מחקר: האקרים מרוקאים עומדים מאחורי הונאת פישינג ב-SMS שתקפה ישראלים
מחקר: האקרים מרוקאים עומדים מאחורי הונאת פישינג ב-SMS שתקפה ישראלים
ראש תחום מחקרי הסייבר של חברת vpnMentor, נעם רותם, הוביל מחקר לפיו מדובר על שתי קבוצות האקרים נפרדות שתקפו בין היתר גם בצרפת, ברזיל וסעודיה, והתחזו לגורמים כגון חברת לוגיסטיקה כדי לגנוב פרטי אשראי
מחקר של חברת vpnMentor שהובל בידי נעם רותם, ראש מחקרי הסייבר של החברה והאקר אתי, מצא שתי התארגנויות פליליות שנועדו לבצע מבצעי פישינג בין היתר בישראל ובצרפת.
לפי עיקרי הדו''ח שפורסם היום (ג'), מדובר על שתי קבוצות האקרים נפרדות שניצלו ערכת פישינג - כלי תקיפה המשמשים להקמת אתרים מזויפים ומשלוח הודעות SMS זדוניות - כדי להתחזות לגורמים כגון חברת לוגיסטיקה גלובלית ולגנוב פרטי אשראי.
עוד נמצא על פי ממצאי המחקר שלפחות אחת מהקבוצות ככל הנראה קשורה למארגני מבצעי הסייבר האנטי-ישראליים OpIsrael.
מקור הממצאים הוא בזיהוי אותה ערכת פישינג שהביאה את החוקרים לעלות על מאגר מידע מקוון בו אוחסנו שמות הקורבנות. המאגר כלל כ-4,400 שמות מתוכם הרוב ישראלים ושהקליקו על הקישור הזדוני שנשלח להם בהודעה ומילאו את פרטי האשראי באתר המזויף.
ערכות פישינג הן חבילת אפליקציות שניתן לרכוש או להוריד מפורומים בדארקנט. הן כוללות בד''כ אפלקציה להקמת אתרי אינטרנט מזויפים, שבלונה של מייל רשמי או הודעות טקסט שניתן לשלוח לקורבנות כדי לשכנע אותם להיכנס לאתר לעיל ואם משלמים קצת יותר גם רשימות של כתבות מייל או מספיר טלפון שניתנים לתקיפה. בנוסף בחלק מהחבילות האלה מצורפים גם אמצעים לבצע אוטומטיזציה של כל התהליך. זאת אומרת שלא נדרש ידע טכני יוצא דופן כדי להפעיל מבצע פישינג כזה.
רוב הקורבנות מישראל
זו הסיבה שהחוקרים גילו את המבצע, לפי מה שמצאו, המאגר אותו זיהו לא אובטח והיה נראה שההאקרים לא היו מיומנים מספיק כדי להסתיר אותו ביעילות. מכאן הערכת החוקרים שלא מדובר בהאקרים מקצועיים אלא בחובבים או בעבריינים ללא רקע בתקיפות סייבר. בהונאה הראשונה שנמצאה, חלק מהקורבנות היו גם בברזיל, ארה"ב, סעודיה וחלק גדול ממדינות אירופה. עם זאת כאמור הרוב היו מישראל.
במקרה התקיפה בצרפת ההאקרים התחזו לאחד הבנקים הגדולים במדינה. האתר של ההאקרים שימש לאיסוף מידע ומהרגע שהקורבן השלים את מילוי הטופס המזויף נשלחה הודעה לחשבון הטלגרם של המפעיל ובו עדכון על כך. על פי הערכות החוקרים כ-1,700 קורבנות נפלו בפח של התוקפים, כולם בצרפת. לאחר שהחוקרים התחקו על עקבות המפעיל נמצא שבסיסו כנראה באלג'יריה, החוקרים הצליחו לגלות את מספר הטלפון שלו ואפילו את תמונת הפרופיל בווטסאפ.
תעודת עניות לישראל בתחום חינוך והגנה דיגטליים
ועכשיו למספרים. לאחר בדיקה מקיפה של המאגר הראשון, מתוך כ-4,400 הקורבנות, נמצא שכ-380 מהם השתמשו בכרטיס אשראי ישראלי. מדובר על אחוז הצלחה של כ-8.5% וזה הרבה יותר מאשר בתחום הפרסום. החוקרים כתבו שמדובר בתעודת עניות למדינה ולאזרחים שלא מקפידים על חינוך והגנה על המשתמשים או על היגיינה דיגיטלית בסיסית.
החוקרים ממליצים לשים לב לסימנים המחשידים הבאים ברגע שמתקבלת הודעת SMS מסוג זה: שימוש בשפה קלוקלת או בתחביר שגוי; ניסיון להלחיץ את המקבל דרך נוסח הטקסט שנשלח - למשל "הסדירו את חובכם מיידית או שלא תקבלו את החבילה"; קישורים מקוצרים (כגון שירות קיצור הלינקים bit.ly) אשר אף פעם לא משמשים גורמים רשמיים בתכתובות עם לקוחות. סימנים אלה מעידים בדרך כלל על ניסיון פישינג ומומלץ להשתמש בשירות פתיחת קישורים חשודים בסביבה מוגנת כגון https://urlex.org/ לפני כל פעולה נוספת כדי לוודא שהקישור אמיתי ולא מזויף.
למרות המספרים האלה לא מדובר במבצעים שמכניסים מיליונים. כרטיס אשראי מאומת כולל קוד האימות שלו (CVV - הספרות בגב הכרטיס) נמכר בשוק השחור בכ-65 דולר. בהנחה שההאקרים הצליחו למכור את כל 380 הכרטיסים הישראלים, הם הצליחו להרוויח כ-25 אלף דולר בלי מאמץ מיוחד. אבל אם מכפילים את כל המאגר במחיר הזה מתקבל סכום יותר מרשים של כ-286 אלף דולר. להזכיר מדובר במבצעים שלא קשה לארגן גם עבור עבריינים מן השורה.
מדובר בתופעה שהולכת ומחמירה שכן קל מאוד להונות משתמשים דרך הודעות SMS. מבצע דומה נחשף לפני מספר שבועות על ידי חברות הסייבר WebIntMaster ו-Security Joes, בו נעשה שימוש באתר מזויף של דואר ישראל. מחקר של חברת הסייבר קספרסקי מצא שישראל הפכה למטרה השנייה בעולם אחרי ברזיל במתקפות פישינג מעין אלה.
