הזהרו: הדור הבא של תוכנות הכופר כבר כאן

בחודשים האחרונים החל להציף את הרשת תרגיל עוקץ חדש בתחום תוכנות הכופר שדורשות תשלום עבור גישה לקבצים שלכם. כך תשימו לב ולא תיפלו בפח

laptop PD

במהלך ארבע השנים האחרונות, ובמיוחד לאחרונה, אני עוקב אחר ההתפתחות של תוכנות הכופר מקרוב מאוד. במרבית ההתקפות של תוכנות כופר בשנה האחרונה השלב הראשון בהתקפה הוא אימייל עם קובץ מצורף שמגיע לקורבן המיועד ומתחזה בדרך כלל להודעה פקס, או לחשבונית של חברת משלוח כמו UPS או Fedex. מדובר בניסיון מכוון לנצל את הנקודה החלשה ביותר במערך האבטחה הארגוני והיא – המשתמש.

בגל האחרון של תוכנת הכופר Locky הקובץ המצורף הוא בדרך כלל מסמך וורד או אקסל שמוצג בג'יבריש ומבקש מהמשתמש לאפשר מאקרו כדי להציג את תוכן ההודעה בצורה קריאה. ברגע שהמשתמש מאשר לקובץ להפעיל את קוד המאקרו, מופעל השלב שבו תוכנת הכופר מורידה גרסה עדכנית של הקוד הזדוני, שלאחריו מתבצעת סריקה של מסמכים חיוניים במחשב וברשת, ומתבצעת ההצפנה.

image1

משתמשים רבים מאפשרים מאקרו בקובץ למרות האזהרה הבולטת של אופיס

משתמשים רבים מאפשרים מאקרו בקובץ למרות האזהרה הבולטת של אופיס. במהלך השבועות האחרונים, מהוות התקפות מסוג זה קרוב לשליש מהכמות הכללית של נוזקות שהמוצרים שלנו מזהים בישראל. כמות ההתקפות מצביעה על כך שהתוקפים שמפיצים את תוכנות הכופר מבינים שקיים פוטנציאל פגיעה גבוה בישראל, ושהקורבנות מוכנים לשלם סכומים גבוהים בדומה לארה"ב ולאירופה.

השלב הבא – לוקליזציה של המיילים

במדינות מפותחות כמו ארה"ב, אירופה, ניו זילנד ויפן, קיים פוטנציאל גבוה משמעותית שקורבנות יסכימו לשלם סכומי כופר גבוהים, וכך גם בישראל, ולכן אלה המדינות בהן אחוזי ההתקפה הם הגבוהים ביותר. השלב הבא שהחל כבר בשאר המדינות המפותחות ועדיין לא הגיע לישראל, הוא דואר זבל שעובר תרגום לשפה המקומית, ומתחזה להודעות מחברות מוכרות באותה המדינה. לדוגמה, במהלך החודשים האחרונים בשבדיה, מרבית דואר הזבל שמפיץ תוכנות כופר מתורגם לשבדית, ומתחזה להודעה על חבילה משירות הדואר השבדי:

image2

הודעת דואר אלקטרוני מתחזה שמגיעה כביכול משירות הדואר השבדי

הקישור מוביל לאתר מתחזה, שבו מתבצעת התקפה אוטומטית של תוכנת כופר על המחשב של הקורבן המיועד. קיימת סבירות גבוהה ביותר שכבר בשבועות הקרובים נראה דואר זבל מתורגם לעברית הנושא לוגו של חברות מוכרות לשוק המקומי. זאת במיוחד בהתחשב בכמות ההתקפות שכבר הצליחה לפגוע בישראלים בשימוש בהודעות באנגלית.

כל שיידרש מהתוקפים, שנמצאים רובם בחו"ל, הוא לשתף פעולה עם דובר עברית שידע לתרגם את דואר הזבל בצורה אמינה שלא תיראה כמו הודעה שתורגמה באמצעות Google Translate.
 ניתן גם יהיה להשתמש בפורמט הקיים של חברות שליחות בארץ, כאשר כל שיידרש הוא להחליף את הקובץ המצורף או את הקישור המופיע בגוף האימייל לכאלו שיפנו להפעלה של תוכנת כופר.

image3

הודעת דואר אלקטרוני מתחזה בעברית – כך היא תוכל להיראות בהתבסס על הודעות לגיטימיות מהחברה

איך אפשר להתגונן?

קיימים מספר סימנים שיכולים להצביע על כך שהודעת האימייל שקיבלנו היא מתחזה:

יש לוודא שכתובת השולח היא עם הדומיין הרשמי של החברה 
בדוגמה למעלה השולח הוא NoReply@upsil.com החלק החשוב בכתובת הוא upsil.com ויש לוודא שאין בו שגיאות כתיב או סיומות שאינן מוכרות (הכתובת האמיתית היא ups.co.il).

לאן הלינק מפנה באמת?
 אם נשים את הסמן של העכבר מעל לקישור שנמצא בגוף האימייל, בלי ללחוץ עליו, תוצג הכתובת המדויקת אליה תתבצע ההפניה. חשוב לוודא שמדובר בכתובת הרשמית של החברה השולחת. 
דוגמה מתוך ההודעה המתחזה מ-UPS:

image4

ניתן לראות שהכתובת מפנה לאתר לא מוכר בשם nemucod.co וממש לא לכתובת הרשמית של UPS בישראל לטובת מעקב אחר חבילות.

הגבלת זמן שיוצרת תחושת דחיפות: בהודעות אימייל מתחזות יהיה ניסיון בדרך כלל ליצור תחושת דחיפות באמצעות הגבלה בזמן שבו ניתן לבצע את הפעולה או תשלום יומי שמצטבר. בדוגמה של ההודעה המתחזה בשבדית, נרשם שהחבילה תישמר במשרדי החברה ל-16 ימים, ולאחר מכן הנמען יחויב ב"קנס" בסך 64 קרונות עבור כל יום נוסף.

האם אני אמור לקבל אימייל מהחברה הזו? חשוב שנעצור לרגע לפני שאנחנו פותחים הודעות דואר אלקטרוני, ונחשוב: האם אני אמור לקבל הודעה/חבילה/פקס מהחברה הזו? אם התשובה היא לא, מומלץ למחוק את ההודעה מידית.

כולנו שמענו שהסקרנות הרגה פעם איזה חתול, ובמקרה של תוכנות כופר היא יכולה לעלות בהרבה כסף ובריאות. אני תמיד ממליץ לא לשתף פעולה עם העבריינים ולא לשלם את הכופר. התשלום מחזק את המוטיבציה של התוקפים המתעשרים ונותן להם תקציב לפיתוח גרסאות חדשות ומשופרות של תוכנות כופר. אני מבין שבהעדר אלטרנטיבה דוגמת גיבוי, כאשר המידע הפרטי או העסקי הכי רגיש אינו נגיש יותר – לדוגמה: מאגר נתונים של הלקוחות או כל הדוחות הפיננסיים של העסק – אנשים בוחרים לשלם, אבל בדיוק בגלל נסיבות כאלה, מעגל הקסמים (או למעשה האיומים) גם ממשיך וגם מתרחב.

הכתבה בחסות ESET

ESET היא חברת האנטי וירוס ואבטחת מידע ה-5 בגודלה בעולם, המגנה על יותר מ-100 מיליון משתמשים מפני מגוון איומים: נוזקות, גניבת זהויות ופישינג, והתקפות של האקרים. האנטי וירוס הביתי של ESET הוא הנמכר ביותר בישראל ומוצרי החברה מובילים גם בשוק העסקי. הצטרפו אלינו בפייסבוק ותהיו תמיד מעודכנים באיומי הרשת.

אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

7 Comments on "הזהרו: הדור הבא של תוכנות הכופר כבר כאן"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
(:
Guest

הסבר נחמד אבל שום דבר פה לא באמת חדש/ בחודשים האחרונים… הדבקה בנוזקות כופר באמצעות מאקרו זו שיטה נפוצה כבר שנים

ירון הרחב
Guest

מה שעצוב זה ש eset (כמו מוכרים אחרים) לא עוזר בכלום נגד ההתקפות האלו, כל פעם זה וריאנט חדש שהחתימות הקיימות לא תופסות

Rotem
Guest

BufferZone יודעת להגן מפני כל תוכנת כופר

מ1.
Guest

על סמך מה זה נאמר ???

חנזירו
Guest

טמבל מי שמגבה על ענן, כי זה כמו שיתוף-פעולה מראש עם Data-Minnig. זיכרון ומדיום זיכרון הם כל כך זולים היום, שאפילו פיתוי הנפח לגבות אוטומטית לענן כבר לא מוצדק, לא כלכלית ובוודאי לא בטיחותית. אני עובד עם קבצים כמוסים, בלי להצפין אותם, ומגבה לעצמי מחוץ לרשת. כדי לגלוש אני עובד על מחשב ייעודי לגלישה ולמייל, ושם אין לי מה להסתיר – כל ההאקרים בעולם מוזמנים לפלוש אליו ולעשות ביד עד שתיפול להם מהיד הפצירה של הציפורניים – לא מזיז לי. פעולות בנקאיות, רק מהסמרטפון וזהו

מ1.
Guest

1) נחמד, אבל גם לסמארטפון שלך אפשר לפרוץ.
2) איך אתה מבצע מיילים בענייני עבודה ?

עדי
Guest

אני הגעתי לפוסט הזה לאחר שעל המחשב שלי "השתלט" וירוס כזה – רק שאני מספיק מודעת כדי לא לפתוח קבצים ממקורות לא ידועים. החשד שלי הוא שתוכנת פרסומות שהתקינה את עצמה על המחשב כחלק מ Toolbar שעדיין לא הצלחתי להסיר אחראית על ההתקנה של הוירוס… האם זה נשמע הגיוני?

wpDiscuz

תגיות לכתבה: