מחפשים בגוגל תמיכה של נטפליקס, אפל או מיקרוסופט? יש סיכוי שזה עוקץ
עובדים נתקלים בבעיה בחשבון, פונים ישירות לגוגל ומגיעים לאתרי תמיכה שנראים לגיטימיים, אך מכילים מספר טלפון מזויף. כך פעלה ההונאה שהתבססה על פרצת קלט פשוטה ועקפה את מערכי ה-IT הארגוניים
חיפוש בגוגל. תמונה: Pexels
אתם צופים בנטפליקס ופתאום הופיעה תקלה; ניסיתם להתחבר כמה פעמים כבר לאינסטגרם וננעלתם מחוץ לחשבון? אם אתם רוצים לפתור את זה במהירות, הפעולה הסבירה היא לפנות לגוגל ולחפש שם את מספר בטלפון של התמיכה הטכנית. אם זה קרה לכם לאחרונה, יכול מאוד להיות שנפלתם קורבן לעוקץ חדש שניסה לגנוב מכם את הפרטים האישיים והפיננסים שלכם.
העוקץ המתוחכם, שנחשף על ידי חברת הסייבר Malwarebytes, ניצל את אחת החולשות המוכרות ביותר של בני האדם: אנחנו פשוט לא מוודאים ב-100% אם האתר אליו גלשנו הוא האתר האמיתי אותו חיפשנו, ולכן קל מאוד לעבוד עלינו.
במקרה הנוכחי, והדי מתוחכם יש לציין, התוקפים שילמו ל-Google עבור מודעה ממומנת ובאמצעותה יצרו כתובת URL שמזריקה מספר טלפון מזויף אל תוך מנגנון החיפוש הפנימי של אתרים אמיתיים ובהם: אפל, Bank of America, מיקרוסופט, HP, פייסבוק,פייפאל ו-Netflix. מכיוון שהמודעה הממומנת מפנה לדומיין האותנטי של החברות, מסננים כמו Safe Browsing של כרום לא יסמנו אותה כמסוכנת.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בגלל שהמודעה ממומנת, ברגע שאדם מקליד "תמיכה טכנית של נטפליקס", המודעה תופיעה בראש תוצאות החיפוש. לאחר לחיצה על הלינק, הקורבן יופנה לדף התמיכה של נטפליקס, אך שורת החיפוש באתר כבר מכילה מספר טלפון שמוזן אוטומטית. המספר הזה מוצג כאילו הוא מספר התמיכה האמיתי, אך למעשה הוא מזויף ונשלט בידי התוקפים.
לפי Malwarebytes הדבר מתאפשר כי מנגנון החיפוש באתר של נטפליקס מציג באופן עיוור כל ערך שמוזן בפרמטר החיפוש, מבלי לעבור תהליך אימות. התוצאה היא פרצת אבטחה מסוג reflected input, שהתוקפים יכולים לנצל.
תכנון לקוי של מנוע החיפוש
מעבר למניפולציה הפסיכולוגית על המשתמשים, מדובר כאן גם בכשל תשתיתי מובהק שמחייב את תשומת הלב של צוותי ה-IT. מנגנון החיפוש באתר של נטפליקס, כמו באתרים רבים אחרים, פשוט מציג כל מה שהוזן בפרמטר החיפוש בלי לנקות או לוודא את התוכן. התוצאה היא פרצת אבטחה מוכרת שמאפשרת לתוקפים "להזריק" מידע לתוך הדף האמיתי, מבלי לפרוץ אליו בפועל. במקרה הזה מספר טלפון מזויף, שמוביל את המשתמש ישירות לקו של הנוכלים.
אם גם באתר שלכם יש שדה חיפוש, או קישורים פנימיים שמתבססים על פרמטרים כמו ?search= שמוצגים חזרה למשתמש, שווה לעצור לרגע ולבדוק אם מישהו יכול לגרום לדף שלכם להציג מידע מזויף – גם בלי לפרוץ אותו. סינון קלט (Input Sanitization), תגיות noindex לכתובות עם פרמטרים, ומעקב אחרי פרסום ממומן שמפנה אליכם – אלה לא דברים מסובכים, אבל הם יכולים לחסוך לכם את הנזק הבא.
העוקץ עובד כאשר הקורבן אינו תוהה מדוע מופיע מספר טלפון בתוך שורת החיפוש, מחייג אליו ומתחיל לדבר עם הנוכל בצד השני של הקו. משם, התוקף מנסה לשכנע את הקורבן למסור פרטים אישיים או גישה למחשב מרחוק. לאחר מכן, הוא מנקה את החשבונות המקוונים של הקורבן, או מחפש קבצים וסיסמאות נוספים על המחשב ואז עובר הלאה לקורבן הבא.
על פי הדיווח של The Register, טרם הובהר כמה אנשים נפלו קורבן לעוקץ המתוחכם ובמקביל, החברות המעורבות אפל, בנק אוף אמריקה, פייסבוק, HP, מיקרוסופט, נטפליקס ופייפאל לא מסרו תגובה בעניין.
