עובדים מחפשים את מערכת השכר בגוגל ומגיעים לקמפיין פישינג

תמונה: dreamstime

אם גם אתם, כמונו, לא שמרתם את הלינק למערכת השכר ביום הראשון לעבודה, זה הזמן לשמור את הלינק במקום לחזור ולחפש אותו בגוגל, כי קמפיין פישינג חדש, שנחשף על ידי חברת הסייבר ReliaQuest, לא חיכה שתקליקו על מייל חשוד. הוא פשוט המתין לכם בראש תוצאות החיפוש.

הקמפיין מבוסס על טכניקת SEO poisoning: אתרים מזויפים שמתחזים לפורטל השכר של הארגון עולים לראש תוצאות החיפוש, לפעמים אפילו כקישורים ממומנים. עובד שמחפש את הפורטל בגוגל, מקליק ומוצא את עצמו בדף התחברות שנראה בדיוק כמו המקור. רק שלא מדובר בפורטל האמיתי, אלא באתר WordPress שמפנה הלאה לדף פישינג שמדמה פורטל של מיקרוסופט.

ברגע שהעובד הזין את האישורים, הם נשלחו ישירות לשרת בשליטת התוקף. במקביל, נפתחה תקשורת WebSocket שמעדכנת את התוקף בזמן אמת. כך הוא יכול היה להשתמש בסיסמה מיד לפני שהקורבן הספיק להבין שמשהו בכלל קרה.

ומה קרה אחר כך? פשוט מאוד: התוקפים נכנסו למערכת השכר האמיתית, שינו את פרטי ההפקדה והמשכורת החודשית הופנתה לחשבון בנק אחר לגמרי. תארו לעצמכם את תחושת הבטן כשרואים שהכסף הלך למישהו אחר ושאין שום עדות שזו לא הייתה יוזמה שלכם.

המכשיר חכם, אבל לא מאובטח

ReliaQuest מדווחת שהקמפיין התמקד במכשירי מובייל לא במקרה. הסמארטפונים של העובדים הם לרוב נקודת התורפה: הם לא מריצים מערכות הגנה ארגוניות, לא מחוברים לרשת הפנימית, ובדרך כלל גם לא מתועדים בלוגים. כלומר, התוקף נהנה גם מהיעדר הגנה וגם מהיעדר נראות.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

"במכשירים ניידים לא מוגנים, ללא לוגים או מערכות ניטור – לא רק שקל להתחמק מזיהוי, אלא שגם קשה לחקור את מתקפת הפישינג עצמה", מציינים ב־ReliaQuest, "זה מונע מצוותי אבטחה להוסיף את האתר המזויף לרשימות IOC, מה שמקשה על הטיפול והתיקון".

התוקפים גם לא הסתפקו בזיוף אתרים: ההתחברויות המזויפות הגיעו מכתובות IP של רשתות ביתיות, דרך ראוטרים פרוצים של מותגים מוכרים כמו ASUS ו־Pakedge. מדובר בניצול פרצות, סיסמאות ברירת מחדל או קונפיגורציות גרועות בנתבים, שהפכו לשער למתקפות כוח גס, והצטרפו בהמשך לרשתות פרוקסי שמוסכרות לעברייני סייבר.

התוצאה: קמפיין פישינג שלא מרגיש כמו מתקפה אלא כמו טעות אנוש. בדיוק בגלל זה הוא מסוכן כל כך.