פושעי הסייבר מוכנים לאולימפיאדה

לצד הספורטאים והספורטאיות שמתכוננים למשחקים האולימפיים בפריז (והמעטים שכבר התחילו אותם, כמו נבחרת הכדורגל של ישראל), פושעי הסייבר לא מבזבזים זמן ופועלים להשקת מגוון מתקפות על אחד האירועים הגדולים בעולם. נראה שגם הם רוצים לזכות ב-"מדליית זהב". חוקרי FortiGuard Labs, גוף המחקר של פורטינט, כתבו ש-"אולימפיאדת פריז 2024 משמשת כמטרה בסיכון גבוה לאיומי סייבר, ומושכת תשומת לב מצד פושעי סייבר, האקטיביסטים וגורמים בחסות מדינות. פושעי הסייבר משתמשים בפישינג ובהונאות נוספות כדי לנצל את המשתתפים והצופים".

לפי החוקרים, האולימפיאדה בפריז משמשת כבר יותר משנה מטרה עבור מספר גדול, שגדל והולך, של פושעי סייבר. החוקרים הבחינו בעלייה משמעותית במשאבים הנאספים לקראת המשחקים האולימפיים, במיוחד כאלה שמתמקדים במשתמשים דוברי צרפתית, סוכנויות ממשלתיות, עסקים צרפתיים וספקי תשתית ממדינה זו. כך, בין המחצית השנייה של 2023 למחצית הראשונה של השנה, החוקרים ראו זינוק של 80%-90% בפעילויות של ההאקרים בדארקנט שמתמקדות בצרפת. הפעילויות כוללות זמינות גבוהה של כלים ושירותים מתקדמים, שתוכננו לזהות במהירות חולשות ופרצות אבטחה, ולאסוף מידע אישי רגיש (PII), כמו שמות מלאים, תאריכי לידה, מספרי תעודת זהות, כתובות מייל, מספרי טלפון וכתובות מגורים. החוקרים חזו במכירה של מאגרי נתונים שכוללים מידע אישי רגיש, כולל פרטים מזהים גנובים וחיבורי VPN פרוצים, כדי לאפשר גישה לא מורשית לרשתות פרטיות.

עוד חלה עלייה בפרסומות של ערכות פישינג וערכות פריצה שמותאמות ספציפית לאולימפיאדה בפריז, כמו גם Combo lists (אוסף של שמות משתמש וסיסמאות שנחשפו, שמשמשים לצורך מתקפות brute-force אוטומטיות) המורכבות מאזרחים צרפתיים.

שער הניצחון. בתקווה שההאקרים לא ינצחו. צילום: ShutterStock

גידול בפעילות של האקטיביסטים

בהינתן שרוסיה ובלרוס לא משתתפות השנה באולימפיאדה, חוקרי FortiGuard Labs ראו גם עלייה בפעילות האקטיביזם על ידי קבוצות פרו-רוסיות, כמו LulzSec, noname057(16), Cyber Army Russia Reborn, Cyber Dragon ו-Dragonforce, שהכריזו שיעשו כך. זאת, לצד קבוצות אחרות, ממדינות ואזורים אחרים, לרבות אנונימוס סודן, Gamedia Team מאינדונזיה, Turk Hack Team מטורקיה ו-Team Anon Force מהודו.

בשל עמדותיה הפוליטיות של צרפת והשפעתה הבינלאומית, אולימפיאדת פריז 2024 מהווה מטרה עיקרית לקבוצות בעלות מניע פוליטי, ציינו החוקרים. לדבריהם, "אנחנו צופים שקבוצות האקטיביסטים יתמקדו בגופים המקושרים עם האולימפיאדה, בתשתיות, בערוצי תקשורת ובארגונים – כדי לשבש את מהלך האירוע, לערער את האמינות ולהגביר את המסרים שלהם על במה עולמית גדולה זו".

איך לא – פישינג

פישינג היא צורת התקיפה הפשוטה ביותר, אולם לא כל פושעי הסייבר יודעים כיצד ליצור או להפיץ מיילים ש-"דגים". ערכות פישינג מספקות לתוקפים מתחילים ממשק משתמש פשוט, שמסייע להם להרכיב מייל משכנע, להוסיף מטען זדוני, ליצור כתובת אתר מתחזה שכוללת פישינג ולהשיג רשימה של קורבנות פוטנציאליים. שירותי AI שמייצרים טקסט מבטלים את טעויות הכתיב והדקדוק, שפעמים רבות מאפיינים את המיילים הללו, ומקשים על הנמענים להבין שמדובר בדוא"ל זדוני.

החוקרים תיעדו מספר משמעותי של אתרי אינטרנט שהשתמשו ב-Typosquatting – תפיסת או גניבת שם של אתר – שנרשמו סביב האולימפיאדה. באתרים הללו ההאקרים יכולים להשתמש בקמפיינים של פישינג, כולל גרסאות של המילה אולימפיאדה, למשל oympics[.]com. אלה משולבים עם גרסאות משוכפלות של אתר הכרטיסים הרשמי, שמעבירים את הגולשים לשיטת תשלום שבה הם לא מקבלים כרטיס והכסף שלהם נעלם. הז'נדרמריה הצרפתית הלאומית (אחד משני כוחות המשטרה במדינה) זיהתה 338 אתרי הונאה שכאלה וסגרה 51 אתרים.

עוד זוהו הונאות של הגרלות בנושא המשחקים האולימפיים, כשרבות מהן מתחזות למותגים גדולים – קוקה קולה, מיקרוסופט, גוגל, מפעל הפיס הטורקי והבנק העולמי. המטרות העיקריות של הונאות אלה הם משתמשים בארצות הברית, יפן, גרמניה, אוסטרליה, בריטניה, סלובקיה והמדינה שמארחת את המשחקים האולימפיים השנה – צרפת.

נשיא הוועד האולימפי, תומאס באך. בתקווה שהאנשים שלו לא יאפשרו להאקרים להצליח במתקפות הסייבר על האולימפיאדה. צילום: ShutterStock

נוזקות לגניבת מידע

Infostealers, נוזקות לגניבת מידע, נועדו להסתנן בחשאי למחשב או למכשיר של הקורבן ולאסוף מידע רגיש, כמו פרטי התחברות, פרטי כרטיס אשראי ומידע אישי אחר. החוקרים הבחינו בתוקפים שפורסים סוגים מגוונים של נוזקות גניבה, כדי להדביק את מערכות המשתמש ולהשיג גישה לא מורשית. גורמי האיום יכולים להמשיך למנף מידע זה כדי להוציא לפועל מתקפות כופרה.

לפי החוקרים, Raccoon היא נוזקת הגניבה הפעילה ביותר בצרפת, עם 59% מכלל נוזקות הגניבה. Raccoon פועלת כנוזקה כשירות, היא יעילה ולא יקרה, ונמכרת בפורומים בדארקנט. הנוזקה, שכמו כמה וכמה נוזקות וקבוצות תקיפה קרויה על שם חיה חמודה – הפעם מדובר בדביבון, גונבת סיסמאות שממולאות בצורה אוטומטית בדפדפן, היסטוריה, קוקיז, כרטיסי אשראי, שמות משתמש, סיסמאות, ארנקי מטבעות קריפטו ונתונים רגישים אחרים. אחריהן מדורגות Lumma – נוזקה כשירות מבוססת מנוי, עם 21%, ו-Vidar עם 9%.

לסיכום הזהירו החוקרים כי "ארגונים ויחידים צריכים לצפות לאיומי סייבר מוגברים בתקופה זו: יירוט Wi-Fi ציבורי והונאות שקשורות לאירועי האולימפיאדה, כולל אתרים זדוניים והונאות פישינג; וכן עלייה במתקפות ממוקדות על גורמי מפתח, כולל פקידי ממשל, מנהלים בכירים ומקבלי החלטות מרכזיים". לתשומת הלב – במיוחד אבל ממש לא רק – של נשיא הוועד האולימפי הבינלאומי, תומאס באך, ונשיא צרפת, עמנואל מקרון.