התחברו אליתשמעו סיפור:
יש לי לקוח וחבר שמנהל קרן גידור קטנה יחסית, שפועלת מספר שנים ומנהלת כמה עשרות מיליוני דולרים בתחום חם מאד.
כמו כל קרן הם מגייסים לקוחות ומדי כמה שבועות מצטרף לקוח חדש. הלקוחות הם בד"כ אנשים אמידים וצפונה, נזילים מאד, לקוחות כשירים ושיש להם יכולת ורצון לשים כמה מיליוני שקלים בסיכון גבוה.
לפני מספר שבועות מתקשר אלי החבר בערב (לשם הנוחות נקרא לו – "רמי"), ואני שומע שהוא בפאניקה.
הי, זה רמי.
רציתי להתייעץ איתך. אפשר?
בטח שאפשר.
רמי מספר לי את הסיפור הבא:
לאחרונה סיכמנו עם איש בכיר מאד במגזר הפיננסי הישראלי (כמובן שלא אחשוף את שמו אבל אתם מכירים את השם מהאתרים הפיננסיים) לגבי השקעה בקרן ואנחנו מטפלים בהצטרפות שלו. סיכמנו שהוא ישקיע כמה מאות אלפי דולרים בקרן.
היום קיבלתי טלפון מאיש הכספים של הבכיר (כאמור – הוא בכיר ולכן יש לו איש כספים שמטפל בנושאים האלה). איש הכספים שואל אותי "תגיד רמי, יכול להיות שטעיתם בפרטי חשבון הבנק ששלחתם אלי"?
"איזה חשבון בנק?", אני עונה.
איש כספים: "סיכמנו שאנחנו מבצעים הפקדה בקרן, נכון?"
רמי: "נכון"
איש כספים: "וחתמנו על הניירת לפני כמה ימים"
רמי: "נכון"
איש כספים: "וסיכמנו שנעשה העברה של $300,000 לחשבון של הקרן, נכון?"
רמי: "נכון"
איש כספים: "יופי. אז שלחתם היום פרטי בנק להעברה.
נכנסתי לאתר כדי לבצע את ההעברה אבל משהו בפרטי החשבון לא היה נראה לי נכון.
הבנק הזה שרשמתם נמצא באסיה, וזכרתי שהבנק שלכם ממוקם באיי קיימן."
רמי:
איש כספים: "אז עצרתי את ההעברה והתקשרתי לוודא מולך"
רמי:
איש כספים:
רמי: מגמגם "אבל עוד לא שלחנו אליך את פרטי הבנק להעברה.... עוד לא סיימנו לטפל בכל הניירת... רגולציה.. לקוחות כשירים... אני בשוק.... אתה יכול לשלוח אלי את המייל שקיבלת?"
איש כספים: "בטח. שולח"
רמי מקבל את המייל וחושכות עיניו.
הוא רואה מייל שנראה לגיטימי לחלוטין!
זה מייל שיצא מחשבון המייל שלו, כולל החתימה שלו,
הכל סטנדרטי לחלוטין ובפורמט הקבוע.
הדבר היחיד השונה – הם פרטי הבנק להעברה.....
בשלב הזה רמי מבקש מהלקוח לא לבצע את ההעברה.
הוא מנתק ומתקשר אלי.
אני מבקש ממנו לבצע כמה פעולות מיידיות:
• תתקשר לבנקים ובקש שלא תבוצע שום פעולה בחשבונות בלי אישור טלפוני שלך
• תחליף סיסמאות לכל העובדים בכל החשבונות (חשבונות מייל וחשבונות אחרים כולל חשבונות בנק ומסחר בשוק ההון)
• תפעיל MFA על כל החשבונות
• שלח את המייל שאיש הכספים קיבל "ממך" לחמ"ל הסייבר הלאומי ודווח להם מה קרה
• וודא שעל כל המחשבים שלך יש תוכנת אנטי וירוס תקינה ומעודכנת ותריץ סריקה יזומה
רמי מבצע את כל המשימות בדקדקנות, מתפנה לחשוב על הפדיחה שנמנעה עכשיו, ומחליף צבעים. הוא מבין שהוא היה מילימטר מברוך רציני.
הוא מדמיין את כותרות העיתונים הכלכליים – "איש העסקים המפורסם נעקץ במאות אלפי דולרים בגלל תקלת אבטחת מידע בקרן גידור",
הוא מדמיין את התביעה המיידית להשבת הכסף שהיה נעלם איפשהו באסיה תוך שניות,
מיליון שקל לפח, חקירת המשטרה, בלאגן יחסי הציבור, בושות.
איזה מזל. יותר מזל משכל.
בשלב הזה התחלנו לחקור מה בדיוק קרה. זה לקח כמה ימים. מה שהתברר הוא, שלרמי יש סיסמה אחת עיקרית. הוא משתמש בה למייל שלו, לפייסבוק, לגוגל וגם לאתרים יותר "זניחים" כמו הזמנות מאתרים מחו"ל, הזמנות מהסופר ועוד ועוד.
כנראה שאחד האתרים ה"זניחים" נפרץ ע"י האקרים ונגנבו ממנו שמות משתמשים וסיסמאות. זה קורה כל הזמן. תראו לדוגמה פה, פה, פה, פה ופה. כל הזמן.
התוקפים פשוט ניסו את מיליוני הסיסמאות שעכשיו היו להם, על אתרים יותר משמעותיים כמו למשל פייסבוק, גוגל, וגם תיבת הדואר הארגונית של רמי בענן 365 של מיקרוסופט. אחת לכמה אלפי רשומות – זה מצליח ועכשיו יש להאקרים גישה למייל הארגוני של רמי.
רוב התקפות המיילים המתחזים (מה שמכונה Phishing), הן כאלה שנשלחות במיליונים, מתחזות לנטפליקס, פייפאל, פרטנר וכו' ע"מ לנסות להוציא מכם סיסמאות נוספות ופרטי תשלום.
במקרה הזה, מדובר במתקפה מסוג Spear Phishing – מתקפת פישינג ממוקדת שנעזרת בהנדסה חברתית (בדיקות ברשתות חברתיות, חיפוש אנשי מפתח ותפקידם, הבנת ההיררכיה הארגונית, הבנת נהלי הארגון וכו') ע"מ לייצר מתקפות מדוייקות שקשה לעלות עליהן בזמן אמת, ויכולות להכניס לארגוני הפשע שמפעילים אותן המון כסף.
ה"חברים" החדשים של רמי מנצלים את הזמן ללמוד את שיטת העבודה, קוראים את המיילים שנכנסים ויוצאים, מבינים מה החברה עושה ועם מי היא בקשר, וברגע הנכון תוקפים ומכוונים לעורק הראשי.
הם שולחים מייל מתחזה שנראה בדיוק כמו מייל שרמי מוציא באופן קבוע, ומקווים שאף אחד לא ישים לב שפרטי הבנק שונו.
הסיבה היחידה שזה לא הצליח להם הפעם – איש כספים עם תשומת לב לפרטים בצד השני של ההונאה.
עד כאן הסיפור של רמי. השם בדוי אבל כל שאר הפרטים אמיתיים.
אל תהיו רמי.
היכנסו למאמר הזה שכתבנו אחרי הפריצה לשירביט, ובצעו את הצעדים שמופיעים בו.
הזמינו הדרכת מודעות לאבטחת מידע לעובדים שלכם.
אתם בעלים של עסק? קראו את סדרת המאמרים שכתבנו כאן והגנו על עצמכם.
יש לכם שאלות? אנחנו כאן לרשותכם.