מחקר: מישהו קורא לכם את הדואר

אתרים מתחזים מצותתים למייל הארגוני שלכם, מעתיקים מיילים ומיירטים סודות מסחריים. האם אתם מוגנים?

הצל. מסתבר שהוא יודע גם לקרוא הודעות מייל.

מבדיקה שערכה קבוצת Godai, עולה כי מתוך סך החברות הרשומות ב-Fortune 500, כ-30% מהן חשופות לתקיפה קיברנטית מסוג Doppelgänger Domains. בתקיפה שכזו, גורמים זדוניים רושמים על שמם שמות מתחם הדומים לאלה של הארגון, וכך הם מצליחים להשיג תכתובות מייל רגישות. במסגרת המחקר, שחקר את התופעה ונמשך על-פני 6 חודשים, הצליחו החוקרים לצבור 20GB של מידע מהחברות עצמן ומגורמים שבקשר איתן.

כולם טועים

הנחת היסוד היא תמימה לגמרי, ומניחה שכולנו בני אדם וכבני אדם השולחים מיילים אנחנו לפעמים עושים טעויות, כאשר אנחנו מכניסים את כתובת הנמען. גם אם מדובר באחוזים נמוכים יחסית של מקרים, בארגון שבו עוברות 100,000 תכתובות מייל בחודש, אחוז אחד מהן יהיה אלף הודעות הממוענות למקום הלא נכון.

החולשה הספציפית שהחוקרים ביקשו לבדוק קשורה בשימוש בתתי-מתחמים. למשל, חברת איי.בי.אם אשר מפעילה עבור מדינות שונות (הדוגמא שהם מציינים במחקר ספציפית היא se.ibm.com, האתר של שוודיה). החולשה מנסה לאתר חברות שפועלות כך, ואז בודקת האם המתחם המלא, כולל שגיאת הקלדה שמוציאה את ה”נקודה”, זמין לרישום (כלומר seibm.com).

מטודולגיה פשוטה

על בסיס הנחת היסוד הזו, נגשו החוקרים לבדוק את רשימת כל החברות הרשומות ב-Fortune 500. הם בדקו אחת-אחת את שמות המתחם שכל חברה מפעילה ומשתמש, ומצאו 151 חברות מתוכן שחשופות לתקיפה. הן בדקו את שמות המתחמים ותת-המתחמים, ובחרו רק 30 מתוך ה-151 חברות, ורשמו על שמם מתחמים הכוללים את השיבוש של הסרת הנקודה מתת המתחם. כך, הם הצליחו ליירט באמצע הדרך מיילים שיועדו לחברת היעד מבחוץ.

השלב הבא היה לבחון האם בארגון ישימו לב לשגיאה, או יתעלמו מקיומה. כדי לבחון זאת, הם ביצעו העברה של תעבורת המייל שהגיעה אליהם (בטעות), אחרי ששינו את כתובת השולח, כך שהשולח הוא הכתובת המשובשת. שינוי זה הוכנס כדי לראות האם אנשים בארגון משיבים למיילים מבלי לשים לב, או שהם ישימו לב ולא ישיבו לכתובת השגויה.

להפתעתם, חלק משמעותי מהמיילים חזרו עם המשך התכתבות חזרה מהחברה, וכך יש להם לא רק את המיילים הנכנסים אלא גם את היוצאים מהחברה. עם המיילים הללו, הם יכולים שוב לשנות את המייל חזרה, ולהעביר אותו לשולח המקורי, שחושב שהתקשורת היתה בינו לבין החברה המסחרית הגדולה, בלי שהוא מודע שעוד משהו קורה את התכתובות שלו.

המחקר עצמו מאוד מעניין, ואם אתם עובדים במחלקת IT, במיוחד בחברות גדולות, מומלץ לקרוא אותו. לחברות גדולות המפעילות מתחמים ותת-מתחמים עשויות להיות מטרה לגורמים זדוניים, כולל ריגול עסקי, שינסו לדלות מידע רגיש מהחברה.

בהקשר הזה יש לציין את המסקנה המטרידה, כי החוקרים גילו שלחברות גדולות רבות בארצות הברית נרשמו כבר אתרי דופלגנגר, חלקם על-שם אנשים מסין. כלומר, לא מדובר בסכנה תיאורטית, מדובר בפרקטיקה קיימת בסביבה הקיברנטית, ולכל ארגון שמשתמש בדואר אלקטרוני כאמצעי תקשורת מרכזי כדאי לבחון את החשיפה שלו לסכנה.

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

1 תגובה על "מחקר: מישהו קורא לכם את הדואר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
טל דלברי
Guest

תקיפה פשוטה אך מעניינת, למרות שהיא סטטיסטית.
לי באופן אישי חבל שפרוטוקול Wave של Google לא הצליח. זאת בדיוק הטכנולוגיה שיכולה לשחרר אותנו מה-Email המיושן והבעיות שלו.

wpDiscuz

תגיות לכתבה: