BETA

03.07.2018

14:24

נחשפה מתקפת סייבר ממוקדת נגד משתמשים ישראלים בדואר וואלה

בלעדי לעשר אונליין: האקרים לא ידועים פתחו במתקפה כנגד גולשים המשתמשים בשירות הדואר של אתר וואלה. גיליתם את צילום המסך הזה במייל? כך תדעו מה עליכם לעשות

מתקפת סייבר ממוקדת היטב נגד משתמשים אותרה הבוקר (שלישי) בשירות הדואר של אתר וואלה - כך אנו חושפים הבוקר בעשר אונליין. התוקפים עשו שימוש בהודעה שנועדה לחקות הודעות מערכת של וואלה עצמה, זאת בכדי לשטות בקורבנות ללחוץ על קישור זדוני שהוריד למחשביהם תוכנה שעקבה אחר פעולותיהם. 

 

ראשיתו של הסיפור בהודעה שהועברה הבוקר לידי מערכת עשר אונליין, לאחר בדיקה קצרה שלנו, הוחלט להעבירה לידי עידו נאור, חוקר בכיר בצוות ניתוח האיומים של חברת אבטחת המידע "מעבדות קספרסקי" (Kaspersky Lab).  וזה תוכנה של ההודעה שניתקלו בה חלק ממשתמשי שירות הדואר של וואלה: "לקוחות וואלה מייל יקרים וכל משתמשי ישראל (השגיאה במקור), וירוס חדש התגלה והוא מותקף על המכשירים הישראלים מאיראן, זה וירוס מסוכן. אנא הורד ת (השגיאות במקור) האנטיוירוס נגד וירוס זה באמצעות הקישור הבא".

 

הודעה בשרתי וואלה על וירוס איראני

הודעה בשרתי וואלה על וירוס איראני (צילום מסך )

 

 

ההודעה הזו נכתבה בפורמט שדומה מאוד לפורמט שבו וואלה עצמה עושה שימוש בהודעות מערכת  ואף כללה את לוגו החברה, כשבתחתית ההודעה עצמה חתומים מרכז הביטחון של וואלה ומשרד הביטחון. מיותר לציין שההודעה הנ"ל, על העברית המשובשת שלה, לא נשלחה מטעם וואלה או משרד הביטחון כי אם מתוקף אנונימי שמטרותיו אינן ברורות בשלב הזה.

 

"הקורבן מקבל מייל המזהיר אותו מפני וירוס איראני, ומבקש להוריד תוכנת אנטי-וירוס חכם אשר "רק הוא" מסוגל לזהות את הווירוס המדובר", מסביר נאור לעשר אונליין. מומחה האבטחה של חברת קספרסקי, "בלחיצה על הלינק הגולש מועבר למעשה לכתובת דואר המחקה את זו של המדור הטכנולוגי של אתר וואלה, וכך  מתבצעת הורדה של הווירוס, המכיל בתוכו תוכנה בשם אלסינור סקרין קונקט (Elsinore Screen Connect), תוכנה המשמשת להשתלטות מרחוק. התוכנה המדוברת מאפשרת לתוקף לנטר כל פעולה שהקורבן מבצע על המחשב שלו, כמו גם מעניקה לו שליטה מלאה על המחשב המותקף ויתכן אף על מערכות מיחשוב נוספות המחוברות לאותו המחשב.

 

"בעת התקנה הוירוס" מסביר נאור, מתבצעת התקשרות לשרת השליטה והתוקפים מקבלים האזנה מלאה לפעולות המשתמש. בנוסף, יכולים התוקפים לשלוח פקודות מערכת למחשבו של הקורבן ולקבל מידע רב לגבי התנהגות המשתמש, סביבת העבודה בו הוא נמצא (עבודה, בית וכדומה) והיסטוריה של פרטים אישיים על אותו קורבן השמורים בזיכרון של המחשב. ראינו בעבר תוקפים משתמשים בתוכנות לגיטימיות לצורך פעילות זדונית וזו (Elsinore) דוגמה מצוינת לממשק שליטה המקנה לתוקפים חיבור בו-זמנית למספר רב של קורבנות ושליטה בכולם".

 

ה"אנטיוירוס" המדובר, כאמור, הוא קובץ בגודל של מעט יותר ממגה, אבל למעשה מדובר בתוכנה זדונית. אם קיבלתם את ההודעה הזו בשרת הדואר של וואלה, בו משתמשים כיום עשרות אלפי ישראלים, כאמור אל תורידו את "תוכנת ההגנה",  משום שכך בעצם תחשפו את המחשב שלכם לתקיפה. אם כך, במידה ונתקלתם בהודעה כזו - אל תלחצו על הקישור, ותמחקו את המייל מיד.

 

יש לציין שהתיחכום כאן אינו נובע בהכרח מהמתקפה עצמה, אלא מהאופן שבו התבצעה, ומהמחשבה שהושקעה בחיקוי הלוגו של וואלה ובנוסח ההודעה שלהם. לאחר גילוי המתקפה, יצרו הבוקר ב"קספרסקי" קשר עם המנהלים הטכנולוגיים באתר וואלה! news, כדי להזהיר אותם - ונכון לכתיבת שורות אלו נראה כי הקישור נחסם והוסר.