להורדת המסמך בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר

‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪-1-‬‬
‫‪TLP: White‬‬
‫‪ 08‬יולי ‪2015‬‬
‫כ"א תמוז תשע"ה‬
‫סימוכין‪ :‬י‪-‬ס‪133 -‬‬
‫הנדון‪ :‬התרעה על הודעת דיוג המתחזה לחברת ‪Paypal‬‬
‫הודעה‬
‫דו"ח זה מתפרסם "כמות שהוא" למטרות אינפורמטיביות בלבד‪ .‬המרכז להתמודדות עם איומי סייבר‬
‫‪ ,CERT-IL‬אינו מספק כל אחריות שהיא ביחס למידע הכלול במסמך זה‪ .‬המרכז להתמודדות עם איומי‬
‫סייבר ‪ ,CERT-IL‬אינו ממליץ על כל מוצר מסחרי או שירות‪ ,‬במסמך זה או אחר‪ .‬מסמך זה מופץ כ ‪:TLP‬‬
‫לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬
‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬
‫תיאור‬
‫באחרונה התקבלו ב‪ CERT -‬הלאומי מספר דיווחים על הודעות דוא"ל המתחזות בצורה משכנעת מאוד‬
‫לחברת הסליקה המקוונת ‪ .Paypal‬הודעות דיוג אלו משמשות את התוקפים מול מטרות ישראליות ועושות‬
‫שימוש בעברית‪ ,‬הן בהודעה הנשלחת לקורבן והן באתר הדיוג עצמו‪ .‬הדמיון הוויזואלי לאתר ‪ Paypal‬וכן‬
‫השימוש בעברית משרים רמת אמינות גבוהה יחסית לניסיון השיטוי‪.‬‬
‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים‬
‫פומביים דוגמת אתרי אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬
‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬
‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
-2-
Indicators Of Compromise )IOC( ‫מזהים‬
.‫מאפיינים שנצפו ברשת או במערכת ההפעלה שעשויים להעיד על חדירה או פגיעה במערכות מחשב‬
:‫ שנצפו בתקיפות נוספות‬C&C-‫להלן החתימות הידועות ושרתי ה‬
‫ יתכן‬,‫ או עקב שינוי בשמות הקבצים‬, ‫(יתכן וחתימות מסוימות לא יופיעו כלל עקב אי הפעלת שלב מסוים‬
)‫ משתנות ואינן הכתובות שנצפו בתקיפות שהתגלו‬C&C -‫ של שרתי ה‬IP ‫אף כי גם כתובות ה‬
:‫כתובות דוא"ל זדוניות‬

[email protected][email protected]
: IP ‫כתובות‬

109.206.188.81

94.231.103.66
:)Domain( ‫שם מתחם‬

ebay-network.eu
:URL ‫כתובות‬

hxxp://www.namebasedir.com/il7/uniquesig0ac001d3-81b64ca6-9f86-29d69d84eb71

hxxp://www.inter-safe.info/he/red=GUID-DA60459B-378F4A27-BD1F-6290ACA7083D/id=58641646

hxxps://www.detaxnet.com/il3RVLDKGI6B0AXCoID4BwLxDNEJWvrw
g5xne6v3dc74jzAFQjCNHnJX0dN510Ve6JJlWkiRBdSYQPWAbvm91bgfl
34z2kqxs8_2try&Utvecklare&sessions=skase&euroserv/ver&ses
=VplMs6zUGmU42y8UJ5onwAFQjCNFhFLsuMcCVf2ETquqJltpVq148783
79/requetil.php

hxxp://www.restoracc.com/he/uniquesig0ac001d329d69d84eb70
/index.html?country=il&id=l48m9heqsnc6g1xmclDX96513237/3v
zqfTk425MMTQzMzk4OTI5OA==/anp9ceMLZU1
‫ לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬TLP ‫ מקבלי מידע‬.‫ לבן‬:TLP ‫מסמך זה מופץ כ‬
.‫ כל זאת בכפוף לזכויות יוצרים‬.‫ רשתות חברתיות ואמצעי תקשורת המונים‬,‫אינטרנט‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪-3-‬‬
‫פרטי תעודת האבטחה של אתר הדיוג‬
‫מספר סידורי‪:‬‬
‫‪2F:4A:53:D4:38:36:2D:32:A5:CB:33:A0:75:EE:F0:81‬‬
‫‪‬‬
‫מזהה ‪:SHA-256‬‬
‫‪5E:76:83:E8:28:0E:5B:2E:98:3D:72:46:ED:C3:5D:26:FA:59:86:‬‬
‫‪‬‬
‫‪DF:30:3E:BD:30:05:44:64:CF:6E:42:05:A5‬‬
‫מזהה ‪:SHA-1‬‬
‫‪12:3A:DD:4F:0B:84:EB:EE:DB:E6:62:80:F0:F9:F8:ED:ED:B7:C3:‬‬
‫‪‬‬
‫‪FC‬‬
‫לאחר הגישה לאתר‪ ,‬נשתלת במחשב הקורבן עוגיה בשם בשם "‪ "s_sess‬השייכת לשם המתחם‬
‫‪.paypal.com‬‬
‫תוכן העוגייה הנשתלת‪:‬‬
‫‪%20s_ppv%3D67%3B%20s_cc%3Dtrue%3B%20v31%3Dmain%253Amktg%2‬‬
‫‪‬‬
‫‪53A%253A%253Apage-not‬‬‫‪found%3B%20c_m%3DOther%2520Natural%2520Referrersundefined‬‬
‫‪www.inter-safe.info%3B%20s_sq%3D%‬‬
‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬
‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪-4-‬‬
‫במידה שבבדיקתכם התגלה ממצא כלשהו נבקש לקבל היזון חוזר‪.‬‬
‫לכל מידע נוסף ניתן לפנות אל ה‪ CERT -‬הלאומי באמצעות פרטי ההתקשרות המפורטים בסוף המסמך‪.‬‬
‫הערה חשובה ‪ :‬שיתוף מידע עם ה‪ CERT-IL -‬איננו מחליף את חובת הדיווח לגוף מנחה כל שהוא‪,‬‬
‫במידה והתגלה צורך כזה‪.‬‬
‫המלצות להפחתת סיכונים‬
‫המרכז להתמודדות עם איומי סייבר ‪ CERT-IL‬רוצה להזכיר למשתמשים ולמנהלים מספר דגשים‬
‫ממומלצים כדי לחזק את מצב האבטחה שלהם במערכות הארגון‪:‬‬
‫‪‬‬
‫לשמור על מנועי מערכות האנטי‪-‬וירוס והחתימות מעודכנות תמיד‪.‬‬
‫‪‬‬
‫להגביל את יכולתם של המשתמשים (הרשאות) להתקין ולהפעיל יישומי תוכנות לא רצויים‪.‬‬
‫‪‬‬
‫לאכוף מדיניות סיסמא חזקה וליישם שינויי סיסמא תקופתיים‪.‬‬
‫‪‬‬
‫לנהוג במשנה זהירות בעת פתיחת קבצים מצורפים לדואר אלקטרוני‪ ,‬גם אם הקובץ המצורף היה‬
‫צפוי והשולח נראה מוכר‪.‬‬
‫‪‬‬
‫לשמור על מערכות ההפעלה מעודכנות וליישם מידית כל טלאי אבטחה שמופץ‪.‬‬
‫‪‬‬
‫להסיר תוכנות ישנות ולא נחוצות‪ ,‬ולדאוג לעדכון גרסאות של האחרות ויישום טלאי האבטחה‪.‬‬
‫‪‬‬
‫להפעיל חומת אש אישית בתחנות העבודה‪.‬‬
‫‪‬‬
‫לנטרל שירותים מיותרים בתחנות עבודה ובשרתים‪.‬‬
‫‪‬‬
‫לסרוק ולהסיר קבצים חשודים המצורפים לדואר אלקטרוני; להבטיח כי הקובץ המצורף שנסרק‬
‫הוא "סוג הקובץ האמיתי" (כלומר הסיומת מתאימה לכותרת קובץ) ולחסום קבצים עם סיומות‬
‫הרצה‪.‬‬
‫‪‬‬
‫לבצע ניטור להרגלי הגלישה באינטרנט של משתמשים; להגביל את הגישה לאתרים עם תוכן שלילי‪.‬‬
‫‪‬‬
‫לנהוג במשנה זהירות בעת השימוש באמצעי אחסון נשלפים (‪ ,USB‬כוננים חיצוניים‪ ,‬תקליטורים‪,‬‬
‫וכו')‪.‬‬
‫‪‬‬
‫לסרוק כל תוכנה שמורדת מהאינטרנט לפני התקנתה‪.‬‬
‫‪‬‬
‫לשמור על מודעות מצבית של האיומים האחרונים‪ ,‬וליישם רשימות בקרת גישה מתאימות‪.‬‬
‫לרשימת בקרות מומלצות להפחתת חדירות סייבר לארגונים ראו באתר ה‪ CERT -‬בקישורים הבאים‪:‬‬
‫‪https://cert.gov.il/Resources/best_practices/SiteAssets/Cert-Il%20Best%20Practices%20short%20booklet%20.pdf‬‬
‫‪https://cert.gov.il/Resources/best_practices/SiteAssets/CERT-IL%20Best%20Practices%20Full%20Booklet.pdf‬‬
‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬
‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪-5-‬‬
‫שאלות ותשובות‬
‫האם אני יכול להפיץ מסמך זה לאנשים אחרים? מסמך זה מופץ כ‪ TLP -‬ירוק‪ .‬מקבלי מידע ב‪ TLP -‬ירוק‬
‫יכולים לשתף את המידע עם עמיתים‪ ,‬שותפים‪ ,‬ארגונים במגזר או בקהילה שלהם‪ ,‬אך לא דרך ערוצים‬
‫נגישים לציבור‪ .‬לגבי פניות הפצה ספציפיות אנא צור קשר עם עמנו קשר‪.‬‬
‫האם אני יכול לערוך את המסמך הזה? מסמך זה לא ניתן לעריכה בכל דרך שהיא על ידי שום גורם מלבד‬
‫‪ .CERT-IL‬כל ההערות או השאלות הנוגעות למסמך יש להפנות למרכז להתמודדות עם איומי סייבר בטלפון‬
‫‪ 03-7450801‬או באמצעות הדואר האלקטרוני בכתובת ‪[email protected]‬‬
‫האם אני יכול להעביר לחקירה תוכנות זדוניות ל‪ CERT-IL ?CERT-IL -‬מעודד אותך לדווח על כל פעילות‬
‫חשודה‪ ,‬כולל תקריות אבטחה מקוונות‪ ,‬קוד זדוני אפשרי‪ ,‬נקודות תורפה והונאות הקשורות לגניבה זהות‪.‬‬
‫ניתן לדווח בטלפון ‪ ,03-7450801‬באמצעות הדואר האלקטרוני בכתובת ‪ [email protected]‬או באמצעות דף‬
‫צור קשר באתר ‪https://cert.gov.il/ContactUs/Pages/ContactUs.aspx‬‬
‫פרטי התקשרות‬
‫טל‪03-7450801 :‬‬
‫דוא"ל ‪[email protected] :‬‬
‫אתר ‪www.cert.gov.il :‬‬
‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬
‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬