Search
  • mobisec8

איך זה עובד ואיך נופלים בפח של מתקפת כופרה טיפוסית?

מתקפות כופרה

העקרון תמיד זהה, יש מגוון עצום של ווריאנטים, שכולם בסופו של דבר מתבססים על היכולת לנצל חולשות אנושיות, חוסר תשומת לב לפרטים הקטנים ורגע של פזיזות או היסח הדעת.

אז הנה תרחיש פיקטיבי לחלוטין אבל כל כך מציאותי, כזה שהתרחש באופן דומה עד כדי זהה באלפי מקרים אחרים. התרחיש הזה מדבר על מתקפה שמתחילה עם תקיפת Spear Phishing, שהיא מתקפת דיוג ממוקדת מול עובד מסויים או מספר עובדים בארגון מסויים.


שלבים טיפוסיים Spear Phishing

  1. התוקף מסמן את הארגון שאותו הוא בוחר לתקוף

  2. התוקף מבצע מחקר שמבוסס בדרך כלל על מידע ציבורי שניתן למצוא באינטרט, אתר החברה, גוגל, פייסבוק, לינקדאין ועוד, מכאן הוא ימצא מספר אנשי מפתח שישמשו כמטרות הראשוניות בניסיון לתקוף את הארגון

  3. כעת התוקף צריך להבין כיצד נראית חתימת מייל טיפוסית של הארגון ומה המבנה של כתובות האימייל, גם זה מידע שניתן לאתר די בקלות למשל על ידי פנייה באתר החברה לתיבת "צור קשר" או הגשת מועמדות ומשלוח קורות חיים לתיבת Jobs וכד', מיילים כאלה בדרך יענו במענה אוטומטי או אנושי שממנו ניתן להסיק מה פורמט השמות והמיילים, ניתן גם לבקש את פרטי מנהל השיווק של הארגון כדי להציע לו שירות מעניין כלשהו, וכשהוא יענה במייל להבין את פורמט המיילים וכיצד נראית חתימה טיפוסית, כמובן שזה ניתן לביצוע בעוד אלפי דרכים אחרות.

  4. כעת התוקף מצוייד ברשימת מטרות, יכולת להסיק מה כתובות המייל של מטרות אלה וגם פורמט של חתימות המייל של הארגון.

  5. התוקף יכין לעצמו כתובת אימייל פיקטיבית לחלוטין בפורמט זהה לפורמט של הארגון אבל שם הארגון יהיה שונה באות אחת או משהו כזה (מכיוון שאין לו באמת מייל בארגון עליו לייצר משהו דומה כך שבהיסח הדעת אף אחד לא יבדוק לעומק) ויעטר אותו בחתימה פורמלית של הארגון.

  6. ואז ינסח מייל בסגנון הזה (אגב לעיתים קרובות המיילים מנוסחים גרוע ועם שגיאות רבות וזה מכוון כדי להגיע לאלה שבאמת לא שמים לב לפרטים הקטנים):

אם נבחן את המייל מקרוב נגלה כמה דברים:

  • כתובת המייל של השלוח (בעיגול השחור) מבוססת על פורמט זהה אבל בשם החברה הוחלפה אות אחת.

  • למייל יש כותרת (עיגול ירוק) המתריאה על חוסר בדווח שעות עבודה וזאת כדי לגרום למשתמש למהר ולתקן לפני ששכרו יפגע.

  • למייל מצורף קובץ Word אבל כזה שתומך במאקרו (עיגול אדום)

  • הטקסט (בעיגול הכתום), קצר ומודיע שיש להשלים בהקדם את חוסר השעות בדו"ח המצורף

  • בתחתית המייל (בעיגול הסגול) יש חתימה זהה לחתימות הטיפוסיות של עובדי החברה שבה השולח מזוהה כאיש משאבי אנוש בחברה.

7. כעת, העובד שקיבל מייל שנראה על פניו ככזה שנשלח מתוך הארגון מיחידת משאבי אנוש ועליו לתקן בהקדם חוסרים בדו"ח השעות שלו, ממהר לפתוח את הקובץ המצורף ושם הוא מקבל משהו כזה:

אופס, די הגיוני לא? העובד מבין שכדי לראות את תוכן הדו"ח הוא חייב לאפשר מאקרו (במקרה זה ההודעה בספרדית, אבל כולנו מכירים את ההודעה המבקשת מאיתנו לאפשר עריכה או לאפשר מאקרו במסמך) הרי דו"ח השעות שלו חשוב מאוד ולכן הוא ממהר ללחוץ על האפשרות להפעלת המאקרו (!) מצד העובד, סביר מאוד והגיוני, אבל ברגע זה הוא פתח את דלת האורווה ושחרר את הסוסים.

המאקרו שהיה שתול בתוך המסמך הופעל, יצר קשר עם שרתי השליטה והניהול של התוקף, משך משם כמה קילו בייט בודדים של תסריטים נדרשים, מפתח הצפנה וזהו, המחשב כעת נגוע בכופרה שהחלה להצפין במהירות את קובצי המידע של המחשב.

בתוך מספר רגעים המשתמש ייקבל במרכז המסך הודעות בסגנון הזה:

כעת עליו לשלם כופר כדי לקבל את הגישה לקבצים שלו. כשמדובר בארגון, סביר להניח שתוך רגעים ספורים הכופרה תפיץ את עצמה למחשבים נוספים ברשת שיפיצו הלאה לאחרים ובתוך זמן קצת הארגון ימצא עצמו משותק לחלוטין תחת דרישת כופר שיכולה להגיע למאות אלפי דולרים ואף יותר.


כיצד מתמודדים עם האיום:

צרו קשר ונסייע לכם להתכונן ולהתגונן: Daniel.Ashkenazi@kmt.co.il

36 views
  • Grey Facebook Icon
  • Grey LinkedIn Icon

154 Menachem Begin Rd., Tel-Aviv

2017 Mobisec Technologies . All rights Reserved