אתמול (רביעי) הותר לפרסום כי באחרונה, מערך סייבר של מדינה זרה ניסה לתקוף באמצעות פלטפורמת הרשת החברתית ״לינקדאין״ עובדי תעשיות ביטחוניות מובילות בישראל. המתקפות כללו התחזות של התוקפים לבכירים ואנשי גיוס בחברות בינלאומיות, ופניות לאותם העובדים על מנת ליצור שיח ולפתות אותם בהצעות עבודה אטרקטיביות. כל זאת על מנת להשיג בסופו של דבר דריסת רגל ברשתות הארגוניות של אותם ארגונים ביטחוניים, ומשם לפעול בהתאם למטרות התקיפה, כגון גניבת מידע ביטחוני רגיש, שינוי מכוון וזדוני של מידע על מנת ליצור נזק, או הצפנה של כל המידע ברשת ובכך מניעת גישה למידע.
סגנון תקיפה זה נקרא ״Spearphishing״, והינו שונה ממתקפות רגילות אשר בהן התוקף מנסה את מזלו ותוקף מספר רב של משתמשים באותה הצורה, בתקווה שמישהו ייפול ברשת. במתקפה זו, התוקף מכוון מראש לתקוף אדם, ארגון או תעשייה מסוימים ויעד התקיפה ידוע מראש. מתקפות מסוג זה נחשבות מן הקשות ביותר, מאחר והתוקפים משקיעים זמן רב בהכנת התשתיות הנדרשות לתקיפה, ובהסוואת הכלים בהם הם משתמשים, ולכן קשה יותר להתגונן מפניהן.
על פי החשד, המתקפה בוצעה על ידי קבוצת ״לזרוס״, אשר נחשבת כחלק ממערך הסייבר ההתקפי של ממשלת צפון קוריאה. משוער שקבוצה זו פעילה עוד משנת 2009, והיא ידועה בעיקר כזו שעומדת מאחורי המתקפה המתוקשרת על חברת סוני בשנת 2014, כמו גם עוד מתקפות אשר רובן התמקדו סביב מניעת נזק בלתי הפיך לרשתות הארגוניות של הקורבנות אותן היא תקפה.
בעוד המתקפה נמנעה, ניתן להניח כי לו הייתה צולחת, שיטת העבודה של התוקפים הייתה מתנהלת באופן הבא:
א. יצירת דיאלוג עם העובדים דרך לינקדאין, במסווה של גיוס לעבודה במשרה אטרקטיבית.
ב. לאחר שנוצר דיאלוג מתמשך, ובהינתן שהעובד מאמין כי הוא אכן משוחח עם נציג גיוס לגיטימי שמנסה לגייס אותו, התוקפים ישלחו לקורבן מסמך שקשור במשרה אליה הוא מגויס, ואשר העובד נדרש למלא.
ג. בעוד הקורבן מאמין כי המסמך לגיטימי, למעשה הוא מכיל קוד זדוני אשר רץ על המחשב שלו ללא ידיעתו, ואשר מבסס על המחשב ערוץ תקשורת עם התוקפים (Command and Control, או C2), לרוב בטכניקות אשר עוקפות את מערכי ההגנה הקיימים על המחשב.
ד. בשלב זה, התוקפים מקבלים למעשה גישה ישירה למחשב של הקורבן, ומשם לרוב ינסו להתפשט לאזורים אחרים ברשת ולבסס את אחיזתם עד שיגיעו ליעד הסופי של התקיפה.
הסקרנות הרגה את החתול
בעוד שעולם הטכנולוגיה יוצא לאור עם כלים חדשים למניעת מתקפות מסוג זה שנה אחר שנה, מסתמן כי הן הולכות להדיר שינה מעיניהם של אנשים האמונים על אבטחת רשתות ארגוניות בעתיד הנראה לעין. על פי גוגל, יותר מ-100 מיליון אימיילים המהווים ניסיונות ״פישינג״ נחסמים כל יום. כל זאת בלי קשר לתקופת הקורונה, בה ניתן לראות עליה חדה בטכניקת התקיפה הזו.
הסיבה העיקרית לבעיה הזו, היא כי המתקפה שתוארה לעיל למעשה מכוונת לנצל את אחד היצרים הגדולים של האדם – סקרנות (או בשמה הניו אייג׳י – FOMO).
זהירות בדרכים (המקוונות)
מי מאיתנו לא קיבל הודעה באימייל שמודיעה לנו שזכינו בהגרלה ומגיע לנו אייפון חדש, או מסרון מפייפאל שמודיע לנו שעלינו לשנות סיסמא בדחיפות? בעוד מספר מצומצם של אנשים דוגל ביתר זהירות כאשר הוא מקבל מסרים שכאלה, רוב האנשים נותנים ליצר הסקרנות להוביל אותם – דבר שלא מעט פעמים גורם לכאבי ראש בהמשך הדרך.
אפילו התקיפה המתוקשרת על טוויטר אשר שמה באחרונה את החברה באור שלילי, הייתה במקור כתוצאה של מתקפת ״הנדסה חברתית״ על עובד של החברה, אשר שוכנע למסור את הפרטי ההתחברות שלו לאדם אשר התחזה להיות עובד החברה.
כמו שכולנו חונכנו מגיל צעיר להיות חכמים בשמש, כך עלינו גם לפעול בעולם המקוון, ולהיות ״חכמים ברשת״. החל מלחשוב פעמיים לפני קריאת כל אימייל ממען שאינו מוכר לנו, וכלה באימוץ גישה פרנואידית למדיניות ה״הקלקה״ שלנו על קישורים באינטרנט.
הכותב הוא אופיר הר-חן, מנהל צוות Threat Hunting ב-Hunters, חברת פורטפוליו של קרן Yl ventures