סטארטאפ ישראלי חשב שקיבל השקעה, ונעקץ במיליון דולר

קרן הון סיכון סינית רצתה להשקיע בסבב הסיד של סטארטאפ ישראלי, אבל שני הצדדים לא ידעו שמישהו יושב על ההתכתבות שלהם. זה נגמר בעקיצה של מיליון דולר

תמונה: Pexels

סטארטאפים זקוקים לכסף כמו אוויר לנשימה. לכן אין פלא שהסטארטאפים הישראלים נמצאים במירוץ אינסופי אחרי משקיעים שיממנו עבורם את החלום – בדרך אל האקזיט הנחשק. סטארטאפ ישראלי שהיה בעיצומו של גיוס Seed כבר חשב שהוא הצליח לסגור עסקה נהדרת, וקרן הון סיכון סינית חשבה שהיא הצליחה להניח את ידיה על עוד טכנולוגיה ישראלית נהדרת, רק כדי להתעורר בוקר אחד ולגלות ששניהם נעקצו במתקפה מתוחכמת.

להאקר הייתה סבלנות ויצירתיות

מנכ״ל הסטארטאפ הישראלי ונציג קרן ההון הסינית אשר רצתה להשקיע בו, השאירו את כל התקשורת בינהם בנוגע לעסקה במיילים, אך בעודם מתכתבים האחד עם השני בשלבים הקריטיים ביותר, עוד גורם הצליח לרגל אחרי ההתכתבויות, לאחר שחדר למערכת האימיילים של הסטארטאפ הישראלי. ההאקר לא פעל באופן מיידי, והמתין בסבלנות להזדמנות הנכונה. וזו הגיעה לבסוף.

כמה חודשים לפני שלב העברת הכספים, התוקף הבחין במיילים בהתכתבויות בנושא סבב גיוס Seed, והחליט שהגיע הזמן לפעול. הוא יצר שני דומיינים מזויפים: האחד עם השם של הסטארטאפ והשני עם השם של קרן הון הסיכון, רק שלשניהם הוא פשוט הוסיף את האות ״s״ בסופו, ממש כמו בשיטות הפישינג הבסיסיות ביותר.

לאחר מכן, התוקף העתיק את נושא המיילים העוסקים בגיוס, ושלח מייל לקרן בעודו מתחזה למנכ״ל הסטארטאפ, ובמקביל שלח מייל למנכ״ל בעודו מתחזה לנציג הקרן המטפל בהעברה. כלומר, מדובר במתקפת Man-In-The-Middle קלאסית, כשהתוקף מנהל שתי זהויות. התוקף ערך והעביר את האימיילים שקיבל לגורמים הנכונים כדי לקדם את העסקה, בעודו מנסה להוביל לשליחה של כספי הגיוס לחשבון הבנק שלו, וכששני הצדדים לא מבחינים כי הם מתכתבים עם הכתובת הלא נכונה.

היי-טק, סטארטאפים וטכנולוגיה - רוצים להקדים את כולם? היי-טק, סטארטאפים וטכנולוגיה - רוצים להקדים את כולם? להורדת אפליקציית גיקטיים לאייפון ולאנדרואיד לחצו כאן

במהלך המתקפה, התוקף שלח 18 מיילים לצד הסיני ו-14 לסטארטאפ הישראלי, כאשר באחד מהם הוא אפילו הצליח לטרפד פגישה של השניים שהייתה אמורה להתקיים, ובה שני הצדדים היו מגלים כמובן את כל הפרטים המזוייפים כמו פרטי חשבון הבנק למשל. אחרי מספר התכתבויות הצליח התוקף לשכנע את הקרן הסינית להעביר לא פחות ממיליון דולר לחשבון הבנק שלו. מצ׳ק פוינט, אשר ניהלה את חקירת המקרה, נמסר כי מתקפות שכאלו מתרחשות לא מעט, אך לרוב לא מדווחות מפאת הבושה והרצון לא להרתיע משקיעים פוטנציאליים.

למרות שהעוקץ הצליח, התוקף החליט שהוא לא מסתפק בסכום המרשים, וכבר החל לתכנן עוקץ נוסף בו הוא שלח מייל ל-CFO של הסטארטאפ הישראלי בתור מנכ״ל הסטארטאפ וביקש להעביר בדחיפות כספים לחשבון בנק בהונג קונג. בשלב הזה צ׳ק פוינט כבר הייתה מצויה בלב החקירה, כך שאיבוד כספים פוטנציאלי נוסף נמנע. עם זאת, אבדו עקבותיהם של מיליון הדולרים שהועברו ולא ניתן לאתרם.

יש מה לעשות בנדון

צוות החקירות אסף משתי החברות את כל האימיילים, המחשבים והלוגים אשר היו מעורבים בתקרית לצורך החקירה. על פי החוקרים, עם חקירת הקבצים התגלו קשיים לא קטנים: שירות המיילים בו השתמש בצד הישראלי היה שייך ל-GoDaddy, אשר שומר את פרטי הגישה של 5 ההתחברויות האחרונות בלבד, שבמסגרתם כמובן הצד התוקף לא היה מחובר. בצ׳ק פוינט מנסים להדגיש כי ניתן להימנע ממקרים שכאלו בעיקר על ידי עירנות ומזהירים כי תוקפים רבים משתמשים בטכניקות פישינג כדי לחשוף נתוני גישה לאירגונים. כמו כן, מלבד חשיפת עובדים למקרים כאלו ואחרים לצורך הפקת לקחים, בחברה ממליצים להתשמש בשירותי מייל ששומרים לוגים של חצי שנה לפחות ולהשתמש בכלי אבטחה שיכולים לזהות מתקפות פישינג דומות.

ובמקרה שבו מישהו מתכנן להעביר לכם מיליון דולר שעתיד הסטארטאפ שלכם תלוי בהם, מומלץ פשוט להתקשר ולוודא שכל הפרטים נכונים.

מי יהיו הסטארטאפ, הקרן והאקסלרטור של השנה? מי יהיו הסטארטאפ, הקרן והאקסלרטור של השנה? הגישו את המועמדים שלכם לפרסי ה-GeekAwards

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

13 תגובות על "סטארטאפ ישראלי חשב שקיבל השקעה, ונעקץ במיליון דולר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יצאתי מסרט
Guest

נשמע תמוהה.. ככה מעבירים מליון דולר.. בלי בדיקה בלי לוודא?
אם מישהו היה רוצה להעביר לי מיליון דולר או שהייתי רוצה להעביר לצד השני מיליון דולר הייתי שולח את הכסף באופן ישיר עם שיליח. כנראה שבשביל השמקיע מיליון דולר זה טיפה בים.. אחרת אין איך להסביר את הטיפשות של שתי הצדדים.

דימה
Guest

מליון דולר הוא כסף קטן עבור חברות העוסקות בשירותים… העברות בסכומים זהים נעשים אצלהם באופן שוטף וכמעט יומי.
יש מקרים גרועים יותר ועקיצות באופן שוטף עליהם אף אחד לא שומע קוראים כמעט כל יום, כמו שכותב הכתבה רשם החברות מתביישות.

מישהו
Guest

קשקוש. אין אף חברה בעולם, אבל אף חברה, שמיליון דולר בעבורה הוא כסף קטן.

רועי
Guest

מציע לתקן את ״בנידון״ ל-״בנדון״…. מביך מעט

מישהו
Guest

*מבך
*רעי

מנכל הייג\'ק
Guest

גנב פשוט: אתמול פרצתי לבית הרמתי 5 אלף
גנב עם תואר: אתמול ישבתי בבית הרמתי מיליון דולר
גנב פשוט: כמה אבא שלי צדק שאמר בלי ללמוד לא יצא ממני כלום

התגובה בחסות
אם גם אתה רוצה להיות גנב סייבר ולהרוויח מיליון דולר בלי לצאת מהבית, בא אלנו לחברת הייג’ק החברה שמשלבת בין הייג’ק להייטק

תואר במדעי הקומבינה
Guest
תואר במדעי הקומבינה

ואצלנו גנבים בלי תואר הולכים לכנסת או לעירייה…

יאיר
Guest

איך לא יודעים לאן הכסף הלך, אם יש מספר חשבון בנק, לא הבנתי

Dog lee
Guest

בטח חבר של עובד בקרן הסינית

HAckEr
Guest

Never trust technology

אחד
Guest

I don’t know rick it looks fake

איבדתם את האמינות כשאמרתם שצ’ק פוינט עצרה את ההתקפה השניה. חחח בטח

יאיר
Guest

גנב ממש חכם.. נותן לבני דודים שלו לעשות את העבודה

אגו
Guest

נשמע יחצ”ני מדי ולא אמיתי.

wpDiscuz

תגיות לכתבה: