התקפת סייבר איראנית. נפרץ מייל של אלוף בכיר במיל / צילום: Shutterstock, Sashkin
חברת אבטחת המידע צ'ק פוינט מפרסמת כי האקרים איראניים הצליחו לפרוץ לתיבות מייל של בכירים מישראל. לפי החברה תיבות מייל של גורמים פוליטיים, מדיניים, אקדמאים ועסקיים בעלי פרופיל גבוה נפרצו במהלך בן חצי שנה לפחות - מאז דצמבר 2021 ועד לשבוע שעבר. התוקפים, בעלי שיוך איראני, פרצו אף לתיבות מייל של אלוף בכיר במילואים ששימש בתפקיד רגיש, התחזו אליו והתכתבו בשמו עם גורמים בכירים במטרה לגרום להם לפתוח מסמכים נגועים.
חוקרי האבטחה בחברה הצליחו לאתר קשרים לתשתית איראנית בשם Phosphorus, על בסיס הערה בקוד המקור ששומשה בעבר לתשתית תקיפה שיוחסה לאיראנים ע"י מיקרוסופט בשנת 2020.
לפי החברה, התשתית הזו ניסתה לפרוץ לאורחים של כנס ביטחון במינכן באותה שנה. "בנוסף, התוקף העתיק את העמוד המתחזה ל-Yahoo כשהוא השתמש בכתובת IP איראנית, דפוס הפעולה והיעדים, מתאימים למודל ההפעלה האיראני כפי שכבר נצפה בעבר בעולם הסייבר", הסבירה צ'ק פוינט.
לפי הודעת החברה המטרות של הפריצות היו: אלוף במילואים אשר שימש בתפקיד בכיר ורגיש; שרת החוץ לשעבר ציפי לבני שניסו ללא הצלחה לגרום לה להקליד את סיסמאותיה בקבצים הייעודיים שנשלחו אליה; וראש מכון מחקר מרכזי בישראל. עוד מטרות היו מנהל בכיר בחברה ביטחונית מרכזית שניסו לגנוב את פרטיו האישיים והצליחו להשיג צילום דרכון שלו ופרופסור מוכר בתחום לימודי מזרח תיכון. היעדים עודכנו בפרטים ולבקשתם שמותיהם לא מתפרסמים (למעט לבני), וכן גם גורמי הביטחון הרלוונטיים בישראל עודכנו.
מטרת התוקפים הייתה ליצור קשר ודיאלוג עם המטרות השונות וכן גניבת מידע אישי כמו סיסמאות או מסמכים אישיים, במסגרת הזמנות לכנסים בחו"ל. "התכתובות כללו שליחת מסמכים הכוללים הזמנה לכנס בחו"ל ומאמרים בנושא תוכנית הגרעין האירנית - ואלו דרשו מהקורבנות להקליד את סיסמת המייל שלהם. באחד מהמקרים התכתובות הובילו מנהל בכיר באחת החברות הביטחוניות המרכזיות בישראל לשלוח את צילום הדרכון שלו", נכתב בהודעת החברה.
כך עבדו הפריצות
השיטה של הפריצה עבדה כך: תחילה, לאחר שהבכיר לחץ על המסמך המצורף למייל או ללינק, קפץ דף המבקש מהמשתמש להכניס את סיסמתו כדי לזהות את חשבונו - הסיסמה הועתקה על ידי התוקפים. לאחר מכן, הופיע בקשה נוספת לאימות המשתמש בצורה הודעת sms שנשלחה למכשיר שמקשור לחשבון המייל.
בדוגמאות שהציגה החברה, המיילים שנשלחו לבכירים ביקשו את עזרתם: "לידידים יקרים שלום רב, רצ"ב בזה מאמר לסיכום השנה. כמובן שאיני מעוניין להפיצו, כי הוא לא הגרסה הסופית. אשמח לקבל הערות מכל סוג", "ציפי, את הצלחת לראות את המאמר?", וגם: "חברים, אני מחכה לשמוע את הערותיכם. אותם חברים שעדיין לא הצליחו לגשת לקובץ, אני אומר להם שזה קישור לרפטי ואפשר שאתם צריכים לאמת את זכותכם בכניסה לחשבון. אם יש בעייה אני מוכן לעזור. בכבוד רב" (טעויות התחביר במקור).
איך נשמרים? אמצעי אבטחה מתקדמים, סיסמה חזקה וערנות
איגוד האינטרנט הישראלי מחדד כללי זהירות וסימני זיהוי למיילים חשודים - בעקבות החשיפה הזו של חברת צ'ק פוינט. האיגוד מצביע על כך שחשבון המייל האישי שלכם מייצג אתכם באינטרנט והוא מהווה מפתח כניסה למידע האינטימי ביותר שלנו - ולכן מומלץ להפעיל את אמצעי האבטחה המתקדמים ביותר שיש לשירות הדואר שלכם.
עוד המלצות: בחרו סיסמה חזקה והחליפו אותה באופן תדיר, אחד למספר שבועות. חשוב במיוחד להגדיר, לצד הסיסמה שלכם, אימות דו שלבי - המשמעות היא שכדי להיכנס למייל ממכשיר לא מוכר, צריכים להשתמש בקוד אימות חיצוני נוסף. לצד זאת, "ברמת ארגונים וחברות - מומלץ ליישם אמצעי הגנה שמסתמכים על מערך שמות המתחם הגלובלי (DNS) וליישם SPF ו DKIM ו DMARC - מידע מפורט אודות אופן יישום ההגנות האלו באתר איגוד האינטרנט הישראלי", כך נכתב בהודעת האיגוד.
ולבסוף, היזהרו - שימו לב מיהו השולח, האם הניסוח בהודעה קלוקל ולא מעביר מסר קוהרנטי ותחבירי, ותמיד שאלו את עצמכם מדוע קיבלתי את ההודעה הזו והאם אני יכול לגשת בעצמי לשירות ששלח לי הודעה ובכך לחסוך טעויות מבלבלות.