משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר Prime Minister's Office National Cyber Event Readiness Team :TLPלבן -1- 23יוני 2015 ו' תמוז תשע"ה סימוכין :ל-ס129 - סקירת אירוע הונאה בסייבר כנגד מטרה ישראלית תיאור כללי במהלך החודשים דצמבר 2014עד חודש פברואר 2015התבצעה הונאת )MiTM( Man in The Middleעל מטרה ישראלית .התוקף ,התחזה לספקים הנמצאים בקשרי מסחר עם הקורבן ובאמצעות שינוי פרטי חשבון הבנק הצליח להעביר לרשותו סכום כספי גבוה .ההונאה הסתיימה במהלך חודש פברואר ,2015ורק אז נאספו ראיות חלקיות (לא התבצע )Full Memory dumpאשר הועברו ל CERT-IL-לטובת בחינת האירוע. מאפייני כלליים להונאה החלפה תכופה של חשבונות הבנק של הספקים כתובות מייל חשודות אשר מסתיימות ב corn-ולא com קבצי ה PDF-נערכו בעורך שאינו מוכר ונפוץ בקובצי ה PDF-נוספו ערכים במאפייני המסמך ( ) Document Propertiesכן פונטים שלא היו קיימים לפני .ראה איורים 1ו.2- מיילים כפולים בתיבת הדואר הנכנס .המייל המשוכפל בשונה מהמקורי יישא שם שולח ופונטים שונים. המידע המובא לעיל לוקט ועובד על ידי CERT-ILבמטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת השכלה וידע כללי .אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת .אין באזכור חברות אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם. משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר Prime Minister's Office National Cyber Event Readiness Team :TLPלבן -2- איור .1ערכים שנוספו למסמך איור .2פונטים שנוספו למסמך המידע המובא לעיל לוקט ועובד על ידי CERT-ILבמטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת השכלה וידע כללי .אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת .אין באזכור חברות אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם. משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר Prime Minister's Office National Cyber Event Readiness Team :TLPלבן -3- אופן ההדבקה לא ברור כיצד הודבק מחשבו של הקורבן או כיצד התבצעה ההתקפה הראשונית .למרות זאת מחקירת הקבצים נמצא כי אלו היו נגועים בפוגען מסוג "דוניהי ,)Dunihi( "1אשר ייתכן ושימש כבסיס לתקיפה. פוגען זה מופץ לרוב באמצעות מתקפות דיוג או על ידי הדבקה באמצעות שינוע התקני אחסון ניידים. אל הקורבן נשלח דואר אלקטרוני ובו קובץ דבוקה RARבשם " ,"Quotationsהמוכר כשיטת הדבקה של הפוגען .Dunihi אופן הפעולה פעולת ההונאה התבצעה בפשטות וכללה החלפה של מידע ב Header-של תכתובות הדואר האלקטרוני. התוקפים יצרו למעשה שלוש תיבות מייל חדשות: rgcmd@msn.com .1 af585944@gmail.com .2 adiltjittra@gmail.com .3 בהן השתמשו ליירוט תכתובת המיילים בין הקורבן לספקים על ידי עריכת שם השולח והפניית המייל באמצעות אפשרות " "Reply-Toב Headerההודעה. התוקף לא השתמש בכתובות זהות לכתובות המקוריות אלא בשמות דומיין דומים או בסיומת corn ( )CORNלהטעיה ,במקום ( comלדוגמא – .)xxx@gmail.corn התוקף עשה שימוש בכלי עריכת PDFבשם RadPDFאשר זמין חינם ברשת .באמצעותו ערך את קבצי ה- PDFאשר נשלחו ע"י הספקים המקוריים ושינה את פרטי חשבונות הבנק שלהם בפרטי חשבונות מזויפים אותם הכין מבעוד מועד. מאפיינים להונאה .1בקבצים בהם התוקף הוסיף טקסט לקובץ המקורי ניתן להבחין כי בהונאה זאת ,נעשה שימוש בפונט שונה ) (Arialשהתווסף לרשימת הפונטים. .2חתימת הזמן במאפייני הקובץ הערוך מקדימה בזמנה את חתימת הזמן שנוצרה בעת יצירת הקובץ. .3לקבצים הערוכים מתווסף מאפיין ייחודי בשם – .RadPdfCustomData 1למידע נוסף על הפוגען ראו https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by- - houdini.html המידע המובא לעיל לוקט ועובד על ידי CERT-ILבמטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת השכלה וידע כללי .אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת .אין באזכור חברות אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם. משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר Prime Minister's Office National Cyber Event Readiness Team :TLPלבן -4- .4הקבצים נוצרו באמצעות תוכנת RadPDFולא באמצעות Foxit PDF Creatorאשר שמשה ליצירתם על ידי הספקים האמיתיים. .5המיילים ששימשו להונאה הופיעו עם התג " "X-Senderאשר בו הופיעה כתובת הדואר ,dlebon@umwl.muכתובת זו מקורה במאוריטניה והדומיין משמש מפעל מתכת מקומי. עם זאת לא ניתן להוכיח באופן חד משמעי כי כתובת זו קשורה לתוקף כיוון שזיוף התגים ב Header-הינו פשוט ואינו כרוך בידע טכני מעמיק. .6החברה מספקת שירותי אירוח ומייל ומפעילה פלטפורמת WebMailבשם .Workspace Webmail .7מרבית ההודעות אשר נשלחו לקורבן נוצרו במערכת הזאת וניתן לראות כי הן כולן גם חולקות את אותו מזהה ייחודי תחת התג fcc758331a7d21ec22b781a67e6d9093 :Message-id .8נמצא כי מיילים נוספים נשלחו מכתובות ה IP-הבאות (:)X-Originating-IP 178.175.138.144 מולדובה 41.206.11.76 ניגריה 41.220.69.202 ניגריה 41.220.68.53 ניגריה 41.206.12.49 ניגריה 41.58.223.230 ניגריה 41.58.82.91 ניגריה 41.58.213.169 ניגריה טיפים להימנעות מהונאות דואר אלקטרוני .1יש לבחון היטב את כתובת השולח ולא רק את שמו .מייל הונאה יישא לרוב כתובת מתחזה המכילה שינוי שעשוי לא להיראות במבט ראשון .מהכתובת המקורית של האדם אתו אתם חושבים שאתם מתכתבים. .2בקבלת קובץ PDFבמייל ,מומלץ לבחון את מאפייני הקובץ לזיהוי שינויים בקובץ( .תפריט קובץ > מאפיינים). ניתן לוודא את הפרטים: שם היוצר שם התוכנה שיצרה את הקובץ תאריך יצירה ושינוי הקובץ (לרוב תאריכים אלו יהיו זהים ,במידה ואינם ,יש לבדוק מדוע) .3יש לשים לב בקבלת מיילים כפולים ללא הסבר .פעמים רבות במהלך הונאה יישלחו מיילים כפולים. מקרה כזה צריך להדליק מידית נורה אדומה בראשכם. .4לאימות והסרת חשש ניתן לבדוק גם את ה Header-של הודעות המייל אשר יספק מידע נוסף על השולח. לבדיקת ה Header-של המייל בתוכנת ה ,Outlook-להקיש על החץ הקטן בפינתו התחתונה של חלונית התגיות ( )Tagsבסרגל תפריט ההודעה .ראה איור.3 המידע המובא לעיל לוקט ועובד על ידי CERT-ILבמטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת השכלה וידע כללי .אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת .אין באזכור חברות אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם. משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר Prime Minister's Office National Cyber Event Readiness Team :TLPלבן -5- איור .3הרחבת תפריט תגיות בגוף ההודעה המידע יופיע בתחתית החלון תחת "כותרות אינטרנט" (.)Internet headers כותרות אלו תכלנה מידע נוסף על השולח ,כמו המסלול אותו עבר המייל" ,הפניות" למיניהן ועוד. ראה איור .4 איור .4כותרות אינטרנט המלצות נוספות ניתן לקרוא במסמכי ה:CERT התגוננות ממיילים זדוניים מהי התקפת הנדסה חברתית? המידע המובא לעיל לוקט ועובד על ידי CERT-ILבמטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת השכלה וידע כללי .אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת .אין באזכור חברות אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם.
© Copyright 2024