‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪-1-‬‬ ‫‪TLP: White‬‬ ‫‪ 08‬יולי ‪2015‬‬ ‫כ"א תמוז תשע"ה‬ ‫סימוכין‪ :‬י‪-‬ס‪133 -‬‬ ‫הנדון‪ :‬התרעה על הודעת דיוג המתחזה לחברת ‪Paypal‬‬ ‫הודעה‬ ‫דו"ח זה מתפרסם "כמות שהוא" למטרות אינפורמטיביות בלבד‪ .‬המרכז להתמודדות עם איומי סייבר‬ ‫‪ ,CERT-IL‬אינו מספק כל אחריות שהיא ביחס למידע הכלול במסמך זה‪ .‬המרכז להתמודדות עם איומי‬ ‫סייבר ‪ ,CERT-IL‬אינו ממליץ על כל מוצר מסחרי או שירות‪ ,‬במסמך זה או אחר‪ .‬מסמך זה מופץ כ ‪:TLP‬‬ ‫לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬ ‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬ ‫תיאור‬ ‫באחרונה התקבלו ב‪ CERT -‬הלאומי מספר דיווחים על הודעות דוא"ל המתחזות בצורה משכנעת מאוד‬ ‫לחברת הסליקה המקוונת ‪ .Paypal‬הודעות דיוג אלו משמשות את התוקפים מול מטרות ישראליות ועושות‬ ‫שימוש בעברית‪ ,‬הן בהודעה הנשלחת לקורבן והן באתר הדיוג עצמו‪ .‬הדמיון הוויזואלי לאתר ‪ Paypal‬וכן‬ ‫השימוש בעברית משרים רמת אמינות גבוהה יחסית לניסיון השיטוי‪.‬‬ ‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים‬ ‫פומביים דוגמת אתרי אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬ ‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬ ‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ -2- Indicators Of Compromise )IOC( ‫מזהים‬ .‫מאפיינים שנצפו ברשת או במערכת ההפעלה שעשויים להעיד על חדירה או פגיעה במערכות מחשב‬ :‫ שנצפו בתקיפות נוספות‬C&C-‫להלן החתימות הידועות ושרתי ה‬ ‫ יתכן‬,‫ או עקב שינוי בשמות הקבצים‬, ‫(יתכן וחתימות מסוימות לא יופיעו כלל עקב אי הפעלת שלב מסוים‬ )‫ משתנות ואינן הכתובות שנצפו בתקיפות שהתגלו‬C&C -‫ של שרתי ה‬IP ‫אף כי גם כתובות ה‬ :‫כתובות דוא"ל זדוניות‬  [email protected]  [email protected] : IP ‫כתובות‬  109.206.188.81  94.231.103.66 :)Domain( ‫שם מתחם‬  ebay-network.eu :URL ‫כתובות‬  hxxp://www.namebasedir.com/il7/uniquesig0ac001d3-81b64ca6-9f86-29d69d84eb71  hxxp://www.inter-safe.info/he/red=GUID-DA60459B-378F4A27-BD1F-6290ACA7083D/id=58641646  hxxps://www.detaxnet.com/il3RVLDKGI6B0AXCoID4BwLxDNEJWvrw g5xne6v3dc74jzAFQjCNHnJX0dN510Ve6JJlWkiRBdSYQPWAbvm91bgfl 34z2kqxs8_2try&Utvecklare&sessions=skase&euroserv/ver&ses =VplMs6zUGmU42y8UJ5onwAFQjCNFhFLsuMcCVf2ETquqJltpVq148783 79/requetil.php  hxxp://www.restoracc.com/he/uniquesig0ac001d329d69d84eb70 /index.html?country=il&id=l48m9heqsnc6g1xmclDX96513237/3v zqfTk425MMTQzMzk4OTI5OA==/anp9ceMLZU1 ‫ לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬TLP ‫ מקבלי מידע‬.‫ לבן‬:TLP ‫מסמך זה מופץ כ‬ .‫ כל זאת בכפוף לזכויות יוצרים‬.‫ רשתות חברתיות ואמצעי תקשורת המונים‬,‫אינטרנט‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪-3-‬‬ ‫פרטי תעודת האבטחה של אתר הדיוג‬ ‫מספר סידורי‪:‬‬ ‫‪2F:4A:53:D4:38:36:2D:32:A5:CB:33:A0:75:EE:F0:81‬‬ ‫‪‬‬ ‫מזהה ‪:SHA-256‬‬ ‫‪5E:76:83:E8:28:0E:5B:2E:98:3D:72:46:ED:C3:5D:26:FA:59:86:‬‬ ‫‪‬‬ ‫‪DF:30:3E:BD:30:05:44:64:CF:6E:42:05:A5‬‬ ‫מזהה ‪:SHA-1‬‬ ‫‪12:3A:DD:4F:0B:84:EB:EE:DB:E6:62:80:F0:F9:F8:ED:ED:B7:C3:‬‬ ‫‪‬‬ ‫‪FC‬‬ ‫לאחר הגישה לאתר‪ ,‬נשתלת במחשב הקורבן עוגיה בשם בשם "‪ "s_sess‬השייכת לשם המתחם‬ ‫‪.paypal.com‬‬ ‫תוכן העוגייה הנשתלת‪:‬‬ ‫‪%20s_ppv%3D67%3B%20s_cc%3Dtrue%3B%20v31%3Dmain%253Amktg%2‬‬ ‫‪‬‬ ‫‪53A%253A%253Apage-not‬‬‫‪found%3B%20c_m%3DOther%2520Natural%2520Referrersundefined‬‬ ‫‪www.inter-safe.info%3B%20s_sq%3D%‬‬ ‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬ ‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪-4-‬‬ ‫במידה שבבדיקתכם התגלה ממצא כלשהו נבקש לקבל היזון חוזר‪.‬‬ ‫לכל מידע נוסף ניתן לפנות אל ה‪ CERT -‬הלאומי באמצעות פרטי ההתקשרות המפורטים בסוף המסמך‪.‬‬ ‫הערה חשובה ‪ :‬שיתוף מידע עם ה‪ CERT-IL -‬איננו מחליף את חובת הדיווח לגוף מנחה כל שהוא‪,‬‬ ‫במידה והתגלה צורך כזה‪.‬‬ ‫המלצות להפחתת סיכונים‬ ‫המרכז להתמודדות עם איומי סייבר ‪ CERT-IL‬רוצה להזכיר למשתמשים ולמנהלים מספר דגשים‬ ‫ממומלצים כדי לחזק את מצב האבטחה שלהם במערכות הארגון‪:‬‬ ‫‪‬‬ ‫לשמור על מנועי מערכות האנטי‪-‬וירוס והחתימות מעודכנות תמיד‪.‬‬ ‫‪‬‬ ‫להגביל את יכולתם של המשתמשים (הרשאות) להתקין ולהפעיל יישומי תוכנות לא רצויים‪.‬‬ ‫‪‬‬ ‫לאכוף מדיניות סיסמא חזקה וליישם שינויי סיסמא תקופתיים‪.‬‬ ‫‪‬‬ ‫לנהוג במשנה זהירות בעת פתיחת קבצים מצורפים לדואר אלקטרוני‪ ,‬גם אם הקובץ המצורף היה‬ ‫צפוי והשולח נראה מוכר‪.‬‬ ‫‪‬‬ ‫לשמור על מערכות ההפעלה מעודכנות וליישם מידית כל טלאי אבטחה שמופץ‪.‬‬ ‫‪‬‬ ‫להסיר תוכנות ישנות ולא נחוצות‪ ,‬ולדאוג לעדכון גרסאות של האחרות ויישום טלאי האבטחה‪.‬‬ ‫‪‬‬ ‫להפעיל חומת אש אישית בתחנות העבודה‪.‬‬ ‫‪‬‬ ‫לנטרל שירותים מיותרים בתחנות עבודה ובשרתים‪.‬‬ ‫‪‬‬ ‫לסרוק ולהסיר קבצים חשודים המצורפים לדואר אלקטרוני; להבטיח כי הקובץ המצורף שנסרק‬ ‫הוא "סוג הקובץ האמיתי" (כלומר הסיומת מתאימה לכותרת קובץ) ולחסום קבצים עם סיומות‬ ‫הרצה‪.‬‬ ‫‪‬‬ ‫לבצע ניטור להרגלי הגלישה באינטרנט של משתמשים; להגביל את הגישה לאתרים עם תוכן שלילי‪.‬‬ ‫‪‬‬ ‫לנהוג במשנה זהירות בעת השימוש באמצעי אחסון נשלפים (‪ ,USB‬כוננים חיצוניים‪ ,‬תקליטורים‪,‬‬ ‫וכו')‪.‬‬ ‫‪‬‬ ‫לסרוק כל תוכנה שמורדת מהאינטרנט לפני התקנתה‪.‬‬ ‫‪‬‬ ‫לשמור על מודעות מצבית של האיומים האחרונים‪ ,‬וליישם רשימות בקרת גישה מתאימות‪.‬‬ ‫לרשימת בקרות מומלצות להפחתת חדירות סייבר לארגונים ראו באתר ה‪ CERT -‬בקישורים הבאים‪:‬‬ ‫‪https://cert.gov.il/Resources/best_practices/SiteAssets/Cert-Il%20Best%20Practices%20short%20booklet%20.pdf‬‬ ‫‪https://cert.gov.il/Resources/best_practices/SiteAssets/CERT-IL%20Best%20Practices%20Full%20Booklet.pdf‬‬ ‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬ ‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪-5-‬‬ ‫שאלות ותשובות‬ ‫האם אני יכול להפיץ מסמך זה לאנשים אחרים? מסמך זה מופץ כ‪ TLP -‬ירוק‪ .‬מקבלי מידע ב‪ TLP -‬ירוק‬ ‫יכולים לשתף את המידע עם עמיתים‪ ,‬שותפים‪ ,‬ארגונים במגזר או בקהילה שלהם‪ ,‬אך לא דרך ערוצים‬ ‫נגישים לציבור‪ .‬לגבי פניות הפצה ספציפיות אנא צור קשר עם עמנו קשר‪.‬‬ ‫האם אני יכול לערוך את המסמך הזה? מסמך זה לא ניתן לעריכה בכל דרך שהיא על ידי שום גורם מלבד‬ ‫‪ .CERT-IL‬כל ההערות או השאלות הנוגעות למסמך יש להפנות למרכז להתמודדות עם איומי סייבר בטלפון‬ ‫‪ 03-7450801‬או באמצעות הדואר האלקטרוני בכתובת ‪[email protected]‬‬ ‫האם אני יכול להעביר לחקירה תוכנות זדוניות ל‪ CERT-IL ?CERT-IL -‬מעודד אותך לדווח על כל פעילות‬ ‫חשודה‪ ,‬כולל תקריות אבטחה מקוונות‪ ,‬קוד זדוני אפשרי‪ ,‬נקודות תורפה והונאות הקשורות לגניבה זהות‪.‬‬ ‫ניתן לדווח בטלפון ‪ ,03-7450801‬באמצעות הדואר האלקטרוני בכתובת ‪ [email protected]‬או באמצעות דף‬ ‫צור קשר באתר ‪https://cert.gov.il/ContactUs/Pages/ContactUs.aspx‬‬ ‫פרטי התקשרות‬ ‫טל‪03-7450801 :‬‬ ‫דוא"ל ‪[email protected] :‬‬ ‫אתר ‪www.cert.gov.il :‬‬ ‫מסמך זה מופץ כ ‪ :TLP‬לבן‪ .‬מקבלי מידע ‪ TLP‬לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי‬ ‫אינטרנט‪ ,‬רשתות חברתיות ואמצעי תקשורת המונים‪ .‬כל זאת בכפוף לזכויות יוצרים‪.‬‬