המתקפה בטוויטר: "כיוונו לחשבונות מפורסמים כדי להגיע לקהל יעד רחב"

בעקבות פרצת האבטחה הגדולה שחוותה טוויטר (Twitter) בלילה – ושאפשרה אתמול (ד') להאקרים להשתלט על חשבונות של דמויות ציבוריות ועסקיות בולטות, בהן ג'ו ביידן, ברק אובמה, אילון מאסק, ביל גייטס, ג'ף בזוס ואפל – אמר דוריה גלעם, ראש צוות תקיפה ב-2BSecure – חברת אבטחת המידע והסייבר של מטריקס – לאנשים ומחשבים כי "מחקירה ראשונית שביצעה ההחברה נראה כי מטרת התוקפים הייתה לכוון לחשבונות של מפורסמים אמריקנים, כדי להגיע לקהל יעד רחב".

לדבריו, "במהלך התקיפה נעשה שימוש בהנדסה חברתית על עובדי טוויטר – פירצה מורכבת יותר, שבמסגרתה, ככל הנראה, הצליחו התוקפים להשיג במרמה גישה לחשבון 'אדמין', דרך אנשי המערכת שעובדים בטוויטר, מה שיכול לאפשר להם כניסה חלקה למערכות החברה. בשפת ההאקרים הפעולה מכונה  full takeover".

הוא הוסיף כי "התוקפים הצליחו להגיע להרשאות מורכבות ובדרג גבוה באפליקציה, ובכך בעצם להוסיף את עצמם לחשבונות הטוויטר של אותם מפורסמים ולפרסם בשמם את הציוץ שלהם. טוויטר הצליחו להשתלט על המתקפה תוך שעה קלה, דבר שגרם לעצירה של הזרמת הכספים מצד אחד – אבל השבתה של מרבית חשבונותיה מצד השני. על פי בדיקה שלנו, סך הנזק שנגרם לציבור עומד כ-110 אלף דולרים".

תקיפת ענק על טוויטר. אילוסטרציה: BigStock

"מחשבונות מאומתים ומוכרים שהעניקו לציוצים אמינות גבוהה"

פול דקלין, חוקר בכיר בסופוס (Sophos), אמר כי "הציוצים, על אף שהיו בלתי סבירים, נוסחו בצורה ישירה וקליטה מאוד. כמובן שמדובר בהונאה, אך כל הציוצים האלה הגיעו מחשבונות מאומתים ומוכרים, שהעניקו לציוצים אמינות גבוהה יחסית, בטח בהשוואה לדואר אלקטרוני".

פול דקלין, חוקר בכיר בסופוס. צילום: יח"צ

לדבריו, "ישנם שלושה צעדים פשוטים שכדאי לנקוט: אם הודעה נשמעת טוב מידי מכדי להיות אמיתית, היא באמת טובה מכדי להיות אמיתית. אם מאסק, גייטס, אפל, ביידן, או כל אישיות ידועה רוצים לחלק כמות גדולה של כסף מתוך גחמה, הם לא יבקשו שתמסור להם כסף לפני כן. זה סימן ברור לכך שהחשבון נפרץ. דבר שני, בעסקאות במטבעות קריפטוגרפיים אתה לא מקבל את ההגנה החוקית שיש לך בתשלום דרך הבנק או חברת האשראי. בביטקוין אין שירות דיווח הונאות או מנגנון לביטול עסקאות. שליחה של מטבעות למישהו היא כמו למסור לו מעטפה עם שטרות – אם הם מגיעים לפושע, לעולם לא תראה אותם שוב. אם יש ספק, אל תשלח. ולבסוף, בכל הודעה יש לחפש סימנים שהיא אינה אמיתית. עבריינים לא תמיד עושים שגיאות כתיב או טעות בפרטים, אבל לעיתים קרובות זה קורה. לדוגמה, המילה 'grateful' (מוקיר תודה – י"ה) במקרה הנוכחי. לכן, אם הודעה מגיעה עם סכום של 50 דולרים, כשבישראל עובדים בשקלים, או שמספר הטלפון שגוי לחלוטין, או שההודעה פשוט כתובה בשפה שאינה טבעית, מדובר בנורת אזהרה משמעותית".

אור לוי, מנהל פעילות דאטה סנטר וענן בקבוצת טלדור. צילום: היטאצ'י

אור לוי, מנהל פעילות דאטה סנטר וענן בקבוצת טלדור, אמר כי "חוזק השרשרת היא כחוזק החוליה החלשה. מתקפת הסייבר ממחישה לנו שלא משנה כמה מערך אבטחת המידע שלנו יהיה חזק מבחינת מגוון רחב של מוצרים וכיסוי רבדים שונים באבטחת המידע, חולשת הארגון תלויה לא פחות במשמעת ובמודעות של כלל האנשים הקשורים לארגון, לקוחות ועובדים כאחד". הוא הוסיף כי "מתקפות וישינג ופישינג הולכות וצוברות תאוצה בחודשים האחרונים. מעבר לתשתיות אבטחת מידע טכנולוגיות, יש להשקיע משאבים רבים בנושא של הסברה ואכיפה על מנת להימנע ממקרים שכאלה".

לביא לזרוביץ', מנהל קבוצת חוקרים במעבדת סייברארק. צילום: ניב קנטור

לדברי לביא לזרוביץ', מנהל מחקר אבטחת המידע במעבדות סייברארק (CyberArk), "תחילה נראה היה שתקיפה בשיטת הנדסה חברתית מוצלחת של כמה גורמי פנים מרכזיים אפשרה את המתקפה החיצונית הזו, אבל כעת יש גם סברה שהתוקפים השתמשו בשיטות 'מסורתיות' יותר כדי להשיג שיתוף פעולה מבפנים וגישה לכלי הניהול, מה שאיפשר השתלטות על חשבונות בפרופיל גבוה. כך או כך, המקרה הנוכחי מראה שהאקרים תמיד יכוונו לגישה הפריבילגית ולהרשאות שיש לעובד מבפנים. בחלק מהמקרים זה נעשה באמצעות השתלטות על זהות, אך יתכן שהמקרה הזה הוא דוגמה לפעילות זדונית של משתמש מתוך החברה. מה שברור זו החשיבות של הצבת אמצעי בקרה חזקים ומעקב אחר אותם משתמשים שקיבלו גישה למערכות ושירותים מרכזיים. זוהי גם תזכורת ברורה לכך שחברות צריכות להתייחס למדיה חברתית – שמהווה ערוץ תקשורת קריטי – כאל תשתית קריטית, ולאבטח אותה בהתאם".

מהי הנדסה חברתית וכיצד מתגוננים?

על פי ESET, "האקרים השתמשו בהנדסה חברתית – טכניקת התקפה שאינה טכנית ומשמשת עברייני סייבר כדי לגרום למשתמשים, במקרה זה עובדי טוויטר, לעקוף מנגנוני אבטחה או מנגנונים עסקיים אחרים, לבצע פעולות הרסניות או למסור מידע רגיש. במקרה זה – השגת שליטה על חשבונות בעלי מספר גבוה של עוקבים".

"מטרת ההנדסה החברתית היא לגרום לאחרים לעשות דברים בניגוד לרצונם, או בניגוד לשכל הישר. אך הרבה פעמים, התוקף נשמע משכנע מספיק כדי לגרום לקורבן שלו לשתף פעולה. בהונאות מקוונות, הנדסה חברתית היא טקטיקות שלא מתבססות על טכנולוגיה שבעזרתן האקרים משתמשים כדי לבצע הונאות, לאסוף מידע או להשיג גישה למחשבים של הקורבנות שלהם. הנדסה חברתית מסתמכת על יחסי אנוש, והיא מנסה לגרום לכם לסמוך על התוקף עד כדי כך שלא תחשדו בו לפני שתמסרו לו את הפרטים הפרטיים ביותר שלכם".

"רוב טכניקות ההנדסה החברתית", המשיכו והסבירה בחברה, "לא דורשות אף מיומנות טכנית מצד התוקף, מה שאומר שכל אחד – החל מפושעי סייבר מתחילים ועד התוקפים המתוחכמים ביותר – יכול לפעול במרחב הזה. יש טכניקות רבות של הנדסה חברתית בסייבר, הידועות ביותר הן ספאם (דואר זבל) ופישינג (דיוג)". חוקרי ESET סיימו באומרם כי "אלה חלק מהדגלים האדומים שמצביעים על מתקפת הנדסה חברתית: שפה גנרית הכוללת שגיאות; כתובת שולח משונה; תחושת דחיפות; בקשת מידע רגיש. אם משהו נראה טוב מדי מכדי להיות אמיתי – כנראה שהוא אינו אמיתי".