משרד ראש הממשלה Prime Minister`s Office איומי סייבר התמודדות עם

‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪Prime Minister's Office‬‬
‫‪National Cyber Event Readiness Team‬‬
‫‪ :TLP‬לבן‬
‫‪-1-‬‬
‫‪ 23‬יוני ‪2015‬‬
‫ו' תמוז תשע"ה‬
‫סימוכין‪ :‬ל‪-‬ס‪129 -‬‬
‫סקירת אירוע הונאה בסייבר כנגד מטרה ישראלית‬
‫תיאור כללי‬
‫במהלך החודשים דצמבר ‪ 2014‬עד חודש פברואר ‪ 2015‬התבצעה הונאת ‪ )MiTM( Man in The Middle‬על‬
‫מטרה ישראלית‪ .‬התוקף‪ ,‬התחזה לספקים הנמצאים בקשרי מסחר עם הקורבן ובאמצעות שינוי פרטי חשבון‬
‫הבנק הצליח להעביר לרשותו סכום כספי גבוה‪ .‬ההונאה הסתיימה במהלך חודש פברואר ‪ ,2015‬ורק אז‬
‫נאספו ראיות חלקיות (לא התבצע ‪ )Full Memory dump‬אשר הועברו ל‪ CERT-IL-‬לטובת בחינת האירוע‪.‬‬
‫מאפייני כלליים להונאה‬
‫‪ ‬החלפה תכופה של חשבונות הבנק של הספקים‬
‫‪ ‬כתובות מייל חשודות אשר מסתיימות ב‪ corn-‬ולא ‪com‬‬
‫‪ ‬קבצי ה‪ PDF-‬נערכו בעורך שאינו מוכר ונפוץ‬
‫‪ ‬בקובצי ה‪ PDF-‬נוספו ערכים במאפייני המסמך (‪ ) Document Properties‬כן פונטים שלא היו קיימים‬
‫לפני‪ .‬ראה איורים ‪ 1‬ו‪.2-‬‬
‫‪ ‬מיילים כפולים בתיבת הדואר הנכנס‪ .‬המייל המשוכפל בשונה מהמקורי יישא שם שולח ופונטים שונים‪.‬‬
‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬
‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬
‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪Prime Minister's Office‬‬
‫‪National Cyber Event Readiness Team‬‬
‫‪ :TLP‬לבן‬
‫‪-2-‬‬
‫איור ‪ .1‬ערכים שנוספו למסמך‬
‫איור ‪ .2‬פונטים שנוספו למסמך‬
‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬
‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬
‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪Prime Minister's Office‬‬
‫‪National Cyber Event Readiness Team‬‬
‫‪ :TLP‬לבן‬
‫‪-3-‬‬
‫אופן ההדבקה‬
‫לא ברור כיצד הודבק מחשבו של הקורבן או כיצד התבצעה ההתקפה הראשונית‪ .‬למרות זאת מחקירת‬
‫הקבצים נמצא כי אלו היו נגועים בפוגען מסוג "דוניהי‪ ,)Dunihi( "1‬אשר ייתכן ושימש כבסיס לתקיפה‪.‬‬
‫פוגען זה מופץ לרוב באמצעות מתקפות דיוג או על ידי הדבקה באמצעות שינוע התקני אחסון ניידים‪.‬‬
‫אל הקורבן נשלח דואר אלקטרוני ובו קובץ דבוקה ‪ RAR‬בשם "‪ ,"Quotations‬המוכר כשיטת הדבקה של‬
‫הפוגען ‪.Dunihi‬‬
‫אופן הפעולה‬
‫פעולת ההונאה התבצעה בפשטות וכללה החלפה של מידע ב‪ Header-‬של תכתובות הדואר האלקטרוני‪.‬‬
‫התוקפים יצרו למעשה שלוש תיבות מייל חדשות‪:‬‬
‫‪rgcmd@msn.com .1‬‬
‫‪af585944@gmail.com .2‬‬
‫‪adiltjittra@gmail.com .3‬‬
‫בהן השתמשו ליירוט תכתובת המיילים בין הקורבן לספקים על ידי עריכת שם השולח והפניית המייל‬
‫באמצעות אפשרות "‪ "Reply-To‬ב ‪ Header‬ההודעה‪.‬‬
‫התוקף לא השתמש בכתובות זהות לכתובות המקוריות אלא בשמות דומיין דומים או בסיומת ‪corn‬‬
‫(‪ )CORN‬להטעיה‪ ,‬במקום ‪( com‬לדוגמא – ‪.)xxx@gmail.corn‬‬
‫התוקף עשה שימוש בכלי עריכת ‪ PDF‬בשם ‪ RadPDF‬אשר זמין חינם ברשת‪ .‬באמצעותו ערך את קבצי ה‪-‬‬
‫‪ PDF‬אשר נשלחו ע"י הספקים המקוריים ושינה את פרטי חשבונות הבנק שלהם בפרטי חשבונות מזויפים‬
‫אותם הכין מבעוד מועד‪.‬‬
‫מאפיינים להונאה‬
‫‪ .1‬בקבצים בהם התוקף הוסיף טקסט לקובץ המקורי ניתן להבחין כי בהונאה זאת‪ ,‬נעשה שימוש בפונט‬
‫שונה )‪ (Arial‬שהתווסף לרשימת הפונטים‪.‬‬
‫‪ .2‬חתימת הזמן במאפייני הקובץ הערוך מקדימה בזמנה את חתימת הזמן שנוצרה בעת יצירת הקובץ‪.‬‬
‫‪ .3‬לקבצים הערוכים מתווסף מאפיין ייחודי בשם – ‪.RadPdfCustomData‬‬
‫‪ 1‬למידע נוסף על הפוגען ראו ‪https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by- -‬‬
‫‪houdini.html‬‬
‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬
‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬
‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪Prime Minister's Office‬‬
‫‪National Cyber Event Readiness Team‬‬
‫‪ :TLP‬לבן‬
‫‪-4-‬‬
‫‪ .4‬הקבצים נוצרו באמצעות תוכנת ‪ RadPDF‬ולא באמצעות ‪ Foxit PDF Creator‬אשר שמשה ליצירתם על‬
‫ידי הספקים האמיתיים‪.‬‬
‫‪ .5‬המיילים ששימשו להונאה הופיעו עם התג "‪ "X-Sender‬אשר בו הופיעה כתובת הדואר‬
‫‪ ,dlebon@umwl.mu‬כתובת זו מקורה במאוריטניה והדומיין משמש מפעל מתכת מקומי‪.‬‬
‫עם זאת לא ניתן להוכיח באופן חד משמעי כי כתובת זו קשורה לתוקף כיוון שזיוף התגים ב‪ Header-‬הינו‬
‫פשוט ואינו כרוך בידע טכני מעמיק‪.‬‬
‫‪ .6‬החברה מספקת שירותי אירוח ומייל ומפעילה פלטפורמת ‪ WebMail‬בשם ‪.Workspace Webmail‬‬
‫‪ .7‬מרבית ההודעות אשר נשלחו לקורבן נוצרו במערכת הזאת וניתן לראות כי הן כולן גם חולקות את אותו‬
‫מזהה ייחודי תחת התג ‪fcc758331a7d21ec22b781a67e6d9093 :Message-id‬‬
‫‪ .8‬נמצא כי מיילים נוספים נשלחו מכתובות ה‪ IP-‬הבאות (‪:)X-Originating-IP‬‬
‫‪178.175.138.144‬‬
‫מולדובה‬
‫‪41.206.11.76‬‬
‫ניגריה‬
‫‪41.220.69.202‬‬
‫ניגריה‬
‫‪41.220.68.53‬‬
‫ניגריה‬
‫‪41.206.12.49‬‬
‫ניגריה‬
‫‪41.58.223.230‬‬
‫ניגריה‬
‫‪41.58.82.91‬‬
‫ניגריה‬
‫‪41.58.213.169‬‬
‫ניגריה‬
‫טיפים להימנעות מהונאות דואר אלקטרוני‬
‫‪ .1‬יש לבחון היטב את כתובת השולח ולא רק את שמו‪ .‬מייל הונאה יישא לרוב כתובת מתחזה המכילה שינוי‬
‫שעשוי לא להיראות במבט ראשון‪ .‬מהכתובת המקורית של האדם אתו אתם חושבים שאתם מתכתבים‪.‬‬
‫‪ .2‬בקבלת קובץ ‪ PDF‬במייל‪ ,‬מומלץ לבחון את מאפייני הקובץ לזיהוי שינויים בקובץ‪( .‬תפריט קובץ >‬
‫מאפיינים)‪.‬‬
‫ניתן לוודא את הפרטים‪:‬‬
‫‪ ‬שם היוצר‬
‫‪ ‬שם התוכנה שיצרה את הקובץ‬
‫‪ ‬תאריך יצירה ושינוי הקובץ (לרוב תאריכים אלו יהיו זהים‪ ,‬במידה ואינם‪ ,‬יש לבדוק מדוע)‬
‫‪ .3‬יש לשים לב בקבלת מיילים כפולים ללא הסבר‪ .‬פעמים רבות במהלך הונאה יישלחו מיילים כפולים‪.‬‬
‫מקרה כזה צריך להדליק מידית נורה אדומה בראשכם‪.‬‬
‫‪ .4‬לאימות והסרת חשש ניתן לבדוק גם את ה‪ Header-‬של הודעות המייל אשר יספק מידע נוסף על השולח‪.‬‬
‫לבדיקת ה‪ Header-‬של המייל בתוכנת ה‪ ,Outlook-‬להקיש על החץ הקטן בפינתו התחתונה של חלונית‬
‫התגיות (‪ )Tags‬בסרגל תפריט ההודעה‪ .‬ראה איור‪.3‬‬
‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬
‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬
‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪Prime Minister's Office‬‬
‫‪National Cyber Event Readiness Team‬‬
‫‪ :TLP‬לבן‬
‫‪-5-‬‬
‫איור ‪ .3‬הרחבת תפריט תגיות בגוף ההודעה‬
‫המידע יופיע בתחתית החלון תחת "כותרות אינטרנט" (‪.)Internet headers‬‬
‫כותרות אלו תכלנה מידע נוסף על השולח‪ ,‬כמו המסלול אותו עבר המייל‪" ,‬הפניות" למיניהן ועוד‪.‬‬
‫ראה איור ‪.4‬‬
‫איור ‪ .4‬כותרות אינטרנט‬
‫המלצות נוספות ניתן לקרוא במסמכי ה‪:CERT‬‬
‫התגוננות ממיילים זדוניים‬
‫מהי התקפת הנדסה חברתית?‬
‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬
‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬
‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬