קמפיין פישינג בינלאומי פגע בארגוני ענק וגנב מיליונים

נחשפה הונאת פישינג רחבת היקף, העושה שימוש במשלוח של הודעות דוא"ל מתחזות וקישורים מזויפים – על מנת לגנוב מיליוני דולרים מחברות גדולות, במיוחד בארצות הברית. הכספים נותבו לחברות קש בהונג קונג, או בסין.

על פי מומחי האבטחה של יבמ (IBM), בין הנפגעים נמנים ארגונים העוסקים בתחומי הקמעונאות, הבריאות, הפיננסיים והשירותים המקצועיים – לרבות חברות פורצ'ן 500 (Fortune 500). קבוצת המודיעין בחטיבת האבטחה של יבמ (X-Force) מדווחת כי ניסיונות התרמית הזאת עודם פעילים ונמשכים גם עתה.

IRIS (ר"ת Incident Response and Intelligence), צוות התגובה לאירועי אבטחה של הענק הכחול, זיהה כי כתובות ה-IP בהן השתמשו התוקפים פועלות בניגריה – ומעריך כי מאמץ ההונאה כלל האקרים שפעלו בשיתוף פעולה ובאופן מאורגן. חלק ניכר מההונאה התבסס על הנדסה חברתית, תהליך שבו מזהים הפורצים את המבנה הארגוני של החברה שהם תוקפים, משתלטים על תיבות דואר של עובדים בעזרת תרמית ומפעילים דפי אינטרנט מזויפים. כך, הם מצליחים לחדור לארגון בלא שימוש בתוכנות זדוניות, או חדירה של האקרים אל הרשת הפנים-ארגונית.

כיצד פועלת ההונאה?

באמצעות כתובות דוא"ל עסקיות, שסיסמאות הגישה שלהם נחשפו בעבר, התוקפים שלחו צרופות וקישורים מזויפים אל משתמשים אחרים בתוך הארגון, בתקווה שהנמענים ילחצו עליהם. ההודעות המתחזות לא כללו נוזקה כלשהי – אלא קישור לדף כניסה מזויף של DocuSign ששימש להנפקת אישורי כניסה. חוקרי האבטחה של הענק הכחול מצאו יותר מ-100 אישורים מזויפים כאלה.

ברגע בו הונפקו אישורי כניסה מזויפים לתוך הרשתות הפנים-ארגוניות – מתחילה ההונאה עצמה: התוקפים השתמשו בידע שרכשו אודות חברת היעד בה התמקדו, כדי לגלות מי הספקים העיקריים שלהן, מי בארגונים האלה אחראי לשינויים בפרטי המוטבים, ומה המסמכים הנדרשים על מנת לזייף הזמנות ואישורי תשלום, במערכות הניהול הפנימיות. כך, הם הקימו שמות מתחם (Domain) הדומים להפליא לאלה של ספקי שירותים לגיטימיים אליהם התחזו: שינוי או הכפלה של אות בודדת, סיומת .net במקום .com – והפעילות נותבה לאתר המתחזה.

התוקפים הצליחו לשטות בגופים המשלמים, ולגרום להם להאמין כי הספק שלהם שינה את פרטי חשבון הבנק שלו – תוך ניתוב הכספים המגיעים לו אל חברת הקש, לרוב בהונג-קונג או בסין. המטרה הסופית שלהם היא להוביל את הקורבנות לשלוח כסף לחשבונות בנק של הפושעים, כאילו מדובר בתשלום עבור שירות לגיטימי אותו קיבלה החברה הנפרצת.

מלבד ידע בסיסי בהגדרת שמות מתחם, מערכות אימות זיהוי משתמשים וחתימות DocuSign פורטלים והגדרת מסננים לדואר אלקטרוני – התקפות מסוג זה אינן דורשות כתיבה של קוד כלשהו: התוקפים נדרשים להבין את אופן החשיבה של משתמשים בעידן הנוכחי – ומנצלים את הרגלי החשיבה והפעילות האנושית במסגרת ארגונים ורשתות.

על מנת לצמצם סיכונים מהסוג הזה, החוקרים ממליצים לארגונים להשתמש באימות דו-שלבי, ולהגדיר במסגרת מערכת הדוא"ל הארגוני התראות מיוחדות אודות הרשאות המונפקות על ידי שרתים חיצוניים, שאינם מנוהלים במסגרת הארגון. עוד הם ממליצים למנהלי האבטחה בארגונים לוודא כי משתמשים עוברים הכשרה והדרכה המאפשרות להם לזהות מתקפות כאלה, המבוססות על הנדסה חברתית – ולנקוט אמצעי אבטחה, כדי לזהות נקודות תורפה ולמנוע כניסה למערכת של מתחזים פוטנציאליים.