אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
האקרים גנבו בין עשרות למאות אלפי שקלים מלקוחות בנקים בישראל

האקרים גנבו בין עשרות למאות אלפי שקלים מלקוחות בנקים בישראל

מעבדות קספרסקי חשפו מבצע סייבר שמטרתו הייתה גניבה מלקוחות בנקים ישראלים דרך דפדפן המחשב. המבצע זוהה וסוכל לאחר שעשרות לקוחות נפגעו

29.02.2016, 10:35 | רפאל קאהאן

חברת אבטחת המידע הרוסית קספרסקי הודיעה אתמול (א') שחוקריה חשפו ברבעון האחרון מבצע של האקרים שמטרתו הייתה גניבה של חשבונות בנק של לקוחות ישראלים. המבצע התבסס על נוזקה (תוכנה זדונית) שהדביקה מחשבים של משתמשים ושדרכה יכלו ההאקרים לנצל תכונה של העברת כספים דרך מסרון הזמינה במספר בנקים גדולים בישראל, על מנת למשוך כספים של לקוחות דרך מכשירי כספומט. לפי הערכות קספרסקי מאות אלפי שקלים נגנבו מעשרות קורבנות של הנוזקה ברבעון האחרון של 2015, אך בבנק ישראל אומדים את הנזק בעשרות אלפי שקלים בלבד.

הנוזקה, שמכונה על ידי החוקרים של קספרסקי ATM-Zombie, נוטרלה עם חשיפת הניסיונות הראשונים בשיתוף עם צוותי אבטחת המידע של הבנקים ובעזרת עירנותם של לקוחות. הלקוחות שחשבונם נפרץ פוצו. דרך הפעולה של ההאקרים העידה על איסוף מודיעין מתוכנן היטב. בהתקפה שולבו מספר גורמים, ביניהם קבצים זדוניים ושיתופי פעולה עם מעבירי כספים (money mules) ישראלים, שמשכו את הכסף ושלחו אותו אל התוקפים.

קראו עוד בכלכליסט

את החקירה ביצע עידו נאור, חוקר בכיר בצוות החוקרים של מעבדת קספרסקי (GReAT). מחקירת דרך הפעולה של התוקפים עולה כי הנוזקה משתמשת במאפיינים של הדפדפן האחראים על הגדרת השרת המתווך (Proxy) בין מחשב הלקוח לבין השרת אליו הוא מעוניין לפנות. מדובר בשימוש מוכר לצורכי בדיקות תעבורת רשת בארגונים. הנוזקה מאפשרת ליצור נתיב בין הדפדפן של הלקוח לשרת הבנק. בשנת 2013, פאביו אסוליני, חוקר בכיר בצוות GReAT, תיעד בפירוט את יכולות הנוזקה, דרכי ההידבקות האפשריות ודרכי ההתגוננות.
האקר (אילוסטרציה), צילום: שאטרסטוק האקר (אילוסטרציה) | צילום: שאטרסטוק האקר (אילוסטרציה), צילום: שאטרסטוק

"חשוב לציין כי מוסדות פיננסיים בישראל ידועים ביכולותיהם הגבוהות למגר פעילות עוינת. היכולות של מערכות ההגנה סייעו לעצור את המתקפה בשלביה הראשונים", אומר עידו נאור. "עם זאת, במקרה זה, התוקפים הצליחו משום שתקפו את הלקוח הסופי ולא את הבנקים עצמם. הם ניצלו את החוליה החלשה", מסביר נאור. ואכן, מיד אחרי שעודכנו, נקטו הבנקים שנפגעו באמצעים הנדרשים על מנת לסכל את המתקפה, מה שהביא לעצירתה המוחלטת.

מבנק ישראל נמסר בתגובה: "אנו מקבלים דיווחים ככל שנדרש מהמערכת הבנקאית אודות חשדות לאירועי סייבר ומנחים אותה לפעול בהתאם. הנושא המתואר בכתבה טופל באופן מיידי וללקוחות לא נגרם נזק".

 

אופן ביצוע המתקפה

ההדבקה - ההערכה היא כי מדובר במתקפת פישינג אשר משתמשת במיילים שמטרתם למשוך את הקורא, דרך תוכן אישי, ללחוץ על לינק או להפעיל קובץ שהוצמד למייל המכיל קריאה להורדה של הנוזקה. פעולה זו מפעילה את הנוזקה על מחשב הקורבן.

ההמתנה - ההאקרים מחכים שהקורבן יתחבר לשרת הבנק ואז מנתבים אותו לשרת עוין מזוייף. מחשב הקורבן מכיל את פרטי השרת המתווך בהגדרות הדפדפן, כמו גם תעודה דיגיטלית חתומה, על מנת שיוכל לתקשר עם שרת הבנק. ללא התעודה שרתי הבנק ידחו את תעבורת המידע. אם הקורבן החליט להתחבר לחשבון הבנק שלו, המאפיינים בדפדפן ינתבו אותו לשרת תוקף שנראה בדיוק כמו שרת הבנק. ניסיון ההתחברות של הקורבן יהיה למעשה לשרת התוקף וכך יגנוב ההאקר את הפרטים המזהים שלו.

ההשתלטות – בשלב זה מתחבר ההאקר לחשבון של הקורבן ומשתמש במודיעין שאסף על מנת למשוך כסף מהחשבון. השיטה מעידה על דרך איסוף המודיעין ועל שימוש בגורמים פנים ארציים. במקרה זה בחר התוקף לנצל פיצ'ר לגיטימי המאפשר העברת כסף באמצעות הודעת טקסט. ההודעה נשלחת לאחר מילוי טופס באתר, שמכיל את פרטי המקבל, את תעודת הזהות שלו ואת מספר הטלפון אליו יישלח אישור העברה בצורת קוד משתמש, סכום, תאריך משיכה ופרטים נוספים. כל מה שנדרש כעת הוא למשוך את הכסף מהכספומט.

גניבת הכסף - שלב גניבת הכסף והעברתו אל מחוץ לגבולות המדינה. שותף של ההאקרים ניגש למשוך את הכסף מהכספומט במזומן על פי קריאה, ובינו ובין הנוזקה אין לכאורה חיבור ישיר. לאחר המשיכה מעביר השותף את הכסף אל התוקף דרך מתווך נוסף. ישנן מספר דרכים להעביר את הכסף ללא כל עקבות.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות

12 תגובות לכתיבת תגובה לכתיבת תגובה

8.
למי שלא הבין: הארנקים האלקטרונים הם המטרה החמה היום
לזה שהמליץ להעיף את תעודת השורש: הנוזקה התקינה את תעודת השורש המזוייפת. כל אדם יכול להתקין תעודה אם הוא רוצה, ובבדאי נוזקה יכולה לעשות זאת. במקרה הזה, אנשים גלשו לחשבון שלהם דרך דפדפן: רוב האנשים לא יודעים מה פירוש תקשורת מאובטחת כך שבמקרה זה הניתוב היה לאתר לא באובטח. אף אחד מהנפגעים לא ידע לחפש את "המנעול" בפינה. זו הסיבה שארנקים אלקטרונים הם המטרה הקלה ביותר כיום. רוב הסלולארים פרוצים, נגישים, זמינים לחיבור מרחוק וכולי. אפשרו לסלולארי למשוך כסף מהחשבון שלכם - נפלתם. עדיין אין תחליף לפעולה מול פקיד כשמדובר בסכומים גדולים, שימוק בבנקטים וכרטיסי אשראי. ראינו שאנשים מנסים לשכפל כרטיסים, אבל זה הרבה יותר קשה. לגנוב כסף מבנק זו עדיין עבודה מעשית, לגנוב כסף דרך תוכנה בסלולארי שלכם, כל ילד יכול. בטלו כל אפשרות לארנק סלולארי! וותרו על העברת הכספים וכולי! תכלס, הבנקים מצאו שיטה להרוויח על חשבונכם - אין סניפים ואין משכורות לפקידים, אבל עמלת שורה יקחו גם אם אתם אלה שעושים את העבודה. בעצם מצאו שיטה חדשה לדפוק אותכם: אתם עובדים בשביל הבנק, מעבירים כסף, אבל במקום שהנק ישלם לכם עמלה, אתם משלמים לו 1.38 על כל פעולה. נדפקתם!
ישראל ישראלי  |  11.04.16
לכל התגובות