נחשף קמפיין פישינג המתחזה לאפליקציות דואולינגו ומאסטרקלאס בארץ ובעולם
מאת:
מערכת Telecom News, 19.7.22, 11:00
קבוצת ההאקרים מתחזה לאפליקציות הללו והספיקה להפיל קורבנות וחברות גלובליות. כעת נחשף אופן פעילות הקבוצה. איך מתגוננים?
חברת הסייבר
סיגניה (
Sygnia) הישראלית חושפת מתקפת פישינג המתחזה לאפליקציות הפופולריות דואולינגו ומאסטרקלאס בארץ ובעולם. מאחורי המתקפה עומדת קבוצת האקרים בשם
Luna Moth, שנוהגת לשלוח אימייל שנראה כאילו נשלח מדואולינגו או מאסטרקלאס בו היא "מבשרת" לנמען, שרכש מינוי פרימיום בצירוף חשבונית וכך מפתה אותו להתקשר לשירות הלקוחות, לנסות ולבטל את התשלום - ובמהלך שיחת וידאו עם "הנציג", מותקנים על מחשב הקורבן כלים, שיאפשרו לקבוצת התקיפה גישה תמידית למידע האישי וגם לארגון שבו הוא עובד.
החברהמעדכנת, שסייעה לאחרונה למספר חברות גלובליות, שנפלו קורבן למתקפת הפישינג ונגנב מהן מידע רגיש. בדו"ח החברה נכתב, כי שקמפיין הפישינג, שהחל במרץ 2022, מתמקד בהתחזות ל-2 שירותים מקוונים פופולריים:
דואולינגו (
Duolingo) ללימוד שפות עם חצי מיליארד משתמשים רשומים וכ-40 מיליון הפעילים לפחות אחת לחודש; ומאסטרקלאס (
Zoho MasterClass) המציע קורסים בתשלום עם מיליוני משתמשים.
על-פי צוות החוקרים,
אורן בידרמן, נועם ליפשיץ ו
תומר לחיאני, נשקפת סכנה ממשית לארגונים דרך עובדים, שפותחים בתום לב אימיילים, שנראים להם אמיתיים.
כיצד פועלים התוקפים?
לאחר שהקורבן מקבל אימייל ובו חשבונית מזויפת לרכישת המינוי, הוא מתבקש לפנות למספר המתחזה לשירות הלקוחות המופיע בתחתית האימייל, "במידה ונתקל בבעיה או שלא ביצע את ההזמנה".
הודעות כאלו נשלחות גם למשתמשים, שאינם לקוחות של דואולינגו. חלקם אכן חייגו למספר הטלפון שבמייל, הגיעו ל-
call center שם ציינו בפניהם, שכדי שיוכלו לבטל את הרכישה, עליהם להתקין תוכנת שיחה מרחוק, כאשר בשיחה יוסדרו הפרטים ויבוטל להם את החיוב.
אורן בידרמן, (בתמונה משמאל), מומחה בכיר לזיהוי ותגובה לאירועי סייבר בסיגניה: "הארגון, שבו עובד המשתמש, הופך לחשוף עבור התוקפים והם עלולים לגנוב מידע ולסחוט את החברות בשיטת מתקפת כופר. כדי לאפשר לעובדים לעבוד מהבית, מותקן להם פתרון של
VPN, שמחבר את המחשב האישי, הלפטופ, ויוצר חיבור פרטי, על גבי רשת האינטרנט, לרשת הארגונית. באופן זה, מקבלים התוקפים גישה למסמכים, חומרים ונכסים רגישים של החברה.
מכיוון שאנשים התרגלו לנהל שיחות וידאו בתקופת הקורונה, רבים התקינו את התוכנה מבלי לחשוד וניהלו שיחה קצרה של כדקה, במהלכה, הותקנו להם על המחשב אותם כלים, שמאפשרים לקבוצת התקיפה גישה תמידית למחשב שלהם. משלב זה, נפתחת בפני התוקפים האפשרות לגנוב לקורבנות את הגישה למחשב, לסחוט אותם ואף להצפין את הקבצים שעל המחשב.
איך להתגונן?
באופן כללי, לא ללחוץ על לינקים, שהגיעו מכל מיני מקומות, שלא סומכים עליהם. לא מומלץ לפתוח מיילים ממקומות שלא סומכים עליהם. הקמפיין הנוכחי מתחזה באופן שמאוד קשה למנוע אותו כי על פניו מדובר במייל "עם התנהגות לגיטימית".
אם בכל זאת מקבלים כזה, במקום להתקשר למספר הטלפון הנקוב, מומלץ קודם כל להסתכל על פירוט הוצאות האשראי ולראות האם אכן קיים חיוב שלא בוצע. אם קיים כזה, יש לפנות לחברת האשראי ולנסות לפתור את העניין מולה - ולא לפתוח פתח לגורם שעלול להיות זדוני.
בחברה עדכנו גורמי אכיפת חוק גלובליים ושיתפו אותם בממצאים טרם פרסום הדברים. בחברה ממשיכים לעקוב אחר קבוצת התקיפה, שעדיין פעילה, בניסיון לסכל את המתקפות הבאות.
צילום מסך ששלחה קבוצת ההאקרים: