שלב האבטחה שרובנו הכי סומכים עליו אולי כבר לא מגן עלינו כפי שחשבנו. ה-FBI מזהיר מפני פלטפורמת "פישינג כשירות" (Phishing-as-a-Service) חדשה ומתפתחת בשם Kali365. הפלטפורמה הזו מטרגטת חשבונות Microsoft 365, כולל שירותי המייל, הצ'אטים והענן.
זה כשלעצמו נשמע רע, אבל החלק המפחיד באמת הוא הדרך שבה היא פועלת: ההונאה הזו יכולה לחדור לחשבון שלכם מבלי לגנוב את הסיסמה שלכם. אפילו אם אימות דו-שלבי הופעל, מספיק שתאשרו פעם אחת קוד מכשיר שגוי כדי להעניק לעבריינים גישה מלאה.
ה-FBI הסביר על אופן הפעולה של ההונאה, מדוע היא מצליחה לעקוף את מנגנוני ההגנה, ומה אתם יכולים לעשות כדי להגן על עצמכם.
כיצד Kali365 מטעה את המשתמשים?
Kali365 היא ערכת כלים מוכנה להונאה. פושעי סייבר יכולים פשוט לרכוש אליה מנוי ולהשתמש בכלים שלה כדי לתקוף חשבונות. לפי ה-FBI, הרשת הזו זוהתה לראשונה בחודש אפריל והיא מופצת בעיקר דרך טלגרם.
הפלטפורמה מספקת לתוקפים הודעות פישינג שנוצרו על ידי בינה מלאכותית, טמפלייטים, מערכות שנועדו ללכוד "אסימוני גישה". זהו המפתח: אסימוני גישה הם כמו מפתחות דיגיטליים שמאפשרים לאפליקציה להישאר מחוברת לחשבון המיקרוסופט מבלי לבקש סיסמה בכל פעם מחדש.
הם שימושיים כשמדובר באפליקציה לגיטימית, אך מסוכנים כשהם נגנבים על ידי האקר.
מדוע ההונאה הזו עוקפת אימות דו-שלבי?
רוב הונאות הפישינג מנסות לגנוב את הסיסמה שלכם. Kali365 בוחרת בנתיב אחר: היא מנצלת לרעה את תהליך התחברות באמצעות "קוד מכשיר" של מיקרוסופט.
התהליך עצמו הוא חוקי לחלוטין. ההונאה מתחילה כשהפושע יוזם את בקשת ההתחברות מהמכשיר שלו, ומטעה אתכם כדי שתאשרו אותה. אתם עשויים לקבל מייל פישינג שנראה כאילו נשלח משירות ענן מוכר או מכלי לשיתוף מסמכים. ההודעה כוללת קוד ומפנה אתכם לעמוד האימות האמיתי והרשמי של מיקרוסופט.
מכיוון שעמוד האימות הוא אמיתי, כתובת האתר נראית נכונה, ומנהל הסיסמאות שלכם לא מתריע על סכנה.
אך ברגע שהקוד מוקלד, אתם מאשרים בלי לדעת את המכשיר של התוקף. מכאן, התוקף תופס את אסימון הגישה ויכול להיכנס ל-Outlook, ל-Teams ול-OneDrive שלכם בלי סיסמה ובלי שום התרעת אבטחה נוספת.
מדוע גם עסקים קטנים צריכים לדאוג?
הונאה כזו יכולה לפגוע בכל מי שיש לו גישה ל-Microsoft 365, אך עסקים קטנים נמצאים בסיכון גבוה במיוחד. תחשבו מה נמצא בתוך חשבון עבודה טיפוסי: תכתובות מייל, חשבוניות, קבצים משותפים, ואנשי קשר של לקוחות וספקים.
ברגע שהאקר משתלט על חשבון Outlook של עובד, הוא לומד את סגנון הכתיבה שלו ויכול לשלוח מיילים מהכתובת האמיתית שלו. הוא יכול לבקש מחברים לעבודה לשלם חשבוניות מזויפות או לשתף קבצים רגישים.
קרן ביל גייטס מכרה את מניות מיקרוסופט – איפה היא הגדילה החזקה?
שלבי התקיפה
בהתחלה, הקורבן מקבל מייל פישינג שמתחזה לשירות פרודוקטיביות או שיתוף קבצים מוכר. המייל מספק קוד מכשיר ומורה לקורבן להזין אותו בעמוד האימות הרשמי של מיקרוסופט. הקורבן מזין את הקוד ומאשר בטעות את המכשיר של ההאקר.
באופן זה, התוקף חוטף את אסימוני הגישה הדיגיטליים, בדרך זו, התוקף מקבל גישה חופשית למייל, לקבצים ולצ'אטים ללא צורך בסיסמה.
נורות אזהרה
אם קיבלתם מייל שמבקש מכם להזין קוד עבור קובץ, הודעה קולית או חשבונית שלא ביקשתם, תדעו שמדובר בסכנה. בנוסף, האקרים לוחצים על הקורבנות עם דד-ליין כמו "חשבונך ייחסם". אם לא ניסיתם להתחבר למכשיר חדש באותו הרגע, אל תזינו שום קוד.
המלצות ה-FBI ומומחי האבטחה: כיצד להגן על החשבון שלכם?
ראשית, אל תזינו קוד שלא ביקשתם. אם הקוד הגיע במייל או בהודעה – עצרו. בנוסף, אל תלחצו על קישורים מתוך הודעות. גשו בעצמכם לאתר הרשמי של מיקרוסופט בדפדפן.
עברו מדי פעם על רשימת המכשירים המחוברים לחשבון שלכם. אם זיהיתם מיקום או מכשיר לא מוכר, יש לנתקו באופן מידי.
בצעו התנתקות מכל המכשירים, אם אתם חושדים שהקשתם קוד בטעות, התנתקות מכל המכשירים ושנו סיסמה.
למרות שההונאה הזו עוקפת אותו, אל תכבו את האימות הדו-שלבי. האימות עדיין חוסם את רוב מתקפות הסייבר האחרות.
מכת האקרים: כ-300 מיליון דולר נעלמו – ושוק הקריפטו נכנס לטלטלה
בנוסף, ה-FBI ממליץ להגדיר חסימה בארגון של אפשרות התחברות באמצעות קוד מכשיר, אלא אם כן יש צורך עסקי חיוני בכך.
אם כבר הזנתם קוד כזה, יש לפעול במהירות. ה-FBI הורה להתנתק מכל המכשירים, לשנות סיסמה, ולבדוק את הגדרות שחזור החשבון, למשל אם שינו לכם את מספר הטלפון או המייל.
בנוסף, יש לבדוק אם הוגדרו חוקי העברת מיילים אוטומטיים בתיבת ה-Outlook שלכם. אם מדובר בחשבון עבודה – יש לדווח למחלקת ה-IT של החברה.
