נחשפה תרמית בינלאומית: הודעות דוא"ל מתחזות לבקשות תשלום לגיטימיות והכסף מוזרם לחשבונות קש בסין והונג-קונג
מאת:
מערכת Telecom News, 26.2.18, 11:10
ניסיונות ההונאה הזאת, שנחשפה ע"י IBM, המבוססת על הנדסה חברתית, עודם פעילים ונמשכים גם עתה. איך פועלת ההונאה?
מומחי אבטחה של
IBM חשפו הונאת דיוג (פישינג) רחבת היקף, שעושה שימוש במשלוח של הודעות דוא"ל מתחזות וקישורים מזויפים כדי לגנוב מיליוני דולרים מחברות גדולות, במיוחד בארה"ב, ומנתבת כספים לחברות קש בהונג קונג או בסין.
בין הנפגעים, אותם זיהתה החברה נמצאים ארגונים העוסקים בתחומי הקמעונאות, הבריאות, הפיננסיים והשירותים המקצועיים, לרבות חברות
Fortune 500. קבוצת המודיעין בחטיבת האבטחה של החברה (
X-Force) מדווחת, שניסיונות התרמית הזאת עודם פעילים ונמשכים גם עתה.
צוות התגובה לאירועי אבטחה של החברה המכונה
IRIS (
Incident Response and Intelligence Services) זיהה, שכתובות ה-
IP, בהן השתמשו התוקפים, פועלות בניגריה ומעריך, שמאמץ ההונאה כלל פורצים, שפעלו בשיתוף פעולה ובאופן מאורגן.
חלק ניכר מההונאה התבסס על הנדסה חברתית (
Social engineering), תהליך, שבו מזהים הפורצים את המבנה הארגוני של החברה, שהם תוקפים, משתלטים על תיבות דואר של עובדים בעזרת תרמית ומפעילים דפי אינטרנט מזויפים. כך, הם מצליחים לחדור לארגון ללא שימוש בתוכנות זדוניות או חדירה של האקרים אל הרשת הפנים-ארגונית.
כך פועלת ההונאה:
באמצעות כתובות דוא"ל עסקיות, שסיסמאות הגישה שלהן נחשפו בעבר, שלחו התוקפים צרופות וקישורים מזויפים אל משתמשים אחרים בתוך הארגון, בתקווה, שהנמענים ילחצו עליהם. ההודעות המתחזות לא כללו תוכנה זדונית או קוד זדוני כל שהם, אלא קישור לדף כניסה מזויף של
,DocuSign ששימש להנפקת אישורי כניסה. יותר מ-100 אישורים מזויפים כאלה כבר נמצאו במהלך הבדיקה של יבמ.
מרגע, שבו הונפקו אישורי כניסה מזויפים לתוך הרשתות הפנים ארגוניות, מתחילה ההונאה עצמה: התוקפים השתמשו בידע אותו רכשו אודות חברות היעד בהן התמקדו, כדי לגלות מי הספקים העיקריים של אותן חברות, מי במסגרת הארגונים האלה אחראי לשינויים בפרטי המוטבים, ומה המסמכים הנדרשים כדי לזייף הזמנות ואישורי תשלום, במסגרת מערכות הניהול הפנימיות.
כך, למשל, הקימו הפורצים שמות מתחם (
Domain) הדומים להפליא לאלה של ספקי שירותים לגיטימיים אליהם התחזו: שינוי או הכפלה של אות בודדת, סיומת
.net במקום
.com – והפעילות מנותבת לאתר המתחזה.
כך, הצליחו התוקפים לשטות בגופים המשלמים, ולגרום להם להאמין, שהספק שלהם שינה את פרטי חשבון הבנק שלו, תוך ניתוב הכספים המגיעים לו אל חברת הקש, לרוב בהונג-קונג או בסין. המטרה הסופית של התוקפים היא להוביל את הקורבנות לשלוח כסף לחשבונות בנק של הפושעים, כאילו מדובר בתשלום עבור שירות לגיטימי אותו קיבלה החברה הנפרצת.
מלבד ידע בסיסי בהגדרת שמות מתחם, מערכות אימות זיהוי משתמשים וחתימות
DocuSign פורטלים והגדרת מסננים לדואר אלקטרוני - התקפות מסוג זה אינן דורשות כתיבה של קוד כל שהוא: התוקפים נדרשים להבין את אופן החשיבה של משתמשים בעידן הנוכחי ומנצלים את הרגלי החשיבה והפעילות האנושית במסגרת ארגונים ורשתות.
כדי לצמצם סיכונים מהסוג הזה, ממליצה החברה לארגונים להשתמש באימות דו-שלבי, ולהגדיר במסגרת מערכת הדוא"ל הארגוני התראות מיוחדות אודות הרשאות המונפקות ע"י שרתים חיצוניים, שאינם מנוהלים במסגרת הארגון.
כ"כ, ממליצה
IBM בפני האחראים על האבטחה בארגונים לוודא, שמשתמשים עוברים הכשרה והדרכה המאפשרות להם לזהות מתקפות כאלו, שמבוססות על הנדסה חברתית, ולנקוט אמצעי אבטחה כדי לזהות נקודות תורפה ולמנוע כניסה למערכת של מתחזים פוטנציאליים.
פירוט חשיפת התרמית -
כאן.