לא רק הקורונה: גם "וירוס" הפישינג עובר מוטציות

השלב הנוכחי של מגפת הקורונה עוסק בעיקר בשאלת ההגנה מפני מוטציות, והאם החיסון שאותו קיבלנו יצליחו להגן עלינו גם מפני הווריאנט ההודי החדש. הווירוס המקורי, שנחת לחיינו לפני יותר משנה, עובר שינויים, והמוטציות מתבררות כבעלות יכולת הדבקה גבוהה יותר והן אולי אף קטלניות יותר. האנלוגיה של תחום הווירולוגיה לתחום הסייבר היא די ברורה, כי גם בעולם הסייבר ה-"וירוסים" עוברים מוטציה והמתקפות נעשות מתוחכמות, יעילות וקטלניות יותר.

ניקח לדוגמה את תחום הפישינג – או, בעברית, דיוג. מדובר במתקפה מבוססת הנדסה חברתית שבה התוקף מתחזה לגוף בעל מהימנות גבוהה, דוגמת בנק או חברת כרטיסי אשראי, ובאמצעות הודעה שנראית כאותנטית – מייל, SMS או שיחת טלפון – מנסה לגרום לקורבן למסור לידיו סיסמאות ופרטי חשבון בנק או כרטיס אשראי. דרך נוספת היא באמצעות יצירת אתרי אינטרנט מזויפים שמיועדים לדמות אתר של ארגון שאליו מנסים התוקפים להתחזות – זה יכול להיות בנק, משרד ממשלתי ועוד – ולגרום לנתקף להזין בו את פרטיו האישיים. כאשר מתקפה כזו מתבצעת בעולם העבודה הארגוני, מטרתה תהיה להשתלט על סיסמאות לרשת הארגונית או למאגרי מידע מוגנים בסיסמה. זה דבר שיכול להוביל לפריצה לתוך הארגון וגניבה של מידע מסווג – פרטי או עסקי.

עד כאן הכול מוכר. זה היה הווירוס המקורי, באנלוגיה לעולמות הווירולוגיה. מנהלי אבטחת מידע עובדים לילות כימים על מנת לבצע פעילויות להעלאת מודעות העובדים, במטרה למנוע מצב שבו אחד העובדים מקבל דוא"ל, מסרון או שיחת טלפון ומוסר פרטים שיכולים לגרום לארגון נזק.

ההתקפה על בית"ר ירושלים – וההגנה שלה

מה שציינתי עד כה אלה מלחמות האתמול. "וירוס" הפישינג עבר מוטציה והוא כיום הרבה יותר מתוחכם. זה כבר לא רק לינק שנשלח במייל או ב-SMS. רמת התחכום עולה למצב של מתקפה משולבת בין המרחב הפיזי לדיגיטלי. ניקח לדוגמה פרסום מהעת האחרונה על מתקפה שנקשרה לקבוצת הכדורגל בית"ר ירושלים. הסתבר להנהלת הקבוצה שקבוצות זרות, שעימן היא עמדה בקשר בנוגע למכירת שחקנים אליהן, הותקפו במתקפת פישינג משולבת על ידי האקרים מתוחכמים. המתקפה כללה אלמנטים מוכרים של פישינג יחד עם זיוף של מיילים, פקסים, שיחות טלפון ואף של חתימות בכירים בארגון. הבדיקה העלתה כי הוראות תשלום מהקבוצות הזרות בסכום של כ-12 מיליון שקלים היו בתהליך ביצוע לחשבונות הבנק של ההאקרים, ומזל בלבד הוביל לעצירת העברת הכספים בדקה ה-90, באנלוגיה לעולם הספורט.

כלומר, כיום, מעבר לתקיפות המסורתיות באמצעות מייל, שמהוות איום משמעותי בפני עצמן, הרי שהמוטציה של אותו "וירוס" כוללת מתקפה שבו זמנית משלבת טכניקות הנדסה חברתית במתודולוגיות שונות נוספות. אלה כוללות תקיפות מתוסרטות ומאורגנות, שכאמור כוללות מסרונים, מיילים, שיחות טלפון, פקסים, רשתות חברתיות וגלישה באתרי אינטרנט.

זאת ועוד, אם פעם תקיפה הייתה מתחילה ומסתכמת בהצפנת קבצים ובקשת תשלום לשחרורם (כופרות), הרי שכיום, האקר שתוקף ארגון תוך שימוש בו זמני בטכניקות שונות משולבות בתקיפה מרוכזת אחת – יישאר מחובר "בשקט" למשך תקופה ממושכת ובזמן הזה יגרום למגוון סוגי נזקים, מעבר לבקשת תשלום הכופר, דוגמת גניבת מידע רגיש או מסווג ומכירתו לגורמי פשיעה למיניהם. כמו כן, זמני ההשבתה וההתאוששות ממושכים יותר, כשלארגון לא ברור במשך כמה זמן הוא היה תחת מתקפה. זה מלווה גם בעלויות תמיכה במחשוב גבוהות הרבה יותר לזיהוי מגוון המתקפות המשולבות, וקיים פוטנציאל לפגיעה קשה יותר במוניטין החברה.

אחד הלקחים מהמקרה של המתקפה הקשורה לבית"ר ירושלים הוא שאין אדם בתוך הארגון שיכול להיות חסין מפני מתקפת סייבר. זה יכול להיות איש מחשבים בארגון, מזכירה או אפילו המנכ"ל עצמו, ובסבירות גבוהה שיותקפו כמה גורמים בו זמנית. רמות התחכום הן גבוהות, כך גם רמות התעוזה של התוקפים, והם יפעילו כל תכסיס או אמצעי כדי להשלים את ההונאה בהצלחה מבחינתם.

זה מחדד את הצורך של מנהלי אבטחת המידע בארגונים להיערך ל-"מוטציות" הדור הבא של המתקפות. לצד המאמץ הנמשך להעלאת המודעות של העובדים למתקפות הפישינג המסורתיות, דוגמת אלה המתבצעות דרך הדוא"ל או ה-SMS, נדרשים מנהלי אבטחת המידע ללמוד את השיטות החדשות של התוקפים ולהכין תוכנית עבודה שתנחיל את הלקחים לכלל העובדים בארגון. ארגונים שלא יתכוננו כבר כיום לעתיד, וימשיכו לעסוק רק במתקפות של האתמול, ימצאו את עצמם מותקפים על ידי הווירוסים החדשים, ואולי להם המזל כבר לא ישחק, כפי שהיה במקרה של בית"ר ירושלים.

הכותבת היא מומחית סייבר וסמנכ"לית השיווק בחברת הסייבר ואבטחת המידע סלסטיה.