מנכ"ל קרן השקעות נפל קורבן להונאת פישינג

מנכ"ל קרן השקעות נפל קורבן להונאת פישינג;

העביר 100,000 דולר להאקרים

 

בקרב אנשי המקצוע יש נטייה לזלזל בהונאות פישיניג, אבל העובדה שהן ממשיכות להתרחש, למרות אירועים רבים ומתוקשרים, מוכיחה שיש עוד עבודה רבה בהגברת ויצירת מודעות למהות התקיפה ולסכנות הכרוכות בה. הדבר אפילו בא ליד ביטוי באופן מהותי יותר, כשהמותקף הוא אישיות בכירה בעולם ההשקעות, אדם עם אוריינטציה טכנולוגית ומודעות לנושאי אבטחת מידע.

 

מצרפת כאן פרטי תחקיר אירוע שבוצע בחודש האחרון באמצעות חברת SECOZ הפועלת בתחום אבטחת המידע והגנת הסייבר. מטבע הדברים, לא ניתן לציין את פרטי זהותו של המותקף, אבל השתלשלות האירועים מפורטת כאן בהרחבה.

 

נועם הנדרוקר, מנכ"ל SECOZ: "בעוד כולנו אוהבים לדבר הרבה על תרחישי אימים העלולים לשתק את תשתיות המדינה וליצור כאוס מוחלט, ביום יום, עיקר ההתמודדות היא עדיין עם אירועי הונאות, קריפטולוקרים ונזקי מוניטין שלהן השלכות כספיות ועסקיות מהותיות. האירוע המתואר כאן הוא הוכחה חד משמעית לחשיבות הבלתי מתפשרת של המשך יצירת מודעות ועוד מודעות ועוד מודעות כתהליך שאינו נגמר ואינו נפסק לעולם, שכן התוקפים רק משתכללים ואילו אנחנו נכנעים לשגרה ולנוחות ולמירוץ אחר ההודעה והמשימה הבאה.

 

"האירוע הזה הוא הזדמנות מצוינת להזכיר שאירועי פישיניג ניתן למנוע כמעט במלואם אם נשים לב למספר כללים בסיסיים:

–          לא פותחים קבצים ולינקים משולח שאינו מזוהה.

–          לפני הכנסת פרטים מזהים, בודקים אם הדף שבו אנחנו מתבקשים לבצע את האימות הוא אכן עמוד לגיטימי – לא יופיעו בו מספרים ואותיות שאינם קשורים לכתובת אינטרנט חוקית.

–          מעדכנים בכל מקום שניתן אפשרות ל-2 אפשרויות זיהוי במקביל, כך שבכל גישה לשירות הדורש הזדהות, נקבל גם פניה בהודעת טקסט, דבר שיגביל את הגישה ויאפשר לנו לנטר ניסיונות גישה חיצוניים שכאלה".

 

#####

 

בתאריך 28/02/2016 נשלחה אל אחד ממנהלי גופי ההשקעות בארץ הודעת מייל המציינת כי עליו להחליף את סיסמתו בג'ימייל ולינק מצורף. לחיצה על הקישור הובילה לעמוד הפישינג:

דף האינטרנט יועד להיראות כעמוד ההזדהות של גוגל, וביקש הזנת שם משתמש וסיסמא. המקבל הזין את פרטי ההזדהות שלו שנשלחו אל התוקפים. מאותו הרגע הם התחברו לתיבת המייל שלו ומיידית, כדי לשבש אפשרות לזיהוי ההונאה, הגדירו מספר חוקים המנתבים את הדואר הנכנס לתיבת הספאם. מטרת חוקים אלו היא למנוע התראה ולא לעורר את חשדו של המותקף. החוקים שהוגדרו נגעו לגבי כל מייל שמגיע מ- CFO החברה. לאחר הגדרה זו הפיצו את מייל הפישינג לכל רשימת אנשי הקשר של המותקף.

 

לאחר מכן איתרו התוקפים בתיבת המייל של המותקף בקשה ישנה לביצוע העברת כסף, וביצעו זיוף של בקשה חדשה להעברה על סך של 100,000 אירו. הבקשה נשלחה מהמייל של המותקף למייל של ה- CFO.

 

ה-CFO חשד בבקשת העברה ודיווח למותקף על הנושא וכך נתגלתה הבקשה המזויפת.

 

בקשת העברה הייתה לחשבון בנק באירלנד.

 

צוות Cyberhat מקבוצת SECOZ החל בחקירה. פתח תיבתGmail  חדשה והזין בעמוד הפישינג את פרטי ההתחברות. הצוות המתין להתחברות לתיבת המייל החדשה שנפתחה, וזאת במטרה לראות בחלון ה-"Recent Activity" מאיזה IP נעשתה גישה לתיבה. לאחר מספר שעות התגלה כי בוצעה גישה אל תיבת המייל החדשה שנפתחה ע"י הצוות מכתובת ה-IP, שאיכונה הראה כי מקורה בישראל.

 

בדיקה של הפורטים הפתוחים בכתובת זו הראתה כי ישנו שיתוף קבצים שנגיש לאינטרנט ללא כל הגבלה על הגישה. גישה לשיתוף הנ"ל העלתה מספר קבצים שהובילו לאדם ספציפי.

 

אפיק חקירה נוסף שנבדק ע"י הצוות של Cyberhat מקבוצת SECOZ הוא חשבון הבנק שאליו ביקש התוקף להפקיד את הכסף, צוות המודיעין בחברה החל לאסוף פרטים על בעליו של החשבון. נמצא כי חשבון הבנק נפתח על ידי אדם בעל זהות ניגרית. לאחר בדיקה מעמיקה הכוללת התחקות אחר האדם ברשתות החברתיות התגלה כי לא קיימת התאמה בין קורות החיים לבין שמו של בעל הפרופיל ולמעשה בסבירות גבוהה מדובר בזהות מזוייפת.

 

אותה חברת  השקעות היא חברה קטנה (עד 10 עובדים) ובזכות יחסי העבודה קרובים (חדרי עבודה צמודים) ולאור מודעות גבוהה של סמנכ"ל הכספים נמנעה הונאת ענק.

 

פרטי החקירה הועברו למחלקת הסייבר במשטרת ישראל להמשך טיפול במישור הפלילי.