רועי פוטר, IPSec: "הפריצה לבנק הייתה האמצעי – ולא המטרה הסופית"

"הפריצה לבנק JP Morgan Chase הייתה יחסית פשוטה ונפוצה – גניבת פרטי הזדהות של אחד מעובדי הבנק באמצעות מתקפת פישינג ממוקדת (Spear-Phishing) בשילוב עם גרסה לא עדכנית של אחד משרתי ההזדהות. זו אפשרה הזדהות על ידי מזהה יחיד לרשת הבנק במקום שני מזהים", אמר רועי פוטר, סמנכ"ל IPSec.

מנצור אמר את הדברים בהתייחס לפרשת הסייבר העולמית שנחשפה אתמול (ג'), בה מעורבים בין היתר שני ישראלים. מעצרם של אלה הוארך היום על ידי בית משפט השלום בירושלים ב-20 ימים.

"למעשה, ההתקפה התגלתה על ידי הבנק במקרה, בשל טעות שהתוקפים עצמם עשו. אנשי יחידת האבטחה של הבנק לא עלו על הפריצה אצלם, עד שאותה קבוצת האקרים ניסתה לפרוץ גם לאתר תרומות לצדקה שהבנק הוא ספונסר שלו. לאחר מכן גם התגלה שהם ניסו לפרוץ לעוד אתרים פיננסים, בין אם בהצלחה ובין אם לאו", ציין.

"להערכתנו", אמר פוטר, "מדובר בגוף גדול יותר מכמה האקרים, כפי שדווח. כמו כן, על אף שה-FBI שלל את הקשר של רוסיה לפריצה – בכל זאת ניתן לראות קצה חוט שמוביל לכתובות IP ברוסיה ובברזיל. מדובר בפורצים שניסו לבצע הונאה ותרמית מניות. לא ברור מה הייתה מטרתם הסופית – קבלת מידע פנימי או הרצת מניות של הבנק".

"מה שברור הוא שגניבת הזהויות מתוך הבנק היא כלי עבור מהלך גדול יותר שטרם התגלה. התוקפים, למשל, זייפו זהויות של ברוקרים ככל הנראה במטרה לסחור ולהריץ מניות. הם פרצו למערכת המסחר של הבנק וניסו להקים מבפנים ברוקר פיקטיבי, כאשר די ברור שהמטרה הסופית היא רווח כלכלי", סיכם פוטר. "בארגונים פיננסיים, עם מערכות IT המחייבות סודיות גבוהה, יש צורך הכרחי בקביעת אסטרטגיה להגנה מפני תקיפות סייבר ואבטחת מידע, המשלבת גם אלמנטים של מניעת הונאות. למשל, חשוב שיהיה בבנק מוקד הונאות, במקביל ליחידת אבטחת מידע וסייבר, וחשוב ששני גופים אלו יתקשרו ביניהם, יעבדו יחד ויחליפו מידע".

מה המטרה הסופית? אילוסטרציה: BigStock

חוברים יחד כנגד מטרות משותפות

לדברי שי זנדני, מנכ"ל Cytegic, "תחום הסייבר דינמי מאוד והניצול של כלי סייבר על מנת להשיג נכסים – מידע או כסף – הופך מתוחכם מיום ליום. הפרשה החדשה היא דוגמה נוספת לשימוש בכלי תקיפה מתקדמים שעד כה היו בידי מדינות או ארגוני פשיעה".

"יש כאן שילוב בין הונאה קלאסית – הרצת מניות במקרה זה, לשימוש בכלי סייבר כדי להעצים ולשכלל אותה", אמר זנדני. "כדי לייצר עניין במניות שהם רכשו ולהעלות את ערכן פיקטיבית, הם השתמשו במידע שעל פי החשד הושג בפריצה למאגרים של JPMorgan, ככל הנראה גם תוך שילוב של ידע וניסיון, ומידע מתוך הארגון".

"לא ברור עדיין האם העצורים הישראלים הם שביצעו את הפריצה הגדולה או רק נהנו מהפירות שלה", ציין, "הם קיבלו לידיהם ועשו שימוש במיליוני כתובות דואר אלקטרוני, ופרטים אישיים נוספים. בכל מקרה, זוהי מגמה שאנו עוקבים אחריה מזה זמן, של שימוש במידע מפריצות ותקיפות סייבר על יעדים 'רכים' ומוכנים פחות, כדי לבצע פשעים פיננסיים מורכבים כנגד מערכות מאובטחות באופן הדוק יותר".

מגמה מעניינת נוספת, ציין זנדני, "היא שהאקרים – בין אם פושעי רשת בודדים, או ארגוני פשיעה – פועלים בעולם חסר גבולות וחוברים יחד לשיתופי פעולה כנגד מטרות משותפות. שיתופי הפעולה הללו יוצרים קושי גדול עבור מערכות ההגנה ואכיפת החוק, ומאלצים גם אותם לאגד כוחות ומשאבים ולעבוד בשיתוף פעולה על מנת לעצור ולתפוס את הפושעים. במקרה הנוכחי, כמו גם בפרשיה שנחשפה לפני כשבוע, שיתוף פעולה של האינטרפול, ה-FBI ומשטרת ישראל".

הוא סיכם באומרו, "על כל מדינות העולם להמשיך ולשתף פעולה כדי למנוע את התקיפה הבאה. אני צופה כי מגמה זו רק תמשיך ותתרחב כחלק מהתגוננות של המדינות כנגד ההאקרים. בשלב הבא כבר נוכל לראות גופים גדולים נוקטים במדיניות דומה – ולא רק מדינות".