האקרים גנבו בין עשרות למאות אלפי שקלים מלקוחות בנקים בישראל
מעבדות קספרסקי חשפו מבצע סייבר שמטרתו הייתה גניבה מלקוחות בנקים ישראלים דרך דפדפן המחשב. המבצע זוהה וסוכל לאחר שעשרות לקוחות נפגעו
חברת אבטחת המידע הרוסית קספרסקי הודיעה אתמול (א') שחוקריה חשפו ברבעון האחרון מבצע של האקרים שמטרתו הייתה גניבה של חשבונות בנק של לקוחות ישראלים. המבצע התבסס על נוזקה (תוכנה זדונית) שהדביקה מחשבים של משתמשים ושדרכה יכלו ההאקרים לנצל תכונה של העברת כספים דרך מסרון הזמינה במספר בנקים גדולים בישראל, על מנת למשוך כספים של לקוחות דרך מכשירי כספומט. לפי הערכות קספרסקי מאות אלפי שקלים נגנבו מעשרות קורבנות של הנוזקה ברבעון האחרון של 2015, אך בבנק ישראל אומדים את הנזק בעשרות אלפי שקלים בלבד.
הנוזקה, שמכונה על ידי החוקרים של קספרסקי ATM-Zombie, נוטרלה עם חשיפת הניסיונות הראשונים בשיתוף עם צוותי אבטחת המידע של הבנקים ובעזרת עירנותם של לקוחות. הלקוחות שחשבונם נפרץ פוצו. דרך הפעולה של ההאקרים העידה על איסוף מודיעין מתוכנן היטב. בהתקפה שולבו מספר גורמים, ביניהם קבצים זדוניים ושיתופי פעולה עם מעבירי כספים (money mules) ישראלים, שמשכו את הכסף ושלחו אותו אל התוקפים.
- בשר מתכנתים
- נתניהו נפגש עם סאטיה נאדלה: "הקשר בין ישראל למיקרוסופט הוא זיווג משמיים"
- לטאניום יש מנכ"ל חדש והוא רוצה לקחת אותה כל הדרך להנפקה
את החקירה ביצע עידו נאור, חוקר בכיר בצוות החוקרים של מעבדת קספרסקי (GReAT). מחקירת דרך הפעולה של התוקפים עולה כי הנוזקה משתמשת במאפיינים של הדפדפן האחראים על הגדרת השרת המתווך (Proxy) בין מחשב הלקוח לבין השרת אליו הוא מעוניין לפנות. מדובר בשימוש מוכר לצורכי בדיקות תעבורת רשת בארגונים. הנוזקה מאפשרת ליצור נתיב בין הדפדפן של הלקוח לשרת הבנק. בשנת 2013, פאביו אסוליני, חוקר בכיר בצוות GReAT, תיעד בפירוט את יכולות הנוזקה, דרכי ההידבקות האפשריות ודרכי ההתגוננות.
האקר (אילוסטרציה) צילום: שאטרסטוק
"חשוב לציין כי מוסדות פיננסיים בישראל ידועים ביכולותיהם הגבוהות למגר פעילות עוינת. היכולות של מערכות ההגנה סייעו לעצור את המתקפה בשלביה הראשונים", אומר עידו נאור. "עם זאת, במקרה זה, התוקפים הצליחו משום שתקפו את הלקוח הסופי ולא את הבנקים עצמם. הם ניצלו את החוליה החלשה", מסביר נאור. ואכן, מיד אחרי שעודכנו, נקטו הבנקים שנפגעו באמצעים הנדרשים על מנת לסכל את המתקפה, מה שהביא לעצירתה המוחלטת.
מבנק ישראל נמסר בתגובה: "אנו מקבלים דיווחים ככל שנדרש מהמערכת הבנקאית אודות חשדות לאירועי סייבר ומנחים אותה לפעול בהתאם. הנושא המתואר בכתבה טופל באופן מיידי וללקוחות לא נגרם נזק".
אופן ביצוע המתקפה
ההדבקה - ההערכה היא כי מדובר במתקפת פישינג אשר משתמשת במיילים שמטרתם למשוך את הקורא, דרך תוכן אישי, ללחוץ על לינק או להפעיל קובץ שהוצמד למייל המכיל קריאה להורדה של הנוזקה. פעולה זו מפעילה את הנוזקה על מחשב הקורבן.
ההמתנה
- ההאקרים מחכים שהקורבן יתחבר לשרת הבנק ואז מנתבים אותו לשרת עוין מזוייף. מחשב הקורבן מכיל את פרטי השרת המתווך בהגדרות הדפדפן, כמו גם תעודה דיגיטלית חתומה, על מנת שיוכל לתקשר עם שרת הבנק. ללא התעודה שרתי הבנק ידחו את תעבורת המידע. אם הקורבן החליט להתחבר לחשבון הבנק שלו, המאפיינים בדפדפן ינתבו אותו לשרת תוקף שנראה בדיוק כמו שרת הבנק. ניסיון ההתחברות של הקורבן יהיה למעשה לשרת התוקף וכך יגנוב ההאקר את הפרטים המזהים שלו.
ההשתלטות – בשלב זה מתחבר ההאקר לחשבון של הקורבן ומשתמש במודיעין שאסף על מנת למשוך כסף מהחשבון. השיטה מעידה על דרך איסוף המודיעין ועל שימוש בגורמים פנים ארציים. במקרה זה בחר התוקף לנצל פיצ'ר לגיטימי המאפשר העברת כסף באמצעות הודעת טקסט. ההודעה נשלחת לאחר מילוי טופס באתר, שמכיל את פרטי המקבל, את תעודת הזהות שלו ואת מספר הטלפון אליו יישלח אישור העברה בצורת קוד משתמש, סכום, תאריך משיכה ופרטים נוספים. כל מה שנדרש כעת הוא למשוך את הכסף מהכספומט.
גניבת הכסף - שלב גניבת הכסף והעברתו אל מחוץ לגבולות המדינה. שותף של ההאקרים ניגש למשוך את הכסף מהכספומט במזומן על פי קריאה, ובינו ובין הנוזקה אין לכאורה חיבור ישיר. לאחר המשיכה מעביר השותף את הכסף אל התוקף דרך מתווך נוסף. ישנן מספר דרכים להעביר את הכסף ללא כל עקבות.
