פירצת אבטחה חדשה בדואר ישראל היא אחת מהמטומטמות שראינו

לקוחות של דואר ישראל, שרצו לשלם מכס עבור חבילות שקיבלו, הופנו על ידי אתר הדואר הרשמי לעמוד לא קיים, שיכול היה בקלות להיות אתר פישינג. מדואר ישראל נמסר: "הנושא הועבר לבדיקה וטופל באופן מיידי"

מקור: Google

חגי הקניות האינסופיים של נובמבר ודצמבר הם ללא ספק התקופה העמוסה ביותר עבור דואר ישראל, ואם חשבתם שתקרית הפישינג הגדולה של חודש אוגוסט ("Post Israel") גרמה לדואר להיות קצת יותר עירני בנוגע לפירצות אבטחה ואיומי פישינג – כנראה שאתם לא חיים במדינת ישראל. פירצת אבטחה חדשה שהתגלתה באתר של דואר ישראל ונסגרה בעקבות פניית גיקטיים, היא מהבסיסיות והמטופשות שראינו בשנה האחרונה, אבל פוטנציאל הפגיעה שלה בלקוחות הדואר היה גדול.

כשהאתר של דואר ישראל הוא זה שמפנה אתכם לאתר הלא נכון

עידן דרדקמן הוא חוקר אבטחת מידע, וכמו כולנו, גם הוא חוטא בהזמנת מוצרים באינטרנט. "קיבלתי הודעה מהדואר שעדכן אותי שחבילה שהזמנתי הגיעה לארץ, ואני צריך לשלם מכס על מנת לקבל אותה", הוא מספר לגיקטיים. לדבריו, הוא נכנס לאתר של דואר ישראל והתחבר לאיזור האישי שלו, שם הוא הקליד גם את מספר החבילה שלו. בשלב הזה האתר של דואר ישראל עדכן אותו שלצורך התשלום הוא יועבר לאתר חיצוני שפועל בשיתוף פעולה עם דואר ישראל בשם mechespay.co.il. "הגעתי לאתר עם חמישה כפתורים גדולים שעליהם רשום pay my bill", ושם לדבריו הוא הבחין בפרסומות מפוקפקות, ואם זה לא הספיק הוא גם קלט שהדומיין עצמו מוצע למכירה.

הקוד הוא הקוד של דואר ישראל, אבל האתר שאתם מופנים אליו? קצת פחות

כלומר, בניגוד למקרי פישינג רבים, שיצרו עמודים מתחזים ל"דואר ישראל", מי שהפנה ל-mechespay היה לא אחר מאשר האתר הרשמי של דואר ישראל.

הגורם שהציע למכירה את הדומיין, ככל הנראה סיני, ביקש עבורו 300 דולר, כשעל פי עמוד המכירה נכנסו אליו כבר יותר מ-1,000 משתמשים. ככל הנראה מדובר במשתמשים שרצו לשלם את תשלום המכס, כדי לקבל את החבילה שהזמינו, ורק בדרך נס חנוכה חיפשו שוב באתר של דואר ישראל את העמוד הנכון שמוביל אל עמוד התשלום הרלוונטי.

למעשה, הפרט היחידי בעמוד הרשמי של דואר ישראל, שעשוי היה להעיד על כך שלא מדובר בעמוד לגיטימי של הדואר הוא ההפניה מעמוד בשם "aaa". מעבר לכך – לא היה רמז לכך שמדובר בעמוד חיצוני.

וזה מה שחיכה לכם באתר שדואר ישראל הפנה אליו

החשש: עמוד פישינג מתחזה

אנחנו לא יודעים מה פשר העמוד הזה, וככל הנראה לא מדובר בעמוד קיים שהיה בבעלות הדואר. במקרה כזה, מדובר כנראה בהפנייה ועמוד שהיו מעין "פלייסהולדר" (Placeholder), כלומר סימון שבו משתמשים מפתחים עד לקבלת ה-URL האמיתי (למשל meches.israelpost.co.il) ועד להקמת העמודים האמיתיים. מאוד ייתכן שאיכשהו חמק הסימון הזה בתהליכי ה-QA השונים והגיע לפרודקשן – לגרסה שנמצאת באוויר וזמינה למשתמשים.

החשש המרכזי במקרה כזה הוא הקמה פשוטה וזריזה של עמוד פישינג, שנהנה מרוח גבית וטראפיק מהאתר הרשמי של הדואר. נסו למשל לדמיין שחקן רע – בלי יותר מדי ידע בהאקינג – שפשוט רוכש את הדומיין הזה ומקים בו אתר דמה לסליקת כספים בשם המכס או הדואר. תוך זמן קצר מאוד הוא יכול לקבל מדואר ישראל הפניות ישירות לאתר שלו של לקוחות, שרק רוצים לקבל את החבילה שלהם ומוכנים להזין את פרטי האשראי – אחרי הכל מדובר לכאורה בהפנייה מהאתר הרשמי. אם היה רוצה בכך אותו תוקף, הוא היה יכול גם לדחוף אותם להגיע לאתר הזה באמצעות הודעת SMS בתפוצה המונית כמו במקרי פישינג אחרים. וזה לפני שעוד דיברנו על נוזקות, טרויאנים ורכיבי כרייה שהיו יכולים לחכות למבקרים התמימים, כך שכשמדברים על הכנסה פאסיבית בלי לצאת מהבית, יכול להיות שמתכוונים לדברים כאלה.

כל הכתבות החמות במרחק קליק אחד כל הכתבות החמות במרחק קליק אחד עכשיו בערוץ גיקטיים בטלגרם

התגובה של הדואר… ובכן

דרדקמן ובת זוגתו עשו את הדבר הנכון וניסו לפנות לדואר ישראל, כדי להתריע בפניהם על התקלה כבר לפני מספר ימים, אך לדבריו הוא לא מצא אוזן קשבת: "נתקלנו בתגובות 'קופי-פייסט' של נציגים שלא קראו את הפנייה", ששיאן היה המלצה של נציגה שייזהר ממתקפות פישינג… לאחר שדרדקמן פנה לגיקטיים, ולאחר שאימתנו את דבר הפירצה, ביצענו תהליך אסגרה מול דואר ישראל. תוך זמן קצר מפנייתנו הוסר העמוד שמפנה אל mechespay.co.il מאתר הדואר.

ביקשנו מדואר ישראל תגובה מלאה על המקרה. שאלנו אותם איך הפירצה הזאת בכלל קרתה; מדוע הדף המדובר אונדקס בגוגל; האם mechespay.co.il היה אי פעם בשימוש של דואר ישראל; מדוע לקח לחברה כל כך הרבה זמן להגיב לפירצת האבטחה הזאת (דווקא בחודש הקניות העמוס); מדוע אין באתר החברה אפשרות לדיווח על פרצות או חולשות אבטחה; מדוע נציגי השירות לא מתודרכים על נושאי אבטחה; וכמובן – מה החברה עושה כדי שמקרים שכאלו ואחרים לא יחזרו על עצמם. אתם יודעים, הפרטים האלה שבאמת מעניינים אותנו ואתכם. אולם לצערנו, זוהי לשון תגובת דואר ישראל, כפי שהיא הועברה אלינו במלואה: "הנושא הועבר לבדיקה וטופל באופן מיידי".

עדכון: כמה שעות לאחר פרסום הכתבה דואר ישראל ביקשו לעדכן את תגובתם עם התוספת הבאה: "לא מדובר באירוע אבטחת מידע, אלא בקישור שהוביל לעמוד שגוי והועלה עקב טעות אנוש לאתר. הטעות תוקנה והדף הוסר. במקביל הנושא הועבר לבדיקה"

רוצים לדבר עם הכתבים שלנו? הצטרפו עכשיו לערוץ הרשמי של גיקטיים

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

33 תגובות על "פירצת אבטחה חדשה בדואר ישראל היא אחת מהמטומטמות שראינו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שם טוב
Guest

מצחיקים… כבר שנתיים האתר הזה מפנה לשומקום- פתאום הם מטפלים בזה "באופן מיידי". דואר חובבנים

דני
Guest

להפריט דחוף

קלרשו
Guest

תשלם פי 3 לטייקון שיגנוב את כל הכסף

מישו
Guest

אופס, כבר פרטי

המאונן
Guest

חובבנים היו מקימים אתר טוב יותר

עדי
Guest

ישנן עוד בעיות רבות באתר ובמכשירים של הדואר.

דג ברשת
Guest

אולי… אולי… מתקיים איזשהו שיתוף פעולה של אנשים ממערכת דואר ישראל עם גורמים שהם לא בדיוק הגונים?
קורה לי הרבה פעמים שמייד עם הגעת חבילה לישראל (לפי המעקב) ואחרי קבלת מסרון מהדואר – מתחילות הודעות פישינג לתשלום שקר כלשהו, מתן פרטים אישיים.
אני נזהר ומתעלם, לא בטוח שכולם ולא כל מי שנפגע רץ לספר.
לדעתי יש יותר מידי צמתים של אפשרויות שימשו לרעה, כמו גם מה שאוזכר בכתבה – שמצריכים בדיקה של מומחה בתחום שהוא מחוץ למערכת הדואר. כי אפילו מתחילים לא יפלו בפספסוס שהוזכר בכתבה.

א.ב.
Guest

גם אני שמתי לב שיש קשר בין הפעולות שאני עושה עם הדואר לסוגי הפישינג והכמות שאני מקבל.. אגב כנל על בתי חולים, הייתי באשפוז יום ופתאום באותו יום מבול של סמסים לקברי צדיקים ושאר נוכלים עם זקן שרוצים תרומות.

לגבי הדואר לא יודע אם זה פלילי או שהם פשוט עשו משהו ממש מפגר כמו להשאיר את הדאטהבייס פתוח לעולם החיצוני בלי סיסמא והעבריינים פשוט מתחברים לשם וקוראים הכל. שום דבר כבר לא יפתיע אותי כשזה מגיע לאבטחת מידע של גופים ממשלתיים..

yw1971 .
Guest

בעבר חברות הויזה היו מעבירות את הטל' שלך לכל מיני חברות מכירות. הפסיקו מאז.

הכרחי לתקן את חוק הג'אנק מייל הישראלי (שאכן אחד הטובים בעולם) שיכסה גם הודעות טקסט

גיצ
Guest

מקווה שמישהו ירים כפפה ויארגן תביעה ייצוגית כל כך גדולה שדואר ישראל יסגר לתמיד! עדיף שלא יהיה בכלל מאשר הדבר הזה.. בטוח שיהיו חברות שיחליפו את מקומה של החברה העלובה הזו.

שלומי
Guest

https://doar.*****/************.html
גם לי שלחו קישור מוזר שלא נראה אמיתי בגלל המחיר
אבל חוצמזה נראה טוב

הדביל
Guest

תזהר עם לפרסם קישורי פישינג, תמיד יש את הדביל שיכנס וישלם. אלא אם יש לך מה להרוויח מזה ובמקרה כזה – עבודה יפה.

יונת דואר
Guest

איזה דואר? הדואר שלנו? לא נכון!

Ben
Guest

אסכם את זה בשני מילים.
ישראלים.
ותסמוך עלינו, יהיה בסדר..

להפריט
Guest

כולם אלופים בלזהות את הבעיה

נוריאל
Guest

לפי הנתונים שמתפרסמים פה שאני קורא אז כנראה שהאתר נפרץ והקוד שונה מתוך האתר הרישמי… אבל זה לפי מה שאני מבין באבטחת מידע

השטיינבוכית
Guest

לא מבין מה כולם מתפלאים.
זה שירות כושל שיכול לחיות רק במרחב של מגזר ציבורי מנותק ממציאות.
אין פתרון זולת סגירה ופתיחה מחדש. כמו שעשו לרשות השידור, שהפכה למשהו ידש ומודרני שיצא דווקא מוצלח.

מישהו
Guest

חחחח הרגת אותי עם השאלות האלה לדואר.
עלק לתדרך נציגים בנושאים של אבטחת מידע….
חוץ מקופי פייסט למשפטים מוכנים מראש אין להם שום יכולת לעזור בכלום. אם יש משהו שלא פוגע להם בתסריט הם מפנים אותך שלשירות לקוחות הטלפוני.

קאטו
Guest

לדואר ישראל יש חטיבת תפעול וחטיבת נכנסים. מנסים להפריט את דואר ישראל בהתבסס על דוח תזרים מזומנים בלבד , כאמור חטיבת התפעול עם ליקויים רבים וחובות. בעוד שחטיבת הנכסים המלאה בנכסים בבעלות דואר ישראל, מאות אלפי מטרים ברחבי ישראל(+ זכויות בנייה בשווי מיליארדים). זה גורם להערכת שווי נמוכה מאוד שמאפשרת ליזמים עם חוש ריח מפותח לנסות לרכוש את חטיבת הנכסים ולהשביח את זכויות הבנייה ולהנות מבוננזה.

אסטרטגיית הזנחה(מודל קובי מימון והתחנה המרכזית). בגלל זה לקוחות ואזרחי ישראל סובלים מאיכות שירות לקוי והיעדר חדשנות ויעילות.

יסמין
Guest

נפלתם על מחלקת שירות לקוחות, שתפקידם זה להרגיע את הלקוחות. בשביל תגובה עניינית אתם צריכים את מחלקת תמיכה טכנית – אבל הם לא יעבירו תגובה עצמאית. אם אתם מחכים להתנצלות – לא יקרה.

מבקר באתר
Guest

כולם מתלכלכים על דואר ישראל.. אבל…
בנינו.. לפחות הדואר מגיע.. ולא מקבלים הודעה מוזרה מאיזה שרות כמו EMS שמבקש ממך לשלם מכס על משהו שאין עליו מכס.. ולך תריב איתם.. כי אין עם מי לדבר.
בסוף לא לוקחים את החבילה כי הספק בסין עונה לך שהוא ישלח שוב עם שירות אחר..
אז לפעמים אני לא יודע מה עדיף.. דואר שעובד לאט, פרוץ, ועקום אבל אתה מקבל את החבילה שלך.. או דואר שעובד מהר אבל דופק אותך בתשלום בסוף…

רובין
Guest

הינה לכאורה מחדל נוסף של דואר ישראל ואף רשלנות

רובין
Guest

בקישור הבא לכאורה מחדל נוסף ואף רשלנות של דואר ישראל, כפי ששודר בטלוויזיה בתוכנית NEXT

בייגל
Guest

לא מחדל ולא רשלנות…
ואם כן תראה על מה אתה חותם…
ובמה זה שונה מהפד שעליו אנו חותמים..?

בייגל
Guest

אולי תשאלו את ועד העובדים למה הדואר קולקל ישראל.

בייגל
Guest

*דואר קלוקל ישראל!

יצחק
Guest

דואר ישראל??? לא מכיר
יש בכלל דואר בישראל?? אין מצב

יוסי
Guest

תגובת הנציגים זו הסיבה שהעתיד יוביל לאבטלה המונית שלהם כי יהיה די קל להחליפם ברובוטים

ליאור
Guest

התגובה של הדואר מוכיחה שהם בכלל לא הבינו מה הבעיה, הם חושבים שלא מדובר באירוע אבטחה אלא רק בקישור לא נכון, אבל בפועל מדובר באירוע עם פוטנציאל נזק משמעותי הרבה יותר. פשוט חבורה של חובבנים שלא מבינים כלום בעולם המודרני. מספיק לראות את "אפליקציית" בנק הדואר כדי להבין את הרמה הנמוכה של ההבנה בפיתוח מודרני ומתקדם, נראה כאילו האפליקציה נלקחה מאתר של שנות ה90.

yw1971 .
Guest

מה שנקרא 'טעות ענוש'…

ויפה שדרדקים כמו הדרדק-מן עדיין קיימים

yw1971 .
Guest

רק כאשר יהיה חוק שיחייב את הדואר לפצות את מי שלא קיבל חבילה (נאמר עד 200 ש"ח) בגלל שהדואר איבד אותה, אז נראה שינוי.

עד אז הדואר ימשיך לקרוס להנאתו מדי חודשיים.

Radical Dreamer
Guest

תוכן הכתבה במקום, אבל הכותרת מתנשאת וברמה נמוכה.

דורון שחר
Guest

תת רמה של שרות של גוף רקוב ומסואב שממזמן כבר לא עומד בשום סטנדרטים

wpDiscuz

תגיות לכתבה: