‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-1-‬‬ ‫‪ 23‬יוני ‪2015‬‬ ‫ו' תמוז תשע"ה‬ ‫סימוכין‪ :‬ל‪-‬ס‪129 -‬‬ ‫סקירת אירוע הונאה בסייבר כנגד מטרה ישראלית‬ ‫תיאור כללי‬ ‫במהלך החודשים דצמבר ‪ 2014‬עד חודש פברואר ‪ 2015‬התבצעה הונאת ‪ )MiTM( Man in The Middle‬על‬ ‫מטרה ישראלית‪ .‬התוקף‪ ,‬התחזה לספקים הנמצאים בקשרי מסחר עם הקורבן ובאמצעות שינוי פרטי חשבון‬ ‫הבנק הצליח להעביר לרשותו סכום כספי גבוה‪ .‬ההונאה הסתיימה במהלך חודש פברואר ‪ ,2015‬ורק אז‬ ‫נאספו ראיות חלקיות (לא התבצע ‪ )Full Memory dump‬אשר הועברו ל‪ CERT-IL-‬לטובת בחינת האירוע‪.‬‬ ‫מאפייני כלליים להונאה‬ ‫‪ ‬החלפה תכופה של חשבונות הבנק של הספקים‬ ‫‪ ‬כתובות מייל חשודות אשר מסתיימות ב‪ corn-‬ולא ‪com‬‬ ‫‪ ‬קבצי ה‪ PDF-‬נערכו בעורך שאינו מוכר ונפוץ‬ ‫‪ ‬בקובצי ה‪ PDF-‬נוספו ערכים במאפייני המסמך (‪ ) Document Properties‬כן פונטים שלא היו קיימים‬ ‫לפני‪ .‬ראה איורים ‪ 1‬ו‪.2-‬‬ ‫‪ ‬מיילים כפולים בתיבת הדואר הנכנס‪ .‬המייל המשוכפל בשונה מהמקורי יישא שם שולח ופונטים שונים‪.‬‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-2-‬‬ ‫איור ‪ .1‬ערכים שנוספו למסמך‬ ‫איור ‪ .2‬פונטים שנוספו למסמך‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-3-‬‬ ‫אופן ההדבקה‬ ‫לא ברור כיצד הודבק מחשבו של הקורבן או כיצד התבצעה ההתקפה הראשונית‪ .‬למרות זאת מחקירת‬ ‫הקבצים נמצא כי אלו היו נגועים בפוגען מסוג "דוניהי‪ ,)Dunihi( "1‬אשר ייתכן ושימש כבסיס לתקיפה‪.‬‬ ‫פוגען זה מופץ לרוב באמצעות מתקפות דיוג או על ידי הדבקה באמצעות שינוע התקני אחסון ניידים‪.‬‬ ‫אל הקורבן נשלח דואר אלקטרוני ובו קובץ דבוקה ‪ RAR‬בשם "‪ ,"Quotations‬המוכר כשיטת הדבקה של‬ ‫הפוגען ‪.Dunihi‬‬ ‫אופן הפעולה‬ ‫פעולת ההונאה התבצעה בפשטות וכללה החלפה של מידע ב‪ Header-‬של תכתובות הדואר האלקטרוני‪.‬‬ ‫התוקפים יצרו למעשה שלוש תיבות מייל חדשות‪:‬‬ ‫‪[email protected] .1‬‬ ‫‪[email protected] .2‬‬ ‫‪[email protected] .3‬‬ ‫בהן השתמשו ליירוט תכתובת המיילים בין הקורבן לספקים על ידי עריכת שם השולח והפניית המייל‬ ‫באמצעות אפשרות "‪ "Reply-To‬ב ‪ Header‬ההודעה‪.‬‬ ‫התוקף לא השתמש בכתובות זהות לכתובות המקוריות אלא בשמות דומיין דומים או בסיומת ‪corn‬‬ ‫(‪ )CORN‬להטעיה‪ ,‬במקום ‪( com‬לדוגמא – ‪.)[email protected]‬‬ ‫התוקף עשה שימוש בכלי עריכת ‪ PDF‬בשם ‪ RadPDF‬אשר זמין חינם ברשת‪ .‬באמצעותו ערך את קבצי ה‪-‬‬ ‫‪ PDF‬אשר נשלחו ע"י הספקים המקוריים ושינה את פרטי חשבונות הבנק שלהם בפרטי חשבונות מזויפים‬ ‫אותם הכין מבעוד מועד‪.‬‬ ‫מאפיינים להונאה‬ ‫‪ .1‬בקבצים בהם התוקף הוסיף טקסט לקובץ המקורי ניתן להבחין כי בהונאה זאת‪ ,‬נעשה שימוש בפונט‬ ‫שונה )‪ (Arial‬שהתווסף לרשימת הפונטים‪.‬‬ ‫‪ .2‬חתימת הזמן במאפייני הקובץ הערוך מקדימה בזמנה את חתימת הזמן שנוצרה בעת יצירת הקובץ‪.‬‬ ‫‪ .3‬לקבצים הערוכים מתווסף מאפיין ייחודי בשם – ‪.RadPdfCustomData‬‬ ‫‪ 1‬למידע נוסף על הפוגען ראו ‪https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by- -‬‬ ‫‪houdini.html‬‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-4-‬‬ ‫‪ .4‬הקבצים נוצרו באמצעות תוכנת ‪ RadPDF‬ולא באמצעות ‪ Foxit PDF Creator‬אשר שמשה ליצירתם על‬ ‫ידי הספקים האמיתיים‪.‬‬ ‫‪ .5‬המיילים ששימשו להונאה הופיעו עם התג "‪ "X-Sender‬אשר בו הופיעה כתובת הדואר‬ ‫‪ ,[email protected]‬כתובת זו מקורה במאוריטניה והדומיין משמש מפעל מתכת מקומי‪.‬‬ ‫עם זאת לא ניתן להוכיח באופן חד משמעי כי כתובת זו קשורה לתוקף כיוון שזיוף התגים ב‪ Header-‬הינו‬ ‫פשוט ואינו כרוך בידע טכני מעמיק‪.‬‬ ‫‪ .6‬החברה מספקת שירותי אירוח ומייל ומפעילה פלטפורמת ‪ WebMail‬בשם ‪.Workspace Webmail‬‬ ‫‪ .7‬מרבית ההודעות אשר נשלחו לקורבן נוצרו במערכת הזאת וניתן לראות כי הן כולן גם חולקות את אותו‬ ‫מזהה ייחודי תחת התג ‪fcc758331a7d21ec22b781a67e6d9093 :Message-id‬‬ ‫‪ .8‬נמצא כי מיילים נוספים נשלחו מכתובות ה‪ IP-‬הבאות (‪:)X-Originating-IP‬‬ ‫‪178.175.138.144‬‬ ‫מולדובה‬ ‫‪41.206.11.76‬‬ ‫ניגריה‬ ‫‪41.220.69.202‬‬ ‫ניגריה‬ ‫‪41.220.68.53‬‬ ‫ניגריה‬ ‫‪41.206.12.49‬‬ ‫ניגריה‬ ‫‪41.58.223.230‬‬ ‫ניגריה‬ ‫‪41.58.82.91‬‬ ‫ניגריה‬ ‫‪41.58.213.169‬‬ ‫ניגריה‬ ‫טיפים להימנעות מהונאות דואר אלקטרוני‬ ‫‪ .1‬יש לבחון היטב את כתובת השולח ולא רק את שמו‪ .‬מייל הונאה יישא לרוב כתובת מתחזה המכילה שינוי‬ ‫שעשוי לא להיראות במבט ראשון‪ .‬מהכתובת המקורית של האדם אתו אתם חושבים שאתם מתכתבים‪.‬‬ ‫‪ .2‬בקבלת קובץ ‪ PDF‬במייל‪ ,‬מומלץ לבחון את מאפייני הקובץ לזיהוי שינויים בקובץ‪( .‬תפריט קובץ >‬ ‫מאפיינים)‪.‬‬ ‫ניתן לוודא את הפרטים‪:‬‬ ‫‪ ‬שם היוצר‬ ‫‪ ‬שם התוכנה שיצרה את הקובץ‬ ‫‪ ‬תאריך יצירה ושינוי הקובץ (לרוב תאריכים אלו יהיו זהים‪ ,‬במידה ואינם‪ ,‬יש לבדוק מדוע)‬ ‫‪ .3‬יש לשים לב בקבלת מיילים כפולים ללא הסבר‪ .‬פעמים רבות במהלך הונאה יישלחו מיילים כפולים‪.‬‬ ‫מקרה כזה צריך להדליק מידית נורה אדומה בראשכם‪.‬‬ ‫‪ .4‬לאימות והסרת חשש ניתן לבדוק גם את ה‪ Header-‬של הודעות המייל אשר יספק מידע נוסף על השולח‪.‬‬ ‫לבדיקת ה‪ Header-‬של המייל בתוכנת ה‪ ,Outlook-‬להקיש על החץ הקטן בפינתו התחתונה של חלונית‬ ‫התגיות (‪ )Tags‬בסרגל תפריט ההודעה‪ .‬ראה איור‪.3‬‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬ ‫משרד ראש הממשלה‬ ‫המרכז הלאומי להתמודדות עם איומי סייבר‬ ‫‪Prime Minister's Office‬‬ ‫‪National Cyber Event Readiness Team‬‬ ‫‪ :TLP‬לבן‬ ‫‪-5-‬‬ ‫איור ‪ .3‬הרחבת תפריט תגיות בגוף ההודעה‬ ‫המידע יופיע בתחתית החלון תחת "כותרות אינטרנט" (‪.)Internet headers‬‬ ‫כותרות אלו תכלנה מידע נוסף על השולח‪ ,‬כמו המסלול אותו עבר המייל‪" ,‬הפניות" למיניהן ועוד‪.‬‬ ‫ראה איור ‪.4‬‬ ‫איור ‪ .4‬כותרות אינטרנט‬ ‫המלצות נוספות ניתן לקרוא במסמכי ה‪:CERT‬‬ ‫התגוננות ממיילים זדוניים‬ ‫מהי התקפת הנדסה חברתית?‬ ‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬ ‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬ ‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬