פישינג למנכ"ל: ההונאה שאולי לא חשבתם עליה בחברה שלכם

מתקפה המכונה "הונאת המנכ"ל" ובה דרישת תשלום ממייל מוכר הפכה לפופולרית ומתוחכמת יותר בשנים האחרונות. איך לעלות על הבעיה ומה אפשר לעשות כדי לשים לה קץ?

רן אדלר
06/05/2020

סטיב (שם בדוי), מנכ"ל חברת הייטק מוכרת, קיבל שיחת טלפון זועמת מיוהאן, לקוח ותיק מגרמניה: "תגיד, קרה שלא שילמנו לכם בזמן"? שאל יוהאן. "למה אתה שולח מיילים ומתקשר למזכירה שלי בימים האחרונים ומבקש שנעביר כבר את הכסף? משהו קרה?". סטיב החוויר. הוא לא שלח מייל ללקוח. גם לא התקשר. הכול מבחינתו התנהל כרגיל עם הלקוח. על אף הבהלה שאחזה בו הוא ניסה לשמור על קור רוח ואמר, "תקשיב יוהאן, תוכל להעביר לי את המייל שקיבלתם ממני? אני לא מכיר מייל כזה".

לאחר מספר בירורים בחמ"ל אבטחת המידע הבנו שמישהו זר שלח כמה מיילים ליוהאן, כאלו שממש נראו כאילו הם הגיעו מסטיב, אבל רק נראו. המתחזה ששלח את ההודעות עדכן שהחברה של סטיב החליפה חשבון בנק, וביקש מיוהאן להעביר את הכסף בהקדם לחשבון החדש.

טוב לדעת (מקודם)

בי-קיור לייזר - הרופאים ממליצים והמטופלים מרוצים

מוגש מטעם בי קיור לייזר
הודעות פישינג הפכו ליותר זדוניות וליותר מתקדמות ולכן צריך לטפל בהן במהירות(צילום: יח"צ ESET)

הסיטואציה של סטיב מוכרת לארגונים רבים בארץ ובעולם בשנים האחרונות, כמתקפה המכונה בשם "הונאת מנכ"ל", אשר מתאפיינת בהתחזות לבכיר בארגון. המתחזה מנסה, דרך מניפולציות שונות, לגנוב כסף מהארגון, לעתים גם דרך פנייה לגורם פנימי - למשל, באמצעות פנייה בהולה ומלחיצה לאנשי הכספים של הארגון ולפעמים לגורם חיצוני כמו במקרה של סטיב ויוהאן.

מתקפות כאלו יכולות להיות פרימיטיביות ושקופות, ובהן המתחזה "מנסה את מזלו" ללא יותר מדי השקעה בפרטים הקטנים או מבלי לזייף את כתובות המייל. הן יכולות גם להיות מתקדמות בהרבה, כמו במקרה של סטיב. כאן, השולח ידע די הרבה על סטיב והחברה שלו, ובמייל שהוא שלח היו פרטים עם מספר החשבונית והסכום הכספי שבאמת יש לשלם. בנוסף, המייל עצמו נראה לגמרי מקורי כאילו הוא יצא מסטיב, אבל בבדיקות נמצא שהוא כלל לא נשלח מהתשתית של החברה. הדברים הללו העלו תהיות רבות, כמו איך הוא השיג את הפרטים המדויקים ביותר? וכיצד הוא הצליח לזייף את כתובת השולח? אחד החששות הגדולים ביותר היה, שאם זה קרה עם יוהאן, אולי זה קרה גם עם עוד לקוחות שאינם חושדים כלל, אז איך בודקים דבר כזה ומתריעים על הסכנה בפני ארגונים לפני שמאוחר מדי?


הפורץ שניסה לחקות את סטיב היה מתוחכם למדי. הוא פרץ לתשתית המייל הארגונית כדי לגנוב מידע קונקרטי. ברגע שהמידע היה ברשותו, רמת האמינות והשכנוע במיילים שיצאו ללקוח עלתה וכך נראה היה שמדובר במייל לגיטימי. הוא גם השכיל לזייף את כתובת המייל באופן מרשים: הוא רכש דומיין עם שם דומה, אבל להבדיל ממקרים קלים לזיהוי (כמו החלפה של האות O בספרה 0, או רישום של האתר בסיומת .CO במקום סיומת .COM ) הוא רכש דומיין שכלל אותיות קיריליות ולטיניות: האות a בקירילית ולטינית נראית זהה לחלוטין לעין האנושית. רק מחשבים מצליחים להבדיל ביניהן.

אבל הפורץ המתוחכם גם טעה. הוא הפעיל לחץ רב מדי על המערכת וכך "העיר" את יוהאן. הלחץ הוא מאפיין מוכר במתקפות הונאה שכאלו. במקרה הזה, הוא האמיר למינון גבוה מדי, מה שגרם ליוהאן להתקשר ולסכל את המתקפה. עוד טעות שסייעה באיתור התקיפה הייתה שהפריצה לתשתית המייל נעשתה ממדינה אפריקאית קטנה ומרוחקת, מה שאפשר לעלות על עקבות התוקף במהירות. אם הוא היה עושה את אותו מהלך מ-VPN ישראלי, הוא היה מקשה על החוקרים.

רן אדלר(צילום: סאם יעקובסון)

הונאות מנכ"ל שכאלו הן חלק משגרת יומם של ארגונים גדולים. כל עוד מחכה בקצה המתקפה רווח כספי משמעותי, לפושעים תהיה מוטיבציה לבצע את המתקפה. תוקפים מבצעים הכנות מדוקדקות למתקפות כאלו, ובחלק מהמקרים קשה מאוד לאתר אותן. למרבה המזל, גם פושעים הם בני אדם וגם הם עושים טעויות - מה שמאפשר לבלום אותם. אבל מוטב לא לסמוך על שגיאות של פושעים יתר על המידה, להביא את הסכנה לידיעתם של עובדים ומנהלים ואפילו לתרגל אותם מעת לעת בפריצות דמה. זה עלול לחסוך בסופו של דבר הרבה מאוד כסף לארגון.

ומה קרה עם יוהאן וסטיב? לאחר איתור חשבון המייל שאליו חדר הפורץ, הבינו חוקרי אבטחת המידע שהוא פרץ לחשבון מייל של איש מכירות בארגון. הם פנו לכלל הלקוחות של איש המכירות והתריעו בפניהם על הסכנה. במקביל, הם ניגשו לרשם הדומיין ולחברה שאירחה את שרת המייל של התוקף וביקשו להסיר אותם. לבסוף, הוטמעה אצל הלקוח מערכת לאיתור אנומליות בחיבור מרוחק לארגון, והחשוב מכל - הארגון עבר למדיניות הזדהות כפולה מרחוק - מה שמונע הישנות של מקרים דומים.

הכותב הינו סמנכ"ל ייעוץ ב-2BSecure, חברת אבטחת המידע והסייבר של מטריקס, המנהלת מערכות אבטחת מידע של ארגונים רבים בישראל ובחו"ל.

  • סייבר
  • הונאות

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully