מערך הסייבר הלאומי: התרעה דחופה אודות קמפיין להפצת דוא"ל זדוני
מאת:
מערכת Telecom News, 9.9.20, 14:22
ממידע שהתקבל במערך הסייבר הלאומי עולה, שבימים האחרונים מופץ דוא"ל זדוני הנשלח מחברות ישראליות, שככל הנראה נתקפו, לרשימות תפוצה וספקים של אותן החברות, שמהווה סכנה לארגונים.
מערך הסייבר הלאומי פרסם התרעה דחופה ביותר לגבי דוא"ל זדוני. פתיחת ה"צרופה", לחיצה או לחיצה על הקישור, מהוות סכנה למערכות הארגוניות ומחייבות היערכות מידית למניעה או זיהוי של ההדבקה.
מערך הסייבר הלאומי מזהיר מפני פתיחה של הקובץ המצורף להודעות דוא"ל אלו, שמהווה סכנה למערכות הארגוניות, וקורא לארגונים לפעול למניעת פתיחתו בארגון או לזיהוי של הדבקה.
מערכות ההגנה בארגון לא תמיד מזהות את הקבצים כזדוניים. המערך מסייע בימים האחרונים למספר חברות, שבהן הקובץ התקבל ונפתח. ככל הנראה, לאחר ההדבקה של הרשת, ההודעה ממשיכה לשכפל ולהפיץ עצמה מתוך ארגונים שנדבקו לרשימות התפוצה שלהם.
ההודעה מגיעה משולח, שכתובתו ושמו נראים מוכרים, לכאורה, לארגון ומכילה קישור המוצג כצרופה מסוג
zip למשל, להורדת קבצים. קישור זה מכיל קבצים נוספים כגון מסוג
Excel ו-
Word, אך הם עלולים להגיע בשמות שונים ובפורמטים נוספים ואף במענה להודעה. פתיחת הקובץ מובילה להורדת מספר קבצים זדוניים לעמדת המשתמש ובכך מאפשרת לתוקפים להשיג גישה לרשת הארגון. ככל שמתעורר חשד, יש לוודא עם השולח ישירות, שאכן שלח את ההודעה ולהימנע מללחוץ על הקישור והקבצים.
מצורפים להתרעה מזהים רלוונטיים לחסימה במערכות ההגנה, כאשר מזהים נוספים יופצו באופן שוטף ב
מערכת הסייברנט.
דוגמא לתקיפה שזוהתה במהלך הקמפיין:
1 .קבלת דוא"ל מכתובת מייל של חברה ישראלית שנפרצה.
2 .הדוא"ל מכיל קישור המוצג כצרופה בשם Confidential-Letters.zip
3. לאחר לחיצה על הקישור, נפתח העמוד הבא ובתוכו קובץ
Zip
4. קובץ ה-Zip מכיל קובץ Excel בשם Confidential Letters(Names).xls וקובץ Word בשם Info:
5 . פתיחת קובץ ה-
Excel מובילה להורדת מספר קבצים זדוניים לעמדת המשתמש ובכך מאפשרת לתוקף להשיג גישה לתחנה
.
דרכי התמודדות
מומלץ לנטר את קובץ האינדיקטורים הזדוניים
IOCs במערכות ההגנה הארגוניות ולהמשיך ולהתעדכן אודות הקמפיין ברשת הסייברנט.
מומלץ לבדוק האם המערכות זיהו פעילות של האינדיקטורים בשבועיים האחרונים. במידה וכן, יש לוודא, שאף גורם בארגון לא הפעיל את הקישור ואף מומלץ לנתק את העמדה מהרשת הארגונית לטובת חקירתה בסביבה בטוחה.
אם אותרה תקשורת לאחד מן הדומיינים, יש לאתר את התחנות מהן יצאה תקשורת זו ולבצע בה חיפוש ממוקד לאיתור הקבצים הזדוניים.
יש להגביל את סוגי הקבצים, שניתן לקבל בדוא"ל הארגוני עפ"י Best Practice מתאים.
יש להגביל את סוגי הקבצים, שניתן להוריד מהאינטרנט לתחנת המשתמשים, עפ"י
Best Practice מתאים.
יש לוודא, כי שספקים וארגונים במשק אינם מוחרגים מפעילויות הגנה בקבלת דוא"ל לרשת הארגון.
עדכון 15:40: בהמשך לאזהרת מערך הסייבר הנ"ל, מוסיפה חברת אבטחת המידע
ESET כמה טיפים, שבחלק ניכר מהמקרים, יהיו סימנים המראים, שלא מדובר בהודעות לגיטימיות, למשל:
נושא המייל - בד"כ הנושא יהיה תואם לתוכן המייל. כותרת המשתמשת בשם הקובץ היא חשודה.
שפת התקשורת - אם רגילים לקבל מיילים בשפה העברית יש להיזהר ממיילים המגיעים משולחים מוכרים שלפתע משתמשים בשפה זרה.
קובץ מצורף – הוא צריך להיות בעל שם תקין התואם לדפוס העבודה אליו רגילים. קובץ אקראי בשם “
f6Dg78%_7”, הוא חשוד.
בנוסף, אם כתוב במייל, שמצורף קובץ
PDF, יש לשים לב, שלא מופנים ל-
OneDrive או שירות אחר לאחסון קבצים אונליין כמו
DropBox או
Google Docs, אלא שזה יהיה קובץ מצורף, כמצופה.
חתימות למייל - אם רגילים לקבל מיילים משולחים קבועים ללא חתימה, יש לשים לב, למקרה שנשלח מייל מאישיות אחרת בחברה ופתאום מצורפת חתימה, בשונה מבדרך כלל.