May 7, 2020

דיוג, נוזקות ושאר סכנות:
התקפות בשפה העברית.

Chen Abadi, Senior Incident Response Analyst

רקע ועיקרי דברים

זה כבר לא סוד שישנן התקפות סייבר שמיועדות ספציפית כנגד גופים ישראליים. הדוגמה המפורסמת ביותר היא מבצעי OpIsrael אשר במסגרתם, מדי שנה, קבוצות האקטיביסטים מרחבי העולם ובעיקר ממדינות ערב ומדינות אסלאמיות נוספות ממקדות את מאמציהן כנגד רשויות ממשלתיות וחברות ישראליות. תקיפות אלו נעשות במגוון רחב של דרכים, כאשר גם כיום, אחת הדרכים הפופולאריות היא שימוש בשליחת דוא”ל זדוני.

אז מה מיוחד בבלוג זה? הפעם בחרנו להתמקד בתקיפות בהן נעשה שימוש בשפה העברית. תקיפות מסוג זה מהוות דוגמה חיה לשני תהליכים שמתרחשים בעולם הסייבר:

1. מעבר להתקפות מותאמות אישית – התאמה מדויקת ליעד, תוך שימוש במאפיינים הייחודיים לו, כדוגמת ניתוח של ההקשר, תזמון התקיפה לפי שעון מקומי, שימוש במותגים מקומיים לתקיפה וכמובן, השפה.

2. עלייה ברמת התחכום – שימוש באמצעים להתחמקות מפני מערכות הגנה, שימוש בדוא”ל ללא קישורים או קבצים זדוניים, השקעה מירבית בעיצוב אתרי התקיפה ועוד.

מניתוח של כלל התעבורה המנוטרת על ידינו, צוות ה-Incident Response בחברה זיהה כי ניתן לחלק את הגופים העיקריים אליהם מתחזים התוקפים לשלוש קבוצות עיקריות:

• גופים פיננסיים – בנקים, חברות ביטוח, חברות סליקה ותשלומים ועוד
• חברות תקשורת – ספקיות אינטרנט, חברות סלולר וספקיות תקשורת נייחת
• גופים ממשלתיים / ציבוריים – גופים ממשלתיים, מוסדות השכלה גבוהה ועוד

על מנת להמחיש זאת, בחרנו מדגם מייצג של התקפות מעניינות מהתקופה האחרונה, בדגש על מתקפות דיוג. אנחנו מאמינים כי בזכות מידע זה מומחי אבטחת מידע ישראלים יוכלו להבין בצורה טובה יותר כיצד תוקפים פועלים ולהתמגן בהתאם. בין הצעדים העיקריים ניתן למנות: הכשרת עובדים, ביצוע בדיקות Pen-test באופן תדיר וכן, שימוש במערכת אבטחת דוא”ל מתקדמת שיודעת להתמודד עם התקפות מתוחכמות, כולל כאלה המשתמשות בשפות שונות. יודגש כי הדוגמאות “הולבנו” על מנת לשמור על פרטיות לקוחותינו ועל זהות הגופים אליהם התוקפים מתחזים, אולם מסרנו באופן פרטני את המידע הרלוונטי לגורמים הנוגעים בדבר על מנת שיוכלו להיערך בהתאם.

כיצד פרספשן פוינט מנעה התקפות אלו

• מנועים נגד דיוג – 5 מנועים, כולל מנוע מיוחד הפועל על בסיס ניתוח תמונות, למניעת ניסיונות תקיפה המבוססים על קישורים וקבצים

• מנגנון לחשיפת התקפות מתקדמות – שכבה זו כוללת מספר רב של אלגוריתמים ומנועים שמטרתם גילוי של טכניקות הסוואה שמטרתן להערים על מערכות הגנה שונות

• מנועים נגד התחזות (BEC) – מניעת התקפות המבוססות על התחזות שאינן כוללות קבצים או קישורים, אלא הודעות כתובות נקיות (Plain text attacks)

• מנועים למניעת התקפות המשתמשות בקבצים ובתוכנות זדוניות

קבוצה א': גופים פיננסיים

הייחוד של קבוצה זו טמון בעובדה כי ניסיונות התקיפה נחלקים לשניים:

• תקיפה לצורך השגת מידע אישי של העובדים עצמם – למשל, פרטי ההתחברות הפרטיים של העובד לחשבון הבנק האישי שלו

• תקיפה לצרכי השפעה על הארגון – לגרום לעובד לטעות ולהעביר כספים של החברה לחשבון לא נכון או להתקין נוזקה על המחשב העסקי של המשתמש.

במקרה זה ניתן לראות כי התוקף בוחר להתחזות לנציג של בנק ישראלי מוכר. התוקף פונה למספר עובדים בחברה המותקפת בנוגע להעברת תשלום. ההתחזות נעשית על ידי הן שינוי של ה-Domain (ביצוע  Spoofing) ושל ה-Display ,Name והן על ידי שימוש בלוגו הבנק. מעבר לכך, על מנת לנסות ולעקוף את מערכת ההגנה, התוקף שלח את הנוזקה באמצעות דבוקה של קובץ Ace. סיומת זו היא של קובץ לשמירת ארכיון או לדחיסת מסמכים. מערכות הגנה רבות לא יודעות כיצד לפתוח את ולבדוק את הקבצים המאוחסנים בקבצים מסוג זה ונותנים לו לעבור הלאה למשתמש.

כאשר פותחים את הקובץ המצורף, רואים כי הוא למעשה מכיל קובץ הרצה זדוני (סיומת exe). ברגע שהקורבן המיועד ילחץ עליו, קוד זדוני יתחיל לרוץ ברקע של המחשב הנתקף. המערכת של Perception Point יודעת להתחקות אחר כל הקבצים הנשלחים ולזהות אם מי מהם אכן זדוני או לא, כפי שנמצא במקרה זה.

 

קבוצה ב': חברות תקשורת

בקבוצה זו, עיקר ניסיונות התקיפה עוסקים בדיוג של פרטי המשתמש. בין החברות אליהן מנסים התוקפים להתחזות ניתן למנות את חברות הסלולר, ספקיות אינטרנט ועוד.

במקרה זה התוקף מודיע לקורבן המיועד שהחשבון שלו הושעה כיוון שלכאורה, זוהתה פעולה לא רצויה בחשבון שלו. המשתמש מתבקש להיכנס לקישור זדוני שבו עליו לתת את פרטי שם המשתמש והסיסמא שלו כדי “לשחרר” את החשבון. התוקף לא הסתפק בשינוי ה-Display Name בכתובת השולח אלא גם השקיע זמן רב בעיצוב ההודעה, כולל בכותרת התחתונה. עוד עולה כי מדובר בקמפיין תקיפה רחב היקף שנשלח למספר עובדים במקביל – שימו לב כי ישנה רשימה של נמענים בצורת Undisclosed recipients. שיטה זו מאפשרת לתוקף לשלוח את ההודעה למספר רב של נמענים בלי שהדבר יבלוט לעיני העובד הפרטני.

 

קבוצה ג': גופים ממשלתיים / ציבוריים

קבוצה זו כוללת מגגון מאוד רחב של ארגונים, כולל גופים ציבוריים, דרך משרדים ממשלתיים וכלה במוסדות שנתמכים על ידי הממשלה.

בדוגמא המובאת מטה, התוקף בוחר להזדהות בתור נציג של אחד ממוסדות הלימוד להשכלה בישראל. במקרה זה התוקף הגדיל לעשות ונקט במספר אמצעי הסוואה לתקיפה:

• שינוי של ה-Display Name כאשר הוא מקפיד לשנות את השם בשפה העברית

• שינוי של ה-Domain ממנו נשלח

• הטמעה של סיומת .pdf בנוזקה המצורפת כדי להטעות את עינו של המשתמש שמדובר בקובץ לגיטימי

• שימוש בקובץ zip כדי לנסות לעקוף את מדיניות חסימת קבצי exe

במידה שאחד העובדים היה פותח את קובץ ה-zip ואת הקובץ במוסתר בתוכו, הוא היה מפעיל קובץ הפעלה זדוני שירוץ ברקע המחשב.

Contact Us

Connect with our team to:
* Learn more
* Get a live demo
* Get a quote
* Set up a free 30 day trial

We will respond to your enquiry within 24 hours.

info@perception-point.io
Link has been copied to your clipboard!