מנהל בכיר ב-GK8 קיבל הזמנה לזום וכמעט נפל למתקפה מתוחכמת

פגישת וידאו. תמונה: Alexandra_Koch, Pixabay

בשבוע שעבר, בכיר בחברת GK8 by Galaxy, ספקית פלטפורמה לניהול והגנה של נכסים דיגיטליים עבור מוסדות פיננסיים, היה יעד לניסיון תקיפה מתוחכם במיוחד של הנדסה חברתית. התוקפים התחזו למכרה אישית שלו בטלגרם והצליחו למשוך אותו לשיחת זום מזויפת, שנראתה אמיתית לחלוטין.

"הייתי המום, זה היה מציאותי להחריד", סיפר הבכיר בשיחה עם ITtime, "אתה חושב שאתה מנוסה מדי מכדי ליפול למלכודות כאלה, אבל כשהתקיפה מתבצעת כל כך טוב, כל אחד עלול להיתפס לא מוכן". התגובה הזו ממחישה עד כמה משכנעים הפכו קמפיינים מסוג זה, ועד כמה גם אנשי מקצוע, ותיקים ומנוסים ככל שיהיו, עשויים להיכנס היישר למלכודת בנסיבות שנראות סבירות ואמינות.

המקרה, על אף שאינו נדיר וכבר סיפרנו לכם בעבר על ההונאה המתוחכמת, התרחש בטיימינג מאוד מפתיע מבחינת GK8, שפרסמה לאחרונה מחקר שעסק בדיוק בהונאה הזו. "Bespoke Cybertheft: How Threat Actors Are Targeting U.S. Crypto Firms and Executives" חשף כי קבוצות תקיפה מגייסות במכוון אנשי מקצוע מיומנים להנדסה חברתית באמצעות שיחות טלפון (Vishing), במטרה לבצע מתקפות ממוקדות ביותר על בכירים בענף הקריפטו. לא מדובר עוד במתקפות מזדמנות, אלא בקמפיינים מתוכננים לפרטי פרטים, הנתמכים במאגרי מידע מותאמים אישית ובכוח אדם ייעודי.

השילוב בין החוויה האמיתית של החברה לבין ממצאי המחקר מצביע על עידן חדש בפשיעת סייבר, עידן שבו מניפולציה אנושית היא מרכיב מרכזי לא פחות מפריצה טכנית.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

פירוט שלבי המתקפה:

הזמנה מפתיעה: בשלב הראשון, המנהל הבכיר קיבל הודעת טלגרם מאשת קשר עסקית מוכרת. החשבון נראה לגיטימי ואף הכיל את היסטוריית ההתכתבות בין השניים מלפני כשנה. ההודעה נפתחה ב"עבר הרבה זמן" והציגה סיפור אמין על שינוי מקום עבודה של אותה מכרה והזדמנות עסקית חדשה בה היא מעוניינת לדון. השיחה הועברה במהירות להזמנה ב-Calendly ולקישור זום לפגישה "שגרתית".

חדר ישיבות משונה: כבר עם כניסתו לשיחה דרך הקישור, הבחין הבכיר מיד בהבדלים קטנים מהממשק המוכר של Zoom – דגל אדום ראשון. בחדר היו כבר שלושה משתתפים עם וידאו מטושטש, כאילו המצלמות לא פעלו כראוי, ורק אחת מהן דיברה באנגלית שוטפת במבטא אמריקאי מעולה. עם זאת, כך על פי הבכיר, מספר המשתתפים לכשעצמו לא היווה עניין חריג.

"תקלה באודיו": השלב שבו ההונאה נכנסת לפעולה. תוך דקות נאמר לבכיר כי יש בעיה באודיו שלו. על המסך, האייקונים של הווידאו והאודיו הפכו אדומים והעידו על כך שייתכן וישנה תקלה. התוקפים הציעו פתרון ודחקו בו להתקין "עדכון". אותו עדכון שהיה כמובן המלכודת.

היפוך יוצרות: בניגוד לרבים שנפלו להונאה, המנהל החליט שבמקום לציית ולהתקין את "העדכון", הוא ינסה לקחת את המושכות אליו. לדבריו, הוא הציע למשתתפים בשיחה לעבור ללינק זום חדש שהוא עצמו יצר. מן הסתם שהם סירבו לו מיד. גם הצעתו לעבור ל-Google Meet נדחתה. בשלב זה כבר היה ברור: לא מדובר בלקוח אמיתי, אלא בניסיון תקיפה.

ההיעלמות: ברגע שהבינו שלא יוריד דבר, נעלמו התוקפים מהשיחה ומחקו את כל היסטוריית הצ’אט בטלגרם. פנייה ישירה לחשבון המכרה בלינקדאין אישרה את מה שכבר היה ברור – חשבון הטלגרם שלה נפרץ.

תמונה: Dreamstime

הנדסה חברתית הופכת לגלובלית

למרות שחלק מהתקיפות נקשרו לשחקנים מצפון קוריאה, צוות המחקר של GK8 זיהה שהמגמה רחבה בהרבה. בפורומים סגורים ברשת האפלה שחקנים זדוניים דנים בגלוי במתקפות מסוג זה, בשפות שונות – אנגלית, רוסית ועוד. המשמעות: כל בכיר או עובד בעל גישה לנכסים דיגיטליים עלול להפוך ליעד.

לקחים מהאירוע:

1. ווידוא פלטפורמות ומשתתפים – אם משהו מרגיש חריג, עצרו. אל תתקינו עדכונים או כל לינק שנשלח בזמן שיחה.
2. סמכו על האינסטינקטים שלכם – הצעת המעבר לפלטפורמה חלופית הייתה קריטית לחשיפת המתקפה.
3. אמנו את חומת האש האנושית שלכם – העלאת הנושא על סדר היום והדרכות קבועות וסימולציות משיחות מזויפות מפחיתות משמעותית סיכוי ליפול למלכודת.
4. אכיפת ריבוי בדיקות לפעולות קריטיות – גם אם התוקפים היו מצליחים בשלב הראשוני שתכננו, ריבוי שכבות הגנה היה מקשה עליהם לפרוץ ולגנוב נכסים דיגיטליים או השגת הרשאות גישה.
5. היזהרו מהורדות בזמן שיחות וידאו – כל קובץ לא צפוי או דרישה לביצוע פעולות בזמן אמת הם דגל אדום.

שמירה על פעולות רגישות במצב לא מקוון – בין אם מדובר בנכסים דיגיטליים או בכלי עבודה פנימיים, חשוב לצמצם את מה שנחשף במערכות פעילות. פתרונות אחסון שאינם מקוונים כלל ופתרונות חישוב רב משתתפים (MPC), מסייעים להפחית סיכונים בכך שהם מקשים מאוד על חשבון אחד שנפרץ להזיז נכסים או לגרום לפרצה חמורה.