סייברארק: תוקפים הצליחו להתחזות לחברת אשראי ישראלית וגנבו נתוני 1200 כרטיסי אשראי
צחי אוחנה, מצוות מעבדות סייברארק, מספר על קמפיין פישינג שנחשף על ידי החוקרים בחברה | ״התוקפים שהתחזו לחברת אשראי ישראלית הצליחו להשיג פרטי כרטיס אשראי מכ-1,200 קורבנות״
הגנה לישראל
| 14/03/2023
bigstock
המושג "פישינג" מלווה אותנו מזה למעלה משני עשורים, וכעת נראה שהפישינג נעשה נגיש יותר מבעבר. במעבדות סייברארק ((CyberArk Labs בחנו כיצד תוקפים יכולים להשתמש ולהפיק תועלת בקלות ממודל המינויים בתחום הפישינג, או "פישינג כשירות".
התנהלות לא מאובטחת של התוקפים המשתמשים ב'שירות' החדש אפשרה לנו לזהות את אותם תוקפי פישינג, את קבוצות הסושיאל בהן הם נמצאים, מאגרי הנתונים אותם הם מנהלים ביחד, ולמעשה, הצלחנו להפוך ל'ציידים' של תוקפי הפישינג במקום לקורבנות שלהם.
המצוד אחר התוקפים
כל התהליך התחיל ממסרון 'תמים' שנשלח לחבר בצוות החוקרים, עם הכותרת "ישראכרט". המסרון הכיל קישור שהוביל לדף חיובים שנראה משונה כבר במבט ראשון. גילינו שהתוקפים בנו 'דף ראי' על מנת לפתות את הקורבנות להזין את הפרטים הפיננסיים האישיים שלהם.
לאחר מילוי הטופס, קורבן הפישינג מופנה לאתר בשם www.aramex.com."רחרחנו" מסביב לאתר הראי כדי לבדוק האם נוכל למצוא פרטים מעניינים, ובאורח פלא הצלחנו לגשת למספר ספריות, ביניהם אחת שאפשרה לנו לסקור את התוכן שלה ולאחר עבודת "חפירה" מזורזת, הבחנו בארכיון קבצים שהכיל את חבילת הפישינג כולה.
מציאת ערכות פישינג למכירה
כמעט מיד לאחר מכן הבחנו בקובץ שהכיל מפתח גישה לבוט ברשת Telegram. באמצעות מפתח זה הצלחנו לגשת לפרטים של כל הקבוצות והמשתמשים בקמפיין הפישינג. הגישה אפשרה לבחון את התוכן בקלות, מבלי להיות חברים בקבוצה או לקבל הזמנה. המידע שהיה נגיש לקבוצה כלל מידע על קניית ערכות פישינג ועדכונים לגבי הקמפיינים הבאים ועוד.
בנוסף, בקבוצות אלו נמצאו נתוני מטא נוספים לגבי שליחת הודעות, תגובות והודעות דוא"ל של יוצרי חבילות פישינג עם כינויים שונים, אותם חיפשנו בטלגרם, ברשת האפלה ובגוגל. נמצא כי לקבוצות אלה היו כלים ומידע שיכולים להוביל להתקפות פישינג שכללו:
חשבונות דוא"ל המשמשים לשליחת קישורים זדוניים, מספרי טלפון של קורבנות פוטנציאליים, הדרכות וערכות פישינג למכירה.
יצירת מתקפת פישינג משלנו
המחקר הוכיח שיצירת התקפת פישינג היא משימה פשוטה למדי, שגם אנשים שאינם בעלי מיומנות טכנית גבוהה יכולים לבצע. לכן החלטנו ליצור קמפיין פישינג כדי להדגים זאת עם הפריטים הבאים: שרת/מכונה וירטואלית (VPS): משמש לאחסון חבילת הפישינג.
קישור מקוצר: משמש כדי להסתיר את הקישור האמיתי מהקורבנות.מספרי טלפון: מצאנו רשימה של מספרים פוטנציאליים באחת מקבוצות הטלגרם.
כדי ליצור שרת VPS, השתמשנו בשירות EC2 של Amazon שניתן למשתמשים חדשים בחינם למשך שנה אחת. בשרת השתמשנו בשירות Apache כדי להפעיל שרת אינטרנט, לאחר מכן העלינו את חבילת הפישינג מקבוצת הטלגרם לשרת שלנו. התהליך כולו לקח 10 דקות.
נתונים מדאיגים שעלו במסגרת המחקר
מידע זה מבוסס על קבוצות טלגרם וקובצי יומן ("לוגים") שנמצאו בשרת ה-VPS השייך לתוקפים: התוקפים שהתחזו לחברת אשראי ישראלית הצליחו להשיג פרטי כרטיס אשראי מכ-1,200 קורבנות.
בנוסף, התוקפים שהתחזו לבנק גלובלי השיגו מידע אישי של 450 איש, כולל פרטי אשראי, פרטי כניסה לאתר הבנק הגלובלי ומספר ביטוח לאומי.
שימוש בשירות הזרמת מדיה ראשי: נמצא מידע של 60 אנשים, כולל פרטי כרטיס אשראי, נתוני התחברות לאתר וקובצי Cookie.
רוב ההתקפות השתמשו בחבילות פישינג שנרכשו בפלטפורמות שונות, כולל טלגרם, Shopify והרשת האפלה. אין צורך בידע טכנולוגי כדי להפעיל אותם.
בשל הבעיה בפרוטוקול SMS, התוקף יכול לשלוח הודעה עם כל שם שהוא בוחר. ההזדהות בשם כוזב גורמת לקורבנות להאמין שהמסרון הוא לגיטימי.
צחי אוחנה, מצוות מעבדות סייברארק, מספר על קמפיין פישינג שנחשף על ידי החוקרים בחברה | ״התוקפים שהתחזו לחברת אשראי ישראלית הצליחו להשיג פרטי כרטיס אשראי מכ-1,200 קורבנות״
bigstock
המושג "פישינג" מלווה אותנו מזה למעלה משני עשורים, וכעת נראה שהפישינג נעשה נגיש יותר מבעבר. במעבדות סייברארק ((CyberArk Labs בחנו כיצד תוקפים יכולים להשתמש ולהפיק תועלת בקלות ממודל המינויים בתחום הפישינג, או "פישינג כשירות".
התנהלות לא מאובטחת של התוקפים המשתמשים ב'שירות' החדש אפשרה לנו לזהות את אותם תוקפי פישינג, את קבוצות הסושיאל בהן הם נמצאים, מאגרי הנתונים אותם הם מנהלים ביחד, ולמעשה, הצלחנו להפוך ל'ציידים' של תוקפי הפישינג במקום לקורבנות שלהם.
המצוד אחר התוקפים
כל התהליך התחיל ממסרון 'תמים' שנשלח לחבר בצוות החוקרים, עם הכותרת "ישראכרט". המסרון הכיל קישור שהוביל לדף חיובים שנראה משונה כבר במבט ראשון. גילינו שהתוקפים בנו 'דף ראי' על מנת לפתות את הקורבנות להזין את הפרטים הפיננסיים האישיים שלהם.
לאחר מילוי הטופס, קורבן הפישינג מופנה לאתר בשם www.aramex.com."רחרחנו" מסביב לאתר הראי כדי לבדוק האם נוכל למצוא פרטים מעניינים, ובאורח פלא הצלחנו לגשת למספר ספריות, ביניהם אחת שאפשרה לנו לסקור את התוכן שלה ולאחר עבודת "חפירה" מזורזת, הבחנו בארכיון קבצים שהכיל את חבילת הפישינג כולה.
מציאת ערכות פישינג למכירה
כמעט מיד לאחר מכן הבחנו בקובץ שהכיל מפתח גישה לבוט ברשת Telegram. באמצעות מפתח זה הצלחנו לגשת לפרטים של כל הקבוצות והמשתמשים בקמפיין הפישינג. הגישה אפשרה לבחון את התוכן בקלות, מבלי להיות חברים בקבוצה או לקבל הזמנה. המידע שהיה נגיש לקבוצה כלל מידע על קניית ערכות פישינג ועדכונים לגבי הקמפיינים הבאים ועוד.
בנוסף, בקבוצות אלו נמצאו נתוני מטא נוספים לגבי שליחת הודעות, תגובות והודעות דוא"ל של יוצרי חבילות פישינג עם כינויים שונים, אותם חיפשנו בטלגרם, ברשת האפלה ובגוגל. נמצא כי לקבוצות אלה היו כלים ומידע שיכולים להוביל להתקפות פישינג שכללו:
חשבונות דוא"ל המשמשים לשליחת קישורים זדוניים, מספרי טלפון של קורבנות פוטנציאליים, הדרכות וערכות פישינג למכירה.
יצירת מתקפת פישינג משלנו
המחקר הוכיח שיצירת התקפת פישינג היא משימה פשוטה למדי, שגם אנשים שאינם בעלי מיומנות טכנית גבוהה יכולים לבצע. לכן החלטנו ליצור קמפיין פישינג כדי להדגים זאת עם הפריטים הבאים: שרת/מכונה וירטואלית (VPS): משמש לאחסון חבילת הפישינג.
קישור מקוצר: משמש כדי להסתיר את הקישור האמיתי מהקורבנות.מספרי טלפון: מצאנו רשימה של מספרים פוטנציאליים באחת מקבוצות הטלגרם.
כדי ליצור שרת VPS, השתמשנו בשירות EC2 של Amazon שניתן למשתמשים חדשים בחינם למשך שנה אחת. בשרת השתמשנו בשירות Apache כדי להפעיל שרת אינטרנט, לאחר מכן העלינו את חבילת הפישינג מקבוצת הטלגרם לשרת שלנו. התהליך כולו לקח 10 דקות.
נתונים מדאיגים שעלו במסגרת המחקר
מידע זה מבוסס על קבוצות טלגרם וקובצי יומן ("לוגים") שנמצאו בשרת ה-VPS השייך לתוקפים: התוקפים שהתחזו לחברת אשראי ישראלית הצליחו להשיג פרטי כרטיס אשראי מכ-1,200 קורבנות.
בנוסף, התוקפים שהתחזו לבנק גלובלי השיגו מידע אישי של 450 איש, כולל פרטי אשראי, פרטי כניסה לאתר הבנק הגלובלי ומספר ביטוח לאומי.
שימוש בשירות הזרמת מדיה ראשי: נמצא מידע של 60 אנשים, כולל פרטי כרטיס אשראי, נתוני התחברות לאתר וקובצי Cookie.
רוב ההתקפות השתמשו בחבילות פישינג שנרכשו בפלטפורמות שונות, כולל טלגרם, Shopify והרשת האפלה. אין צורך בידע טכנולוגי כדי להפעיל אותם.
בשל הבעיה בפרוטוקול SMS, התוקף יכול לשלוח הודעה עם כל שם שהוא בוחר. ההזדהות בשם כוזב גורמת לקורבנות להאמין שהמסרון הוא לגיטימי.
