פריצה של הייסט מפזרת בנקים צרפתים

שוד בנקאי פשוט לא מה שהיה פעם. חיתוך חורים בקירות, פירוק מצלמות האבטחה, פיצוח כספות… זה כל כך שנות התשעים. השודד המודרני זקוק למיומנויות סייבר. טרויאני עם גישה מרחוק (RAT) יעיל יותר משומה במשרד הבנק. ומדוע לפצח את הכספת כשאפשר להעביר את הכסף באופן אלחוטי? קבוצת בנקים ורב-לאומיות בצרפת נפגעה בדיוק עם סוג כזה של היי-טק, וסימנטק תיעד את כל הדרמה.

הכל התחיל בהודעת דוא"ל פשוטה שהכוונה את העוזר הניהולי של סמנכ"ל להתמודד עם חשבונית מסוימת. בהתחשב בעובדה שהחשבונית התארחה מחוץ לחברה, באתר של שיתוף קבצים, ייתכן שהמנהל היה מהסס. עם זאת, דקות אחר כך אותו עוזר קיבל שיחת טלפון לכאורה מסמנכ"ל אחר בו דחק בה לזרז את החשבונית. מאובחנת משיחת הטלפון ההונאה, היא פתחה אותה ובכך שחררה RAT בתוך רשת החברה. השילוב האגרסיבי בין דוא"ל חנית-דיוג לבין שיחות טלפון בהונאה תפס את העניין של חוקרי סימנטק; הם חפרו עמוק יותר ומצאו פיגועים יותר ויותר גרועים על חברות צרפתיות אחרות.

הגנות מובסות

בפוסט בבלוג שפורסם היום חשף סימנטק כיצד התוקפים הצליחו להביס את כל ההגנות של חברה אחת מפני העברות כספים לא מורשות. זה באמת קורא כמו התסריט לסרט הייסט.

בתור התחלה, הם השתמשו במתקפת ההנדסה החברתית הדו-צדדית שתוארה לעיל כדי לטעון RAT למחשב של עוזר מנהל. נתוני החברה ריכזו מידע הכולל את תוכנית האסון של החברה ופרטי ספקי הטלקום שלה. בעזרת המידע הגנוב, הנוכלים העלו את תוכנית האסון בטענה לאסון פיזי. זה מאפשר להם להפנות את כל הטלפונים של הארגון למערך טלפונים חדש שבשליטתם.

בשלב הבא הם שלחו פקס לבנק של החברה בדבר העברות כספיות גדולות רבות לחשבונות חוץ. באופן טבעי נציג הבנק קרא לאשר; הנוכלים יירטו את השיחה ואישרו את העסקה. ברגע שהכסף הופיע באותם חשבונות בחו"ל, הם חילקו אותם. שובבות הצליחה!

סימנטק גילה לא מעט מקרים אחרים, רבים מהם הרבה פחות מורחבים. לדוגמה, תוקף אחד פשוט התקשר לקורבן וקבע כי תחזוקה שוטפת מחייבת השבתת אימות דו-גורמי לצורך העברות כספים באופן זמני. אחר הודיע ​​לקורבן כי שדרוגי מחשב דורשים העברת כספים "מבחן"; ה"מבחן "חיבר למעשה קרנות ריאליות לחשבון offshore. בני אדם גלויים בבירור הם נקודת התורפה במערכות אבטחה רבות.

Whunnunnit?

בידיעה שסוג זה של שיקאיקה מתרחש, הצליח סימנטק להצליח להוביל בפעולה בתהליך, קפרס שכינו אותו "פרנקופונה". הם הצליחו להתחקות אחר תנועת הפיקוד והבקרה דרך אוקראינה לכתובות IP שמקורן בישראל.

בניתוח כתובות ה- IP בהן נעשה שימוש הבחינו בשני מוזרויות. ראשית, הכתובות הגיעו מגוש שהוקצה ספציפית לכרטיסי MiFi - מכשירי רדיו סלולריים GSM שניתן להשתמש בהם כדי לספק גישה לאינטרנט דרך הרשת הסלולרית. שנית, הם השתנו ללא הרף, זאת אומרת שהחבר'ה הרעים הסתובבו והעבירו מגדלי תא שונים. הטלקום לא הצליח לשולש מטרה נעה, וקשרי ה- MiFi היו ככל הנראה אנונימיים ושולמו מראש, כך שלא הייתה שום דרך לתפוס את הנוכלים.

אני לא יכול לחכות לגרסת הסרט!