מתקפת סייבר ממוקדת ומתוחכמת במיוחד נחשפה לאחרונה בעקבות דיווח שהגיע למרכז 119 של מערך הסייבר הלאומי: עובדים בחברת סטארט-אפ ישראלית גדולה נפלו קורבן להונאה מתקדמת שהתחילה בהצעה מפתה לפגישה עסקית מקוונת — והסתיימה בחשיפת מידע רגיש והשתלטות על מחשבים.
התרחיש, שנשמע כמעט שגרתי, החל בפנייה "תמימה" מרשת חברתית של אדם שהציג עצמו כמשקיע רציני. הפרופיל של אותו "משקיע" נראה אמין לחלוטין – כולל תמונה מקצועית, ניסיון עסקי עשיר והיסטוריית השקעות משכנעת. לאחר התכתבות קצרה, המשקיע קבע שיחת זום עם נציגי החברה. אלא שכאן החלו הבעיות.
הקישור לשיחה, שכביכול הפנה לפלטפורמת Zoom, היה למעשה דומיין מזויף שהוריד תוכנה זדונית למחשביהם של העובדים. כשהשיחה לא הצליחה להתקיים, נשלח קישור נוסף שלכאורה פתר את הבעיה – אך למעשה שתל תוכנה מזיקה נוספת, הפעם גם בטלפונים ניידים.
עוד באתר:
למרבה המזל, מידע אישי של לקוחות לא נגנב, אך מידע פיננסי פנימי ורגיש נחשף. החברה מיהרה לדווח למרכז 119, ובעזרת מומחי מערך הסייבר הלאומי ביצעה ניתוח סיכונים ופעולות מנע.
הבדיקה העלתה כי הדומיין המזויף שדרכו פעלו התוקפים נרשם כחמישה חודשים קודם לכן, כחלק ממערך הכנה קפדני למתקפות נוספות שכוונו גם לחברות אחרות בעולם.
לדברי עמית אוזנה לוי, ראש מחלקת ניהול אירועי סייבר במערך הסייבר הלאומי: "מדובר במתקפת דיוג ממוקד שמתבצעת לאחר איסוף מודיעין עומק על הקורבן. התוקפים שולחים קישורים מתחזים לשירותי שיחות וידאו ומציעים 'סיוע טכני' כביכול כשהקישור לא עובד, אך למעשה מדובר בטריק להפעלת תוכנות לגניבת מידע".
בעקבות האירוע, מערך הסייבר הלאומי מפרסם הנחיות מיידיות לציבור ולארגונים:
> שלחו בעצמכם את קישור הפגישה, במיוחד בקשרים ראשוניים – אל תסמכו על קישור שמתקבל מהצד השני.
> בדקו היטב את זהות השולח ונסו להצליב מידע ממקורות נוספים.
> סרקו כל קישור חשוד ובחנו את הכתובת – ודאו שמדובר בלינק חוקי ולא מתחזה.
> במקרה של חשד להדבקה, דווחו מיד לאחראי מערכות המידע בארגון.
האירוע מהווה תזכורת חדה לכך שבעידן של קישוריות גבוהה ועבודה מרחוק – גם פגישה תמימה בזום עלולה להפוך לזירת מתקפה מתוחכמת.
