עוקץ בהיי-טק: כך נגנבו מיליון דולר מסטארט-אפ ישראלי - דרך המייל

באמצעות השתלטות על תשתית דוא"ל של סטארט-אפ ירושלמי בתחום מדעי החיים, הצליח האקר לקרוא תכתובות מייל בין אנשי החברה לבין חברת הון סיכון סינית ■ בעיתוי מושלם הוא זייף אי-מיילים והסדיר העברת כסף לחשבונו ■ צ'ק פוינט פירסמה כמה עצות בעקבות האירוע

אמיתי זיו
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
האקר
צילום: אליחי וידל

איומי סייבר הם לא רק מטרד, אלא יכולים להוות נזק כספי גדול מאוד. ענקית אבטחת המידע צ'ק פוינט פירסמה אתמול (ה') בלוג-פוסט ובו היא מתארת מקרה חריג במיוחד של גניבת מיליון דולר באמצעות השתלטות על תשתית הדוא"ל של סטארט-אפ ירושלמי. 

המידע שחושפת צ'ק פוינט הוא חלקי אבל אלו הפרטים: מוקדם יותר השנה, בתחילת 2019, הצליח האקר להשתלט על תשתית האימייל של סטארט-אפ ירושלמי בתחום מדעי החיים. מתברר, שהחברה השתמשה באימייל בסיסי שמספקת חברת האחסון GoDaddy. ההאקר גילה סבלנות, "התיישב" ברשת, קרא תכתובות מייל והמתין להזדמנות הראשונה. 

יום אחד הוא הבחין בתכתובת בין הסטארט-אפ הישראלי לבין חברת הון סיכון סינית, שדנה בהעברת כסף לחברת ההזנק מהקרן הסינית כחלק מסבב גיוס הון של מיליוני דולרים שהשלימה החברה. בשלב זה ההאקר נכנס לפעולה: הוא רשם שני דומיינים, אחד שדומה מאד לשם החברה הישראלית, והשני, שדומה מאד לשם החברה הסינית. בצורה זו התוקף הצליח להקים תשתית מחוכמת בה הוא יכול ליזום אימיילים כאילו בשם החברות. 

משרדי צ'ק פוינט בתל אביבצילום: BAZ RATNER/רויטרס

ההאקר שלח מייל מהכתובת ה"ישראלית" ובה ביקש מהקרן להשלים העברה בנקאית לחשבון בנק מסויים. אלא שחשבון הבנק הזה, ודאי ניחשתם, היה מזוייף ושייך לתוקף. ההאקר אפילו דאג לשלוח לשני הצדדים אי-מייל ביטול על פגישה שתוכננה בשנחאי, כדי למנוע מהם שייפגשו פנים אל פנים ויעבירו מידע ישיר על חשבון הבנק או כל פרט אחר שיעלה חשד. המתקפה הצליחה והקרן הסינית אכן העבירה מיליון דולר לתוקף. 

אחרי ששני הצדדים הבינו שרימו אותם, אחרי שהכסף עבר אבל עוד לפני שהגיע לידיו, צוות המענה להתקפות סייבר של צ'ק פוינט הוזעק לחקור את המקרה. הם כותבים שהתקשו מאוד במלאכה. ראשית, כי בחברה הישראלית מחקו את המיילים, וכל שנשאר להם היה כמה צילומי מסך מהטלפון הנייד של מנכ"ל הסטארט-אפ. שנית, על תשתית האימייל בה השתמשה החברה שומרים תיעוד (לוגים) רק של חמש כניסות אחרונות בלבד, מה שמקשה על חקירה היסטורית. 

הצוות של צ'ק פוינט מסכמים וממליצים: "אימייל הוא וקטור התקיפה מספר 1 על מנת לחדור לארגון. באמצעות פישינג הרבה פעמים מפתים התוקפים עובדים לחשוף את שם המשתמש והסיסמה וכך משתלטים על תשתית האימייל. אנחנו ממליצים להשתמש בכלי אבטחה לדואר האלקטרוני ולהשתמש בתשתית דוא"ל ששומרת לוגים לפחות שישה חודשים אחורה".

עוד הסבירו: "חשוב לחנך את העובדים למודעות לגבי איום שנשקף מהאימייל, וכשזה מגיע להעברת כסף, חשוב לבצע וידוא שני בשיחה טלפונית עם הגורם הרלווטי. אין למחוק ראיות פורנזיות במתקפת סייבר, היות שהדבר רק מקשה על החקירה ומקל על התוקף. כדאי להשתמש בכלי שיודע לזהות רישום דומיינים שדומים לדומיין של החברה. לבסוף, תמיד כדאי שתהיה לחברה תוכנית תגובה למקרי חירום, מוכנה מראש, על מנת להקטין את זמן המענה לאירוע". 

תגובות