סטארטאפ ישראלי חשב שקיבל השקעה, ונעקץ במיליון דולר
קרן הון סיכון סינית רצתה להשקיע בסבב הסיד של סטארטאפ ישראלי, אבל שני הצדדים לא ידעו שמישהו יושב על ההתכתבות שלהם. זה נגמר בעקיצה של מיליון דולר
סטארטאפים זקוקים לכסף כמו אוויר לנשימה. לכן אין פלא שהסטארטאפים הישראלים נמצאים במירוץ אינסופי אחרי משקיעים שיממנו עבורם את החלום – בדרך אל האקזיט הנחשק. סטארטאפ ישראלי שהיה בעיצומו של גיוס Seed כבר חשב שהוא הצליח לסגור עסקה נהדרת, וקרן הון סיכון סינית חשבה שהיא הצליחה להניח את ידיה על עוד טכנולוגיה ישראלית נהדרת, רק כדי להתעורר בוקר אחד ולגלות ששניהם נעקצו במתקפה מתוחכמת.
להאקר הייתה סבלנות ויצירתיות
מנכ״ל הסטארטאפ הישראלי ונציג קרן ההון הסינית אשר רצתה להשקיע בו, השאירו את כל התקשורת בינהם בנוגע לעסקה במיילים, אך בעודם מתכתבים האחד עם השני בשלבים הקריטיים ביותר, עוד גורם הצליח לרגל אחרי ההתכתבויות, לאחר שחדר למערכת האימיילים של הסטארטאפ הישראלי. ההאקר לא פעל באופן מיידי, והמתין בסבלנות להזדמנות הנכונה. וזו הגיעה לבסוף.
כמה חודשים לפני שלב העברת הכספים, התוקף הבחין במיילים בהתכתבויות בנושא סבב גיוס Seed, והחליט שהגיע הזמן לפעול. הוא יצר שני דומיינים מזויפים: האחד עם השם של הסטארטאפ והשני עם השם של קרן הון הסיכון, רק שלשניהם הוא פשוט הוסיף את האות ״s״ בסופו, ממש כמו בשיטות הפישינג הבסיסיות ביותר.
לאחר מכן, התוקף העתיק את נושא המיילים העוסקים בגיוס, ושלח מייל לקרן בעודו מתחזה למנכ״ל הסטארטאפ, ובמקביל שלח מייל למנכ״ל בעודו מתחזה לנציג הקרן המטפל בהעברה. כלומר, מדובר במתקפת Man-In-The-Middle קלאסית, כשהתוקף מנהל שתי זהויות. התוקף ערך והעביר את האימיילים שקיבל לגורמים הנכונים כדי לקדם את העסקה, בעודו מנסה להוביל לשליחה של כספי הגיוס לחשבון הבנק שלו, וכששני הצדדים לא מבחינים כי הם מתכתבים עם הכתובת הלא נכונה.
במהלך המתקפה, התוקף שלח 18 מיילים לצד הסיני ו-14 לסטארטאפ הישראלי, כאשר באחד מהם הוא אפילו הצליח לטרפד פגישה של השניים שהייתה אמורה להתקיים, ובה שני הצדדים היו מגלים כמובן את כל הפרטים המזוייפים כמו פרטי חשבון הבנק למשל. אחרי מספר התכתבויות הצליח התוקף לשכנע את הקרן הסינית להעביר לא פחות ממיליון דולר לחשבון הבנק שלו. מצ׳ק פוינט, אשר ניהלה את חקירת המקרה, נמסר כי מתקפות שכאלו מתרחשות לא מעט, אך לרוב לא מדווחות מפאת הבושה והרצון לא להרתיע משקיעים פוטנציאליים.
למרות שהעוקץ הצליח, התוקף החליט שהוא לא מסתפק בסכום המרשים, וכבר החל לתכנן עוקץ נוסף בו הוא שלח מייל ל-CFO של הסטארטאפ הישראלי בתור מנכ״ל הסטארטאפ וביקש להעביר בדחיפות כספים לחשבון בנק בהונג קונג. בשלב הזה צ׳ק פוינט כבר הייתה מצויה בלב החקירה, כך שאיבוד כספים פוטנציאלי נוסף נמנע. עם זאת, אבדו עקבותיהם של מיליון הדולרים שהועברו ולא ניתן לאתרם.
יש מה לעשות בנדון
צוות החקירות אסף משתי החברות את כל האימיילים, המחשבים והלוגים אשר היו מעורבים בתקרית לצורך החקירה. על פי החוקרים, עם חקירת הקבצים התגלו קשיים לא קטנים: שירות המיילים בו השתמש בצד הישראלי היה שייך ל-GoDaddy, אשר שומר את פרטי הגישה של 5 ההתחברויות האחרונות בלבד, שבמסגרתם כמובן הצד התוקף לא היה מחובר. בצ׳ק פוינט מנסים להדגיש כי ניתן להימנע ממקרים שכאלו בעיקר על ידי עירנות ומזהירים כי תוקפים רבים משתמשים בטכניקות פישינג כדי לחשוף נתוני גישה לאירגונים. כמו כן, מלבד חשיפת עובדים למקרים כאלו ואחרים לצורך הפקת לקחים, בחברה ממליצים להתשמש בשירותי מייל ששומרים לוגים של חצי שנה לפחות ולהשתמש בכלי אבטחה שיכולים לזהות מתקפות פישינג דומות.
ובמקרה שבו מישהו מתכנן להעביר לכם מיליון דולר שעתיד הסטארטאפ שלכם תלוי בהם, מומלץ פשוט להתקשר ולוודא שכל הפרטים נכונים.
הגב
13 תגובות על "סטארטאפ ישראלי חשב שקיבל השקעה, ונעקץ במיליון דולר"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
נשמע תמוהה.. ככה מעבירים מליון דולר.. בלי בדיקה בלי לוודא?
אם מישהו היה רוצה להעביר לי מיליון דולר או שהייתי רוצה להעביר לצד השני מיליון דולר הייתי שולח את הכסף באופן ישיר עם שיליח. כנראה שבשביל השמקיע מיליון דולר זה טיפה בים.. אחרת אין איך להסביר את הטיפשות של שתי הצדדים.
מליון דולר הוא כסף קטן עבור חברות העוסקות בשירותים… העברות בסכומים זהים נעשים אצלהם באופן שוטף וכמעט יומי.
יש מקרים גרועים יותר ועקיצות באופן שוטף עליהם אף אחד לא שומע קוראים כמעט כל יום, כמו שכותב הכתבה רשם החברות מתביישות.
קשקוש. אין אף חברה בעולם, אבל אף חברה, שמיליון דולר בעבורה הוא כסף קטן.
מציע לתקן את ״בנידון״ ל-״בנדון״…. מביך מעט
*מבך
*רעי
גנב פשוט: אתמול פרצתי לבית הרמתי 5 אלף
גנב עם תואר: אתמול ישבתי בבית הרמתי מיליון דולר
גנב פשוט: כמה אבא שלי צדק שאמר בלי ללמוד לא יצא ממני כלום
התגובה בחסות
אם גם אתה רוצה להיות גנב סייבר ולהרוויח מיליון דולר בלי לצאת מהבית, בא אלנו לחברת הייג’ק החברה שמשלבת בין הייג’ק להייטק
ואצלנו גנבים בלי תואר הולכים לכנסת או לעירייה…
איך לא יודעים לאן הכסף הלך, אם יש מספר חשבון בנק, לא הבנתי
בטח חבר של עובד בקרן הסינית
Never trust technology
I don’t know rick it looks fake
איבדתם את האמינות כשאמרתם שצ’ק פוינט עצרה את ההתקפה השניה. חחח בטח
גנב ממש חכם.. נותן לבני דודים שלו לעשות את העבודה
נשמע יחצ”ני מדי ולא אמיתי.