא כי סיכל ניסיון ההלבנה ותפס את המפתחות הפרטיים בדירה של החשודים. כלומר, העבודה היא גם טכנית וגם מודיעינית מודיעינית: לזהות נקודות בהן הפושע צריך להפוך את ה”כסף” הדיגיטלי למשהו ממשי, ושם לחשוף אותו.
מודיעין, ML ו-OSINT
היחידה אינה פועלת רק ריאקטיבית, היא בונה תמונת מודיעין רחבה על קהילת ההאקרים והאיומים. יש לה מחלקת מודיעין סייבר (Cyber Intelligence Section) האוספת מידע מכל החקירות ומקורות גלויים וסמויים. כך לדוגמה:
- מעקב Dark Web, סוכני FBI אנונימיים משתתפים בפורומים של פשיעת סייבר, צוברים מידע על משתמשים, רוכשים לעיתים סחורה לאסוף ראיות. דוגמה: מבצע DarkMarket בסוף שנות ה-2000, סוכן ה-FBI התחזה למנהל מערכת בפורום פשיעת סייבר בינלאומי, צבר אמון ומשתמשים, ובבוא העת הפיל את האתר ועצר עשרות חברים.
- כלי Big Data ו-ML, ה-FBI משקיע בפיתוח יכולות עיבוד נתונים אוטומטי. לדוגמה, שימוש באלגוריתמי Machine Learning כדי לשייך כתובות ביטקוין לעבריינים (ניתוח דפוסי העברות), או כדי לנתח כמויות עצומות של יומני צ’אט של האקרים ולזהות כינויים חוזרים או סגנון כתיבה. כמו כן, כלי זיהוי פנים עשויים לשמש בהתאמת תמונות פרופיל של פושעים בין פלטפורמות.
- OSINT (מודיעין ממקורות גלויים), ניטור של רשתות חברתיות, בלוגים וערוצים פומביים אחרים בהם האקרים לפעמים מתפארים במעשיהם. היו מקרים בהם עברייני סייבר נתפסו עקב יהירות, הם פרסמו תמונה עם רכוש גנוב או רמזים למיקומם. יחידת הסייבר עובדת יחד עם יחידת OSINT של ה-FBI כדי לאסוף רמזים אלה.
צוותי תגובה מהירה: CAT ו-RAT
כאמור, ה-FBI מחזיק Cyber Action Team (CAT), צוות עלית של סוכני סייבר שיכולים להישלח בהתראה קצרה לכל מקום בארה”ב ואף בעולם, כדי לסייע בחקירה טכנית מורכבת או אירוע מתגלגל. CAT הוקם ב-2005 ועם השנים הפך לכוח מבצעי מיומן. חברי CAT מצטיינים לא רק ביכולת טכנית, אלא גם ביכולת תקשורת, כי לעיתים הם צריכים לתקשר עם מנהלים בכירים של חברה תחת מתקפה, ולהרגיעם תוך כדי איסוף מידע.
דוגמה לפעולת CAT: כשחברה מגלה שהיא מותקפת ע”י נוזקה מתוחכמת והחדירה נרחבת, צוות ה-CAT עשוי להגיע, ולעבוד יד ביד עם צוות ה-IT המקומי כדי לבודד את התוקף, למנוע נזק נוסף, ולאסוף ראיות. במקרה מסוים, CAT הוזעק לחברת בריאות שמצאו בה עדויות לחדירה. הצוות איתר מספר מערכות וחשבונות שנפרצו ובתוך כדי העבודה גם נטרל את הגישה של ההאקרים ומנע המשך ניצול הרשת. במקרים אחרים, CAT נענה לבקשות ממדינות זרות: אם מדינה ידידותית מותקפת ואין לה משאבים, ה-CAT עשוי להישלח (באישור מחלקת המדינה) לתת סיוע incident response. כך למשל נשלח CAT למדינה חברה ב-NATO שחוותה מתקפת סייבר הרסנית; הצוות, יחד עם שותפים אמריקאים, עזר לזהות את דרך החדירה, לאסוף ראיות, ולבסוף לייחס את המתקפה לממשלה זרה, מה שהוביל את אותה מדינה לנקוט צעדים דיפלומטיים חריפים (ניתוק יחסים וסגירת שגרירות המדינה התוקפת). דוגמה זו ממחישה שה-FBI לא רק אוכף חוק אלא גם תורם למדיניות ביטחון דרך כלים טכניים.
בנוסף ל-CAT, בשנים האחרונות הוקם ב-FBI גם Recovery Asset Team (RAT), צוות ייעודי למקרה של הונאות כספיות מקוונות, שעובד במהירות כדי לנסות ולהשיב כסף שנגנב לפני שייעלם. בעיקר, RAT מטפל במקרי “הונאת העברת כספים” כגון BEC (Business Email Compromise), מצב בו חברת קורבן שולחת כספים לנוכל ששלח מייל מזויף. ה-RAT מפעיל מנגנון שנקרא Financial Fraud Kill Chain (FFKC): אם חברה דיווחה מהר (תוך 72 שעות) על העברה חשודה לחו”ל, ה-FBI דרך RAT פונה מיידית לבנק המקבל ומנסה להקפיא את הכסף. בשנת 2021 לבדה, RAT הפעיל תהליך זה 1,726 פעמים והצליח להקפיא מעל $328 מיליון דולר שעמדו להיגנב, שיעור הצלחה של 74%. מדובר בשילוב של תגובה מהירה, קשרים בנקאיים בינלאומיים (SWIFT וכו’), ועבודה צמודה עם הקורבן.
שיתוף פעולה טכנולוגי עם גופים אחרים
ה-FBI לא פועל לבד טכנולוגית. הוא מקושר לתעשייה, למשל, הוא משתף פעולה עם מיקרוסופט, גוגל, פייסבוק ואחרים כאשר פשעי סייבר נוגעים לשירותיהם. במבצעי ניטרול Botnets, חברות אבטחה פרטיות מספקות כלים ומחקר (לדוגמה, מבצע DNSChanger (Ghost Click) נעשה עם עזרה של ISC ו-מרכז ה-NCFTA).
ה-FBI גם מפעיל את תוכנית InfraGard, רשת של שיתוף מידע בין ה-FBI לבין גורמי תשתית קריטיים ואנשי תעשיית האבטחה, שהחלה עוד ב-1996 ומאז התרחבה. חברי InfraGard (עשרות אלפים ברחבי ארה”ב) מקבלים עדכוני התרעה מה-FBI ומדווחים בחזרה על אירועים חשודים, ובכך נוצרת רשת התראה קהילתית.
במקרים רגישים, ה-FBI מסתייע אף בכלים יוצאי דופן: למשל, פורסם בשנת 2022 שה-FBI רכש רישיון לתוכנת “פגסוס” של NSO (ישראל) למטרות בדיקה ושקילה מבצעית. אף שה-FBI לא השתמש בפועל בכלי זה בפעילות מבצעית (לפי דיווחי משרד המשפטים), עצם נכונותו לבחון כלי תקיפה פירושה שהיחידה שוקלת את כל האמצעים החוקיים לאיסוף מודיעין על פושעי סייבר מתוחכמים.
לסיכום פרק זה, ניתן לומר כי ה-Cyber Division משלב חקירה משטרתית קלאסית עם “האקריות” יצירתית, מצד אחד איסוף ראיות קפדני ועמידה בכללים, ומצד שני שימוש בטכניקות תקיפה מתקדמות (באישור) במטרה אחת: לחשוף את העבריינים, לאסוף מספיק ראיות עליהם, ולמנוע מהם להמשיך להזיק. הארסנל הטכנולוגי של היחידה מתעדכן תדיר בהתאם לנוף האיום, וכולל מיכשור פורנזי, תוכנות ייעודיות, יכולות הנדסה הפוכות, וטקטיקות סייבר כפי שנהגו בעולמם של ההאקרים עצמם, הפעם, בשירות החוק.
מקרים בולטים בשנים האחרונות
בעשורים האחרונים הובילה יחידת הסייבר של ה-FBI חקירות רבות שהביאו ללכידת פושעים, להגשת כתבי אישום נגד האקרים בינלאומיים, ולנטרול איומי סייבר משמעותיים. חלק מהמקרים התפרסמו ככותרות בינלאומיות, וחלקם התנהלו בשקט יחסי אך השפעתם כבירה. בפרק זה נסקור שורת מקרים בולטים מהשנים האחרונות במגוון תחומים: פשיעת סייבר פיננסית, מתקפות בחסות מדינה, חדירות לתשתיות קריטיות ופשעי סייבר בעולם המטבעות הקריפטוגרפיים.
פשיעה פיננסית מקוונת (הונאות, גניבת מידע והלבנת כספים)
פשיעת סייבר פיננסית כוללת מגוון רחב של מעשים פליליים: גניבת פרטי תשלום (כגון פרטי כרטיסי אשראי או חשבונות בנק), חדירה למערכות בנקאיות, הונאות השקעה מקוונות, סחיטה דיגיטלית לשם כסף ועוד. ה-FBI, יחד עם השירות החשאי לעיתים, חקר ופירק לא מעט רשתות פשע מהסוג הזה. נציג כמה מהמקרים:
- פרשת Stock Manipulation (שלאון ואחרים, 2015): ביולי 2015 הודיעה התביעה הפדרלית במחוז דרום ניו יורק על כתב אישום נגד שלושה נאשמים, גֶרי שָאלוֹן (Gery Shalon), זִיו אורנשטיין ואזרח אמריקאי בשם ג’ושועה אהרון, בגין ניהול תוכנית ענק להונאת ניירות ערך באינטרנט. לפי האישומים, השלושה ארגנו מסעות “Pump and Dump”, ניפוח מניות באמצעות דיוורים כוזבים, שהזרימו ערך מלאכותי למניות, ואז מכרו ברווח. כדי להשיג רשימות תפוצה ויתרון במסחר, השלושה ביצעו את אחד מהפריצות הגדולות בהיסטוריה הפיננסית: הם פרצו למאגרי לקוחות של JPMorgan Chase ובנקים וברוקרים נוספים, וגנבו מידע של למעלה מ-80 מיליון לקוחות (בפריצת JPMorgan בשנת 2014). מידע זה נוצל לשיגור מיליוני אימיילים משכנעים שהעלו את ערך המניות המנופחות. הפרשה הייתה יוצאת דופן בהיקפה, ובין היתר בשל העובדה ששניים מהנאשמים, שלאון ואורנשטיין, היו ישראלים שפעלו מרחוק. שניהם נעצרו בישראל ע”י משטרת ישראל בשיתוף ה-FBI ביום חשיפת הפרשה, והוחל בהליך הסגרתם לארה”ב. אהרון, שהיה בארה”ב, נמלט למדינה אחרת אך בהמשך הסגיר עצמו. תיק זה הדגיש את שיתוף הפעולה הבינלאומי ואת מעורבות ישראלים בפשיעת סייבר פיננסית. בהמשך הורשעו המעורבים (שאלון אף נקנס בסכומי עתק במסגרת עסקת טיעון).
- מבצע “פיש פריי” (Phish Phry, 2009): אחד המבצעים הראשונים הגדולים נגד רשת פישינג בינלאומית. ה-FBI, יחד עם הרשויות במצרים, חשף חוליה של כ-100 עבריינים (כ-50 בארה”ב ו-50 במצרים) שביצעו גניבת פרטי בנק וירי כסף. ההאקרים המצרים שלחו מיילים מתחזים (פישינג) ללקוחות בנקים בארה”ב, קיבלו גישה לחשבונות, ואז שת”פ אמריקאים משכו כסף מהחשבונות והעבירו חלק למצרים. המבצע הסתיים בעשרות כתבי אישום ומעצרי חשודים (בארה”ב ובמצרים) והיה סנונית לשיתוף פעולה אמריקאי-מזרח תיכוני בתחום זה. “Phish Phry” הוכיח שגם פשעים יחסית “פשוטים” (התחזות במייל) מקבלים טיפול אגרסיבי בהיקף בינלאומי כשהנזק גדול (מיליוני דולרים נגנבו).
- Operation Cardshop (כ-2012): פעולה עולמית נגד פורומים למכירת כרטיסי אשראי גנובים. ה-FBI הפעיל סוכן סמוי שהשתתף באתר DarkMarket, שוק עברייני ברשת האפלה, ורכש בו אמון. לבסוף נחשפו מעל 50 מעורבים ב-13 מדינות שעסקו בסחר בפרטי אשראי וחשבונות. המבצע התאפשר גם בזכות סוכן FBI שהתחזה למנהל הפורום (בשם הבדוי Master Splyntr) עוד קודם לכן, ובכך יכול היה לאסוף מידע על המשתמשים הפושעים. עשרות נעצרו ביום מתואם בארה”ב, בריטניה, בוסניה, בולגריה, נורבגיה, גרמניה ועוד.
- רשת GameOver Zeus ו-Cryptolocker (2014): זו דוגמה ל-combo של פשיעה פיננסית וכופרה. GameOver Zeus היה Botnet (רשת מחשבים שנגועה בנוזקה) שבמשך שנים גנב אישורי בנקאות אונליין ממחשבי קורבנות ברחבי העולם, בהובלת ההאקר הרוסי יבגני בוגצ’ב (Evgeniy Bogachev). אותה רשת גם הפיצה נוזקת כופרה בשם Cryptolocker. ב-2014 ניהל ה-FBI יחד עם Europol וממשלות אחרות מבצע בינלאומי לנטרול הרשת: הוא הצליח להשתלט על חלק משרתי השליטה (C2) של הבוטנט ולנתק את התקשורת לכלל המחשבים הנגועים, ובכך למעשה להרוג את הרשת הזדונית. במקביל, הוגש כתב אישום פדרלי נגד בוגצ’ב. אמנם הוא נותר חופשי ברוסיה, אך הפגיעה בפעילותו הייתה קשה. המבצע גם שחרר מפתחות פרטיים לכל קורבנות הכופרה, שאיפשרו להם לשחזר את הקבצים מבלי לשלם כופר. מקרה זה מראה את היכולות המשולבות: גם אכיפה (אישום פומבי) וגם פעולה טכנית לנטרול איום פעיל.
- הונאות BEC חובקות עולם (2018-2019): הונאת “מנכ”ל” או BEC, שבה עבריינים שולחים אימייל מתחזה לבכיר בחברה ומורים להעביר כסף, הפכה למכת מדינה. ה-FBI הגיב בסדרת מבצעים גלובליים יחד עם אינטרפול ויורופול. לדוגמה, Operation WireWire (2018), מבצע בו נעצרו 74 חשודים (42 בארה”ב, 29 בניגריה, והשאר בקנדה, פולין, מאלזיה) שעסקו בהונאות BEC והלבנת כספים. ב-2019, Operation reWired הביא ל-281 מעצרים ב-10 מדינות בגין עבירות דומות, תוך חילוט 3.7 מיליון דולר. רבים מהחשודים בניגריה הואשמו שעמדו מאחורי מיילי הנוכלות שגרמו לנזקי עתק (BEC אחראית ליותר מ$2 מיליארד הפסדים בשנה, לפי דו”חות ה-FBI). המיקוד בפשעים אלה מראה שה-FBI לא עוסק רק ב”האקרים עם ברדסים” אלא גם בעוקצים “פשוטים” שמשתמשים יותר במניפולציה אנושית, כל עוד הנזק גבוה.
- Silk Road (דרך המשי, 2013): אחד המקרים המפורסמים של פשיעת רשת פיננסית מעורבת בקריפטו. Silk Road הייתה זירת סחר בסמים ושירותים לא חוקיים ב-Dark Web, בה התשלום בוצע בביטקוין. יחידת סייבר של ה-FBI הובילה חקירה מורכבת לאיתור מפעיל האתר (שפעל בשם “Dread Pirate Roberts”). ב-2013, בשיתוף מחלקת הסמים (DEA) ו-IRS, נעצר רוס אולבריכט בספריה ציבורית בסן-פרנסיסקו, כשהוא מחובר כמנהל לאתר. האתר נסגר, ונתפסו כ-170,000 ביטקוינים מארנקי האתר (השווים כיום מיליארדים). זו הייתה אחת התפיסות הגדולות בהיסטוריה של מטבעות קריפטו ע”י אכיפה. התיק הזה סימן את תחילתה של מעורבות FBI במאבק בשווקים אפלים ואת היכולת לפעול למרות טכנולוגיות אנונימיות (Tor, ביטקוין).
מתקפות סייבר מדינתיות (ריגול, חבלה והתערבות זרה)
בשנים האחרונות, איום מתקפות הסייבר מגורמי מדינה (כלומר האקרים הפועלים בשירות ממשלות, או מטעמן בצורה לא רשמית) הלך וגבר. ה-FBI, כגוף אכיפת חוק, לא יכול לעצור סוכנים סיניים או רוסיים במולדתם, אך נוקט באסטרטגיה של “חשיפה והעמדה לדין בהיעדרם” (Name and Shame) כדי להרתיע ולהעלות מחיר מדיני. בנוסף, ה-FBI משתף פעולה עם קהילת המודיעין לטובת ייחוס ומהלכי-נגד חשאיים. להלן כמה מקרים בולטים:
- כתבי אישום נגד חמישה קציני PLA סינים (2014): במאי 2014 הכריז משרד המשפטים האמריקאי על כתב אישום היסטורי: חמישה קצינים מצבא השחרור העממי (PLA) הסיני יחידה 61398 הואשמו רשמית בפריצות למערכות חברות אמריקאיות גדולות במטרה לגנוב סודות מסחריים. בין החברות שהותקפו: Westinghouse (גרעין), Alcoa (מתכות), U.S. Steel (פלדה) ועוד. זו הייתה הפעם הראשונה שממשלת ארה”ב הגישה אישומים פליליים נגד אנשי צבא מדינה זרה בגין ריגול כלכלי מקוון. כמובן שהנאשמים לא נעצרו בפועל (הם בסין), אך המהלך אותת לסין ולעולם שמבחינת ארה”ב, “גם אם אתם לובשים מדים, לא תקבלו חסינות אם תגנבו דרך המחשב”. מנהל ה-FBI דאז, רוברט אנדרסון, אמר: “אם תתקפו אמריקאים, בין אם למטרות פליליות או ביטחוניות, נבוא חשבון איתכם, לא משנה איפה אתם”. כתב אישום זה אכן יצר מתיחות דיפלומטית, אך גם הוביל לשיחות בין הממשל האמריקאי והסיני ולהסכם (שכיום פג) של אי-תקיפת תשתיות כלכליות. למרות שבפועל פריצות המשיכו, היתה ירידה זמנית.
- התערבות רוסיה בבחירות 2016: פרשה רחבה זו נחקרה בחלקה על ידי צוות התובע המיוחד רוברט מולר, אך גם ה-FBI שיחק תפקיד חשוב. ביולי 2018 הודיע משרד המשפטים על כתב אישום נגד 12 קציני מודיעין צבאי רוסי (GRU) על שורה של מתקפות סייבר הקשורות לבחירות: פריצה לשרתי הוועד הדמוקרטי (DNC) וגניבת אימיילים, הפצתם דרך וויקיליקס, חדירה למחשבי ועדת הבחירות של מספר מדינות, ועוד. לפני כן, במרץ 2018, הואשמו גם 13 סוכנים רוסיים בניהול “חוות טרולים” שהפיצה דיסאינפורמציה ברשתות (זה פחות עניין סייבר טכני ויותר מידע). ה-FBI, באמצעות מעבדותיו, סייע לייחוס הטכני: מומחי סייבר של ה-FBI ניתחו את קוד כלי הפריצה (משפחת “X-Agent”, “X-Tunnel” וכו’) וקשרו אותם ליחידה 26165 ו-74455 של ה-GRU על בסיס תבניות, כתובות IP, ושגיאות בשפה הרוסית שנמצאו במטא-נתונים של קבצים שדלפו. חשיפות אלו, גם אם הנאשמים לא יועמדו לדין בארה”ב בקרוב, שימשו בסיס לסנקציות נגד רוסיה ולהגברת המודעות הציבורית לאיומי סייבר של מדינות.
- מבצעי חבלה וענישה נגד רוסיה (2017-2020): מלבד הבחירות, רוסיה עמדה מאחורי כמה מההתקפות ההרסניות ביותר:
- מתקפת NotPetya (יוני 2017), וירוס תולעת שתקף תחילה ארגונים באוקראינה (תשתיות, חברות, בנקים) תוך התחזות לכופר, אך התפשט גלובלית וגרם נזק מוערך ב-10 מיליארד דולר (פגע גם בחברות אמריקאיות כמו Merck, FedEx, Maersk). ה-FBI יחד עם NSA וגורמים בינ”ל חקרו, ובפברואר 2018 האשימה ארה”ב רשמית את ממשלת רוסיה (ה-GRU) במתקפה. בהמשך, באוקטובר 2020, הוגש כתב אישום נגד 6 קצינים מיחידת Sandworm (צוות ב-GRU) בגין מעורבות ב-NotPetya, וכן בתקיפות אחרות (הפלת רשת חשמל אוקראינית ב-2015, מתקפות על הפגנת בחירות בצרפת 2017, ועוד). הקצינים תוארו ככוח סייבר “פורע חוק” שלוקח חלק גם בהפצת וירוס קטלני לכולם. כתב האישום פירט להפליא כיצד הם פעלו, פרטים שנאספו ע”י מומחי FBI ושותפים.
- פריצה ל-SolarWinds/Cozy Bear (2020), חדירה אדירה שהתגלתה בדצמבר 2020, בה קבוצת APT רוסית (כנראה SVR, “Cozy Bear”) החדירה דלת אחורית לתוכנת ניהול רשת SolarWinds, ומשם השיגה גישה לעשרות רשתות של משרדי ממשל וחברות בארה”ב, כולל ל-Netz של משרד האוצר, האנרגיה, וכו’. המקרה ייחודי כי הוא לא פלילי מסורתי (רוסיה מרגלת, לא למטרת רווח כספי ישיר אלא מודיעין), ולכן אין כתב אישום (לפי שעה). אך ה-FBI היה חלק מצוות ה-Unified Coordination Group שחקר את האירוע. מומחי FBI תרמו בניתוח הנוזקה (“Sunburst”) ובמעקב אחרי שרתי C2, ובכך סייעו לבלום את המבצע ולתקן מערכות פדרליות. מקרה זה המחיש שאפילו יריב מתוחכם, ה-FBI יכול לחשוף אותו, לימים הוכרז רשמית שמודיעין החוץ הרוסי SVR אחראי.
- Hack-and-Leak של קוריאה הצפונית (סוני, 2014): בדצמבר 2014, חברת Sony Pictures נפגעה מפריצה דרמטית: האקרים גנבו כמויות מידע והשביתו את הרשתות, ואף איימו באלימות אם סרט (“ראיון” הלועג לקים ג’ונג און) יופץ. ה-FBI חקר, ובתוך שבועות ספורים קבע שצפון קוריאה עומדת מאחורי התקיפה. הם פרסמו הודעה פומבית חריגה עם ראיות טכניות: קוד זדוני דומה לזה ששימש בעבר את צפון קוריאה, ושרתי פיקוד בשליטתם. היה ויכוח בקהילה הטכנית, אך עמדת ה-FBI הפכה לעמדה הרשמית. אמנם לא היה כתב אישום פלילי מיידי אז, אבל ב-2018 הואשם פקיסטני שעבד עם צפון קוריאנים במתקפת סוני ובנוזקת WannaCry (אותו פקיסטני Park Jin Hyok, הואשם בהיותו חלק מצוות Lazarus). בכך ה-FBI סימן שגם מדינה מבודדת כמו צפון קוריאה לא חסינה מתשומת לב החוק.
- מתקפות איראניות על בנקים וסכר בניו-יורק (2011-2013): איראן, כתגובה לסנקציות, מימנה קמפיין סייבר נגד מגזר הבנקאות האמריקאי. בין ספט’ 2012 למרץ 2013 בנקים גדולים בארה”ב (JPMorgan, Bank of America, וכו’) ספגו מתקפות DDoS מסיביות ששיבשו את אתרי האינטרנט שלהם (מבצע שכונה Operation Ababil). חקירת ה-FBI הובילה לכתב אישום במרץ 2016 נגד 7 האקרים איראניים שעבדו עבור חברות קבלן של ה-IRGC. הם הואשמו בשיתוק שירותי הבנקים ובגרימת נזק של עשרות מיליוני $ כתוצאה מצעדי נגד. בנוסף, באותו אישום הופיע סעיף נגד אחד ההאקרים (חמיד פירוזי) שחדר למערכת בקרת ה-SCADA של סכר בומן אווניו בניו יורק, מתקן מים קטן, אך הדבר קרה ב-2013 בזמן מתיחות, ועורר דאגה רבה. כתב האישום כלל ציטוט של בכירים: “החדירה לסכר מסמלת חזית מפחידה חדשה בפשעי סייבר”, שכן האקרים זרים שיחקו עם תשתית פיזית אמריקאית. כתב האישום פורסם באופן פומבי ע”י ה-FBI והתביעה, כחלק מהמדיניות לחשוף את זיקות ההאקרים לגופי ממשל (כדי להפעיל לחץ בינ”ל על טהרן).
- Rostislav Panev, LockBit (2024): במבצע טרי שמדגים שיתוף פעולה בינלאומי, הוכרז בדצמבר 2024 שרוסיסלב פאנב, אדם בעל אזרחות כפולה רוסית-ישראלית, נעצר בישראל באוגוסט 2024 לבקשת ארה”ב והוא ממתין להסגרה. פאנב הואשם כי שימש מפתח מרכזי בקבוצת כופרה הידועה כ-LockBit. נעצרו גם חברים נוספים הקשורים לקבוצה במדינות אחרות. Attorney General גארלנד צוטט: “שלושה מהאנשים שאנו טוענים שאחראים למתקפות LockBit נמצאים כעת במעצר”, מה שמראה את הנחישות ללכוד אפילו מפתחים, לא רק מפעילים, של תוכנות תקיפה מדינתיות/מאורגנות. המקרה של פאנב מעניין כיוון שישראל, למרות יחסים טובים עם רוסיה, ביצעה את המעצר ומנהלת הליך הסגרה, המשקף את עומק שיתוף הפעולה עם ה-FBI (על כך עוד בהמשך).
ה-FBI משמש כזרוע החוק נגד מתקפות מדינה בעידן שבו “ההאקינג הוא כלי גיאופוליטי”. אמנם סוכני FBI לא יופיעו במוסקבה לעצור קצין GRU, אך חשיפתם וכתבי האישום מטילים על אותם אנשים מגבלות (לא יכולים לטוס למדינות מסוימות מחשש הסגרה) והופכים אותם לנכסים “שרופים”. כמו שנאמר במסיבת עיתונאים: “אין גלימה אנונימית, נחשוף האקרים זדוניים ונרדוף אותם לבית משפט אמריקאי”. בנוסף, ה-FBI משתף מודיעין אקטיבי: למשל, ב-2022, ערב המלחמה באוקראינה, FBI ואנשי קשריו העבירו התראות בזמן אמת לאוקראינים על מתקפות רוסיה ואף עזרו לייחס מהר אירועי DDoS (השבתת אתרים) ל-GRU תוך ימים, תרומה משמעותית למאמץ המערבי נגד רוסיה.
חדירות למערכות קריטיות ותשתיות (ICS/SCADA)
מערכות קריטיות הן מטרה אטרקטיבית עבור גם מדינות וגם פושעים, בשל הפוטנציאל לגרום לנזק ממשי (חשמל, מים, תחבורה). להלן כמה מקרים/מגמות שטופלו ע”י ה-FBI:
- כבר הזכרנו את סכר Bowman Avenue בניו יורק (2013) בו חדר האקר איראני לנתוני בקרת הסכר. אף שהסכר היה קטן והתריס שלו היה מכובה לתחזוקה (כך שהתוקף לא שלט פיזית בכלום), המקרה הדגים פוטנציאל בעייתי. הוא היה כנראה “איתות” איראני.
- פריצה לרשת החשמל האוקראינית (דצמ’ 2015), לא בארה”ב, אך ה-FBI סייע בהבנתה. קבוצת Sandworm (רוסיה) חדרה למחשבי חברות חשמל באוקראינה וכיבתה מתגי חלוקה, מה שהחשיך לכמה שעות חלקים במדינה. ה-FBI שלח מומחים לאוקראינה לאחר מכן (הוזכר בעדות 2022 שהקשרים באוקראינה נבנו “דרך שיתוף פעולה בתקיפות BlackEnergy 2015 ו-NotPetya 2017”). הידע שנצבר שם עזר לארה”ב לחסן את רשת החשמל שלה מפני תקיפות דומות.
- חדירה למערכות מים: דוגמה בארה”ב, בפברואר 2021 ניסה אלמוני לחדור למערכת הבקרה של מפעל מים בעיר Oldsmar, פלורידה, ושינה ערך כימי לרמה מסוכנת. עובד עירני זיהה ושינה חזרה. ה-FBI הוזעק לחקור יחד עם ה-Secret Service. זהות התוקף לא פורסמה (יתכן שמעולם לא אותר), אך ה-FBI הנפיק התרעה לכל מפעלי המים עם המלצות אבטחה. אירוע זה, אף ללא נזק בפועל, הדגים שגם גורמים לא-מדינתיים ינסו לפגוע בתשתיות פשוטות (מפעלי מים לרוב פחות מוגנים).
- תוכנות ריגול על תשתיות אמריקאיות: קרו מקרים של גילוי malware ברשתות פיקוד של תחנות כוח, תשתיות גז וכד’. ב-2022 דווח ע”י ה-FBI ושותפיו (CISA, NSA) על נוזקה בשם TRITON/TRISIS שיועדה לפגוע במערכות בטיחות במתקני תהליכי (נתגלתה לראשונה בבתי זיקוק במזרח התיכון), ה-FBI העריך שמדובר באיום לישראל ולארה”ב גם (מקורו כנראה איראני או שחקן תומך איראן). FBI פרסם דו”ח טכני כדי לעזור לחברות לבדוק אם נדבקו.
- Cyber Attack “אימונית”: מקרה ידוע, ב-2020 הואשמו 2 אזרחים איראניים (פלילית בארה”ב) שניסו לפרוץ למערכות של בתי חולים וילדים בארה”ב ולשבש אותן, חלק מקמפיין רחב. ה-FBI הוציא אז אזהרה דחופה לכל בתי החולים מפני גל כופרה מצד קבוצות איראניות (זו לא תשתית “טיפוסית” כמו חשמל, אבל מערכת בריאות נחשבת קריטית). אכן, 2020-21 היו גלי כופרה על בתי חולים.
- Colonial Pipeline (מאי 2021), פשע סייבר פלילי (כופרה ע”י כנופיית DarkSide הרוסית) ששיתק צינור דלק גדול בחוף המזרחי וגרם להיסטריה למשך ימים. אף שזה פשע פלילי, נרתמו כוחות כמו לאירוע ביטחוני. ה-FBI הוביל את החקירה, והצליח בתוך כמה שבועות להשיב כ-2.3 מיליון דולר מתוך כ-4.4 מיליון כופר ששולם, בכך שעקבו על שרשרת הבלוקצ’יין לבורסה ואיתרו את ארנק התוקפים. הם קיבלו צו לבית משפט פדרלי והחרימו את הכספים (מסתבר של-FBI הייתה גישה למפתח הפרטי של אותו ארנק, כנראה מעבודה מודיעינית). המקרה היווה המחשה לעוצמת הכופרה ואיך ה-FBI מגיב: גם חוקר, גם מנסה לתפוס כספים, וגם ניהל תקשורת עם הקורבן וקורבנות אחרים דרך ה-ISAC של מגזר האנרגיה.
מקרי התשתיות מחדדים של-FBI יש סמכות ייחודית: בעוד DHS/CISA עוזרת לתשתיות להשתפר ולהתגונן (מומחים שנותנים ייעוץ, פרסומים וכו’), ה-FBI מגיע אחרי חציית קו פלילי, כלומר כאשר הייתה חדירה. הם מביאים גם יכולת חקירה (לגלות מי עומד מאחורי), מה שחשוב כי זה מאפשר לממשלה להגיב ברמה גבוהה (הטלת סנקציות, כתבי אישום, פעולות סמויות). לעיתים שתי הזרועות עובדות ממש יחד, למשל, בחקירה של Oldsmar (מים) וב-Colonial Pipeline, צוותי CISA וה-FBI היו יחד באתרי האירוע. אך בסופו של דבר, רק ל-FBI יש סמכות לאסוף ראיות לצורך העמדה לדין ולהפעיל כוח משטרה, וזו תרומתה המיוחדת בתחום התשתיות.
עבירות סייבר במטבעות קריפטוגרפיים (Crypto Crimes)
העשור האחרון הביא עמו את פריחת המטבעות הדיגיטליים (ביטקוין, את’ריום וכו’), וטכנולוגיית הבלוקצ’יין. לצד החדשנות, הופיע גל של עבירות “קריפטו”, החל מגניבות מטבעות מארנקים ובורסות, דרך שימוש בקריפטו להלבנת כספים, ועד הונאות השקעה המבוססות על מטבעות דיגיטליים. ה-FBI פיתח מומחיות ייעודית בתחום זה, עם צוותי Virtual Currency פנימיים. מספר מקרים ודגשים:
- גניבת קריפטו ומעצרים (Bitfinex Hack 2016): פריצה מפורסמת התרחשה ב-2016 לבורסת הקריפטו Bitfinex, במהלכה נגנבו ~120,000 ביטקוין. שנים לא היו מעצרים, אך ב-2022 הכריז משרד המשפטים על מעצר זוג חשודים בניו יורק, הת’ר מורגן (Heather Morgan) ואיגור ליכטנשטיין, שהואשמו בניסיון להלבין את המטבעות הגנובים. ה-FBI תפס אצלם קבצי ארנק שהכילו מפתחות פרטיים ל-94,000 מתוך הביטקוינים, בשווי של $3.6 מיליארד. זו הייתה התפיסה הכספית הגדולה ביותר אי פעם של ה-DOJ. החקירה עקבה אחרי אלפי העברות מיקרו-ביטקוין שבוצעו כדי לטשטש עקבות, אך אלגוריתמי הבלוקצ’יין אנליטיקס של ה-FBI ושותפים (חברות כמו Chainalysis) הצליחו לקשור כתובות ולזהות את הזוג. הם לא הואשמו בביצוע הפריצה עצמה, אלא בהחזקת והלבנת המטבעות שקשורים אליה, כי ככל הנראה קיבלו אותם ממי שפרץ. כך או כך, המקרה הדגים שגם “חופשניקים” שחשבו להסתתר מאחורי ארנקים אנונימיים, ניתן להגיע אליהם עם עבודת מודיעין סייבר קפדנית.
- Dark Web Marketplaces: כבר הוזכר Silk Road, אך היו רבים אחריו. ב-2017, במבצע משותף בין ה-FBI, DEA, Europol ועוד, הופל השוק האפל הגדול AlphaBay. מנהל האתר, אלכסנדר קאזס, נעצר בתאילנד (התאבד שם לפני הסגרה). כמו כן נסגר שוק נוסף בשם Hansa. המבצע שילב חקירה מקוונת (סוכנים סמויים, פריצה לשרתי אלפביי כדי לקבל מידע משתמשים) ומעצרים גלובליים. לאחר נפילת Alphabay, משתמשים עברו לשוק ידוע בשם Wall Street Market, וגם הוא נסגר במבצע משותף עם גרמניה ב-2019. מאות סוחרי סמים נעצרו בעקבות ניתוח הנתונים.
- הונאות ICO ומזימות פונזי בקריפטו: ה-FBI גם רודף אחרי נוכלים שמנצלים את ההייפ. למשל, חקירת פרשת OneCoin, הונאת פונזי גלובלית בהיקף 4 מיליארד דולר שהתחזתה למטבע קריפטו, הובילה ב-2019 לכתב אישום ופיענוח. מנהיגת OneCoin, רוג’ה איגנאטובה, נמלטה (נמצאת ברשימת המבוקשים) אבל שותפה האמריקאי מארק סקוט הורשע בהלבנת $400 מיליון. במקרה אחר, הוגשו כתבי אישום נגד צוות BitConnect, פלטפורמה שהבטיחה רווחים עצומים, וב-2022 הואשם מייסדה ההודי בהונאת משקיעים (הוסגר מאיחוד האמירויות).
- כופרה וקריפטו: כופרה היא פלילית אך פעמים רבות מערבת מימד בינלאומי קריפטוגרפי. קבוצות כמו REvil, LockBit, Conti, דורשות ביטקוין/מונרו. כבר סופר שה-FBI חילץ חלק מהכופר ב-Colonial Pipeline (לאחר ששולמו בביטקוין, לקחו בחזרה בחלק). עוד הישג: ב-2021/22, יחד עם אירופה, נעצרו מספר מפיצי כופרה. לדוגמה, אוקטובר 2021, שני אוקראינים ושותף יושב-קוריאה נתפסו (האוקראיני יארוסלב וסינסקי היה מפתח/מפיץ של REvil, הוסגר לארה”ב). במקביל נתפסו בארה”ב $6 מיליון נכסים קשורים לכופר. בינואר 2023, הודיעה מחלקת המשפטים על מעצר מנהיג כנופיית Hive (קבוצת כופרה), בתיאום עם אירופה. המעצרים הללו לא היו אפשריים ללא עבודת עקיבה בקריפטו, FBI חדר לשרתי ה-Hive, קיבל מפתחות קורבנות ומנע תשלומי $130 מיליון.
- חטיפת SIM וגניבת קריפטו: פושעים גם משתמשים בשיטות ישנות כמו חטיפת מספר טלפון (SIM swapping) כדי לעקוף אימות-דו-שלבי ולהשיג גישה לארנקי קורבנות. היו מספר מעצרים של כנופיות כאלה בארה”ב ובאירלנד. ה-FBI הוביל חקירה נגד קבוצה בשם “The Community”, 5 אמריקאים ושני אירים שהואשמו בגניבת מטבעות בשווי $2.4 מיליון מחטיפת SIM.
- אכיפת סנקציות במטבעות דיגיטליים: תחום חדש הוא זיהוי וחסימת פעילויות קריפטו שקשורות במדינות מוכות סנקציות או גורמי טרור. ב-2022 תפס ה-FBI יחד עם OFAC (משרד הפיקוח על נכסים זרים) כספים בשני ארנקים של איראנים שהפעילו תוכנית כופרה Pay2Key שפגעה בישראל ואירופה. אותו שיתוף FBI–Israeli INCD (נדון בהמשך) הוביל לאזהרות משותפות על כתובות ארנקים שמשמשות את האיראנים.
במבט כולל, ה-FBI הוכיח שהוא מסוגל להתמודד עם האנונימיות המדומה של עולם הקריפטו. שילוב של כלי ניתוח בלוקצ’יין, פעולות עוקץ (כמו לתפוס ארנקים כשהעבריין טועה ומעביר לזירת בורסה מוכרת), וחוקים חדשים (יש כעת חובת רישום בבורסות הקריפטו כמו בבנקים), כל אלו מסייעים. כמובן, יש אתגרים, מונרו ומטבעות פרטיות שקשה מאוד לעקוב, שירותי “מיקסרים” שאנשים משתמשים בהם (כמו Bitcoin Fog), ועוד. ב-2022, למשל, הוגשו כתבי אישום נגד מפעיל Mixer (המבלבל עסקאות להלבנה).
הפסיפס שתואר מראה את רוחב היריעה שטופל על ידי Cyber Division: מפשעים כלכליים “קלאסיים” דרך הרשת, דרך מתקפות סייבר בשירות מדינות, ועד פשעי “העת החדשה” כמו קריפטו. בכל המקרים, ה-FBI התבלט בשיתופי פעולה: עם משטרות זרות (ישראל, אירופה, אסיה), עם רשויות אכיפה פדרליות מקבילות (שירות חשאי, Homeland Security), ועם הקורבנות עצמם.
ראוי לציין משפט מפי פרקליטת ארה”ב שהובילה אחד התיקים: “ההתקפות האלה לא היו פשעים רגילים, אלא מתקפות מחושבות ע”י גורמים עם קשרים לממשלות, וארה”ב לא תשב בחיבוק ידיים”. ה-FBI משמש הכלי שבאמצעותו ארה”ב לא יושבת בחיבוק ידיים, אלא פועלת אקטיבית נגד איומי סייבר מכל סוג.
שיתופי פעולה עם גופי ממשל אמריקאיים ובינלאומיים
המאבק בפשיעת סייבר דורש מאמץ רב-גופי, אף ארגון לא יכול להתמודד לבדו עם איום חובק עולם ומתפתח במהירות כזו. ה-Cyber Division, מהרגע שהוקמה, פעלה לטוויית רשת רחבה של שיתופי פעולה, הן בתוך ארה”ב (בין סוכנויות פדרליות וזרועות אכיפה שונות) והן בזירה הבינלאומית (עבודה עם משטרות זרות, אינטרפול, יורופול ועוד). בפרק זה נסקור את שיתופי הפעולה העיקריים.
שיתופי פעולה אמריקאיים (בין-סוכנותיים)
NCIJTF (National Cyber Investigative Joint Task Force), כפי שתואר קודם, זהו גוף הדגל של שיתוף פעולה בתוך הממשל הפדרלי בתחום הסייבר. הוקם רשמית ב-2008, בניהול FBI, ומשתתפות בו מעל 30 סוכנויות. ב-NCIJTF מוקצים קצינים/נציגים מגופים כמו: ה-CIA, ה-NSA, הסוכנות לביטחון המולדת (DHS, כולל CISA), סוכנויות צבאיות (סייבר-קומנד, יחידות מודיעין של צבא/צי/אוויר), השירות החשאי, שירות הביון של מחלקת המדינה, ועוד.
הייחוד של NCIJTF הוא יצירת “תאי משימה” לפי איומים. לדוגמה, כאשר צץ איום של קבוצת כופרה גדולה, יוקם תא משימה שיכלול סוכן FBI, נציג NSA, אנליסט DHS וכו’, הם יושבים יחד, חולקים מידע מודיעיני ומגבשים תמונת מצב. המטרה: לזהות, לסכל ולשבש את האיום. היכולות המשולבות משמעותיות: ה-NSA עשוי להביא התרעה שמגיעה מחו”ל (איתור תקשורת חשודה), ה-FBI יכול לחקור בארה”ב, DHS מזהיר חברות ומכין תגובה, וכולם תחת קורת גג אחת. ה-NCIJTF הוגדר כ”מוקד הלאומי לתיאום, אינטגרציה ושיתוף מידע בחקירות סייבר”. הנשיא הכיר בו כבעל תפקיד מוביל בביטחון סייבר לאומי.
JTTF ו-Task Forces אחרות: בנוסף ל-NCIJTF הארצי, בכל משרד שדה של ה-FBI קיימת Cyber Task Force אזורית. היא כוללת לא רק סוכני FBI, אלא גם שוטרים מקומיים ומדינתיים שהוקצו אליה, ולעיתים נציגים מסוכנויות כמו החשאי, שירות הביקורת הדואר (בעבירות סייבר של דואר), וגורמי תביעה. כך מבטיחים שברמת השטח, כאשר יש חקירה, יש הרמוניה בין רשויות, לדוגמה, אם פריצה מערבת גם גניבת כסף, סוכן ה-FBI יעבוד עם סוכן חשאי בלי התנגשות סמכויות. כוח המשימה חולק משאבים ומידע.
השותף האחראי המקביל: השירות החשאי (USSS), גם השירות החשאי, מעבר לתפקידו בשמירת אישים, חוקר פשעים פיננסיים ומודרניים (זה היסטורי מתפקידו נגד זיוף כסף). יש לו יחידת Cyber Investigations שמתמקדת בהגנה על תשלומים, אשראי, ובנקאות. כדי למנוע כפילות, קיים תיאום: במקרים כמו פרשת שאלון (הבנקים והבורסה) שהזכרנו, גם ה-USSS היה חלק. למעשה, בהכרזה שם שיבחו את “המחויבות לשתף פעולה” ומניעת חפיפה. לרוב, ה-FBI לוקח את ההובלה בחקירות רחבות או כאלה עם היבט ריגול/מדינתי, ואילו ה-USSS מוביל לעיתים בתיקים של כנופיות גניבת אשראי וכו’. הם מחליפים מידע דרך JTTF/סייבר task forces, ומנהלים מבצעים משותפים (כמו אותו כתב אישום New York שבו הופיעו יחד ראש FBI NY וראש USSS NY בהודעה).
מחלקת ביטחון המולדת (DHS), כיום הסוכנות המרכזית בהקשר זה היא CISA (Cybersecurity and Infrastructure Security Agency). תפקידה “הגנת הנכסים”, כלומר לעבוד עם חברות ותשתיות קריטיות למגן, להזהיר, ולסייע בשיקום. בזמן אירוע, CISA ו-FBI עובדים יד ביד: ה-FBI מתמקד בתוקף (ראיות, ייחוס), ו-CISA בקורבן (איך לתקן, איך להמשיך עבודה). הם מוציאים גם הודעות משותפות, למשל הרבה alerts joint FBI-CISA על נוזקות ספציפיות של מדינות (כמו התרעה משותפת עם ישראל על פריצה איראנית PLC). גם בעת משברים, יש מרכזי Fusion, למשל בעת בחירות, אנשי CISA ו-FBI יושבים יחד במרכז מבצעי כדי לעבד כל דיווח. זה שונה מתפיסת עבר שבה היו חיכוכים, כיום נהוג לדבר על “whole of government” approach, וכל גוף שותף בתחומו.
סוכנויות מודיעין, NSA, CIA: ה-FBI הינו חלק מקהילת המודיעין האמריקנית (IC). בעוד CIA פועל רק חו”ל ו-NSA בעיקר חו”ל (ולאכוף חוקים זה לא תפקידם), הרי שחומר מודיעיני שלהם חיוני לחקירות FBI. כאמור, ה-NCIJTF נותן מסגרת. בנוסף, הצבת קציני קישור, למשל, יש אנשי NSA בתוך מטה ה-Cyber Division וההפך, כדי שחומר יזרום מהר. כאשר NSA מזהה קבוצה איראנית פורצת למטרות בארה”ב, היא תעביר מייד ל-FBI, שבתורו ינסה להתריע לקורבן ולהתחיל תיק חקירה. ה-CIA עשוי לספק מידע על האקרים ידועים בחו”ל, למשל, CIA עקבה אחרי פעילות של אנונימי רוסי, ואם הוא נוסע למדינה עם הסכם הסגרה, CIA+FBI יתריעו לעצרו שם.
הכוחות המזוינים ופיקוד הסייבר: כאן יש שיתוף פעולה מעניין, פיקוד הסייבר (USCYBERCOM) ו-NSA יכולים לתקוף בחזרה. לפי עדויות, ה-FBI מספק להם מידע על תשתיות זדוניות של אויבים שעלו בחקירות, כדי שיוכלו (בהחלטה לאומית) לנטרלן או לנצלן. למשל, FBI מוסר לפיקוד הסייבר כתובות IP של שרת רוסי ששולט בבוטנט, הפיקוד עשוי לשגר מתקפה כדי להשבית. זה כמובן קורה במסגרת ועדות בין-סוכנות (NSC וכו’), אבל ה-FBI הוא מקור למידע ושותף בתכנון. דוגמה: לפני בחירות אמצע 2018, ארה”ב ביצעה פעולות תקיפה כדי לנתק אינטרנטית את “סוכנות מחקר האינטרנט” הרוסית (חוות הטרולים) כדי שלא תפריע. FBI סיפק דאטה ויעדים.
הפרקליטות (Department of Justice): זהו שותף פנימי, שכן ה-FBI כפוף ל-DOJ. בפרט, מחלקת פשעי מחשב וקניין רוחני (CCIPS) של DOJ עובדת עם סוכני FBI בתיקים המורכבים. הם מייעצים משפטית תוך כדי חקירה, מכינים בקשות צווים טכניות (לדוגמה: צו לפריסת NIT), ומגינים על צעדי FBI בבית משפט כשיש ערעורים. כמעט בכל כתב אישום שהוזכר לעיל, היתה מעורבות של פרקליטים מ-CCIPS או פרקליטויות המחוז.
המגזר הפרטי: גם הוא שותף. ה-FBI מחזיק קציני קישור לתאגידים גדולים, במיוחד במגזרי תשתית, פיננסים וטכנולוגיה. אותם קצינים מקיימים קשר שוטף, ושיתוף מידע דו-כיווני. לדוגמה, בבנקים גדולים יש סוכני FBI בתפקידים כמקשרים. הם לא מוסרים סודות, אבל מאפשרים שבמקרה אירוע, הדיווח יהיה מהיר והאמון קיים. תכנית InfraGard שצוינה, ועוד אחת, NCFTA (National Cyber-Forensics & Training Alliance), ארגון ללא כוונת רווח שה-FBI סייע בהקמתו בפיטסבורג, שבו אנשי תעשייה, אקדמיה ו-FBI משתפים מידע בפשיעת סייבר (בעיקר פיננסית) בסביבה ניטרלית. NCFTA תרמה למשל בהפלת אתרי פישינג והבוטנט GameOverZeus.
שיתופי פעולה בינלאומיים
הטבע הבינלאומי של פשיעת הסייבר כופה על ה-FBI לחפש שותפים בכל העולם. הזרוע לכך היא תוכנית הנספחים המשפטיים של ה-FBI (Legal Attaché, או בקיצור Legat), ל-FBI מעל 70 משרדי נספחים בעולם (בדרך כלל בשגרירויות ארה”ב). משרדים אלה מכסים מעל 180 מדינות, ומשימתם לבנות קשרים עם רשויות אכיפה מקומיות ולסייע בחקירות חוצי-גבולות.
כאשר מתעורר חשד או צורך לפעולה במדינה אחרת, ה-Legat של אותה מדינה הוא נקודת הקשר. לדוגמה, במקרה Shalon/ישראל, ה-Legat בתל אביב עבד עם משטרת ישראל לתכנן מעצרים במקביל לפרסום כתב האישום בארה”ב. במקרה הפלת botnet בינלאומי, ה-Legat בהולנד עבד עם המשטרה ההולנדית על צווים עבור שרתים שם, וכו’.
מעבר לקשרי נספחים בילטרליים, ה-FBI חבר פעיל בארגוני אכיפה בינ”ל:
- אינטרפול (Interpol): ה-FBI הוא לשכת אינטרפול ארה”ב. בתחום הסייבר, אינטרפול מקיים מבצעי cyber, למשל Operation Lyrebird נגד הונאות טלפוניות באפריקה וכו’. בדרך כלל, ה-FBI מספק מומחים למבצעים אלו, ונהנה ממנגנון ה-Notices (הודעות אדומות) כדי לתפוס עברייני סייבר שנמלטו. למשל, Aleksei Burkov הרוסי נעצר בישראל על סמך “Red Notice” של אינטרפול שהוציא ה-FBI.
- יורופול (Europol): ה-FBI מקיים נוכחות קבועה במטה יורופול בהאג. יורופול מפעילה את EC3 (European Cybercrime Centre), מרכז פשיעת הסייבר האירופי שהוקם ב-2013, אשר תומך במדינות האיחוד בחקירות, מחזיק מאגרי מידע ופורומים לשיתוף מודיעין. ה-EC3 גם מארגן Joint Cybercrime Action Taskforce (J-CAT), כוח משותף שבו קציני סייבר ממדינות שונות יושבים בהאג ומתאמים מבצעים נגד יעדים מוסכמים. ל-FBI יש נציגים ב-JCAT מיומו הראשון. כתוצאה מכך, כמעט כל מבצע סייבר רחב באירופה כולל תרומה אמריקאית: מבצע דרקון נגד כופרה? יש מידע FBI; הפלת darknet market, FBI שותף (Alphabay, WallStreetMarket).
- שיתופי פעולה אזוריים: מעבר ליורופול, ה-FBI סוגר קשרים אזוריים, לדוגמה עם ארגון AMS (אסיה/אוסטרליה), יש מזכר הבנות בין ה-FBI למקביליו במדינות אסיה לטיפול בהונאות מקוונות.
- סוכנויות מודיעין זרות: לעיתים, אם מדובר באיומים מדינתיים, ה-FBI ייצור קשר עם שירותי ביטחון ידידותיים (MI5/Mi6 בריטניה, BND גרמניה, שירותי ביטחון בישראל וכו’). לא על הכל אפשר לפרסם, אבל למשל, אחרי סייבר איראני נגד ישראל, FBI-NSA-ישראלים ישבו והוציאו אזהרה משותפת. כנ”ל קרה מול איחוד אמירויות ועוד.
דוגמה נוספת: המעבדה לפשיעת סייבר של INTERPOL בסינגפור, ארה”ב שמה שם מומחים (ייתכן FBI או סוכנות אחרת) שמסייעים בהדרכת שוטרים ממדינות שאין להן יכולת.
מבצעים משותפים: כבר הוזכרו רבים, GameOverZeus (FBI+Europol+עשר מדינות), Emotet (2021, הפלת בוטנט בניהול הולנדי אבל עם FBI, עוד 7 מדינות; FBI כתב סקריפט לניקוי הנוזקה והטמיעו אותו בשרתים שנתפסו, בדומה ל-Coreflood אך גלובלי).
הדדיות והסגרות: פעמים רבות שיתוף הפעולה הוא שהמדינה האחרת תבצע מעצר בשביל ה-FBI, ואז תסגיר את החשוד לארה”ב. הזכרנו הרבה: מעצרי הישראלים בשאלון, מעצר בורקוב בישראל, מעצר סברין זוטוב (האקר רוסי) בגאורגיה 2010, מעצר ילן טופ (הכופרה) בגרמניה 2022, מעצר וסינסקי (אוקראיני) בפולין, וכן הלאה. במקרים אחרים, ה-FBI מחכה שהחשוד יצא ממדינת המקור. יש פרשות שה-FBI אפילו עשה פעולות של ממש בחו”ל: למשל, ב-2014 סוכן FBI הגיע לאיי המלדיביים ועצר שם את רומן סלזנב (האקר רוסי שגנב מיליוני כרטיסי אשראי), בלי אמנת הסגרה (המלדיביים גירשו אותו רשמית והוא נאסף בטיסה אמריקאית). רוסיה כעסה, אבל סלזנב נשפט בארה”ב ל-27 שנה. מקרה זה מראה שגם מחוץ לאירופה/ישראל, FBI מוצא דרכים, תוך שמירה על מראית חוקית מקומית.
דיפלומטיה של סייבר: למעשה, ה-FBI משמש ככלי דיפלומטי רך דרך הנספחים. בניית אמון עם משטרות (החלפת מומחים, אירוח קורסים) מחזקת קשרים כלליים. לדוגמה, ה-FBI מארגן הכשרות בינ”ל, כנסים להתמודדות עם כופרה, תוכניות Fellowship (שוטרים זרים שעובדים כמה חודשים ב-FBI להיכרות).
לבסוף, הודות לשיתופי הפעולה, אפשר לומר שהיום אין כמעט חקירת סייבר גדולה שה-FBI עושה לבדו, תמיד יש לפחות שיתוף מידע עם אחרים. כפי שנכתב בעדות קונגרס: “כשאנו משתמשים בסמכויות המשלימות של כל הסוכנויות יחד, אנו יוצרים שלם הגדול מסכום חלקיו”.
שיתופי פעולה עם ישראל
הקשרים בין ה-FBI למדינת ישראל בתחום אכיפת החוק תמיד היו הדוקים, במיוחד כנוגע לטרור ופשיעה בינלאומית. בעידן הסייבר, ישראל הפכה לשותפה מרכזית של ארה”ב, ופעילות ה-Cyber Division שזורה במספר רב של אינטראקציות עם גורמים ישראליים: משטרת ישראל, זרועות הביטחון, גופי הסייבר הלאומיים ואפילו התעשייה הישראלית.
הקשר המוסדי: נספח ה-FBI בישראל
ל-FBI יש משרד נספחות (Legal Attaché) בשגרירות ארה”ב בתל אביב, האחראי על הקשר עם גורמי האכיפה בישראל (וגם ברשות הפלסטינית). בתוך משרד זה מונה ב-2019 קצין מיוחד לתחום הסייבר, Assistant Legal Attaché for Cyber, תפקיד שבא לאותת על החשיבות. הדמות הידועה במשרה זו בראשית דרכה היה סוכן בשם רייזין “ריי” רואץ’-ואדן (Raysyn Roach-Vaden). תפקיד הנספח לסייבר הוא לבנות מערכת יחסים הדוקה עם כל הגופים הרלוונטיים בישראל:
- היחידה הארצית לחקירות הונאה/סייבר של משטרת ישראל (להב 433), זו היחידה המקבילה במשטרה שמתעסקת בפשעי מחשב.
- יחידת הסייבר בפרקליטות המדינה, שאחראית על מדיניות תביעות בעבירות מחשב, ואכיפה מול תוכן לא חוקי מקוון.
- מצ”ח בצה”ל או גורמי מודיעין צבאיים, בעיקר כשמדובר על איומים משותפים (כמו מעקב אחרי פעילות איראנית שמשפיעה על שני הצדדים).
- מערך הסייבר הלאומי (INCD), המטה הישראלי להגנת סייבר אזרחית, שעובד מול המגזר האזרחי בדומה ל-CISA.
הנספח מעביר בקשות רשמיות ולא רשמיות. אם ה-FBI צריך מידע מחקירה בישראל, הוא יכול לבקש דרך ערוץ ה-MLAT (אמנה משפטית), אך פעמים רבות הדרך המהירה היא טלפון ישיר. “אנחנו משתפים פעולה במקרים רבים מאוד ב-20 השנים האחרונות, פשע מאורגן, הלבנת הון, סמים”, אמר ניצב (בדימ’) קורס שפיקד על היחידה הארצית לחקירות הונאה. כיום נוספו לזה גם סייבר: רואץ’-ואדן סיפר ב-2019 שהוא הצליח “לתאם על איומי ביטחון לאומי, כופרה, האקרים, הונאות ברשת… אלו סוג החקירות שאנחנו עובדים עליהן” עם ישראל.
היתרון הוא שיש קשר ישיר כמעט בזמן אמת: “אנו עובדים עם משטרת ישראל כמעט בזמן אמת לשתף מידע. להם יש את הטלפון שלי ולי את שלהם. אני יכול לקבל מידע מהחוקרים בארה”ב ולהעביר אליהם מיידית. אנחנו מנסים לעשות זאת בקנה מידה עולמי”, אמר הנספח. זה מעיד על שיתוף גמיש ולא בירוקרטי.
משטרת ישראל וה-FBI: חקירות משותפות והסגרות
משטרת ישראל היא השותף העיקרי בשטח. כבר הזכרנו מספר מקרי מפתח:
- מעצר האקרים ישראלים בהליכים אמריקאים: פרשת Gery Shalon ושותפיו (2015), מעצר בו-זמני בישראל של שני ישראלים לפי בקשת FBI. הם הוסגרו לאחר הליכים משפטיים בישראל (שאלון ב-2016, אורנשטיין ב-2017, ככל הידוע).
- Aleksei Burkov (2015), אולי דוגמה מובהקת: בורקוב היה רוסי שפעל ברשת “CardPlanet” למכירת אשראי גנוב. הוא נעצר בישראל בדצמ’ 2015 כשניסה לצאת דרך נתב”ג, לבקשת ה-FBI. רוסיה דרשה גם היא (הייתה לו גם עבירת מחשב שם), ופתחה מו”מ כולל קלף: מעצר צעירה ישראלית (נעמה יששכר) במוסקבה כ”קלף מיקוח”. ישראל בלחץ דיפלומטי, ולבסוף בג”ץ אישר הסגרתו לארה”ב ב-2019. הוא הוסגר, הודה בעבירות, נידון ל-9 שנים. מקרה זה המחיש את עומק שיתוף הפעולה: ישראל, מול לחצים לא פשוטים מרוסיה, בוחרת לכבד את בקשת ה-FBI ולהסגיר. מנגד, ארה”ב שיבחה את ישראל וממשל טראמפ שחרר את יששכר כמחווה.
- רוסטיסלב פאנב (2024), טרי כאמור: פאנב, רוסי-ישראלי, מפתח כופרה LockBit, נעצר בישראל (אוג’ 2024) על סמך צו מעצר אמריקאי. ב-Dec 2024 פורסם כתב האישום הפתוח נגדו וצוין שהוא בהליך הסגרה. זוהי עוד המחשה: FBI מסמן יעד, גם אם בעל אזרחות ישראל, וישראל פועלת. יש כמובן הליך משפטי פה (הסגרה של אזרח היא עם הבטחה לריצוי עונש בישראל לרוב).
מעבר להסגרות, משטרת ישראל וה-FBI מבצעים חקירות מקבילות ומתואמות. למשל:
- פרשת Binary Options: שנים של הונאות מסחר אונליין יצאו מישראל, רימו אלפי נפגעים בעולם. ה-FBI פתח חקירות; ישראל סגרה את התחום בחקיקה ב-2017. ב-2019 הוסגרה לארה”ב לראשונה מתווכת בתחום זה, ליאה בוזגלו (נידונה ב-2020). FBI עבד מול היאחב”ל (להב 433) לאסוף ראיות בישראל.
- תשתית Botnet בישראל: היו כמה מקרים, למשל בתחילת העשור, חוקרי FBI הגיעו לישראל לתפוס שרתים ששימשו כנודי ביניים לבוטנטים בינלאומיים. ישראל לרוב סייעה בצווים מקומיים (אם כי אינפו זה פומבי חלקי).
- הגנת אירועים: כשישראל אירחה את אירוויזיון 2019, היו חששות מתקפות סייבר (איראניות/פרו-פלסטיניות). ה-FBI הציע סיוע מודיעיני, ויתכן שהיה מעורב מאחורי הקלעים בזיהוי ניסיונות (לא נרחיב כי פרטים לא גלוים, אך ידוע על שיתוף פעולה באבטחת אירועים בינ”ל בישראל).
צה”ל וקהילת הביטחון, שיתוף במודיעין סייבר
צה”ל (יחידות סייבר): ל-FBI אין ממשק אופרטיבי ישיר עם צבא זר, אבל בישראל הקו בין צבאי לאזרחי מטושטש בתחום הסייבר:
- 8200 (היחידה הטכנולוגית מודיעינית), עוסקת בסיגינט כולל סייבר. ייתכן ש-8200 משתפת מודיעין עם NSA, וזה עובר גם ל-FBI אם רלוונטי לאכיפה (למשל, 8200 איתרה early warning על מתקפה איראנית לארה”ב, אולי תעביר).
- מערך ההגנה בסייבר של צה”ל: זהו גוף שמגן על רשתות צה”ל, לא רלוונטי ישירות ל-FBI אלא אם יש תקיפה משותפת (איראן למשל ניסתה גם על צה”ל וגם על ארה”ב, אז לחלוק ממצאים).
- המוסד והשב”כ:
- שב”כ מופקד על אבטחת סייבר של תשתיות בישראל (לצד מערך הסייבר). יש מקרים שהשב”כ זיהה תשתיות תקיפה איראניות ותדרך את ה-FBI. למשל, ב-2020 קבוצה איראנית תקפה מערכת מים בישראל (אירוע זיקוקי מים), השב”כ חשף אותה, ו-FBI/סוכנויות אמריקאיות קיבלו אזהרה (כי ראו ניסיון דומה בארה”ב אולי).
- המוסד, אם ייפול לידיהם מידע על תוכניות סייבר נגד ארה”ב, ודאי ישתפו דרך ערוצי קהיליית המודיעין.
מכאן ששיתוף הפעולה המודיעיני עם ישראל חזק. ישראל חברה בברית “עיניים 6” (six eyes) בסייבר יחד עם חמש העיניים המסורתיות? לא רשמית, אבל יש אינדיקציות לשיתוף חזק. למשל, קיים Cyber Cell במסגרת השיחות האסטרטגיות ארה”ב-ישראל, שבו נציגים (כולל FBI) ודנים בהאקרים איראניים וכו’.
המערך הקיברנטי הלאומי (INCD) ושיתוף ידע
מערך הסייבר הלאומי (Israel National Cyber Directorate, INCD) הוא גוף המטה האזרחי-ממשלתי של ישראל בסייבר, כולל מרכז CERT הלאומי. לפי דיווחים, נספח ה-FBI יזם חיבור עם ה-INCD בשנים האחרונות. הרציונל: חברות הטק הישראליות וגם זירה ישראלית מותקפות לעיתים בידי אותם גורמים שמכוונים לארה”ב. אם INCD רואה מתקפה מעניינת (נניח וריאנט חדש של כופרה, או מתקפה על חברה אמריקאית עם סניף בישראל), הם יכולים לתאם עם ה-FBI לחקור ביחד. למעשה, ב-2020 הוקמה קבוצת עבודה משותפת ארה”ב-ישראל בממשל טראמפ למאבק ברansomware ובאיומי סייבר, עם נציגי FBI ו-INCD ושב”כ.
התוצאה נראתה ב-2022-2023 כאשר FBI, משרד האוצר האמריקאי ו-INCD פרסמו התרעות משותפות על פעילות איראנית נגד מטרות ישראליות ואמריקאיות. הם ניתחו יחד את וירוסי Pay2Key, Black Shadow וכו’ והוציאו מסמך וגרסה לציבור. זה היה סממן לשקיפות ושילוב מידע. גם בשנים קודמות, פרסם ה-FBI Flash (התראת דחף) עם INCD לגבי וירוס Iranian Emennet Pasargad שניסה להשפיע על בחירות ארה”ב ותקף גורמים בישראל.
התעשייה הישראלית, שיתוף פעולה טכנולוגי
לא ניתן שלא לציין שבישראל יש חברות מובילות בעולם בתחום הסייבר (גם התקפי וגם הגנתי). ה-FBI, כמחפש כלים, יצר קשר עם חלקן:
- NSO Group, כאמור, FBI רכש (2019) רישיון לפגסוס לניסיון במעבדה. גם חברת Paragon הישראלית (תוכנת ריגול לגיטימית) הציעה מוצר. FBI בסוף לא השתמש מבצעית (נושא משפטי), אבל הנכונות מראה פתיחות.
- חברות כריית בלוקצ’יין, Chainalysis (אמנם אמריקאית-דנית) מעסיקה הרבה ישראלים ויש לה משרד פה, לעיתים FBI נפגש עמם כאן.
- Cyber Reason, Check Point, Palo Alto Networks, חברות הגנה ישראליות שמנהלות מעבדות איומים, חולקות דוחות עם FBI.
בנוסף, FBI משתתף בכנסי סייבר בישראל (למשל CyberTech בת”א, Cyber Week באוניברסיטת ת”א). הנספח נואם שם ומדגיש שיתופי פעולה (צוטט: “כשאנחנו דופקים בדלת בישראל, יודעים שבאנו לעזור”, אמר רואץ’-ואדן בכנס).
סוגי מקרי סייבר עם זיקה ישראלית שטופלו בשותפות
עברייני סייבר ישראלים: לצערה, ישראל הצמיחה גם האקרים שפעלו נגד ארה”ב. מעבר לשאלון ואורנשטיין שהוזכרו:
- 2017: צעיר ישראלי בשם מייקל ק. (קטין) נעצר באשקלון כי איים בכ-2000 איומי שווא על מוסדות בארה”ב (מרכזים יהודיים בעיקר). FBI עקב אחריו, העביר ראיות למשטרה פה, הוא נתפס, נשפט בישראל ל-10 שנים.
- 2020: ישראלים מפעילי אתר DeepDotWeb (פורטל שקישר לשווקים אפלים) נעצרו ע”י ישראל והוסגרו לארה”ב, נשפטו (נידונו ב-2021 לפדרלי).
- 2022: ישראלי בשם גל ברם הוסגר לארה”ב הואשם במעורבות בהלבנת $75 מיליון בקריפטו (לינקדאין מרמז שעבד עם איראנים).
- Israelis with ransomware: החשד שמספר ישראלים היו חלק מצוותי כופרה בינ”ל, אם יזוהו, כנראה יש שיתוף פעולה.
- פרשות ביטחוניות: 2021, עובד של חברת סייבר ישראלית ניסה למכור קוד סודי לסוכן FBI בחו”ל והוסגר לישראל.
יעדי מתקפה ישראליים עם חקירה אמריקאית:
- דוגמה: 2013-2014 האקרים איראניים (צוות Charming Kitten כנראה) חדרו למחשבי חברות ביטחון ופקולטות בישראל וארה”ב במקביל (מבצע Saffron Rose). FBI ושב”כ חלקו נתונים.
- 2020: BlackShadow (איראנית) פרצה לחברת ביטוח ישראלית, דרשה כופר בביטקוין. FBI הציע סיוע בניתוח כתובות וכד’.
היחסים עם ישראל בתחום הסייבר הם רב-שכבתיים: אסטרטגיה (פורומים משותפים נגד אויבים משותפים, בעיקר איראן), טקטיקה (חקירות משותפות והסגרות), וטכנולוגיה (החלפת ידע וכלים). ישראל רואה ב-FBI שותף מועדף, ואכן, יותר קלה לעבוד מולו מאשר מול גופי מודיעין אמריקאיים (שם יש בירוקרטיה). מבחינת ה-FBI, ישראל היא מקור עשיר של מודיעין סייבר אזורי (מזרח תיכון) וhub של הרבה עברייני colar לבן-אפור (ע”ע הונאות פיננסיות).
במילותיו של נספח ה-FBI: “אני יכול תוך שיחת טלפון למשטרה או סוכנויות אחרות לקבל מישהו שכבר עבד עם ה-FBI, יש אמון. תפקידי הוא להמשיך לבנות את האמון הזה”. נראה שאמון זה מתבטא בפועל במעצרים והצלחות.
מיקום סניפים ודרכי יצירת קשר
ה-Cyber Division עצמה יושבת כאמור בהמטה של ה-FBI בוושינגטון די.סי. (J. Edgar Hoover Building). אולם, הפעילות המבצעית של היחידה מתפרסת על פני כל ארצות הברית והעולם, הודות לפריסה הרחבה של סוכני סייבר במשרדי השדה והנספחים.
- 56 משרדי השדה (Field Offices): לכל משרד שדה ראשי של ה-FBI (בכל מדינה מרכזית, ניו יורק, לוס אנג’לס, שיקגו, מיאמי, דאלאס וכו’, סה”כ 56) יש צוותי סייבר ייעודיים. הם לעיתים נקראים Cyber Squad או Cyber Task Force. בכל אחד ממשרדים אלה ישנם חוקרי סייבר שמטפלים באירועים מקומיים. המשמעות היא שאם תושב כלשהו בארה”ב נופל קורבן לפשע סייבר משמעותי, הוא יכול לפנות למשרד השדה המקומי והם יפעילו את צוות הסייבר שם.
- למשל, משרד ניו יורק של ה-FBI (FBI New York), מחזיק יחידה הנקראת CY-1, CY-2 (לענייני סייבר-פיננסי וסייבר-נציונל בטחון). אותו דבר במיאמי, סן פרנסיסקו וכד’.
- כתובות וטלפונים: לרשימה המלאה של משרדי השדה, כולל טלפון, ניתן לגשת דרך אתר ה-FBI. כל משרד שדה מציג דף “Contact Us”. לדוגמה, FBI Boston, כתובת רח’ מרטלבורו בבוסטון, טלפון וכו’.
- צוות התגובה המהירה (CAT), הבסיס שלו במטה, אך הוא נוסע לאן שצריך. אין “מיקום” קבוע, אלא תלוי אירוע.
- מרכזים ומתאמים לאומיים:
- ה-NCIJTF, יושב גם הוא פיזית ליד וושינגטון (בווירג’יניה). שם נמצא מרכז התיאום שבו נציגי הסוכנויות. זה לא מרכז שפונים אליו ציבורית, אלא גורמי ממשל.
- IC3 (Internet Crime Complaint Center), נמצא פיזית בווסט וירג’יניה (Fairmont, WV). הציבור יכול לדווח אונליין באתר IC3 על כל תלונה של פשע אינטרנט (phishing, הונאה וכו’). דיווח ל-IC3 זו דרך רשמית שה-FBI מעודד: כ-800,000 תלונות בשנה מתקבלות שם (לפי דו”חות אחרונים). ה-IC3 מנתח ומעביר למשרדי השדה. כתובת האתר: www.ic3.gov:contentReference[oaicite:121]{index=121} (יש טופס אינטרנטי, אין קבלת קהל פיזי).
- InfraGard, לא בדיוק משרד, אלא רשת. בערים רבות יש Chapters של InfraGard שמקיימים מפגשים בין אנשי תעשייה ל-FBI. ניתן לבדוק באתר ה-FBI איזוריים מי מתאם InfraGard מקומי ולהצטרף (לכל Chapter יש אימייל).
- משרדי נספחים בינלאומיים (Legal Attaché Offices):
- כפי שתואר, יש כ-63 משרדים ראשיים ועוד כ-30 נספחי משנה בעולם. מבחינת מיקום: כל שגרירות ארה”ב גדולה, לונדון, פריז, רומא, תל אביב, ניו דלהי, טוקיו וכו’, יש בה נספח FBI.
- בישראל: הנספח נמצא בשגרירות האמריקאית בירושלים (לאחר העברת השגרירות מת”א ב-2018). עם זאת, סביר שיש גם משרד בתל אביב (מאז הרבה גורמים אמריקאים שמרו משרדים במתחם הישן בשגרירות).
- הציבור לא פונה לנספח ישירות. קשר עם נספחות נעשה דרך משטרות מקומיות. כלומר, אם משטרת ישראל רוצה סיוע, היא תפנה לנספח FBI בישראל; אם אזרח ישראלי רוצה לדווח ל-FBI, רצוי דרך ה-IC3 או דרך פנייה ישירה למשרד שדה בארה”ב אם יש לו איש קשר, ולא דרך הנספח.
- ערוצי דיווח ומידע לציבור:
- אתר ה-FBI מדור “Cyber Crime”, מספק מידע על איומים וטיפים למניעה, וכן קישור ל-IC3.
- קו טלפון כללי: 1-800-CALL-FBI (הקו הארצי), ניתן להתקשר לדווח על אירוע, ומשם מנתבים למשרד מקומי או ל-IC3. אם זה אירוע סייבר רציני (כמו כופרה שפוגעת בבית חולים), ה-FBI מעודד להתקשר מיידית לקו זה או למשרד המקומי.
- כל המשרדים המקומיים, יש מספר טלפון.
- מבצעי הודעה לקהילה: לעיתים, ה-FBI פותח “מרכזי תגובה” בעת אירוע. למשל, אחרי מתקפת Colonial Pipeline, הוקם מעין hotline להודעות ותחקורים.
- רשתות חברתיות: לא ספציפי לסייבר, אבל ה-FBI מפעיל חשבונות (X, פייסבוק) לכל משרד, שמודיעים גם על מבצעי סייבר (לדוגמה, הודעה לציבור אם יש גל הונאת טלפונים).
לגבי יצירת קשר מישראל:
- אם ישראלי חושש מפנייה מה-FBI או מעורב בחקירה, לא מומלץ לפנות ישירות אלא דרך עו”ד (ראו בהמשך).
- אם ישראלי הוא קורבן פשע סייבר שמקורו בארה”ב, אפשר לדווח גם ל-IC3. IC3 מקבל דיווחים מכל העולם, לא רק אמריקאים.
- המשרדים של ה-FBI בישראל (נספחות) אינם כתובת לקהל הרחב בישראל, והם פועלים מול הרשויות. אבל תאורטית, אם אזרח עם מידע רלוונטי יגיע לשגרירות ויבקש לדבר עם נציג FBI, ייתכן שינסו לשמוע.
לסיכום: ה-Cyber Division פרוסה בכל מקום: סוכני סייבר בתוך ארה”ב “בכל שעה יכולים להיות על כל מפתן בית” בארה”ב, ובתוך יום בכל מדינה בעולם דרך הרשת הגלובלית. הדבר ממחיש את פילוסופיית ה-FBI, להיות קרוב לקורבנות וקרוב לזירת הפשע פיזית, גם אם הפשע וירטואלי.
מבנה ארגוני, בכירים ויחידות משנה
הזכרנו קודם את המבנה בענפים (Operations, Intelligence, Capabilities). כאן נפרט מעט שמות ידועים ותתי-יחידות:
- בראש ה-Cyber Division עומד Assistant Director Bryan Vorndran (מאז 2021). לפניו כיהנו בתפקיד בין היתר: Matt Gorham (2018-2020), Scott Smith (2016-2018), James Trainor (2015-2016), Joseph Demarest (2012-2015). גם Shawn Henry היה AD קצרות ב-2010 (אח”כ עבר לפרטי).
- תחת העוזר, יש כמה Deputy Assistant Directors (DADs):
- DAD לענף CPIEB (מדיניות, מודיעין, שיתוף), נכון ל-2023 זו הייתה טוניה אוגורץ (Tonya Ugoretz), ואחריה צynthia Kaiser.
- DAD לענף Operations, היה אחד בשם James “Dave” Allen, לאחרונה יתכן Brian Turner.
- DAD לענף Capabilities, לדוגמה, עם ניסיון טכני עמוק, (שם ספציפי פחות פומבי).
- יחידות משנה ב-Cyber Division HQ:
- Cyber Operations Section, מתחלק עוד לפי איזורי אחריות: למשל, Section שמטפל באיומי פשיעה (criminal cyber), Section לאיומי מדינה (national security cyber).
- Cyber Criminal Operations, אחראי על ריכוז מבצעי כופרה, הונאות, וכד’.
- National Security Cyber, אחראי על ריגול, מדינות וכו’.
- Cyber Intelligence Unit (CybInt), מרכז מודיעין (היה ידוע כ-Cyber Intelligence Section, CYB-IS).
- Cyber Policy and Strategy, מתאם מדיניות פנים-FBI ובינagency.
- Cyber Outreach and Partnerships, קבוצה שמנהלת את שיתופי הפעולה התעשייתיים (InfraGard, NCFTA).
- Emerging Technologies, מו”פ פנימי, לנסות להבין טכנולוגיות חדשות (הצפנות חדשניות, מטאוורס אולי בעתיד).
- Cyber Training and Analysis, מפתח תכניות הדרכה לסוכנים (עובד עם FBI Academy, האקדמיה ב-Kw Quantico).
- Cyber Action Team (CAT), יחידה כאמור תחת המבצעים. יש לה מפקד (ראש CAT) וצוות.
- Advanced Digital Forensics (ADF) Team, כפי שתואר.
- Computer Analysis Response Team (CART), אמנם גלגול ההיסטורי, אבל CART עדיין קיים כגוף מטה המספק כלי פורנזיקה לכל ה-FBI.
- RCFL (Regional Computer Forensic Labs), אלה יחידות נפרדות מבחינה ארגונית (בחטיבת המדע והטכנולוגיה של FBI), אבל בפועל משרתות גם את Cyber Division בחקירות.
- Legal, בתוך היחידה יש יועצים משפטיים (להתמודד עם למשל, הגנת פרטיות, צווי חיפוש, וכו’).
- International Cyber, קבוצת מתאמים שעובדים עם ה-LEGAL ATTACHÉs, למשל: יש “Cyber ALAT Program”, סוכנים שמשרתים בחו”ל כ-ALAT (assistant legal attaché) עם ידע סייבר.
- נציגים ב-NCIJTF, למעשה NCIJTF מנוהל ע”י סגל Cyber Division.
- תרגילים ומשחקי מלחמה, ה-FBI Cyber גם משתתף בתרגילים לאומיים (Cyber Storm וכד’), ומתכנני התרגילים ישבו ביחידה.
בעצם, Cyber Division עובד שכם אל שכם עם:
- Criminal Investigative Division, כי הרבה פשעי מחשב משולבים עם פשע כלכלי/מאורגן.
- Counterintelligence Division, כי חדירות זרות זה CI (מודיעין נגדי). בפועל, Cyber Division מוביל את חקירות הסייבר הלאומיות אבל באנשי הסייבר משולבים לעיתים גם סוכני CI לצוותים.
- מנהל טכנולוגיה (CIO) של FBI, כי הם משתמשים במערכות מחשב מיוחדות, יש צורך לתיאום IT פנימי.
- פיתוח כלים עם Labs, FBI מפעיל המעבדה הלאומית לניסוי שיטות סייבר (לא זוכר שם ספציפי, אך אולי תחת Operational Technology Division).
שמות בולטים:
- James Comey, לפני שהיה מנהל FBI, כמשנה לשר המשפטים ב-2000s עסק בנושא הונאות מחשב. כמנהל, שם את הסייבר בראש סדרי העדיפויות.
- Christopher Wray (מנהל נוכחי), ממשיך הקו, דיבר הרבה על סין כסיכון סייבר עליון.
- Aristedes Mahairas, סוכן מיוחד ניהל את צוותי סייבר בניו יורק, דמות מוכרת (כיום פרש).
- Dmitri Alperovitch, חיצוני, אך היה בוועדה מייעצת. FBI נעזר גם במומחי סייבר פרטיים כ”יועצים” במועצות (InfraGard Board וכו’).
סקירה של תהליך חקירה דיגיטלית (שלבים, אישורים, זכויות נחקרים, רגולציות)
כאשר מתרחש אירוע סייבר שעולה כדי עבירה פדרלית, נפתח ב-FBI הליך חקירה רשמי. התהליך הדיגיטלי משלב שלבים קלאסיים של חקירה פלילית, בתוספת פעולות טכניות יחודיות. נפרט את השלבים העיקריים:
- קבלת המידע ופתיחת תיק: זה יכול להתחיל מתלונת קורבן (למשל דיווח ב-IC3 או שיחה ישירה למשרד שדה), מודיעין מסוכנות שותפה (NSA, משטרה זרה), או יוזמה פנימית (למשל סוכן סמוי שהבחין בפורום). ראש צוות הסייבר במשרד הרלוונטי יחליט לפתוח חקירה רשמית (Case) ויקצה צוות סוכנים ואנליסטים.
- איסוף מודיעין ראשוני: הצוות יבצע OSINT, חיפוש מידע גלוי (דומיין חשוד? מי הבעלים? איזה פעילות ברשת נקשרת אליו). ייתכן שימוש בנתונים ממאגרי FBI קודמים: האם אותה כתובת IP הופיעה בתיק אחר? האם יש מידע מודיעיני קודם על כינוי או נוזקה ספציפית?
- שמירת נתונים (Preservation): אם ידוע שספק (כמו גוגל, פייסבוק, ספק אינטרנט) מחזיק ראיות (למשל לוגים), שולחים מיד מכתב שימור (Preservation Letter) לפי חוק ECPA. זה מבטיח שהחברה תשמור נתונים במקומם עד שיוצא צו. באותו זמן, מכינים צו זימון (Subpoena) או צו בית משפט (Court Order) כדי לקבל את המידע. לדוגמה: לשם חקירת מתחזה במייל, יזמנו את רישומי כתובת ה-IP שממנה ניגש לחשבון.
- פעולות סמויות / טכניות: בהתאם למקרה, עשויות להתחיל כבר בהתחלה פעולות כמו:
- סוכן סמוי שמתחזה לקונה בשוק אפל כדי לצבור ראיות.
- התקנת מכשיר Pen Register/Trap and Trace (ציתות לא תוכן אלא לרשומות תקשורת) על קו אינטרנט (דורש אישור בית משפט).
- בקשה שקטה לספק לדלגייט את Traffic של חשוד (אם מבוצע בצו).
- מעקב פיזי אחרי חשוד אם זוהה.
עבור פעולות כמו Network Investigative Technique (כגון משלוח קוד מעקב למחשב חשוד), צוות החקירה יכין תצהיר לבית משפט שמפרט מה רוצים לעשות, למה זה דרוש, ומציג את ההצדקה החוקית (בד”כ תחת כלל החיפוש Rule 41). צריך לשכנע שופט שיש “Cause”, סיבה סבירה.
- קבלת צווים וחיפושים:
- צו חיפוש דיגיטלי: אם יודעים מיקום שרת או חשוד, משיגים צו חיפוש, מבצעים Image של ההתקנים. אם זה בענן, חברה תספק נתונים (לדוגמה, מיילים מחשבון Gmail).
- חיפוש פיזי: לעיתים קרובות בוחרים לתזמן פשיטה על בית/משרד החשוד כך שייתפס גם כל הציוד לפני שימחק. כשנכנסים עם צו, מומחי FBI מיד מנתקים את המחשבים מנטו, מצלמים זירה ויוצרים העתקים.
- מעצר וחקירת הנחקר: אם יש מספיק ראיות וחשש לשיבוש, לעיתים המעצר קורה אז. בזמן המעצר, יש זכויות לנחקר, יקראו לו מירנדה (הזכות לשתוק, לעו”ד). אנשי FBI מיומנים בחקירת חשודים בפשיעת מחשב, ינסו לגרום לו לדבר (אולי יציעו חסינות מסוימת אם יסגיר שותפים, וכו’). זכותו של הנחקר לסרב לדבר, ואז לא יחקרו אלא אם עו”ד מגיע ומסכים.
אם החשוד לא מזוהה עדיין (למשל רק IP ברוסיה), לא מעצר, אבל פותחים תיק שמו. אולי יחליטו להעמידו לדין בהיעדר. או ממתינים להזדמנות (כניסה למדינה שלישית).
- ניתוח הפורנזי של הראיות: לאחר תפיסת מכשירים, מתחיל שלב לעומק:
- יוצרים Forensic Image לכל דיסק (תוך חישוב hash לאימות).
- חוקרי הפורנזיקה בודקים דוא”לים, קבצים, צ’אטים. משתמשים בתוכנות כמו EnCase, FTK לאינדקס וחיפוש מילות מפתח (למשל “wallet.dat”, “bitcoin”, או שמות שותפים).
- מנסים לשחזר קבצים שנמחקו, לבדוק היסטוריית דפדפן, מסמכים.
- אם ההתקן מוצפן והסיסמה לא ידועה, ייתכן פנייה לבית משפט לחייב את החשוד לתת סיסמה (בארה”ב נושא מורכב; בחלק מהמחוזות חייבים למסור טביעת אצבע או FaceID אם יש, אבל קוד סודי מוגן בזכות תיקון חמישי, עדיין מתנהל בבתי משפט).
- משלבים רישומי תקשורת: למשל, אם התקבלו מהספק לוגים IP, משווים לזמני התחברות של מכשיר החשוד, כדי לקשור.
- שימוש בכלי אנליזה מתקדמים: בשלב זה אולי מערבים את יחידת המודיעין לנצל מידע מעבר, האם החשוד חבר בפורום x? האם כתובת הביטקוין שנמצאה הופיעה בתיקים אחרים? פה נכנס שילוב עם מודיעין FBI/NSA.
- להרבה חקירות כעת יש רכיב בלוקצ’יין אנליטיקס, מעבירים כתובות לאנליסט שמשרטט תרשים זרימה של הכספים, לראות איפה התפצלו ואם נכנסו לבורסות (ואז מזמנים את הבורסה).
- ניתוח קשרים: FBI משתמש בכלי Link Analysis (i2 Analysts Notebook וכו’) כדי למפות את הקשרים בין אנשים, טלפונים, אימיילים.
- היבטי חקירה מסורתיים: לא להזניח, גם בפשיעת סייבר, FBI יפעיל לפעמים מודיעים (Informants). נניח תופסים חבר כנופיה קטן, מציעים לו להיות מודיע ו”להפליל” את הבוס.
- אם מישהו הסכים לשתף פעולה, עשויים לתת לו לפעול אונליין תחת פיקוח כדי לתפוס “קודקודים”.
- כמו כן, תשאול עדים וקורבנות: מדברים עם אנשי IT של החברה שנפרצה, לומדים איך קרה כדי להתחקות טכנית.
- ניהול משפטי וזהירות: לאורך החקירה, התובעים מעורבים. הם יוודאו שהראיות הושגו כחוק, שלא היו חריגות (למשל, אם FBI פרץ בלי צו, ההגנה תפסול ראיה; לכן נזהרים).
- כל צו חיפוש ניתן עשוי להתמודד עם Motion to Suppress בהמשך, אז החוקרים מכינים דו”ח מסודר על השתלשלות.
- סגירת מעגל ומעצרים נוספים: לאחר שיש ראיות מספיקות, ה-FBI עם התובעים ירכיבו כתב אישום (או תלונה פלילית). אם החשודים מעבר לים, זה במעמד צד אחד. ינסו אז לתפוס את החשודים:
- דרך הסגרה (פנייה למדינה שלהם, אם יש הסכם; ראינו עם ישראל ואירופה לרוב כן, עם רוסיה/סין לא).
- דרך פיתיונות: היו מקרים ש-FBI פיתה האקר רוסי למדינה שלישית בכנס (כמו בבילון אלקסי/סלזנב).
- או אם כבר נעצרו, להביאם לארה”ב.
- משפט: אם נאשם מגיע למשפט בארה”ב, אנשי ה-Cyber Division יהיו עדים מומחים. הם יצטרכו להסביר לשופט ולמושבעים לפעמים נושא טכני.
- לכן הם מכינים ראיות ויזואליות: גרפים של תעבורה, דיאגרמות, כדי לפשט.
- ההגנה לעיתים תביא מומחה סייבר מטעמה לערער, למשל לטעון: “לא הוכח שהנאשם הוא זה מאחורי כתובת ה-IP”. ה-FBI אז מציג כנגד: “מצאנו את המחשב שלו עם אותו תוכנת VPN ששויכה ל-IP” וכו’.
- זכויות הנאשם: כמו כל נאשם, זכאי לחזקת חפות, ייצוג, עימות עדים, וכו’. אבל בהליך הפדרלי, אם הראיות דיגיטליות טובות, רובם כורתים עסקת טיעון כי אחוז ההרשעה של ה-FBI גבוה.
- לאחר המשפט: ה-FBI לעיתים ממשיך בניתוח, למשל, אם חומרי מחשב הנאשם כוללים שמות שותפים, נפתחים תיקים חדשים. כך רשתות מתגלגלות.
זכויות נחקרים ורגולציות מחמירות
זכויות הנחקר: כל אדם הנחקר ע”י ה-FBI, גם אם לא נעצר, זכאי לזכויות בסיס:
- לא לדבר (התיקון ה-5 לחוקה). ה-FBI, בזמן תחקור לא רשמי (ללא מעצר), אפילו אז, אם לא הוזהר, שיחותיו עדיין יכולות לשמש נגדו, אך אסור לFBI לשקר לגבי הזכויות. הם כן יכולים להשתמש בתחבולות אחרות (להגיד “חבר שלך כבר סיפר הכל” גם אם לא).
- אם נעצר, כמו שצוין, Miranda Rights. במקרה שהוא לא דובר אנגלית, חייבים לתרגם לו. אם הוא ישראלי, יביאו מתורגמן לעברית.
- זכות לעו”ד: בכל שלב. בעבירות פדרליות קשות, אם הנחקר לא יכול לממן עו”ד, מינו לו סניגור ציבורי. יש עורכי דין בארה”ב מומחים להגנת פשעי מחשב. (בהמשך ניגע איך הם פועלים).
- הגנה מפני אמצעי חקירה בלתי חוקיים: ה-FBI לא רשאי למשל לסחוט הודאה באלימות או איום (כמובן).
- אם יש ראיות שנתפסו שלא כחוק, הנאשם יכול לבקש לפסול (הזכות להליך הוגן).
- Chain of custody, חלק מזכויותיו שהראיות לא יזויפו/ישתלו; ההגנה יכולה לבחון את המכשירים שנלקחו, ותהליכי הפורנזיקה מתועדים כדי להוכיח אותנטיות.
רגולציה מחמירה:
- “רגולציות” בהקשר זה הן הכללים שה-FBI עצמו כפוף להם. למשל, ישנם חוקי פרטיות: ה-FBI חייב לציית לכללי איסוף מידע על אזרחים אמריקאים. לדוגמה, אם FBI רוצה לאסוף מודיעין (לא בהקשר תיק פלילי) על אמריקאי ברשת חברתית, יש הנחיות Attorney General Guidelines המגבילות זאת.
- חוק הגנת המידע הפדרלי: מונע מה-FBI לאגור מידע אישי לא נחוץ. לכן, אם מישהו לא קשור לחקירה אבל שמו צץ, מנסים לצמצם חשיפה שלו (או לפסאודונימיזציה).
- דינים בין-לאומיים: אם FBI אוסף נתונים מאירופה, למשל, עליו לכבד חקיקת GDPR במידה שזה בעזרת שיתוף (נושא מסובך, אבל אחרי פס”ד שרמס II, העברת מידע אישי מאירופה לארה”ב דורשת ביטוחי פרטיות).
- אישור שופטים: רגולציה פנימית, כל בקשה לחדור למחשב של מישהו (NIT) דורשת אישור Office of General Counsel בתוך FBI לפני שיפנו לשופט, כדי לוודא שזה מוצדק.
- יחס לנחקרים: ה-FBI בד”כ מיומן ותרבותי, אך עדיין תפקידם חקירתי. בישראל, חקירות משטרה עשויות להיות אגרסיביות; ה-FBI יותר “מנומס” אולי אבל חד. לנחקר בעל רקע טכני (האקר) חשוב במיוחד שיהיה עו”ד כי הוא עלול בתמימות לספק מידע מפליל.
שלבי הליך פלילי לאחר החקירה:
- כתב אישום גרנד-ג’ורי: ברוב המקרים הפדרליים, לפני משפט, המקרה עובר לחבר מושבעים גדול לאשר שקיימות ראיות מספיקות. זה חד-צדדי (בלי הנאשם). אם מאשרים, התיק רשמית הופך ל-indictment.
- דיונים: הנאשם מוקרא לו האישומים. יש אפשרות לעסקת טיעון.
- אם משפט מלא: על התביעה (FBI והפרקליטות) להוכיח אשמה מעבר לספק סביר. אם מורשע, השופט קובע גזר דין לפי מנעד בעבירות (יש guidelines).
- בעבירות סייבר, העונשים מגוונים: גניבת מידע יכולה לגרור שנים ספורות, כופרה יכול להיות עד 20 שנים, אם יש נזק קריטי אולי יותר (וגם קנסות כבדים, חילוט רכוש).
רגולציה טכנית: יש גם “רגולציות” במובן תקנים, למשל Chain of Custody: ה-FBI פרסם ספרי הנחיות איך לשכפל מדיה, איך לא להתעסק במחשב דולק (לצלם RAM לפני כיבוי וכו’). אם לא עומדים בפרוטוקול, ההגנה תטען לפסילת הראיה. לכן הסוכנים חייבים לעמוד בתקנים דיגיטליים מוכרים (ISO 17025 למעבדות פורנזיות למשל).
- גם הדגלת ראיות: יש כלל שנקרא Best Evidence Rule, אם יש לוג דיגיטלי, צריך המקור. הדפסה זה לא מקור, צריך hash. את אלה ה-FBI מכיר היטב.
נושאי פרטיות: אחד המתחמים הרגולטוריים הוא חוק CLOUD (2018), מאפשר ל-FBI עם צו אמריקאי לקבל נתונים מחברות אמריקאיות גם אם מאוחסנים בחו”ל (הפוך תקף בהסכמים). גם Privacy Shield, הסכם נתונים עם אירופה (כרגע לא קיים, עובדים על Data Privacy Framework), ה-FBI התחייב דרך משרד המסחר לצעדים להגנה על נתונים של אירופאים כאשר הם נאספים ע”י רשויות ארה”ב, כולל הקמת בית דין מיוחד לפיקוח.
- לאזרח אמריקאי, אם FBI מאזין לו כחלק מציתות לזר, יש minimization rules (צריך למחוק או לטשטש אם שיחה אישית וכו’).
- לגבי עובדי FBI: אפילו להם יש נהלים, למשל, סוכני FBI לא יכולים סתם לגלוש במידע מודיעיני בלי סיבה (נהלי הצטמקות).
בסופו של דבר, תהליך החקירה הדיגיטלית הוא שילוב בלשי-טכנולוגי הדורש מהחוקרים גם הבנה מעמיקה של מערכות מחשב ורשת, וגם ידע משפטי כדי לא לפרוץ גבולות החוק. כל פשיעת סייבר היא פאזל שחלקיו טכניים (ראיות דיגיטליות) וחלקיו אנושיים (מי עשה, למה). ה-FBI אימן דור של סוכנים המסוגלים לנווט בין שני העולמות, מעבדת המחשב וזירת בית המשפט.
תפקיד עורכי הדין בהתמודדות עם חקירות סייבר של ה-FBI
כשחקירות סייבר של ה-FBI מובילות למעצרים או לחשדות כנגד יחידים, עורכי הדין נכנסים לתמונה כגורם מפתח בהגנה על זכויות הנחקר ובהתוויית האסטרטגיה המשפטית. תפקידם של עורכי הדין (הסנגורים הפליליים) בתיקי סייבר הוא קריטי, ובמיוחד כאשר מדובר בנאשמים זרים כמו ישראלים שנקלעים לחקירה פדרלית. בפרק זה נדון בתפקיד עורכי הדין: החל מהשלבים המוקדמים של החקירה, דרך הליכי הסגרה ומשפט, ועד סיוע מיוחד כמו עורכי דין דוברי עברית.
שלבי המעורבות של עורך דין בתיק סייבר
- ייעוץ מוקדם (Pre-indictment): לעיתים, אדם שומע שהוא “מעניין” את ה-FBI עוד לפני שהוא נעצר או מואשם. למשל, ישראלי שמקבל זימון להתייצב לחקירה בשגרירות ארה”ב, או שמעוברים אליו מסרים לא פורמליים שהוא נחקר. בשלב זה חשיבות עצומה להיוועץ בעורך דין הבקיא במשפט הפלילי האמריקאי. עו”ד יכול ליצור קשר עם התובעים עוד לפני אישום ולנסות להבין את מצב הלקוח, אולי אף למנוע אישום דרך שיתוף פעולה מוגבל.
- לדוגמה, אם ישראלי פעל בפורום האקרים וכעת רוצה “לצאת מזה”, הוא יכול דרך עו”ד להתנדב למסור מידע (כמו להפוך עד מדינה) ובתמורה לא להיות מואשם.
- עו”ד יכול גם להכין את הלקוח אם צפויה חקירה: להסביר על זכות השתיקה, להזהירו שלא להשמיד ראיות (כי זה עצמו עבירה של שיבוש).
- אם ה-FBI יבוא לחיפוש בביתו, עו”ד יתדרך כיצד להתנהג: לשתף פעולה במסגרת החוק, לדרוש לראות צו, לא להסכים לחיפושים מעבר לצו וכו’.
- מעצר וחקירה ראשונית: אם אדם נעצר (בארה”ב או בארץ בהליך הסגרה), הוא זכאי לעו”ד.
- בארה”ב: תוך יומיים בערך מובא בפני שופט. אם אין לו כסף, ימנו Public Defender (סנגור ציבורי פדרלי). אם יכול, יבחר עו”ד פרטי. עורך הדין בשימוע ראשוני יכול לבקש שחרור בערבות. בתיקי סייבר, לעיתים מאפשרים שחרור בתנאים אם זה פשע ללא אלימות, אלא אם חושש בריחה.
- בישראל: אם זה מעצר לצורכי הסגרה, גם כאן יקבל עו”ד (ישראלי) לדיוני המעצר וההסגרה.
- במהלך חקירת FBI, חשוב שהנחקר יבקש עורך דין לפני שמוסר גירסה. ברגע שביקש, לפי חוקי ארה”ב, ה-FBI חייב להפסיק תחקור עד שמגיע עו”ד. עורך הדין אז יהיה נוכח (בשונה מישראל שבחקירה משטרתית לרוב עו”ד לא יושב, בארה”ב בחקירות פדרליות לפעמים מאפשרים).
- עו”ד ידריך את הלקוח: אם עדיף כאן לשמור על זכות השתיקה, או אולי למסור הסבר כי חוסר תשובה יחשיד (כל מקרה לגופו). תזכורת: בארה”ב שקר לחוקר פדרלי הוא פשע בפני עצמו (18 USC §1001, שקר לסוכן פדרלי), אז עדיף לשתוק מאשר לשקר. עו”ד ידגיש זאת.
- לאורך המשפט:
- עו”ד מגבש טיעוני הגנה (ראה פירוט להלן על סוגי טיעוני הגנה נפוצים בסייבר).
- הוא עורך Discovery, כלומר, מבקש מהתביעה את כל חומר הראיות. תיקי סייבר יכולים לכלול טרה-בייטים של נתונים, קבצי לוג וכד’. העורך יעבוד עם מומחה טכני (או בעצמו בעל ידע) כדי להבין מה בים המידע עובד לטובת ההגנה.
- אם צריך, עו”ד ישכור מומחה פורנזי עצמאי שיבדוק את הממצאים (למשל, לוודא שה-FBI לא עשה “עבודה מלוכלכת” או שיש פרשנות אחרת לדאטה). למשל, הייתה טענת הגנה מוכרת: “הייתה חדירה מצד שלישי למחשב הנאשם, אולי הוא הושתל ע”י אחרים”, לשם כך מומחה הגנה ינסה למצוא עקבות לתוכנה זדונית שמרמזת שהמחשב של הנאשם נשלט מרחוק. עו”ד יציג זאת.
- העו”ד יכול להגיש ערעורי ביניים: בקשה לפסילת ראיה (לדוגמה: “יש למחוק מהתיק את המיילים שהושגו, כי הצו לא היה תקף טריטוריאלית”), או בקשה לבטל אישומים מסוימים (אם החוק לא חל כמו שטוענים).
- עו”ד מנהל משא ומתן מול התובעים: ברוב המקרים (מעל 90%) זה מסתיים בעסקת טיעון. הוא ינסה להגיע להסדר מקל: למשל, במקום 5 סעיפים, הנאשם יודה ב-1, והשאר ייגנזו, והעונש ירד. לפעמים מציעים “השב את הכסף, מסור שמות שותפים, ותקבל עונש מופחת”. עו”ד שוקל אם משתלם.
- אם הולכים למשפט מושבעים: עו”ד יבחר אסטרטגיה, אולי ללכת על הטענה שלא הוכח שהנאשם הוא המבצע (הטלת ספק בזיהוי הדיגיטלי), או להודות בעובדות אך לטעון שהן לא עולות לכדי עבירה (למשל “הוא אמנם פרץ, אבל לא הייתה לו כוונה פלילית, היה white-hat בעצם”).
- בסוף, עו”ד גם ידבר בגזר הדין, יביא נסיבות לקולא (גיל צעיר, חרטה, שיתוף פעולה וכו’ כדי להפחית עונש).
- שלב ההסגרה (לנאשמים לא בארה”ב, כגון ישראלים):
- כאן נכנס עו”ד מקומי (בישראל) שגם מתואם עם עו”ד אמריקאי.
- אם ישראלי נעצר בבקשת הסגרה, עו”ד ישראלי יכול לטעון בביהמ”ש המחוזי כאן נגד ההסגרה: למשל, שהעבירות אינן עבירות בישראל (דרישת “dual criminality”), שהפרוצדורה לא תקינה, או שהאדם אזרח ישראל ולא צריך להסגירו (לישראל מאז 90s יש חוק שמאפשר גם הסגרת אזרחים תחת תנאים).
- לרוב, אם יש אמנת הסגרה ותיק גדול, קשה למנוע הסגרה אלא אם עבירת הסייבר מעלה שאלה פוליטית (אמנות ההסגרה מחריגות “עבירה פוליטית”, תאורטית, האקר שפועל אידיאולוגית יכול לנסות לטעון כך).
- עו”ד ינסה לעכב את ההסגרה כדי לאפשר מו”מ: אולי הנאשם יעיד מרחוק או יעמוד לדין בארץ. למשל, יש תקדים שישראל שפטה אזרח שלה בעצמה במקום להסגיר (בעיקר בעבירות ביטחון). בפשיעת סייבר, ייתכן במקרים בודדים: אם קורבנות גם ישראליים, או שהעונש בארה”ב לא פרופורציונלי.
- אם מוסגר, אותו עו”ד ישראלי יכול לשמש כיועץ לצוות האמריקאי (בתרגום, הבנת תרבות הנאשם וכו’).
עורכי דין דוברי עברית והיתרון שבהם
לנאשם ישראלי בפדרלי מאוד מומלץ לשכור עורך דין הדובר את שפתו ומבין את התרבות שלו. למה?
- תקשורת: תיק סייבר מורכב, הנאשם צריך להבין את אפשרויותיו. מחסום שפה ימנע ממנו לספק לעו”ד פרטים טכניים חשובים (אולי הוא יודע דברים שלא נאספו).
- אמון: לקוח זר, עצור באמריקה, עשוי להרגיש פרנויה. עו”ד שמסוגל לומר לו “אני מבין מה עובר עליך, דיברתי עם המשפחה בארץ” מרגיע.
- תרגום מסמכים: ראיות יכולות לכלול טקסטים בעברית (נניח דיוני Telegram בעברית). עו”ד שמבין זאת לא צריך מתרגם יקר, והוא יכול לזהות ניואנסים.
- ניהול לוגיסטי: במקרה שמביאים עדים מישראל, או מתנהלים במקביל עם עו”ד ישראל, עו”ד דו-לשוני יקל על כך.
- היכרות עם הרקע: עו”ד אמריקאי יהודי-ישראלי, למשל, עשוי לדעת על שירות צבאי של הנאשם, או על נסיבות חיים אופייניות, והוא יביא זאת לטיעונים להקלה (למשל “גדל באזור במצוקה, יש לגלות הבנה”).
- יחסי ציבור: לעיתים תיקים כאלה מקבלים סיקור בישראל. עו”ד דובר עברית יכול לתדרך גם את משפחת הנאשם ואמצעי תקשורת בעברית, אם זה משרת האסטרטגיה (למשל ליצור לחץ ציבורי למניעת הסגרה, כמו שהיה בנעמה יששכר, שם עו”ד שלה עשה קמפיין).
קיימים מספר עורכי דין אמריקאים-ישראלים שמתמחים בכך, לרבות כאלה שפועלים בניו יורק, פלורידה וכד’ עם רישיון בארה”ב ודוברים עברית שוטפת. בישראל, משרד כמו של עו”ד פשיטות-צווארון לבן יכולים לשתף פעולה עם משרד אמריקאי.
מומחיות נדרשת: תיק סייבר דורש עו”ד שמבין את הטכנולוגיה או מוכן ללמוד:
- להבין מה זה כתובת IP, VPN, הצפנה, בלוקצ’יין, כדי שיוכל לקרוא את הראיות בלי ללכת לאיבוד.
- להבין פסיקות כמו למשל עניין של שיפוט על data בחו”ל, או דיני מחשבים (CFAA).
- לדעת תקדימים: היו תיקים דומים? (למשל, איך הסתיים תיק “ההאקר מישראל X”, וכו’).
תפקידי עורך הדין בהקשר מקצועי, איך מגן על חשודים בעבירות סייבר
הגנה טכנית: עורך דין בתיק סייבר יהיה לעיתים בתפקיד “מתורגמן” בין מומחי המחשוב לבית המשפט. הוא צריך להעלות ספקות לגבי הראיות הטכניות:
- למשל, אם התביעה מציגה לוג שלדעתה מוכיח חיבור של הנאשם ב-2 לפנות בוקר מ-IP שלו לשרת קורבן, העו”ד יכול לטעון: “אולי כתובת ה-IP היתה proxies, אולי מישהו piggybacked על ה-WiFi שלו”.
- עו”ד טוב יביא מומחה שיסביר למושבעים שמידע דיגיטלי ניתן לזיוף, שקשה להוכיח זהות ודאית. (למשל להזכיר את הפרקטיקה שפושעים משתמשים ב-botnet כדי להסוות עצמם, כך IP הנאשם עלול להיות compromised host).
- הוא יצלוב בעדות את אנשי ה-FBI: “האם ייתכן שהמחשב שאתם טוענים שהיה של מר X למעשה נשלט ע”י מישהו אחר?”, ומי שחוקר ייאלץ לומר “כן, אפשרי תאורטית”. ספק זה יכול לעזור, אם כי לרוב ה-FBI מביא כמה וכמה ראיות מצטלבות.
הגנה דיונית: עו”ד יבדוק אם זכויות הופרו:
- אם ה-FBI השיג משהו ללא צו כנדרש, לבקש לפסול. למשל, היה מקרה ידוע (United States v. Warshak) שבו ה-FBI השיג מיילים מספק ללא צו חיפוש, ובימ”ש פסל חלק (וקבע שעקרונית מיילים דורשים warrant).
- אם הייתה תרגיל עוקץ לא הוגן, לעיתים טוענים ל-“Entrapment” (הדחה): שהסוכן המדיח דחף את הנאשם לביצוע עברה שלא היה עושה אחרת. קשה לטעון בפשיעת סייבר כי רוב הנאשמים פעלו עוד קודם, אבל היו ניסיונות.
ניהול סיכונים: עו”ד גם מסביר לנאשם את סיכון הענישה. בארה”ב הענישה מצטברת לעיתים, על כל סעיף שנות, וזה מרתיע. הוא עשוי לייעץ: “קח עסקה של 5 שנים כעת, כי אם תפסיד במשפט, אתה עלול לקבל 15”.
- במיוחד לישראלים, ענישה פדרלית יכולה להיראות גבוהה מאוד לעומת ישראל. עו”ד יבהיר את ההבדל (למשל בישראל נדיר שנות דו-ספרתי על עבירות סייבר, בארה”ב לא נדיר).
- מצד שני, אם יש סיכוי לזיכוי, עו”ד טוב לא יפחד ללכת למשפט.
עורכי דין בישראל: גם הם משחקים תפקיד אם הנאשם כאן. הם גם מסבירים למשפחה, פועלים ציבורית (כתבות, יח”צ) אם זה עשוי לעזור (לשכנע פרקליטות לא להסגיר, אולי לנסות פתרון חלופי כמו העמדה לדין בארץ).
עבור ישראלים, יש ערך מוסף לכך שעורך הדין מכיר גם את מערכות החוק של שתי המדינות. למשל:
- להבין את חוק המחשבים הישראלי כי בדואליות עבירות צריך להראות שגם בישראל זו עבירה (למקרה הסגרה).
- אם הנאשם יוסגר וירצה לרצות בארץ, עו”ד צריך לייצר תנאים בהסכם (למשל, לבקש בהסכמה עם התביעה האמריקאית שהעונש ירוצה בישראל, יש תקדים כזה: במקרה ליאון לדרמן, או עקרון “הסגרה על תנאי”).
יתרונות בהתמחות בסייבר
עורכי דין בתחום זה מפתחים התמחויות משנה:
- חלקם מומחים בהליכי Forensics, יודעים לקרוא דוחות מחשב.
- חלקם בקיאים בדיני ראיות אלקטרוניות, מתי printscreen קביל? איך מאמתים hash בבית משפט?
- עורכי דין דוברי עברית בארה”ב לפעמים גם בעלי רקע טכני (יש כאלה שהיו מהנדסי תוכנה או יוצאי 8200 ועשו הסבה למשפטים). כאלה יכולים ממש להיכנס לקוד ולמצוא “חורים” בתיק.
עורך דין שמומחה לסייבר גם יכיר את השופטים והתובעים שמתעסקים בתחום, יש ב-DOJ למשל יחידה למקרי סייבר (CCIPS), והם מתדיינים מולם שוב ושוב. הכרות אישית יכולה לעזור במשא ומתן ענישה או באמון (התובע יודע שעו”ד לא יטען טענות שטות).
- ישנם גם פורומים מקצועיים (כמו IBA או American Bar Association committees) שדנים בסייבר, ועורכי דין מתייעצים ביניהם.
לסיכום, עורך דין הוא המגן של הנאשם אל מול מכונת האכיפה המתוחכמת. בלי ייעוץ הולם, חשוד יכול להפליל עצמו בקלות בתיקי סייבר, בגלל אופיים המורכב, אפילו משפטנים ותיקים עלולים לא להבין את כל הניואנסים הטכנולוגיים. עורכי הדין בסייבר צריכים לשחק על המגרש של ה-FBI, להבין את הכלים שלהם, ולמצוא נקודות תורפה, הן משפטיות והן עובדתיות, כדי להבטיח שלקוחם יקבל משפט צדק וענישה הוגנת ולא מופרזת.
עבור ישראלים, יש ערך עצום לכך שעורך הדין מבין גם את השפה והתרבות שלהם, מה שמאפשר ניצול מלוא המידע והקשר הרגשי כדי להעניק הגנה אפקטיבית.
המלצות לישראלים שנחקרים או נעצרים על-ידי ה-FBI בעבירות סייבר
האפשרות שישראלי, בין אם האקר “כובע שחור” או אדם מהישוב, ימצא עצמו נחקר ע”י ה-FBI בגין עבירת סייבר, אינה תיאורטית בלבד. כפי שראינו, היו מקרים רבים. במדינה קטנה כמו ישראל, שבה רבים בקיאים בטכנולוגיה וחלקם מעורבים ברשת הגלובלית (לטוב ולרע), חשוב לפרט עצות מעשיות למי שנקלע לסיטואציה כזו.
מה לעשות אם זומנת לחקירת סייבר על-ידי ה-FBI
- קבלת הזימון: לעיתים ה-FBI עשוי לבקש לראיין אדם מרצונו. זה יכול לקרות על אדמת ארה”ב (למשל, ישראלי בחופשה בארה”ב מוזמן למשרד ה-FBI לשיחה) או בישראל (באמצעות הנספחות בשגרירות האמריקאית).
- אל תיבהל, אבל קח ברצינות: FBI לא נוטים “להזמין לקפה” סתם. אם פנו אליך, כנראה שיש עניין. מצד שני, הסכמה להתראיין יכולה להיות גם הזדמנות להבהיר אי-הבנה, אבל רק בתנאים הנכונים.
- התייעץ מייד עם עורך דין: עוד לפני המפגש, קבל ייעוץ משפטי. עו”ד עשוי ליצור קשר עם הסוכנים לברר נושא השיחה. לעיתים, עדיף שהעו”ד יהיה נוכח איתך.
- הכן את עצמך: עם העו”ד, תרגל שאלות אפשריות ותשובות. זכור: שקר ל-FBI הוא עבירה; עדיף לומר “אני מעדיף לא לענות על זה” מאשר לשקר או לנחש.
- במפגש עצמו:
- זכור את זכויותיך: אינך חייב לומר דבר שמפליל אותך. אתה יכול בכל שלב לעצור ולומר “לא ארצה להמשיך בלי ייעוץ משפטי”.
- וודא זיהוי: אם מישהו טוען שהוא סוכן FBI ובא אליך (אפילו בישראל היו מקרים של חוקרים שמגיעים ארצה), תבקש תעודה/מכתב רשמי. שים לב, נספח FBI בישראל יהיה מלווה תמיד בשוטר ישראלי או רשמי, לא יגיע לבד.
- תיעוד: מומלץ לרשום לעצמך אחרי הפגישה מה נשאלת ומה ענית, כדי שיועצך המשפטי ידע. ב-FBI נהוג שהסוכנים מתעדים ב-Form 302 לאחר שיחות, כדי למנוע הבדלים בזיכרון, טוב שגם אתה תעשה זאת.
- אם אתה בארה”ב:
- אם זומנת בחו”ל, יש סיכוי שכבר אוספים עליך ראיות שם.
- אל תסכים לחיפוש בטלפון/לפטופ בלי צו. אם אין לך מה להסתיר, חלק יגידו “למה לא”, אבל זה עלול לחשוף דברים תמימים שיתפרשו רע. תגיד בנימוס: “אני מעדיף שתדברו עם העו”ד שלי בעניין הזה”.
- אל תנסה לחצות גבול/לטוס מתוך לחץ בלי יידוע עו”ד, זה עלול להתפרש כבריחה.
- שאל על נושא החקירה: זכותך לשאול “מה החשד נגדי?”. אולי לא יגלו הכל, אבל לפעמים יאמרו כותרת (למשל “אנחנו חוקרים מתקפת סייבר על בנקים וחשבנו שאולי יש לך מידע”). זה יתן לך מושג איפה אתה עומד, עד/חשוד.
- לא למסור סיסמאות/מפתחות ללא הכרח: אם מבקשים גישה לחשבונותיך, זוהי דרישה חוקית רק עם צו. בלי צו, אתה לא מחויב. עו”ד כנראה ימליץ לא למסור (אלא אם יש אסטרטגיה אחרת).
- שמור על קור רוח והיה אדיב: סוכני FBI לרוב אדיבים ומקצועיים. תגובה עוינת או מתלהמת רק תחמיר את הרושם. ענה בקצרה, אל תנדב מידע לא נחוץ.
טיפים מקצועיים לנחקרים
- אל תעשה לעצמך “CSI”: נטייה אנושית היא “לנקות” מכשירים אם חוששים. אל תשמיד ראיות! ראשית, זו עבירת שיבוש. שנית, שירותי FBI לרוב יוכלו לשחזר ואם ימצאו שנמחק בכוונה, ייראו זאת כחומרה.
- הכן “תיק חירום”: אם אתה בקטגוריה מסוכנת (נניח עשית משהו אפור ואתה חושש), שמור מבעוד מועד פרטי קשר של עו”ד בארה”ב, וחסוך כסף לייצוג.
- נצל הסכמי שיתוף: לדוגמה, ישראל וארה”ב לעיתים מאפשרים לאדם מרצון להגיע להסדר. אולי תוכל לעבור חקירה בישראל ולא בהסגרה, אם תשתף פעולה. דבר זה לא נעשה מול הסוכנים אלא בערוץ עו”ד-ממשל.
- אמת מול חוקרים ישראלים: במקרים, ה-FBI משתף את משטרת ישראל שתחקור ותעביר ממצאים. אם זה קורה (כלומר אתה נחקר בארץ על עבירה שנפגעה בעיקרה ארה”ב), דע שלכל מילה שלך יהיה משקל גם בארה”ב. דרוש נוכחות עו”ד גם כאן כי ההודעה יכולה להגיע לתביעה בארה”ב.
- בחינת עסקאות עדים: לעיתים אם היית “ראש קטן” ברשת, התובעים עשויים להציע חסינות או הסדר קל כדי לתפוס דג גדול. זה שווה שקילה עם העו”ד, אולי עדיף להסכים לעזור (במסגרת חוקית) מאשר להסתבך כשותף מלא. כמובן, אל תדביק לעצמך סתם אשמה, רק אם באמת היית חלק.
- מודעות לשחרור בערבות: אם נעצרת בארה”ב ויש לך אפשרות ערבות, קח בחשבון תנאים: לרוב יחרימו את הדרכון, ייתכן מעצר בית אלקטרוני. חייבים לציית בקנאות, כי הפרת תנאי תשמיט סיכוי להסדר טוב.
- הקלטת שיחות? בארה”ב, זכותך להקליט את הפגישה עם FBI? החוק בארה”ב שונה במדינות, אך הפדרליים עצמם לא מתנגדים עקרונית אם תגיד. רוב האנשים לא יעשו זאת כי זה יוצר אווירה עוינת. אבל מותר לך בוודאי לכתוב נקודות תוך כדי.
- לתשאל את הסוכן: אם אתה מתלבט לגבי שאלה, אפשר לשאול: “האם אני חייב לענות על כך?”, ייתכן שתקבל תשובה כנה: “אתה לא חייב אבל נשמח”. אז תתייעץ בלב עם עצמך או דחה לאחרי ייעוץ.
- אחרי המפגש: לא לשתף ברשתות “הייתי בפגישה עם FBI”, זה יכול להזיק (גם לשים אותך על הכוונת של אחרים, וגם התביעה תשיג את הפוסט שלך אם תתרברב). שמור על דיסקרטיות ודון רק עם עורך הדין שלך.
כיצד לבחור עורך דין מתאים
כשישראלי עומד בפני חקירה או אישום סייבר בארה”ב, בחירת עורך הדין היא החלטה הרת גורל. להלן נקודות שיש לשקול:
- תחום התמחות:
- ודא שזה עורך דין פלילי פדרלי. עורך דין נדל”ן או אזרחי לא תועלתו רבה מול ה-FBI.
- תת-התמחות ב”עבירות מחשב” או “צווארון לבן” עדיפה, כי הם מכירים את החומר הטכני.
- אם יש פן ביטחוני (נגיד, חשד ריגול סייבר), צריך עו”ד שקיבל סיווג ביטחוני (יש כאלו ברשימה מיוחדת, כי יצטרכו לגשת לחומרים מסווגים אולי).
- ניסיון ו”הצלחות”:
- חפש עו”ד שטיפל בתיקים דומים. למשל, אם אתה נאשם ב-BEC scam, עו”ד שהגן על נאשמי BEC בעבר מבין את נקודות הלחץ (אולי הוא יודע שתובעים לרוב מסכימים לעסקה של עד 5 שנים אם הוחזר כסף וכו’).
- בדוק ביקורות, אך בתחום הפלילי זה קשה כי לקוחות לרוב לא מפרסמים. בכל זאת ניתן לעיין בפרסומים משפטיים על פסקי דין ולראות מי ייצג.
- עלויות:
- עו”ד פרטי טוב בארה”ב לא זול. תיק פדרלי מורכב יכול בקלות להגיע ל-$100k ומעלה בעלויות, במיוחד אם צריך מומחים, נסיעות וכד’.
- אם אין אפשרות כלכלית, Public Defender פדרלי לרוב עורכי דין מיומנים (סניגורים ציבוריים פדרליים נחשבים איכותיים). אך ל-PD לעתים פחות זמן ותשומת לב לכל לקוח עקב עומס. לקוח זר עשוי להרגיש חסם תרבותי איתם.
- אפשרות: שילוב, שוכר עו”ד פרטי כמפקח/יועץ, ומצוות PD כדי לחסוך בעלות חלקית.
- עורכי דין מסוימים עשויים להסכים לפריסות או אף pro bono אם יש עניין ציבורי (נדיר בעבירות סייבר אלא אם יש עקרון חוקתי חדש).
- מיקום: העו”ד צריך להיות מוסמך במדינה שבה הוגש כתב האישום. אם הוא לא, שייקח local counsel. לדוגמה: אישום במחוז דרום ניו יורק, צריך עו”ד מורשה שם או שיתקשר עם אחד כזה.
- כימיה ואמון: אתה חייב להיות כנה עם העו”ד. אם יש פערי שפה או אמון, זה בעייתי. ראיון כמה עורכי דין (initial consultation בד”כ חינם או בתשלום קטן). ראה מי מקשיב לך, מי מבין טכנית מה אתה מתאר.
- שאל אותו: “מה אתה יודע על מטבעות קריפטו?” אם הוא מגמגם, אולי אינו בקיא.
- דוגמאות ספציפיות:
- אם אתה יודע על ישראלים אחרים שנתפסו, נסה לברר מי ייצג אותם. למשל, בפרשת שאלון, ידוע שפרקליטים מוכרים כמו Ben Brafman (שהוא מפורסם, יקר) היו מעורבים. לפעמים אותם עורכי דין שמכירים ישראלים, יותר מנוסים בהיבטי ישראל.
- יש קבוצת עו”ד ישראלים שפועלים בפליליים ב-USA (למשל משרד Moshe Horn & Yuval Aridor, סתם דוגמה). הפידבק מלקוחות קודמים יכול לעזור.
- יכולת ניהול הסגרה: אם אתה בישראל ולפניך הליך הסגרה, ייתכן שתצטרך שני עורכי דין: אחד בישראל (לניהול ההסגרה, תקשורת עם הפרקליטות הישראלית) ואחד בארה”ב (לתיק עצמו). חשוב ששני אלה יהיו בתקשור.
- יש משרדים שיש להם סניף בת”א ובניו יורק וכד’, זה יתרון (coordination קל).
- אם לא, דאג למסור להם אישורי סודיות ביניהם שיוכלו לדבר חופשי על עניינך.
- אסטרטגיה: חלק מהבחירה הוא גם לפי הגישה:
- יש עורכי דין “לוחמניים” שילכו למשפט בכל מחיר,
- ויש “מפשרים” שינסו עסקה מועילה מהתחלה.
- אתה צריך להבין יחד איתם מה הסיכוי שלך. אם הראיות חזקות מאוד, אולי עדיף עו”ד שיודע לסגור דילים טובים. אם יש סוגיה עקרונית שתרצה להילחם עליה, קח לוחמני.
- דיני הגירה: עבור אזרח לא אמריקאי, הרשעה פלילית בארה”ב יכולה לגרור הרחקה/מניעת כניסה עתידית. עו”ד פלילי צריך להתייעץ עם עו”ד הגירה. למשל, אם ישראלי יורשע וירצה עונש וישוחרר, האם יורחק מיד? לפעמים כן. עו”ד יכול לנסות לכלול בהסדר סעיף שאין התנגדות שיישאר תחת תנאים, אבל סביר שיוחזר ארצה. אם הלקוח רוצה לחזור לUSA בעתיד, העו”ד יכוון אולי לסעיף שאינו “moral turpitude” כדי לא לחסום ויזה.
- דוגמה לעלות מול תועלת: נגיד ועומדת הצעה: 5 שנים כלא אם תודה עכשיו, או משפט, סיכוי זיכוי 20% אבל אם תפסיד 12 שנים. מה תבחר? עו”ד יסביר גם איפה תרצה לרצות: האם יש אפשרות לרצות בישראל? (קורה לפעמים, ישראלי אזרח יכול לבקש להעבירו לרצות בארץ לפי אמנה). עו”ד פיקח ינסה לכלול בהסדר: “הנאשם ירצה מאסרו בישראל לפי אמנת העברת אסירים”. זה משמעותי כי בישראל לרוב יש ניכוי שליש ועוד תנאים טובים יותר.
ישראלי הניצב בפני אישומי סייבר בארה”ב ניצב בפני מערכת זרה, קשוחה ומהירת פעולה. עורך דין מיומן הוא ה”שוויון” שהוא יכול להביא למשוואה, מישהו שבקיא בחוק, בשפה ובטכנולוגיה, ושיילחם למען תוצאה מיטבית. ההמלצה הגורפת: אל תחסוך בייצוג המשפטי. זו אולי הוצאה כבדה, אבל ההבדל יכול להיות שנות חירות רבות.
טבלת השוואת עבירות סייבר חמורות, סעיפי חוק רלוונטיים, עונשים, טיעוני הגנה נפוצים ותפקיד עורך הדין
סוג עבירת סייבר | סעיף חוק אמריקאי רלוונטי (Title 18 USC) | עונש פדרלי אפשרי | טיעוני הגנה נפוצים | תפקידי עורך הדין בהגנה |
---|---|---|---|---|
פריצה למחשב (Hacking), גישה ללא הרשאה למחשב מוגן כדי לצפות, לגנוב או לשנות מידע | 18 USC §1030(a)(2), גישה ללא הרשאה18 USC §1030(a)(5), גרימת נזק במחשב מוגן (אם נגרם נזק מעל $5,000) | עד 5 שנות מאסר בסיס, ועד 10 שנים אם נגרם נזק משמעותי; עבריין חוזר עד 20 שנה. קנסות עד $250,000. עונש חמור יותר אם הפריצה לצרכי ריגול זר (עד 20 שנה). | ללא כוונה פלילית: הנאשם יטען שהגישה הייתה בתום לב או לצורך מחקר (טוען ל-ethical hacking).הרשאה בפועל: טענה שהייתה לו הרשאת גישה (מפורשת או מכללא) ולכן לא “ללא הרשאה”.אין נזק/נזק מינימלי: ניסיון להראות שלא נגרם נזק העולה על הרף החוקי או שהמערכת לא “מוגנת” בהגדרת החוק. | – לבדוק אם החוק חל: עו”ד בוחן האם המחשב “מוגן” כהגדרת החוק (שימוש בין-מדינתי).– הצגת מומחה שיסביר שיתכן והיו נהלי אבטחה רופפים שנתנו הרשאה מכללא.– מו”מ להורדת סעיף: לעיתים עו”ד ינסה להגיע להסדר על סעיף קל יותר (למשל חדירה ללא נזק במקום עם נזק) כדי להפחית עונש.– פסילת ראיות שהושגו ללא צו (למשל if FBI hacked back unlawfully). |
הפצת וירוסים/נוזקה, שחרור כופרה, סוס טרויאני, תולעים הגורמים נזק למחשבים | 18 USC §1030(a)(5)(A), העברת קוד זדוני שגורם נזק למחשב מוגן18 USC §1030(a)(7), איומי פגיעה במחשב (אם משמש לסחיטה) | עד 10 שנות מאסר (לגרימת נזק בזדון); אם זה חלק מסחיטה, יכול לצבור גם עונש תחת עבירת סחיטה (18 USC §875(d)) עד 2-5 שנים נוסף. במקרה כופר רב-נפגעים, בתי משפט נתנו 10-20 שנה. | זהות מוטלת בספק: הכחשה שהנאשם הוא שהפיץ (קושי ייחוס).לא הייתה כוונה לגרום נזק רחב: לדוגמה לטעון שרק ניסה להוכיח פגיעות ולא צפה ההתפשטות הנרחבת.Entrapment (נדיר): אם הופעל ע”י סוכן שידיח אותו ליצור נוזקה. | – בחינת דרך הייחוס: עו”ד ינסה לערער על הקשר בין הנאשם לנוזקה (למשל, קובץ קוד זדוני נמצא במחשבו, לוודא שלא הושתל).– טיעונים מדעיים: להביא מומחה שיטען שהקוד הזדוני מופץ גם ע”י אחרים, או שחלק מהנוזקות בשימוש פתוח (קוד פומבי).– אם הנאשם צעיר: עו”ד יטען לאימפולסיביות ונעדר עבר פלילי, לשיקולי ענישה מקלה. |
חדירה למערכות ממשל או ביטחון (ריגול סייבר), גניבת מידע מסווג או רגיש ממשלתי באמצעות סייבר | 18 USC §1030(a)(1), גישה לא מורשית למידע הגנתי, כוונה לפגוע בארה”ב או להועיל זר18 USC §793/798, חוקים נגד ריגול (אם מדובר במידע ביטחוני מסווג) | יכול להגיע עד 10 שנים לכל עבירה לפי §1030(a)(1). לפי חוקי ריגול (793/798), עד 10 שנים לכל ספירה. לעיתים רבות יוטלו עונשים מצטברים. למשל, קצין NSA שהורשע בגניבת מסמכים קיבל 9 שנים. | סמכויות בית המשפט (Jurisdiction): אם הנתבע זר ולא על אדמת ארה”ב בעת המעשה, לעיתים עו”ד יטען לחוסר סמכות שיפוט (טענה חלשה כי החוק חל גם חוץ, אך מנסים).אי כוונה לפגוע בביטחון: הנאשם עשוי לטעון שחיפש מידע לא למטרת ריגול אלא סקרנות/מניע אישי.מידע לא באמת מסווג או נזקק להגנה: לנסות לקטלג את המידע כלא-קריטי כדי להימנע מחוקי הריגול. | – אם משפט יתקיים, לעו”ד יתאפשר גישה לחומר מסווג תחת הגבלות (חוק CIPA). עליו לוודא שמידע חיוני להגנה לא מוסתר מהדיון באמתלת ביטחון לאומי.– עו”ד יטען לעונש מידתי: למשל אם לא הועבר מידע לגורם זר בפועל, אז לא לגזור כעל ריגול חמור.– לנהל מו”מ רגיש: ייתכן והממשלה תסכים לעסקה כדי למנוע חשיפת סודות במשפט (Graymail). עו”ד יכול למנף זאת לקבלת עסקת טיעון מקלה. |
הונאת מחשב/הונאה מקוונת (כגון Phishing, BEC), שימוש במחשב או תקשורת להונות כספית | 18 USC §1343, Wire Fraud (הונאה באמצעות תקשורת אלקטרונית)18 USC §1028A, Aggravated Identity Theft (אם כללה התחזות/גניבת זהות) | Wire Fraud: עד 20 שנות מאסר (עד 30 אם פגע במוסד פיננסי) לכל סעיף. בפועל נקבע לפי סכום הנזק (guidelines). Identity Theft: תוספת חובה של 2 שנים מצטברות לעונש העיקרי. | לא הייתה כוונה לרמות: טענה שהנאשם לא הבין שהמעשים שלו יגרמו לאחרים להפסיד (לעיתים נטען ע”י חוליות זוטרות).הפללה/טעות בזיהוי: לטעון שהנאשם לא שלח את המיילים או שמישהו השתמש בזהותו/מחשבו.סכום הנזק שנוי במחלוקת: עורכי דין מנסים להפחית את הערכת הנזק (כי זה משפיע על העונש), למשל שטענות על סכומים גבוהים אינן ישירות באשמת הנאשם. | – ניתוח ראיות דיגיטליות: עו”ד יבחן למשל כתובת IP ממנה נשלחו מיילי ההונאה, וינסה לראות אם יש אפשרות שהייתה פריצה אצלו., אם הנאשם זר (נניח ישראלי) ולא שולט אנגלית: עו”ד יכול לטעון שהוא לא הבין את מצג השווא המלא (קשה, אך אפשרי).– במו”מ: אם יוחזר חלק ניכר מהכסף, עו”ד יכול להשתמש בזה לבקש ענישה נמוכה מההנחיות (פחות חומרה כשהנזק שופה חלקית).– להיזהר מ-Identity Theft: עו”ד יעשה הכל להוריד את סעיף §1028A כי הוא מוסיף שנתיים חובה. למשל אם הנאשם מואשם גם בזה, אולי יציע הודאה בהונאה בתמורה להסרת סעיף גניבת זהות. |
גניבת מידע עסקי/סודות מסחר (Economic Espionage), חדירה או שימוש בשיטות קיברנטיות כדי לגנוב קניין רוחני, קוד מקור, סודות חברה | 18 USC §1832, גניבת סוד מסחרי (אם בוצע למטרות רווח עצמי או טובת גורם זר)18 USC §1831, Economic Espionage (אם לטובת ממשלה זרה או סוכן זר) | §1832: עד 10 שנות מאסר וקנס עד $250,000 (ליחיד) או $5 מיליון (לחברה).§1831 (ריגול כלכלי למדינה זרה): עד 15 שנים וקנס עד $5 מיליון. בנוסף, חילוט רווחים אפשרי. | המידע אינו סוד מסחרי באמת: הגנה תטען שהמידע כבר היה ציבורי או ידוע בתעשייה (ולכן לא מוגן).לא הייתה כוונה לגנוב לטובת אחר: למשל עובד שטוען שחשב שיש לו זכות לקחת מידע שיצר (dispute קניין רוחני).Entrapment ע”י חברה: טענה נדירה, אולי המתחרה פיתה אותו. | – עו”ד יבחן האם החברה נקטה אמצעי הגנה ראויים על הסוד; אם לא, יטען שזה משליך על האם זה “סוד מסחרי”.– להביא מומחה שיעריך את שווי הנזק (התביעה אולי תגזים בערך הסוד). אם המידע לא נוצל או שהיה ערך מוגבל, זה יופחת בענישה.– לנסות לסווג תחת §1832 ולא §1831: אם הואשם תחת ריגול לממשלה זרה (§1831), עו”ד יעדיף לסגור עסקה תחת §1832 (רגיל) כי העונש נמוך יותר והסטיגמה פחותה. |
השבתת שירותים (DDoS), תקיפת מניעת שירות שגורמת לאתרים/שרתים להיות לא זמינים | 18 USC §1030(a)(5)(A), שיגור מידע שגורם לנזק (שיכול לכלול זמינות מושבתת)ייתכן גם §1362, פגיעה בתקשורת של ארה”ב (אם פגע בתשתית פדרלית) | אם DDoS גרם לנזק כספי/השבתה מעל סף $5,000: עד 10 שנים. לרוב עונשים מתונים יותר במיוחד לצעירים (כמו 0-5 שנים, לעיתים מאסר על תנאי, בהתאם לנזק ולכוונה). | לא מודעות: טענה שהנאשם רק הפנה כלי ולא הבין שיגרום להשבתה רצינית (למשל ילד שמשתמש בסקריפט מוכן).מניע לא זדוני: מחאה או רוצה להוכיח נקודה (לא למטרת רווח).הנאשם לא היוזם העיקרי: ב-DDoS המוני, “רק השתתפתי מעט, לא ארגנתי”. | – אם הנאשם צעיר (הרבה תוקפי DDoS הם בני נוער), עו”ד ידגיש חוסר בגרות, אולי אפשרות שיקום (argue for leniency).– להראות ששירות חזר מהר, נזק מינימלי בפועל, כדי להפחית חומרה.– אם ניתן, להגיע לDiversion Program (תכנית סטייה) במקום הרשעה, למשל טיפול או עבודות שירות, במקרים קלי נזק.– בהגנה טכנית: אם מזהים שלא מחשבו של הנאשם היה הבוט אלא מישהו השתמש בו, יטענו לזיהוי שגוי. |
גניבת זהות ומידע אישי, פריצה למאגרי נתונים (כגון חברות, בנקים) לגנוב פרטי אנשים (SSN, כרטיסי אשראי) | 18 USC §1028, Fraud in connection with ID documents (גניבת זהות בסיסית)18 USC §1029, Access Device Fraud (גניבת/שימוש במספרי כרטיס אשראי וכד’)+ §1028A, Aggravated Identity Theft (תוספת במקרה שימוש בזהות גנובה בביצוע פשע) | §1029: עד 10 או 15 שנות מאסר, תלוי בחומרה (אם מדובר בהונאה מעל $1k).§1028A: מוסיף חובה 2 שנות מאסר מצטברות על כל שימוש בזהות גנובה בהקשר פשע. | לא אני גנבתי, רק מצאתי מידע: לעיתים טוענים שהמידע כבר הסתובב ברשת ונאשם רק החזיקו (מנסה להבדיל בין האקר שפרץ לבין “מקבל סחורה”).לא הייתה כוונה להשתמש לרעה: הגנה חלשה לרוב, “לקחתי נתונים אך לא השתמשתי בהם”, אולי תוריד קצת את העונש בטיעונים.Entrapment: אם סמוי מכר לו נתונים. | – עו”ד יכול לנהל מו”מ לעסקה ללא §1028A (שוב, כדי להסיר שנתיים מינימום). למשל, הודאה ב-Access Device Fraud וסילוק סעיף identity theft, בטענה שלא הייתה כוונה ספציפית לאדם מסוים.– ניתוח פורנזי: לוודא שהראיות על מחשבו הושגו כחוק. אם הייתה חדירה למחשבו ע”י הממשלה ללא צו, לפסול את הנתונים הגנובים שהתגלו אצלו.– טיעונים לעונש: אם הנאשם משתף פעולה בהחזרת נתונים ומחיקתם, עו”ד יעלה זאת להראות הפחתת נזק (אף על פי שאין ממש “החזרת” כי עותקים כבר בחוץ, עדיין שיתוף פעולה מקל). |
סחיטה ואיומי סייבר, איומים לחשוף מידע, להפיל אתר, או מתקפת כופר (דרישת תשלום) | 18 USC §1030(a)(7), איומים באמצעות מחשב (כופרה וכו’)18 USC §875(d), סחיטה באיומים להעביר דבר ערך (כולל דרך אינטרנט) | §1030(a)(7): עד 5 שנים (אם איום לפגוע במחשב או לחשוף נתונים שנלקחו).§875(d): עד 2-5 שנים (תלוי בסוג האיום). במקרי כופרה חמורים, לעיתים מצרפים עבירות נוספות (הלבנה וכו’) שמעלות העונש המצטבר למעל 10 שנים. | לא איום אמיתי: הגנה תטען שאמירה הייתה התפארות ריקה בצ’אט או “מתיחה” ולא דרישת כופר ממשית.Entrapment: אם סוכן הסווה עודד אותו לאיים (נדיר).זה לא הנאשם ששלח את האימייל המאיים: ניסיון ערעור הזיהוי. | – עו”ד ישווה את נוסח האיום לחוק: לפעמים הודעות כופר מנוסחות כ”הודעה” ולא “איום” מפורש (טיעון טכני: אולי לא מתקיים היסוד, אם כי לרוב נדחה).– אם הקורבן לא שילם ולא נגרם נזק גדול: ידגיש זאת כהקלה (ניסיון לעומת פשע מושלם).– ייתכן מו”מ לכתוב אישום תחת סעיף כללי יותר (כמו הונאה) במקום סחיטה כדי להימנע מתדמית “אלימה”.– בהצגת הגנה, עו”ד עשוי לטעון שהמייל המאיים לא יצא ממכשירי הנאשם, מציג אליבי דיגיטלי. |
עבירות תוכן בלתי חוקי ברשת, הפצת חומר פדופילי, הסתה, וכו’ (למרות שאלו סייבר, הן סביב תוכן) | 18 USC §2252A, החזקה/הפצת פורנוגרפיית ילדים (דרך מחשב)חוקי עבירות שנאה או הסתה, פדרלי לרוב דרך 18 USC §875(c) (איומים) אם תקשורת interstate. | §2252A: להפצה, מינימום 5 שנים ועד 20; להחזקה, עד 10 שנים. (ענישה כבדה מאוד, לא קשור לגודל טכני אלא חומרת התוכן).הסתה/איומי שנאה: משתנה, בדר”כ עד 5 שנים אם איום מאושר. | חופש ביטוי (בהקשר הסתה): טענה שהתוכן מוגן תחת התיקון הראשון (לא תמיד יעבוד אם זו קריאה לאלימות ממשית).לא ידע שהקובץ הלא חוקי: למשל בפורנו ילדות, “חשבתי שהיא בגירה”. קשה, אך לעיתים זה קו הגנה (אם הנערה נראית מבוגרת בתוכן).נגוע ע”י וירוס: בנושאי פדופיליה יש הגנת “המחשב שלי נדבק ותמונות ירדו בלי ידיעתי”. | – עו”ד בתיק פורנו ילדים יבחן שהראיות נאספו כחוק (FBI לפעמים מתחזים לשיתוף קבצים, וצריך לוודא שניתן צו הגשה).– ייתכן מומחה שינתח מחשב הנאשם להראות שאין עקבות צפייה או שהקבצים היו בזיכרון מטמון אוטומטי.– לגבי עבירות ביטוי: עו”ד יטען לחופש ביטוי אם האמירה לא ספציפית (“צריך לפגוע בקבוצה X”, אולי מוגן כרטוריקה, לעומת “אני הולך לפגוע בX בתאריך Y”, לא מוגן).– תפקיד קריטי: אם יש מינימום עונש, עו”ד אולי לא יכול למנוע הרשעה אבל ינסה לשכנע לתחתית המינימום (5 שנים). יספק נסיבות מקלות (למשל עבר נקי, נורמטיבי). |
קנוניה לביצוע פשעי סייבר, הסכמה בין אנשים לבצע יחד עבירות רשת (אפילו אם העבירה עצמה לא מומשה) | 18 USC §371, קשירת קשר (Conspiracy) לבצע עבירה פדרלית | עד 5 שנות מאסר (או העונש של העבירה העיקרית, הנמוך מביניהם). אם הקשר הצליח חלקית, ניתן לצרף אישומים גם של הניסיון/העבירה עצמה. | לא הייתה הסכמה מודעת: לטעון שהנאשם לא באמת הצטרף למזימה, היה בסביבה הלא נכונה.דיבור בלבד: “כן, דיברנו בפורום על פריצה, אבל לא התכוונו באמת”.נסיגה: הנאשם פרש מהקנוניה לפני מעשה, אם מצליח להוכיח נסיגה והודיע לאחרים, זה מגן. | – עו”ד ינסה להראות שאין “עצם הסכמה”, אולי סוכן מדיח הוא שיזם (אז entrapment).– להפריד את הנאשם מהקושרים: אם קבוצת האקרים, לטעון שהלקוח שלי רק סיפק כלי אך לא חלק מהתכנון (אחריות פחותה).– אם העיקרי לא הצליח, לעיתים עו”ד טוען ל”חוסר יכולת לממש” כקושי להאשים בקשר (לא תמיד רלוונטי).– תפקיד עו”ד גם לנהל Joint Defense אם יש נאשמים רבים, לתאם גרסאות תוך שמירת חיסיון (עורכי דין שונים משתפים מידע תחת הסכם משותף להגנה). |
הלבנת הון (כספי פשיעת סייבר), הסוואת רווחי פשעי מחשב, המרה לקריפטו/מזומן וכו’ | 18 USC §1956, הלבנת הון (ביודעין להעביר ערך ממקור בלתי חוקי)18 USC §1957, עסקה פיננסית ברכוש שמקורו בפשע (מעל $10,000) | §1956: עד 20 שנות מאסר וקנס עד $500,000 או 2 פעמים סכום ההון שהולבן, הגבוה מביניהם.§1957: עד 10 שנות מאסר. לעיתים מצרפים כמה ספירות לפי עסקאות שונות. | היעדר ידיעה על המקור הפלילי: “חשבתי שהכסף חוקי/מתרומות/מעסק לגיטימי”.אין עבירה המקורית מוכחת: אם התביעה לא הוכיחה את פשע הסייבר המקורי, אולי לא תהיה הלבנה (לרוב מראים “כסף מקורו בהונאה שפלוני כבר הודה בה”).Entrapment: אם סוכן פדרלי העמיד פנים שצריך הלבנה ודחף לכך. | – עו”ד יבחן האם פעולות הלקוח אכן עומדות בהגדרת “הלבנה”: למשל, אם רק החזיק קריפטו בחשבון, אולי לא “הסוות” אלא פשוט שמר (טיעון גבולי).– בטיעוני ענישה: הלבנת הון נראית רע, אבל עו”ד ידגיש שהלקוח היה “מולך שולל” בידי אחרים, לא היוזם העיקרי (אם נכון).– הליכים אזרחיים: בנוסף לעונש פלילי, יש חילוט. עו”ד ינסה להציל לנאשם חלק מהרכוש אם יוכיח שחלק לא קשור לפשע. |
עבירות קריפטו ייחודיות, הפעלת בורסה לא מורשית, Mixer, עבירות מס הקשורות לקריפטו | 18 USC §1960, הפעלת עסק העברת כספים ללא רישום (משתמש נגד מפעילי חלפני ביטקוין לא חוקיים)תקנות FinCEN, הפרות מנהלתיות (אכיפה דרך 1960 או חוק בנקאות סודי) | §1960: עד 5 שנות מאסר וקנסות. לעיתים מצטרף להלבנת הון (אם שימש לפשעים). אם עבירת מס, לפי 26 USC, למשל העלמת מס עד 5 שנים. | לא ידע שצריך רישיון: מפעילי שירותי קריפטו קטנים עשויים לטעון שלא הבינו שחלים עליהם חוקי MSB (Money Service Business).לא הוכח שהכסף שימש פשע: לנסות לטעון שהעסק לא קשור לפשעים (אם מואשם גם בהלבנה).דרישת תחולה: אולי טוענים שביזור הקריפטו אומר שלא חל החוק (טיעון משפטי חדשני, לרוב נדחה). | – בתיקי קריפטו עו”ד ייתכן ויטען סוגיות חוקתיות: למשל האם תקנות FinCEN חלות על decentralized protocols וכו’. אין הרבה תקדימים, עו”ד חדשני ינסה ליצור תקדים (אם הלקוח מסכים להיות מקרה מוביל).– ברמה פרקטית: עו”ד יסגור לעיתים עסקה עם פחות מאסר ויותר קנס/חילוט, כדי לסיים עניין. יסביר ללקוח שהמגמה להעניש לא נורא בחומרה פעם ראשונה, אבל חילוט רווחים כמעט בטוח.– ייעוץ בצד: עו”ד יכול לסייע ללקוח להסדיר את העסק במקביל (רישום), כדי להפגין רצון טוב לשיקום בפני בית המשפט. |
עבירות “האקינג” נוספות, כגון Cyberstalking (מעקב/הטרדה מקוונת), Swatting (קריאת חירום כוזבת) | 18 USC §2261A, הטרדה מקוונת (Cyber Stalking) באמצעות אלקטרוניקה18 USC §1038, הודעת מידע כוזב על חבלה/אירוע חירום (בעיקר Swatting נכנס כאן) | §2261A: עד 5 שנות מאסר (עשר אם גורם נזק חמור או הפרת צו מניעה).§1038: למקרי swatting הגורמים לתגובה של חירום, עד חמש שנים, ואם נגרם מוות בטעות (ששSWAT הרגו מישהו), יכול להיות מאסר עולם כמקסימום. | חופש ביטוי/צחוק: בצ’ארג’ינג של stalking, חלק טוענים “שלחתי הודעות אך לא איימתי ממש”.לא חשבתי שייקחו ברצינות (ב-swatting): “חשבתי שיבינו שזה מתיחה”, לא הגנה משפטית חזקה אך מנסים להראות היעדר כוונת נזק אמיתית.לא ניתן להוכיח שאני המתקשר: טענה ראייתית, למשל השתמש ב-VOIP מוצפן. | – עו”ד במקרה Stalking יבחן האם ההודעות באמת חוצות את הרף של “להפחיד אדם סביר”, אולי זו הטרדה קלה ולא סכנה (לנסות להפחית מדרגת עבירה פדרלית לעבירה קלה במדינה).– ב-swatting: עו”ד יטען לאי-צפיות, הלקוח לא שיער שיבואו בנשק כבד. אם למרבה הזוועה מישהו נפגע מ-swatting, עו”ד ינסה לבדל: “הוא רק התקשר, השוטרים הם שירו, לא כיוון שמישהו ימות”.– אסטרטגיית ענישה: להדגיש שהלקוח קיבל אחריות (לעיתים טובה חרטה פומבית). בתחום זה שופטים מתחשבים אם רואים שפעל מתוך ילדותיות. |
ריבוי אישומים, שילוב של כמה עבירות מעלה ענישה (למשל האקר שביצע גם פריצה, גם הונאה, גם הלבנה) | בדרך כלל ירשמו כל סעיף רלוונטי: §1030, §1343, §1028A, §1956, §371 וכו’ באישום אחד רב-סעיפי | עלול להצטבר עונש תיאורטית עצום (עשרות שנים), אך בהנחיות הענישה קיימת חפיפה חלקית. עדיין, צירוף §1028A (גניבת זהות) וענישה על כל קורבן הונאה בנפרד יכול להוסיף שנים רבות. | Double Jeopardy / חפיפה: עו”ד יטען שלא ניתן להעניש פעמיים על אותו מעשה תחת שני חוקים שונים (לדוגמה, גם 1030 גם 1343, לרוב ניתן, אבל אולי אם בדיוק אותה התנהגות, יבקש מיזוג לעונש אחד).כוונה שונה: הגנה מנסה לערער אלמנטים בכל סעיף, כדי אולי להפיל לפחות חלק. | – ניהול הסיכונים: עו”ד במקרה רב סעיפים צריך להבין תרחיש גזר דין, להשתמש במחשבוני הנחיות ענישה. ואז לייעץ ללקוח איזו עסקה עדיפה. למשל, אם 5 סעיפים -> 78-97 חוד’ לפי הנחיות; אם יורד לשני סעיפים -> 46-57 חוד’. מידע כזה מנחה דיון עם התביעה.– עו”ד ינסה לשכנע את השופט (אם הרשעה בכל) להורות לרוץ עונשים בחופף ולא במצטבר, ככל האפשר. יש לשופט שיקול דעת חלקי (למעט סעיפים כמו 1028A שדורשים מצטבר).– במקרים עם קורבנות מרובים, עו”ד יכול לבקש לראותם כ”תוכנית אחת” כדי לא להטיל ענישה נפרדת לכל קורבן, טיעון על רצף מעשים אחד. |
הערות לטבלה: העונשים בפועל תלויים בהנחיות הענישה הפדרליות (Federal Sentencing Guidelines) ומושפעים מגורמים כמו עבר פלילי, סכומי הנזק, מספר קורבנות, ועוד. טיעוני ההגנה משתנים בכל מקרה, ועורך דין מיומן יתאים את הטענות לנסיבות. התפקידים שצוינו לעורך הדין הם דוגמאות; בפועל עו”ד יעשה כל שניתן בתחומי החוק לטובת לקוחו, כולל ייעוץ מוקדם, ניהול מו”מ, בניית סיפור נגדי משכנע, והופעה אסרטיבית בבית המשפט.
חוקי הסגרה עם ישראל במקרה של עבירות סייבר
כאשר אזרח או תושב ישראל חשוד או נאשם בפשע סייבר שבוצע נגד ארה”ב, מתעוררת שאלת הסגרתו לארה”ב לצורך העמדה לדין. תחום ההסגרה מוסדר בין המדינות באמנה ובחקיקה פנימית, ויש לו מאפיינים מיוחדים כשמדובר בעבירות סייבר.
מסגרת משפטית כללית
אמנת ההסגרה ארה”ב-ישראל: נחתמה בשנת 1962 (ונכנסה לתוקף 1963), היא מגדירה את חובות ההסגרה בין המדינות. אחד הכללים המרכזיים הוא עיקרון “הפליליות הכפולה”: עבירה שעבורה מבוקשת הסגרה חייבת להיות עבירה פלילית הן בארה”ב והן בישראל (לא בהכרח אותה הכותרת, מספיק שאותה התנהגות אסורה בשתי המדינות).
אמנה זו עודכנה בפרוטוקול ב-2005 כדי להקל הליכים (למשל לאפשר הסגרה של אזרחים, שישראל פעם הסתייגה).
חוק ההסגרה הישראלי: חוק ההסגרה, תשי”ד-1954 (ותיקוניו, כולל תיקון 2001 שמאפשר הסגרת אזרחי ישראל עם תנאים). החוק קובע שבית המשפט בישראל צריך להשתכנע שקיימות ראיות מספיקות לצורך העמדה לדין (“Case Prima Facie”) לו היו הראיות הללו מובאות בישראל, ושאין עילת סירוב (לדוגמה, עבירה פוליטית, חשש לעונש מוות, וכו’).
עבירות סייבר לרוב אינן פוליטיות, ולא נושא של עונש מוות (הן אינן פשעי הון), לכן אין חסמים מיוחדים. אם כן, תנאי ההסגרה יתמקדו ב:
- כפילות הפליליות,
- הימצאות ראיות מספיקות,
- והבטחה מסוימת אם מסגירים אזרח.
הסגרת אזרחים ישראלים: בעבר, ישראל סירבה להסגיר את אזרחיה (במקום זאת שפטה אותם בישראל, עיקרון אוט-דד-אוט-זור, “או הסגר או שפט”). ב-1999 תוקן החוק וכיום ניתן להסגיר אזרח ישראלי ובלבד שמתקיימים תנאים, במיוחד:
- אם הוא הורשע שם, תהיה אפשרות שירצה את העונש בישראל (סעיף 1א לחוק).
- שר המשפטים רשאי להתנות, בהסכם מול המדינה המבקשת, שהנאשם אם יורשע יחזור ארצה לריצוי המאסר. הסכם כזה קיים עם ארה”ב.
בפועל, ארה”ב וישראל כבר עשו זאת: למשל במקרה זאב רוזנשטיין (פשע מאורגן, לא סייבר), הוסגר לארה”ב, הורשע, הוחזר לרצות בארץ. גם לגבי האקרים: Gery Shalon, דווח שהסכים לעונשו בארה”ב, אבל ייתכן והוא יבקש להעבירו לארץ בהמשך.
יישום בדיני סייבר
עבירות סייבר קיימות בשתי המדינות: כמעט כל עבירת סייבר חמורה בארה”ב יש לה מקבילה ישראלית: חדירה לחומר מחשב (ס’ 4 לחוק המחשבים הישראלי), מרמה ומחשבים, גניבת כרטיסי חיוב (עבירות הונאה, גניבת זהות, בחוק העונשין שלנו), פורנוגרפיית ילדים, אסור בשני המקומות, וכו’.
לכן, “פליליות כפולה” מתקיימת.
דוגמה: Aleksei Burkov, הוא היה רוסי, אבל ישראל הסגירה אותו כי המעשים (גניבת כרטיסי אשראי, הפעלת פורום האקרים) היו עבירות גם כאן (חוק כרטיסי חיוב, חוק המחשבים). אגב, באותו מקרה רוסיה טענה לעבירה דומה ברוסיה וביקשה הסגרה, אך ישראל העדיפה את בקשת ארה”ב.
הליך ההסגרה:
- ארה”ב מגישה בקשת הסגרה רשמית דרך הערוצים הדיפלומטיים.
- המועמד להסגרה נעצר בישראל (בד”כ בידי אינטרפול ישראל/יאחב”ל) לצורכי דיון.
- בית המשפט (מחוזי בירושלים בד”כ) דן אם העבירה כלולה באמנה ואם יש ראיות מספיקות. ראיות בהסגרה הן תקציר – אין חקירות עדים מלאות, אלא חומר שהעבירה ארה”ב.
- אם בית המשפט מאשר, שר המשפטים צריך לאשר את ההסגרה (ולוודא שאין מניעות מדיניות).
משך התהליך: יכול לקחת חודשים עד שנים (אם יש ערעורים לעליון וכו’). בזמן זה המבוקש יכול לעיתים להיות במעצר, אך אפשר לבקש שחרור בערבות, שבדרך כלל לא ניתן בחשש בריחה.
טיעונים להתנגדות:
- טיעון עבירה מדינית: לא תופס כמעט בפשיעת סייבר רגילה, כי אין “ממד פוליטי” אמיתי (אולי אם מישהו טוען “עשיתי זאת כמחאה אידיאולוגית”? לא סביר שיתקבל).
- אכיפה בררנית: הנאשם עשוי לטעון שהרשויות פה כבר חקרו וסגרו או משהו. למשל, במקרי Binary Options, חלקם טענו שישראל לא העמידה אותם לדין בזמנו אז למה להסגיר. אבל אם העבירות פגעו בארה”ב, זה לא טיעון חזק.
- זכויות אדם: נאשם יכול לטעון שבארה”ב צפוי לו עונש חמור מדי או תנאים קשים. היו טיעונים בעבר לגבי עונשי מאסר ארוכים כ”עוול”, אך בתי המשפט בישראל אמרו שאורך עונש לא מונע הסגרה (רק עונש מוות מונע אלא אם ארה”ב מבטיחה לוותר עליו, ופה אין עונש מוות בפשעים אלו).
- אזרחות כפולה: אם יש לו אזרחות אמריקאית וישראלית, ייתכן שיעדיף להישפט בארה”ב? אבל זה לא טיעון למנוע, אולי הפוך.
- אפשר לשפוט בישראל: אפשרות תיאורטית, ישראל יכולה לבקש “תעבירו הראיות, אנחנו נשפוט אותו פה”. בפרקטיקה, נדיר שארה”ב תקבל (אלא אם כן סיכון ביטחוני לשהותו שם). לפעמים עושים זאת עם מדינות שאין הסגרה. בין ישראל לארה”ב, יש רצון טוב, אך ארה”ב לרוב רוצה את ההרתעה.
חוקי הסגרה וצווי חיפוש בינ”ל: ישנו גם מנגנון שמאפשר ל-FBI לקבל ראיות מישראל בלי להסגיר חשוד, דרך אמנת ה-MLAT (Mutual Legal Assistance Treaty) בין ארה”ב לישראל (1998). ה-MLAT מאפשר למשל: ה-FBI יבקש דרך משרד המשפטים הישראלי צו לחיפוש בית חשוד בישראל ולהעברת הראיות לארה”ב. ייתכן שימוש זה במקרים שהחשוד ישראלי אבל לא רוצים/יכולים להסגיר מיד.
לדוגמה, במקרה של נער האיום למרכזים יהודיים (2017), ארה”ב ביקשה מישראל חומרי מחשב שלו לצורך התיק שהם פתחו בארה”ב, למרות ששפטו אותו בארץ בסוף.
הסגרה הפוכה: גם ישראל מבקשת מארה”ב על פשעי סייבר? אם למשל אמריקאי פרץ למשרד ממשלתי ישראלי. יש ערוץ אך מקרים כאלה נדירים יחסית (ישראלים יותר “מייצאים” פשיעת סייבר בשלב זה).
השפעת ההסגרה על נאשמי סייבר
עבור הנאשם:
- סביבה משפטית אחרת: להישפט בארה”ב, רחוק מהבית, לעיתים קשה יותר. אבל לעיתים העונשים בארץ גם חמורים (תלוי).
- משך מעצר ארוך: עד החלטה, אפשר להיות זמן ארוך במעצר ישראלי, ואז עוד מעצר בארה”ב טרום משפט, עינוי דין ממושך.
- הפחתת עונש בארץ: אם הוסגר ובא לארץ לרצות, לפעמים הוא נהנה מניכויים בישראל (שליש וכד’), שקצרים יותר מפדרלי (שם אין שחרור מוקדם נרחב, אולי 15% על התנהגות). זה תמריץ עבורו להסכים להסגרה אם יקבל ההבטחה הזו.
ישראל וארה”ב שומרות לרוב על יחסים טובים, ולכן אי-הסגרת עבריין סייבר היא נדירה. אבל היו מקרים של התמהמהות: למשל, באוק’ 2020 ישראל הסגירה את אלכסיי בורקוב לארה”ב למרות לחץ רוסי, מה שצוין כמסר חזק. פעם אחרת, סביב 2015, ישראל לא מיהרה להסגיר אנשי Binary Options עד לחץ אמריקאי ציבורי. כיום, המגמה, להסגיר אלא אם יש נסיבות חריגות.
חוקי ההסגרה גם כוללים את כלל מיוחדיות העבירה: מי שהוסגר לארה”ב על עבירת סייבר, ארה”ב תוכל לשפוט אותו רק על אותן עבירות שבגינן הוסגר, לא “להפתיע” עם אישומים נוספים (בלי אישור ישראל).
עוד נקודה: אם הוסגר, ויש לו עניינים בארץ (כמו משפט מקביל, חוב, משפחה), לא דוחים הסגרה על אלה בד”כ, אך לפעמים מסכמים שיחזור לסיים עניין (נדיר).
לסיכום, חוקי ההסגרה בין ישראל לארה”ב מתאימים מאוד לטפל בפשעי סייבר. העבירות כולן משותפות, אין הגנות מיוחדות, ושיתוף הפעולה חזק. החשודים הישראלים צריכים להבין שאם פגעו באופן חמור באינטרסים אמריקאים, ישראל לא תהווה מקלט בטוח, סבירות גבוהה שימצאו עצמם בטיסה לארה”ב עם סוכני FBI בשלב מסוים.
השוואה ליחידות מקבילות בעולם: Europol EC3, INTERPOL Cyber, UK NCA Cyber Division ועוד
ה-Cyber Division של ה-FBI ניצבת כמובילה עולמית באכיפת חוקי סייבר, אך היא אינה היחידה. ברחבי העולם קיימות יחידות דומות השייכות לארגוני ביטחון ואכיפה במדינות או במסגרות בינלאומיות, הפועלות בהתמחויות דומות. חלקן משתפות פעולה הדוק עם ה-FBI, חלקן מתמקדות באזוריהן. נסקור כמה מהבולטות שבהן:
European Cybercrime Centre (EC3), Europol
Europol (סוכנות אכיפת החוק של האיחוד האירופי) השיקה ב-2013 את המרכז האירופי לפשיעת סייבר (EC3) בהאג, הולנד. מטרתו לחזק את תגובת רשויות האיחוד לפשעי אינטרנט:
- סמכויות ומבנה: ל-EC3 אין סמכות מעצר או חקירה ישירה (Europol בכלל אין סמכות כזו), תפקידו לתמוך ולתאם את חקירות המדינות החברות. הוא מאחד מומחי סייבר, אנליסטים, ויועצים משפטיים תחת קורת גג אחת.
- תחומי עיסוק: EC3 מתמקד בשלושה תחומים עיקריים: פשעי סייבר מאורגנים (כמו כופרה, botnets, Dark Web markets), ניצול מיני של ילדים ברשת, והונאות תשלומים מקוונות. למעשה, EC3 כולל גם את Joint Cybercrime Action Taskforce (J-CAT), כוח משימה משותף שבו קצינים ממדינות שונות (ואף ממדינות לא-אירופיות כמו ארה”ב) יושבים יחד ומתכננים מבצעים נגד יעדים משמעותיים.
- הישגים בולטים:
- מבצע טייקדאון של Botnets: למשל, Operation EMMA/ Avalanche ב-2016, EC3 תיאם מבצע עם 30 מדינות לניטרול תשתית עולמית ששימשה 5 סוגי נוזקות, מאות שרתים נתפסו.
- Dark Web: סגירת שווקים כמו Hansa (2017), הולנד ומשטרות אחרות עם EC3 עקבו, ובמקביל ה-FBI הפיל את AlphaBay. EC3 שימש חמ”ל מודיעין.
- Cryptocurrency tracing: EC3 הקים צוותי Blockchain Analysis לתמיכה בתיקי הלבנת הון קריפטו, לדוגמה סייע בפענוח OneCoin.
- שיתוף עם ה-FBI: ה-FBI משתף פעולה צמוד דרך הצבת קצין קישור ב-EC3 והשתתפות ב-JCAT. דוגמה: במבצע Ghost Click (DNSChanger), אף שלא היה EC3 אז, במשכו, Europol/Eurojust תיאמו הסגרות מאסטוניה. כיום, כל מבצע נגד כנופיות סייבר עם נגיעות אירופה, FBI ו-EC3 עובדים יחד, חולקים מודיעין ומחלקים משימות (למשל FBI מטפל בצד האמריקאי, EC3 מוודא שכל מדינות אירופה הרלוונטיות מתואמות).
- הבדל לעומת FBI: EC3 הוא גוף מטה נטו, אין לו “סוכני שטח”. הוא נזקק לרשויות המקומיות (גרמניה, צרפת וכו’) לבצע מעצרים. לעומת זאת, ה-FBI גם מתאם וגם מוציא לפועל מעצרים וחיפושים. בנוסף, EC3 תלוי בהסכמה, אינו יכול לכפות על מדינה לפתוח תיק, רק לשכנע.
INTERPOL Cyber Crime Directorate
אינטרפול הוא ארגון כלל-עולמי (194 מדינות) לשיתוף משטרתי. מטה ה-Cyber Crime Directorate שלו נמצא במסגרת INTERPOL Global Complex for Innovation (IGCI) בסינגפור (שהוקם ב-2014 כזרוע מודרניזציה). המאפיינים:
- תפקיד: אינטרפול משמש פלטפורמת שיתוף מידע: מנהל מאגרי מידע על איומי סייבר (כמו מאגר כתובות IP זדוניות, פרופילי פושעים מבוקשים), ומנפיק התראות (Purple Notices) לגבי שיטות חדשות או איומי סייבר מתפתחים.
- מבצעי Cyber ברחבי העולם: אינטרפול מארגן מבצעים רב-לאומיים:
- למשל Operation Killer Bee (2021), נגד הונאות BEC באסיה-פסיפיק, 20 נעצרו.
- Operation Lyrebird (2020), אינטרפול סייע לקולומביה וה-FBI בלכידת האקר שחילץ מידע מאושיות אינסטגרם (המבוקש “אלסים”).
- התמודדות עם כופרה: אינטרפול הוביל קואליציה גלובלית נגד כופרה (“CRISP”), כולל אימון מדינות חלשות.
- סייבר מוגבר ואימונים: IGCI בסינגפור מארחת קורסי אימון לשוטרים במדינות מתפתחות בנושאי פורנזיקה דיגיטלית, חקירות Darknet וכו’.
- שיתוף עם ה-FBI: ה-FBI תומך בפעילויות אינטרפול; למשל, שולח מדריכים לקורסי IGCI. המבוקשים ביותר של ה-FBI לעיתים מתפרסמים גם דרך Red Notices של אינטרפול, כך שכל משטרה חברה יכולה לעצרם.
- הבדל: אינטרפול אינו חוקר מקרים ספציפיים אלא מסייע: אם ל-FBI יש תיק עם שלוחות בחו”ל (למשל האקר באפריקה), ייתכן שפנייה דרך אינטרפול תקל על העברת מידע ומשאבים. אינטרפול גם מתמקד בסיוע למדינות שאין להן יכולות, ייתכן שה-FBI מעביר דרכו ידע לטובת כולם.
National Crime Agency (NCA), National Cyber Crime Unit (NCCU) (UK)
בבריטניה, הגוף המקביל הוא ה-NCA, הסוכנות לפשיעה לאומית, שהוקמה ב-2013 כתמזוגה של כמה סוכנויות קודמות (סמים, פשע מאורגן וכו’), ובה גם יחידת הסייבר המרכזית:
- NCCU (יחידת פשיעת הסייבר הלאומית): זו יחידה בתוך NCA שמטפלת במקרים הגדולים, פשיעת סייבר חמורה וחוצת גבולות.
- שילוב כוחות: היא פועלת יחד עם היחידות האזוריות של פשע סייבר (RCCU) הקיימות במשטרות המקומיות באנגליה, סקוטלנד וכד’. כלומר, אם תקיפה בינ”ל משמעותית, ה-NCCU תוביל, בשיתוף צוותים מקומיים.
- שיתוף עם ה-FBI: בריטניה שותף קרוב (Five Eyes). ה-FBI ו-NCA משתפים מידע מודיעיני (GCHQ ו-NSA כמובן משתפות פעולה צמוד). במבצעים נגד רשתות, כמו מעצרי מפעילי כופרה באוק’ 2021, NCA עבדה עם FBI דרך Europol גם.
- דוגמה: 2017, מעצר MalwareTech (מחבר WannaCry kill-switch) בארה”ב, NCA פעלה לעזור, שוחרר, שיתוף ביניהם.
- יכולות: ל-NCCU יש מרכז מבצעי עם חוקרי OSINT, אנליסטים, והיא משתתפת ב-J-CAT ביורופול עם קצין קבוע.
- מבנה חוקי שונה: בבריטניה עבירות מחשב (Computer Misuse Act 1990), NCA לא תמיד צריכה לבקש אישר משפטי כמו בארה”ב, הליכים שונים (לדוגמה, היכולת של GCHQ לעשות “צווי מחשב” ש-FBI היה צריך דרך בית משפט, בבריטניה אפשר יותר מנהלית במקרים ביטחוניים).
- גישה: NCA מיישמת גם מודל Prevent: מנסה למנוע עבריינות סייבר ע”י Outreach לנוער (FBI גם עושה, אבל פחות מתוקצב לזה).
יחידות סייבר במדינות אחרות (הבזקים קצרים)
- גרמניה, BKA יחידת סייבר: משטרת המדינה (BKA) מחזיקה מרכז מיקרופון סייבר. אך בגרמניה הרבה אחריות על מדינות (Länder) אז אין יחידה פדרלית מרוכזת כמו FBI. BKA משתפת עם יורופול ו-FBI במקרי ענק (למשל חיסול Hydra Market 2022, BKA הובילה, FBI תמך).
- צרפת, OCLCTIC: יחידה תחת ז’נדרמריה האחראית על פשעי סייבר, ותחתיה C3N (בז’נדרמריה) ו-BRDF (במשטרה). משתפת פעולה דרך יורופול.
- אוסטרליה, ACIC & AFP: המרכז האוסטרלי למודיעין פשיעה (ACIC) עם משטרת הפדרלית AFP מחזיקים יחידת סייבר שמתחברת גם היא ל-Five Eyes. ביצעו יחד עם FBI מעקבים, כגון Operation AN0M ב-2021 (השתלת אפליקציית צ’אט לסיכול פשע, אמנם לא בדיוק סייבר, אבל טכנולוגי).
- סינגפור, CSA ו-CID: סינגפור הקימה סוכנות אבטחת סייבר (CSA) והמשטרה (CID) שם מטפלת פשיעת סייבר. משתפים פעולה אזורית, סינגפור גם שיתוף עם FBI בעיקר דרך אינטרפול IGCI על אדמתה.
- ישראל, להב 433, יחידת הסייבר: כבר דיברנו, המשטרה מחזיקה יחידת סייבר ארצית, שגם היא משתפת עם FBI (כמתואר). גם מערך הסייבר מסייע אזרחית.
FBI לעומת המקבילות
ניתן להשוות:
- גודל ומשאבים: ה-FBI Cyber Division הוא מהגדולים, מאות סוכנים, תקציב משמעותי. רוב המדינות הקטנות לא משוות. אפילו בריטניה (NCCU), צוותיה בעשרות אנשים בודדות במטה, נסמכים על עצום שיתוף מודיעין עם GCHQ.
- סמכויות חובקות עולם: רק למעטים יש Legal Attachés ברחבי העולם כמו FBI. סוכנויות אירופה מוגבלות לגבולותיהן, לכן FBI מרבה להוביל חקירות גלובליות.
- תפיסת תפקיד: FBI משלב אכיפת חוק עם ביטחון לאומי. סוכנויות אירופה נוטות להתמקד בפלילי ולהשאיר מדינתי למודיעין (לדוגמה, מתקפות מדינה, בגרמניה מטפלת שירות הביטחון הפנימי BfV יותר מאשר BKA). אבל FBI עושה גם וגם, דבר שמעניק יתרון בהוליסטיות.
- שיתוף פעולה בינלאומי: כולם משתפים, אבל הפלטפורמות שונות. FBI פועל bilateral (אמנות, נספחים) וגם multilateral (יורופול, אינטרפול). יורופול/אינטרפול עצמן לא חוקר, רק מתאם.
מגמות:
ארגונים כמו יורופול/אינטרפול עדיין מתפתחים והם שואבים השראה גם ממבנה ה-FBI (הקמת EC3 הייתה למעשה כתגובה להבנת הצורך במרכז כמו FBI עבור אירופה).
בריטניה אחרי הברקזיט שומרת על קשר ישיר עם FBI (אפילו יותר, כי יצאו מיורופול).
נוסף על כך, צצות בריתות ייעודיות:
- הכוחות נגד כופרה, קבוצה של 30+ מדינות בהובלת ארה”ב, שם FBI עובד מול המקבילים בנוהל שוטף.
- היורופול J-CAT, שם מולטילטרלי.
- היוזמה הבינלאומית 24/7 של G7, נקודת קשר בכל מדינה לסייבר (הרעיון שמישהו יכול להתקשר ולקבל סיוע משפטי דחוף תוך 24 שעות; הרשת הזו מופעלת ע”י ה-DoJ האמריקאי אבל חוצה מדינות).
למרות שיש יחידות מקבילות מרשימות, ל-FBI Cyber Division יש מעמד ייחודי. ביטוי לכך:
- סוכנויות זרות רבות שולחות את אנשיהן להתלמד ב-FBI (תוכנית The International Fellowship Program).
- ה-FBI מוביל חלק גדול מהמבצעים (הכרזות DOJ לרוב כוללות תודה ליורופול/אינטרפול, מה שמרמז שארה”ב מובילה).
עם זאת, ההצלחה הגלובלית במאבק בפשיעה קיברנטית תלויה בשיתוף הפעולה הסימביוטי בין כל הגופים: היכן של-FBI אין סמכות, נכנסת המשטרה המקומית; היכן שלמשטרה המקומית חסר ידע, נכנס אינטרפול/יורופול או סיוע FBI; וכך הלאה. המלחמה היא קולקטיבית, וכל אחת מהיחידות, EC3, אינטרפול, NCA, יחידות ישראל וכד’, היא חוליה בשרשרת ההגנה הקיברנטית הגלובלית.