זהירות: מתקפת סייבר לפניך
נועם הרולד, מנכ"ל Cyberlynx Security
ראובן, מנכ״ל ובעלים של חברת תוכנה גדולה שלח מייל לחברו ושותפו שמעון, מנהל קרן השקעות, וביקש ממנו הלוואה בסך 5 מיליון דולר. הצדדים סיכמו את התנאים וכעבור כמה ימים קיבל שמעון הודעת מייל מראובן ובה פרטי חשבון בנק שלו בהונג קונג. שמעון ביצע את ההעברה לחשבון כמבוקש, אך הבנק דרש מכתב בחתימת ראובן המאשר כי החשבון אכן שייך לו. כעבור יממה שלח שמעון את המכתב החתום על ידי ראובן והעסקה אושרה.
אלא שאז חלה תפנית בעלילה, כאשר ראובן התקשר לשמעון ותהה מה קורה עם הלוואה! בתוך שניות הבינו הצדדים כי נפלו קרבנות לתרמית וכי מי ששלח לשמעון את פרטי חשבון הבנק וכן המכתב החתום היה מתחזה !
במהלך חקירת האירוע, גילינו כי חשבון המייל של בעל קרן ההשקעות (שמעון) נפרץ כשנה לפני האירוע. הפורצים עברו על המיילים של שמעון מידי פעם במטרה לגלות בקשות להעברת כסף שניתן יהיה לנצל לשם ביצוע תרמית.
אז מי שלח את המייל מראובן ?
התברר, שמי ששלח את המיילים בשם ״ראובן״ רשם דומיין וכתובת מייל כמעט זהה לזה של ראובן (למשל info@cyber1ynx.lu במקום info@cyberlynx.lu) וכך הטעה את שמעון ואת הבנק להאמין שהוראת ההעברה היא אותנטית. שמעון שלא שם לב לשינוי הקטנטן בכתובת המייל לא פקפק במהימנות ההודעות מ״ראובן״, ואילו ראובן האמיתי כלל לא היה מודע למתרחש.
Business Email Compromise
שיטת העבודה המתוארת נפוצה למדי וקרויה BEC attack (Business Email Compromise). חשבונות Office 365 –לרבים מקוראי המאמר יש כאלה – מהווים מטרה יחסית נוחה לתוקפים.
היעד של תקיפת BEC יהיו לרוב מוסד פיננסי, עו״ד, סוכן נדל״ן, או מנהל קרן השקעות הרגילים לבצע העברות גדולות ותכופות בשמם או בשם לקוחותיהם.
ככלל, ניתן לחלק את מהלך התקיפה לשלושה שלבים:
• שלב א׳ - שליטה על חשבון הדוא״ל: שלב זה מתחיל בפריצה לחשבון, לרוב באמצעות שליחת הודעת דוא״ל עם קובץ המכיל נוזקה (malware). הודעת הדוא״ל ״מתחזה״ לספק מוכר, כגון paypal או מיקרוסופט. לאחר שהתוקף משיג נגישות הוא אוסף מחשבון הדוא״ל מידע על חשבונות בנק, שותפים, דוגמאות חתימה אנשי קשר ומידע רגיש אחר.
• שלב ב׳ – בניית כיסוי: התוקף מנצל את המידע הגנוב כדי לבנות כיסוי שישמש אותו בהמשך מול בנק או גורם אחר להעברת כספים. התוקף ישתמש בדוגמאות חתימה או פרטי זיהוי נוספים כדי לאמת את פרטיו מול הבנק.
• שלב ג׳ –פקודת ההעברה: הוראת ההעברה מבקשת לשלוח כספים לחשבון הבנק של הפורץ. לרוב החשבון ימוקם במוסדות או במדינות בהם דרישות ״הכר את הלקוח״ רופפות יותר.
התרחישים נפוצים:
• התוקף מתחזה לבעל זכות חתימה: התוקף פורץ את חשבון הדוא״ל של עובד בחברה על מנת לשלוח מתיבת הדואר שלו הוראות העברה למוסד פיננסי. במקרה שהפריצה היא לתיבה של עובד זוטר, הרי שלעיתים ניתן ״לטפס״ אל זו השייכת להנהלה הבכירה שהיא מורשית חתימה.
• התוקף מתחזה למנהל בכיר (CEO fraud) על מנת לשלוח ממנו הנחיה לעובד אחר, בכדי שהוא ינחה את הבנק לבצע העברה לחשבון תוקף.
• התוקף מתחזה לספק של החברה ושולח מייל למחלקת הנהלת חשבונות ומבקש לעדכן את פרטי חשבון הבנק של ה״ספק״. על בסיס אותו מידע ״מעודכן״ עובד החברה מבצע העברה לחשבון של התוקף.
• פריצת חשבון של מתווך נדל״ן/ מנהל תיקי לקוחות/ עו״ד וכדו׳ (או התחזות אליו): התוקף מבקש מהרוכש/ נותן ההלוואה/ בעל חשבון הנאמנות להורות על העברת כספים לגורם בלתי מורשה. חשבונות של מתווכים/ עורכי דין/ family office הם מטרה משתלמת ביותר, שכן הם מכילים גם נתונים אודות לקוחות ובנקים אותם ניתן לנצל.
מכיוון ש- Office 365חולש על שימושים רבים שלנו בדאטה, הרי שפריצת החשבון עלולה להעניק לפורץ גישה לכלל המידע הארגוני הקשור לתוכנות מיקרוסופט ואף לקבצים ששמורים בפתרונות האחסון השונות (כגון One-drive, sharepoint).
מה עושים ?
1. מודעות ועירנות: לא לפתוח מיילים ״דחופים״ ממקורות לא ידועים או כאלה המבקשים מכם להכניס סיסמאות/ מספרי חשבון וכדו׳. אם יש ספק – אין ספק ! צרו קשר עם שולח ההודעה בטלפון.
2. פונים לעזרת אנשי מקצוע שיגדירו את אמצעי ההגנה הבסיסיים הזמינים לכם. אלה יכללו, בין היתר:
a. קביעת סיסמה מורכבת (לא, Aa123456 – לא הולך, בדיוק כמו שלא תתקינו מנעול ב-30 שׁ״ח בדלת הכניסה שלכם)ֿֿ,
b. אימות רב-שלבי: סיסמה זה נחמד, אבל רצוי לשלבה עם רכיב נוסף, למשל הקלדת 4 ספרות שנשלחות ב-SMS .
c. ביטול האפשרות להעברה אוטומטית של הודעות מיילים לתיבות מייל אחרות מחוץ לארגון.
3. התקנת אמצעי ניטור והגנה מתקדמים: לצד האמצעים ה״חינמיים״ רצוי כלים ייעודיים, מבוססי Artificial intelligence לבלימת מתקפות phishing, התקנת מערכת לניטור ורישום פעולות – דבר שיאפשר לחקור אירוע אם וכאשר יקרה.
בעידן הנוכחי שבו העסק, ומרכיבים משמעותיים של החיים עצמם, נמצאים בטלפון או במחשב, ולכן חיוני להתייחס לאבטחת מידע–לא פחות מאשר לאבטח פיזית של המשרד. היעדר מודעות והיערכות מהווים הזמנה לעבריינים לפגוע בכם ובלקוחותיכם. הפתרונות זמינים. נצלו אותם.
נעם הרולד, מנכ״ל Cyberlynx Security. סייברלינקס היא חברה לאבטחת מידע והגנת סייבר המתמחה בטיפול בחברות קטנות ובינוניות. עיקר פעילותה הוא בתחום הפיננסי-משפטי והוא מספק שירותים בין היתר בישראל, שוויץ, סינגפור, גיברלטר ובריטניה.