משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר -1- TLP: White 08יולי 2015 כ"א תמוז תשע"ה סימוכין :י-ס133 - הנדון :התרעה על הודעת דיוג המתחזה לחברת Paypal הודעה דו"ח זה מתפרסם "כמות שהוא" למטרות אינפורמטיביות בלבד .המרכז להתמודדות עם איומי סייבר ,CERT-ILאינו מספק כל אחריות שהיא ביחס למידע הכלול במסמך זה .המרכז להתמודדות עם איומי סייבר ,CERT-ILאינו ממליץ על כל מוצר מסחרי או שירות ,במסמך זה או אחר .מסמך זה מופץ כ :TLP לבן .מקבלי מידע TLPלבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי אינטרנט ,רשתות חברתיות ואמצעי תקשורת המונים .כל זאת בכפוף לזכויות יוצרים. תיאור באחרונה התקבלו ב CERT -הלאומי מספר דיווחים על הודעות דוא"ל המתחזות בצורה משכנעת מאוד לחברת הסליקה המקוונת .Paypalהודעות דיוג אלו משמשות את התוקפים מול מטרות ישראליות ועושות שימוש בעברית ,הן בהודעה הנשלחת לקורבן והן באתר הדיוג עצמו .הדמיון הוויזואלי לאתר Paypalוכן השימוש בעברית משרים רמת אמינות גבוהה יחסית לניסיון השיטוי. מסמך זה מופץ כ :TLPלבן .מקבלי מידע TLPלבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי אינטרנט ,רשתות חברתיות ואמצעי תקשורת המונים .כל זאת בכפוף לזכויות יוצרים. מסמך זה מופץ כ :TLPלבן .מקבלי מידע TLPלבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי אינטרנט ,רשתות חברתיות ואמצעי תקשורת המונים .כל זאת בכפוף לזכויות יוצרים. משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר -2- Indicators Of Compromise )IOC( מזהים .מאפיינים שנצפו ברשת או במערכת ההפעלה שעשויים להעיד על חדירה או פגיעה במערכות מחשב : שנצפו בתקיפות נוספותC&C-להלן החתימות הידועות ושרתי ה יתכן, או עקב שינוי בשמות הקבצים, (יתכן וחתימות מסוימות לא יופיעו כלל עקב אי הפעלת שלב מסוים ) משתנות ואינן הכתובות שנצפו בתקיפות שהתגלוC&C - של שרתי הIP אף כי גם כתובות ה :כתובות דוא"ל זדוניות [email protected] [email protected] : IP כתובות 109.206.188.81 94.231.103.66 :)Domain( שם מתחם ebay-network.eu :URL כתובות hxxp://www.namebasedir.com/il7/uniquesig0ac001d3-81b64ca6-9f86-29d69d84eb71 hxxp://www.inter-safe.info/he/red=GUID-DA60459B-378F4A27-BD1F-6290ACA7083D/id=58641646 hxxps://www.detaxnet.com/il3RVLDKGI6B0AXCoID4BwLxDNEJWvrw g5xne6v3dc74jzAFQjCNHnJX0dN510Ve6JJlWkiRBdSYQPWAbvm91bgfl 34z2kqxs8_2try&Utvecklare&sessions=skase&euroserv/ver&ses =VplMs6zUGmU42y8UJ5onwAFQjCNFhFLsuMcCVf2ETquqJltpVq148783 79/requetil.php hxxp://www.restoracc.com/he/uniquesig0ac001d329d69d84eb70 /index.html?country=il&id=l48m9heqsnc6g1xmclDX96513237/3v zqfTk425MMTQzMzk4OTI5OA==/anp9ceMLZU1 לבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתריTLP מקבלי מידע. לבן:TLP מסמך זה מופץ כ . כל זאת בכפוף לזכויות יוצרים. רשתות חברתיות ואמצעי תקשורת המונים,אינטרנט משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר -3- פרטי תעודת האבטחה של אתר הדיוג מספר סידורי: 2F:4A:53:D4:38:36:2D:32:A5:CB:33:A0:75:EE:F0:81 מזהה :SHA-256 5E:76:83:E8:28:0E:5B:2E:98:3D:72:46:ED:C3:5D:26:FA:59:86: DF:30:3E:BD:30:05:44:64:CF:6E:42:05:A5 מזהה :SHA-1 12:3A:DD:4F:0B:84:EB:EE:DB:E6:62:80:F0:F9:F8:ED:ED:B7:C3: FC לאחר הגישה לאתר ,נשתלת במחשב הקורבן עוגיה בשם בשם " "s_sessהשייכת לשם המתחם .paypal.com תוכן העוגייה הנשתלת: %20s_ppv%3D67%3B%20s_cc%3Dtrue%3B%20v31%3Dmain%253Amktg%2 53A%253A%253Apage-notfound%3B%20c_m%3DOther%2520Natural%2520Referrersundefined www.inter-safe.info%3B%20s_sq%3D% מסמך זה מופץ כ :TLPלבן .מקבלי מידע TLPלבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי אינטרנט ,רשתות חברתיות ואמצעי תקשורת המונים .כל זאת בכפוף לזכויות יוצרים. משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר -4- במידה שבבדיקתכם התגלה ממצא כלשהו נבקש לקבל היזון חוזר. לכל מידע נוסף ניתן לפנות אל ה CERT -הלאומי באמצעות פרטי ההתקשרות המפורטים בסוף המסמך. הערה חשובה :שיתוף מידע עם ה CERT-IL -איננו מחליף את חובת הדיווח לגוף מנחה כל שהוא, במידה והתגלה צורך כזה. המלצות להפחתת סיכונים המרכז להתמודדות עם איומי סייבר CERT-ILרוצה להזכיר למשתמשים ולמנהלים מספר דגשים ממומלצים כדי לחזק את מצב האבטחה שלהם במערכות הארגון: לשמור על מנועי מערכות האנטי-וירוס והחתימות מעודכנות תמיד. להגביל את יכולתם של המשתמשים (הרשאות) להתקין ולהפעיל יישומי תוכנות לא רצויים. לאכוף מדיניות סיסמא חזקה וליישם שינויי סיסמא תקופתיים. לנהוג במשנה זהירות בעת פתיחת קבצים מצורפים לדואר אלקטרוני ,גם אם הקובץ המצורף היה צפוי והשולח נראה מוכר. לשמור על מערכות ההפעלה מעודכנות וליישם מידית כל טלאי אבטחה שמופץ. להסיר תוכנות ישנות ולא נחוצות ,ולדאוג לעדכון גרסאות של האחרות ויישום טלאי האבטחה. להפעיל חומת אש אישית בתחנות העבודה. לנטרל שירותים מיותרים בתחנות עבודה ובשרתים. לסרוק ולהסיר קבצים חשודים המצורפים לדואר אלקטרוני; להבטיח כי הקובץ המצורף שנסרק הוא "סוג הקובץ האמיתי" (כלומר הסיומת מתאימה לכותרת קובץ) ולחסום קבצים עם סיומות הרצה. לבצע ניטור להרגלי הגלישה באינטרנט של משתמשים; להגביל את הגישה לאתרים עם תוכן שלילי. לנהוג במשנה זהירות בעת השימוש באמצעי אחסון נשלפים ( ,USBכוננים חיצוניים ,תקליטורים, וכו'). לסרוק כל תוכנה שמורדת מהאינטרנט לפני התקנתה. לשמור על מודעות מצבית של האיומים האחרונים ,וליישם רשימות בקרת גישה מתאימות. לרשימת בקרות מומלצות להפחתת חדירות סייבר לארגונים ראו באתר ה CERT -בקישורים הבאים: https://cert.gov.il/Resources/best_practices/SiteAssets/Cert-Il%20Best%20Practices%20short%20booklet%20.pdf https://cert.gov.il/Resources/best_practices/SiteAssets/CERT-IL%20Best%20Practices%20Full%20Booklet.pdf מסמך זה מופץ כ :TLPלבן .מקבלי מידע TLPלבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי אינטרנט ,רשתות חברתיות ואמצעי תקשורת המונים .כל זאת בכפוף לזכויות יוצרים. משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר -5- שאלות ותשובות האם אני יכול להפיץ מסמך זה לאנשים אחרים? מסמך זה מופץ כ TLP -ירוק .מקבלי מידע ב TLP -ירוק יכולים לשתף את המידע עם עמיתים ,שותפים ,ארגונים במגזר או בקהילה שלהם ,אך לא דרך ערוצים נגישים לציבור .לגבי פניות הפצה ספציפיות אנא צור קשר עם עמנו קשר. האם אני יכול לערוך את המסמך הזה? מסמך זה לא ניתן לעריכה בכל דרך שהיא על ידי שום גורם מלבד .CERT-ILכל ההערות או השאלות הנוגעות למסמך יש להפנות למרכז להתמודדות עם איומי סייבר בטלפון 03-7450801או באמצעות הדואר האלקטרוני בכתובת [email protected] האם אני יכול להעביר לחקירה תוכנות זדוניות ל CERT-IL ?CERT-IL -מעודד אותך לדווח על כל פעילות חשודה ,כולל תקריות אבטחה מקוונות ,קוד זדוני אפשרי ,נקודות תורפה והונאות הקשורות לגניבה זהות. ניתן לדווח בטלפון ,03-7450801באמצעות הדואר האלקטרוני בכתובת [email protected]או באמצעות דף צור קשר באתר https://cert.gov.il/ContactUs/Pages/ContactUs.aspx פרטי התקשרות טל03-7450801 : דוא"ל [email protected] : אתר www.cert.gov.il : מסמך זה מופץ כ :TLPלבן .מקבלי מידע TLPלבן יכולים לשתף מידע המסווג "לבן" ללא הגבלה ובערוצים פומביים דוגמת אתרי אינטרנט ,רשתות חברתיות ואמצעי תקשורת המונים .כל זאת בכפוף לזכויות יוצרים.
© Copyright 2024