מערך הסייבר הלאומי: הכל על ניצול בהלת הקורונה לביצוע מתקפות סייבר

מערך הסייבר הלאומי: הכל על ניצול בהלת הקורונה לביצוע מתקפות סייבר
מאת: מערכת Telecom News, 28.2.20, 17:40

לאחרונה החלו להתפרסם דיווחים על מתקפות סייבר באמצעות ניצול העניין הציבורי העולמי סביב התפשטות נגיף הקורונה. להלן סקירת המתקפות האחרונות שפורסמו והמלצות להתמודדות עם כל סוג של מתקפות.

מערך הסייבר הודיע, שבסוף דצמבר 2019 החלו להתקבל דיווחים ראשונים אודות התפתחות של נגיף חדש בעיר ווהאן בסין. בחודשים שעברו מאז, הנגיף החל להתפשט למדינות נוספות בעולם, הביא להידבקותם של עשרות אלפי אנשים במחלה וגבה את מותם של אלפים. ב-30.1.20 הכריז ארגון הבריאות העולמי על מצב חירום בשל התפשטותו המהירה של הנגיף ברחבי העולם.

לאחרונה החלו להתפרסם דיווחים אודות ניצול הבהלה העולמית סביב הנגיף לביצוע מתקפות סייבר בדרך של הנדסה חברתית.

מחיפוש בפלטפורמת Future Recorded עולה, שבמהלך 30 הימים האחרונים נרשמו 5,463 שמות מתחם ותעודות חדשים המכילים את הביטוי "Coronavirus" או את חלקו. רבים מהם נמצאו זדוניים.

להלן סקירה של מתקפות סייבר, שבוצעו לאחרונה על רקע התפשטות נגיף הקורונה.

Phishing דיוג:
חוקרים מחברת אבטחת המידע Proofpoint המנטרים את הפעילות הזדונית המתרחשת בעולם בהקשר של נגיף הקורונה, פרסמו, שהיו עדים למאות אלפי הודעות דיוג בנושא, ביניהן להודעות המפיצות תאוריות קונספירציה אודות הימצאותם של תרופות וטיפולים נגד הנגיף שלא פורסמו, וחלקן בשמם של ארגוני בריאות לגיטימיים.

על פי הפרסום, בקמפיינים אלה התוקפים משתמשים בנוזקות לגניבת מידע כמו ,Emotet ,AZORult ,AgentTesla Keylogger ,RAT NanoCore  או מפיצים קישורים לאתרי דיוג המתחזים ל-,Office365 ,Adobe ,DocuSign שנועדו לגנוב פרטי הזדהות.

כ"כ, החוקרים ציינו, שהקמפיינים מוקדו נגד חברות ממגזר הבנייה, החינוך, האנרגיה, הבריאות, התעשייה, הייצור, הקמעונאות והתחבורה. מבחינה גאוגרפית, התקיפות מוקדו נגד יפן, ארה"ב, אוסטרליה ואיטליה.
 
 Scam websites אתרי הונאות:
 חברת אבטחת המידע צ'ק-פוינט פרסמה, שאיתרה בחודשים האחרונים מספר רב של אתרים חדשים, שנרשמו עם שמות מתחם Domains הקשורים לנגיף. החברה משערת אמנם, שרוב האתרים משמשים למתקפות דיוג, אך מצאה, שחלקם משמשים למטרות הונאה ומבקשים למכור, לכאורה, מסכות לפנים, חיסונים ומבדקים ביתיים לגילוי הנגיף.

דוגמה לאתר כזה הוא vaccinecovid-19/[.]com, שנוצר לראשונה ב-11.2.20 ונרשם ברוסיה. אתר זה מציע למכירה את "המבדק הטוב והמהיר ביותר לגילוי נגיף הקורונה במחיר של 19,000 רובל רוסי - כ-300 דולרים.

יישומונים (אפליקציות) זדוניים:
 Precikowski Witold, חוקר נוזקות באנדרואיד, פרסם בטוויטר, שנמצא יישומון זדוני באנדרואיד בשם"Coronavirus" , שהוא וריאנט חדש של הנוזקה הבנקאית .Cerberus 
 
Ransomware כופרה:
חוקר אבטחת המידע Fernández Germán פרסם בטוויטר, שחשף גרסה חדשה של הכופרה NMSL-CXK, שמתחזה לקובץ מידע למטיילים מסין להודו -Information on Travelers from Wuhan China to India.xlsx 2020.1.23  - 2020.1.10.

כ"כ, חברת אבטחת המידע קספרסקי דיווחה, שאיתרה קבצי PDF ,MP4 וDOCX-, שלכאורה, שמותיהם מרמזים, שהם מכילים הוראות להתגוננות מפני הנגיף, עדכונים בנוגע לאיום וטכניקות לגילוי הנגיף. אך, למעשה, הם מכילים נוזקות כמו סוסים טרויאנים Trojans ותולעים Worms, שמטרתם הצפנה או השמדה של מידע.

חברת קספרסקי גם פרסמה, שאיתרה את הקבצים הזדוניים הבאים:
Worm.VBS.Dinihou.r
 Worm.Python.Agent.c
 UDS DangerousObject.Multi.Generic
 Trojan.WinLNK.Agent.gg
 Trojan.WinLNK.Agent.ew
 HEUR: Trojan.WinLNK.Agent.gen
 HEUR: Trojan.PDF.Badur.b
 
דרכי  התמודדות:
 
אתרי הונאה:
מומלץ לא ללחוץ על קישורי קידומי מכירות בדוא"ל או באתרים, אלא לחפש באופן יזום את המוצרים שברצונכם לרכוש .

היו חשדניים כלפי הצעות מכירה מפתות ומשתלמות מידיי .

היו ערים לשמות מתחם המתחזים לשמות מתחם לגיטימיים בשיטת  lookalike - שינוי קל של אותיות או שיכולן, לשגיאות כתיב בהודעות דוא"ל או באתרים ולשולחים לא מוכרים.

דיוג:
יש לשים לב בתוכן ההודעה לכתובות URL ולשמות מתחם חשודים או שאינם תואמים לארגון ממנו מתיימרת להגיע ההודעה.

מומלץ לבחון את נוסח ההודעה ולהטיל ספק בהודעות בעלות נוסח מאיים - "אם לא תפתחו את קובץ המידע אתם עלולים להידבק", מאיץ - "נותרו רק עוד 50 חיסונים לרכישה", או מפתה - "רכשו חיסון/מסכה ב-70% הנחה".

מומלץ לבדוק באתר הארגון ממנו נשלחה, לכאורה, ההודעה, האם פרטיה אכן נכונים. לשם כך, יש לגלוש לאתר באמצעות חיפוש עצמאי ברשת ולא באמצעות לחיצה על הקישור המצורף, או לחילופין, ניתן לבדוק טלפונית מול מוקדי החברות השונות את מהימנות ההודעה. כ"כ, ניתן לעמוד עם העכבר על הקישור ולראות לאיזה כתובת הוא באמת מוביל.

אין לפתוח קישורים מגורם לא מוכר או שאמינותו מוטלת בספק.

במידה ופתחתם את הקישור:
ניתן לבחון את התעודה הדיגיטלית של האתר כדי לוודא, שהוא אכן שייך לארגון אשר שלח את ההודעה.
אין להזין לעולם פרטים רגישים כמו פרטי התחברות לחשבון או פרטים פיננסים.
במידה והזנתם פרטי אשראי, מומלץ ליצור קשר עם חברת האשראי לחסימת הכרטיס.
מומלץ להתקין תוכנת Anti-virus מהחנויות המקוונות הרשמיות ולוודא, שהמכשיר לא נדבק בנוזקה.
אין להשיב למסרונים, שנשלחו מגורם לא מוכר, שכן ייתכן ומטרת ההודעה היא לבדוק מספרי טלפון פעילים וכך ליצור רשימת תפוצה למתקפות עתידיות.
 
כופרה  ונוזקות נוספות:
מומלץ לא להוריד קבצים, שהתקבלו משולח לא מוכר או אמין, או מאתרים לא מוכרים.

במידה וכבר הורדתם, מומלץ לבחון את סוג הקובץ טרם פתיחתו/הרצתו. כדי לעשות זאת, ניתן להשתמש באתרים המספקים בדיקה מקוונת של סוג הקובץ. שימו לב - קבצי מסמכים ווידאו לא אמורים להיות בפורמט של קובץ הרצה (.EXE). כ"כ, כדי לבדוק האם הקובץ זדוני ניתן לסרוק אותו בפלטפורמות חקירה ייעודיות.

מומלץ להגדיר, כי קבצים, שיורדו מהאינטרנט, יפתחו רק תחת תצוגה מוגנת Protected View, ולאפשר הרצת פקודות מאקרו רק בעמדות המנותקות מהרשת הארגונית. יש להטיל חשד באופן מיוחד בקבצים המכילים הודעות המנסות לשכנע את המשתמש להסיר אמצעי אבטחה אלה.

מומלץ להחיל על תחנות העבודה עדכוני אבטחה של יצרני התוכנות השונות, וכן עדכוני חתימות עתיים של מערכות האבטחה.

מומלץ לבחון את מערך הגיבויים הארגוני, לוודא תקינותו, ולוודא, שבאופן עיתי נשמר עותק של הגיבוי באופן בלתי-מקוון, למניעת נגישות התוקפים אליו.
 
יישומון זדוני (באנדרואיד):
מומלץ להוריד יישומונים מהחנויות המקוונות הרשמיות בלבד.

טרם הורדה של יישומון מסוים, מומלץ לבדוק את מספר ההורדות שלו, את דירוגו ואת תגובות המשתמשים אודותיו.

מומלץ לבחון את ההרשאות אותן דורש היישומון, לוודא, שהן לגיטימיות ולהגביל אותן במידת האפשר.

מומלץ להתקין תוכנת Anti-virus  במכשיר.
 
פרטים נוספים וגם תמונות המדגימות את הנ"ל - כאן.