הצעת עבודה תמימה בלינקדאין מאפשרת להאקרים גישה לכספים ומידע סודי
מאת: מערכת Telecom News, 17.6.20, 12:30

נחשף שימוש לא שגרתי ב-phishing  Spearותוכנות זדוניות כדי לתקוף חברות תעופה, חלל וצבאות, שהחל עם הודעת לינקדאין על הצעת עבודה. איך מתגוננים ממתקפות פישינג ממוקדות?

חוקרי אבטחת המידע של ESET גילו התקפות סייבר ממוקדות במיוחד המשתמשות בספיר פישינג בלינקדאין וטריקים מרשימים כדי להישאר מתחת לרדאר ולהשיג מידע פיננסי ולרגל.

המתקפה, שקיבלה מ-ESET את השם Operation In(ter)ception, מתבססת על דגימה זדונית "Inception.dll" מהחודשים ספטמבר עד דצמבר 2019.

מתקפת ספיר פישינג היא מתקפה ממוקדת על משתמשים מסוימים. בהתקפת פישינג רגילה, התוקף שולח פיתיון למספר רב של אנשים מתוך ידיעה כי סטטיסטית, אחוז כלשהו יתפתה וייפול בפח. מתקפות Spear Phishing הן ממוקדות יותר.

דומיניק ברייטנכר, חוקר התוכנות הזדוניות של ESET: "ההתקפות החלו עם הודעת לינקדאין והצעת עבודה אמינה למדי, לכאורה, מחברה ידועה במגזר רלוונטי. פרופיל הלינקדאין כמובן היה מזויף והקבצים, שנשלחו במסגרת ההתקשרות, היו זדוניים".
 
הודעת לינקדאין מזויפת - התכתבות בלינקדאין עם תוקף המתחזה למגייס למשרה:  
הקבצים הועברו ישירות דרך הלינקדאין או באמצעות מייל המכיל קישור OneDrive, שבשבילו יצרו התוקפים חשבונות מייל המתאימים לפרסומות המזויפות שלהם בלינקדאין.

ברגע שהנמען פותה להוריד את הקובץ הזדוני ופתח את הקובץ, הוצג מסמך PDF תמים, לכאורה, עם מידע על השכר המוצע לעבודה המזויפת. בדרך זו, למעשה, נפרסו תוכנות זדוניות על המחשב של הקורבן והתוקפים השיגו דריסה רגל ראשונית למערכת.

בשלב הבא, לאחר שהרשאות הכניסה מהעובדים התמימים היו ברשותם, התוקפים ביצעו התקפות ממוקדות נגד חברות תעופה וחלל אירופאיות. בין הכלים בהם השתמשו היתה תוכנה זדונית רב-שלבית ובהתאמה אישית, שהתחזתה לתוכנה לגיטימית וגרסאות שונות של כלי פתוח. בנוסף, הם גם השתמשו לרעה בכלי השירות המותקנים של Windows לביצוע פעולות נוספות.

ברייטנכר: "ההתקפות שחקרנו הראו את כל סימני הריגול, עם מספר רמזים המצביעים על קשר אפשרי לקבוצת ההאקרים, לזרוס הידועה לשמצה מצפון קוריאה. עם זאת, לא ניתוח התוכנות הזדוניות ולא החקירה עצמה אפשרו לנו לקבל תובנות לאילו קבצים כיוונו התוקפים".

בנוסף לפעולות הריגול, חוקרי החברה מצאו ראיות לכך, שהתוקפים ניסו להשתמש בחשבונות שנפרצו כדי להפיק כסף מחברות אחרות.

בין המיילים של הקורבנות, התוקפים מצאו תקשורת בין הקורבן ללקוח בקשר לחשבונית שלא נסגרה. הם עקבו אחר השיחה וקראו ללקוח לשלם את החשבונית - כמובן לחשבון בנק משלהם. למרבה המזל, הלקוח של חברת הקורבן החל לחשוד ופנה אל הקורבן לסיוע, והכשיל את ניסיון התוקפים לבצע תקיפה של דוא"ל עסקי.

הניסיונות ליצור רווחים מגישה לרשת הקורבן אמורות לשמש סיבה נוספת לביסוס הגנות חזקות מפני פריצות והן להדרכת עובדים וקידום מודעות לנושא אבטחת סייבר. חינוך כזה יכול לסייע לעובדים להכיר טכניקות פחות מוכרות של הנדסה חברתית, כמו אלו המשמשות בפעילות זו.

עדכון 18.6.20, 11:35: כיצד מתגוננים מפעולת פישינג ממוקדתSpear Phishing ?
במסגרת מתקפת פישינג ממוקדת, למעשה, נאספים פרטים מקדימים אודותינו במטרה לזכות באמון שלנו כשינסו לרמות אותנו.,
חברת אבטחת המידע ESET מציעה את הטיפים הבאים:

1. קיבלתם בקשה/הודעה מגורם לא מוכר כשלא ציפיתם להודעה הזו? קודם כל הטילו ספק. בעידן של היום אנו צריכים להיות יותר סקפטיים. כשיש ספק, אין ספק.
2. הפניה נראית לכם הגיונית. נתקו את השיחה והתקשרו בעצמכם לספק השירות. במידה וקיבלתם פניה מחבר, מכר או קולגה, תוכלו לשאול אותם האם הפניה הספציפית אכן הגיעה מהם.
3. באופן דומה, אם קיבלתם הודעה או מייל מספק שירות שאתם מנויים לו, גשו לדפדפן והתחברו אל האתר הרשמי בעצמכם. במידה ואכן ישנה בקשה דומה, בצעו אותה דרך האתר אליו הגעתם בכוחות עצמכם, זה יהיה בטוח יותר.
4. הסתכלו על השפה - בדקו האם היא נראית תקינה או משובשת, כזו שנעשה בה שימוש בשירותי תרגום אוטומטיים. הודעה שלא מנוסחת היטב, ברוב המקרים תהיה מזויפת וכזו שמתורגמת לטובת ההונאה.
5. השתמשו במנגנון אימות כפול, שיצריך מכם להזין קוד אימות חד פעמי, שישלח אליכם בהודעת טקסט או באמצעות אפליקציה ייעודית. במידה וסיסמה שלכם דלפה החוצה איכשהו, ללא הקוד השני לא ניתן יהיה לעשות איתה כלום. שימוש באימות כפול הופך אתכם לפחות מושכים עבור עברייני רשת, ומאפשר לכם להימנע ממרבית התרמיות.
6. הקפידו על סיסמאות שונות לשירותים שונים - כך במידה והצליחו להוציא מכם סיסמה לשירות כלשהו, לא יצליחו בעזרתה להשיג גישה לשירותים נוספים בהם אתם משתמשים.
7. השתמשו במוצר אבטחה - שידע לזהות ולהתריע בפני אתרי פישינג שנועדו לגנוב את פרטי הגישה לרשתות החברתיות, חשבונות אימייל או שירותים בנקאיים.
8. לארגונים וחברות מומלץ לשמור על מודעות העובדים - לקיים הדרכות ופעילויות, כאשר העובדים מודעים יותר, הם ישימו לב לפניות שעלולות להיות חריגות.

צריך להתייחס היום לכל פניה שמקבלים בדרך אלקטרונית או סלולרית בדיוק כפי שהיינו מתייחסים לפניה מאדם זר ברחוב. גם פניות, שנראות כאילו הגיעו מחברים ב-   SMS וואטספ, ברשתות החברתיות או במייל עלולות להיות הודעות, שנשלחו דרך חשבון שנפרץ או חשבון מתחזה.

לכן תמיד מומלץ וחשוב לאמת פניות כנ"ל, אם זה באתר הרשמי של החברה או בשיחת טלפון לחברים, במיוחד כשמדובר בבקשות יוצאות דופן כמו העברה של סיסמאות, איפוס סיסמאות, קוד אימות וכמובן במקרים של העברת כספים בהולות ובלתי צפויות.