Tal Pavel

גל פשיעה קיברנטית בארה"ב: גנבת כרטיסי אשראי מקוראי כרטיסים

/ב , , , /על ידי

בהמשך לדיווחים מהעת האחרונה בדבר פריצות לחברות ענק בארה"ב בעטיין נגנבו והודלפו עשרות מיליוני רשומות וכרטיסי אשראי ובכלל זה של JPMorgan, Home Depot ורבים אחרים, נחשפים עוד ועוד מקרים של גנבת פרטי כרטיסי אשראי מחברות וגורמים עסקיים שונים.

במסגרת זאת פורסם ב-17 ספטמבר על פריצה שבוצעה והשפיעה במשך למעלה משנה וחצי על עשרות מחנויות רשת Goodwill Industries International ברחבי ארה"ב. הפריצה בוצעה למערכות המחשב של חברת C&K Systems המספקת שרותי עיבוד תשלומים. הפושעים פרצו למערכות החברה ושהו בה בין התאריכים 10 פברואר 2013 ועד 12 אוגוסט 2014, זאת לדברי נציג החברה. שבועיים קודם לכן דווח כי למעלה מ-10% מנקודות המכירה של החברה נפגעו מדליפת הנתונים כתוצאה מגניבת כרטיסי אשראי של לקוחות אשר השתמשו בהם בחנויות החברה החל מה-25 יוני 2013, ארבעה חודשים לאחר הפריצה הראשונה לחברת C&K. לטענת החברה נודע לה על הדליפה לאחר שחוקר אבטחה פרטי הודיע להם על כך ב-30 ביולי. לאחר ששכרו צוות חוקר, התברר כי מערכות החברה נפגעו מנוזקה הקרויה infostealer.rawpos.

עוד מתברר כי נוזקה זו, התוקפת נקודות מכירה המבוססת Windows, היתה בשימוש בעת גנבת מיליוני כרטיסי תשלום מחברות Target ו-Home Depot בשנה שעברה. הנוזקה מעתיקה את פרטי הכרטיס בעת העברתו לשם ביצוע התשלום ושולחת את הנתונים לשרת הנשלט על ידי הפושעים. הכתבה מגלה כי תוכנת האבטחה של חברת C&K לא איתרה את הנוזקה עד ל-5 ספטמבר השנה. לא ברור האם הנוזקה השפיעה ישירות על הקופות הרושמות בחנויות Goodwill, אולם חברת C&K מעניקה טיפול כולל בכל תהליך עיבוד התשלום ממועד העברת הכרטיס במסוף שבנקודת המכירה. אמנם חברה זו מסרה כי הם נתקלו רק ב-25 מקרים של הונאת כרטיסי תשלום כתוצאה מגניבת נתונים אלו, אולם חברת Goodwill מסרה כי היא כבר לא משתמשת יותר בתוכנה של C&K בחנויותיה.

 

כעבור שבוע דווח על חברה נוספת שחוותה פריצה למערכותיה והדלפת מידע רב מהן, הרשת לממכר סנדוויצ'ים Jimmy John's אישרה ב-24 בספטמבר כי האקרים גנבו נתוני כרטיסי אשראי מלקוחותיה ב-216 מחנויותיה (מתוך 1,900). בהודעה שפורסמה באתרה מסרה החברה כי ב-30 ביולי נודע לה על אפשרות של תקרית אבטחה בה מעורבים כרטיסי אשראי בחלק מסניפיה. הבדיקה, שנמסר כי עדיין נמשכת, העלתה פריצה ב-216 חנויות. באמצעות גנבת פרטי גישה של שרות הניתן לה על ידי צד שלישי, הגנבים השיגו שליטה על מערכות בנקודות המכירה והתקינו בהן נוזקה, ככל הנראה ב-1 ביולי 2014 למרות שלטענתה חלק קטן מהחנויות נפגעו כבר ב-16 ביוני. לטענת ההודעה הנוזקה הוסרה במרבית החנויות בין התאריכים 3-5 באוגוסט והותקנו מכשירים חדשים, למרות שנמסר על מספר חנויות שלא הסירו את הנוזקה עד ה-5 באוגוסט. עם זאת בכתבה על הארוע נטען כי הפושעים גנבו את המידע מקוראי כרטיסי אשראי בנקודות המכירה בין ה-16 יוני וה-5 ספטמבר השנה (חודש לאחר התאריך שציינה החברה בהודעתה).

לא צווין מספר הכרטיסים שנגנבו, אולם נמסר כי הכרטיסים שנפגעו הם רק אלו שהועברו בחנויותיה אלו ולא אלה שהוזנו ידנית או בצורה מקוונת וגם במקרה זה דווח על התקנת מכשירים חדשים אשר יצפינו את הנתונים. להבדיל מפרשת Goodwill, כאן לא צויין שמו של ספק השרותים בנקודות המכירה אשר בעטיו נגנבו פרטי הכרטיסים. אולם חוקר אבטחה שדיווח על הארוע כבר ב-31 ביולי, מסר שגנבת הכרטיסים ברשת נגרמה בשל התקפה על חברה בשם Signature Systems המספקת קוראי כרטיסי אשראי למסעדות. עוד נמסר כי בנקים הבחינו בתבנית של הונאות על כרטיסים בהם נעשה שימוש בחנויות הרשת.

 

ארועים אלו של פריצה לחברות המספקות שרותי קריאת כרטיסי אשראי והשתלת נוזקות השומרות את פרטי הכרטיס המועבר בקורא, הם חלק מתופעה נמשכת אשר סביר להניח כי בעת הקרובה נחשף למידע רב יותר אודותיה; מספר וזהות החברות שנפגעו, מידע שנגנב ואולי גם על זהותם האפשרית של העומדים מאחורי גל פשיעה קיברנטית זה.

Tal Pavel

דרכים לצמצום ארועי דליפת מידע

/ב /על ידי

ב-23 ספטמבר פורסמה כתבה ובה ארבע דרכים מומלצות להמנע מדליפה מקוונת של הנתונים האישיים;

  1. הבנת הסיכון – יש להבין את הסיכונים הרובצים לפתחו של המשתמש, החל בטעותו שלו וכלה בסיכונים ייזומי מדינה. לפיכך עולה החשיבות להבין מי תקף ומדוע לצד הידיעה מה מחפשים התוקפים. פשיעה קיברנטית מסורתית מתמקדת ברווחים מסחריים מהירים, לפיכך פריצה טיפוסית תכוון לאיסוף פרטי כרטיסי אשראי. להתקפה מסוג זה השפעות שונות, בהשוואה לתוקף מתקדם אשר יתקוף מידע בעל ערך שלא יסולא מפז עבור החברה. השיטה בה ישתמשו יכולה להיות דומה אולם ההשפעה משתנה בהתאם לתוקף ולמטרה.
  2. הבנת השווי – יש להבין את העסק ומה הם גורמי הרווח שלו. לכל עסק יש דבר מה בעל ערך, לא כל המידע שווה בחשיבותו, לפיכך יש לבחון ולתעדף את הערכי ביותר והחיוני ביותר לרווחיותו ושרידותו של העסק ולהגן עליו בהתאם.
  3. ארועים יתרחשו – באופן מסורתי עסקים התמקדו בהגנה, אולם חשוב לזכור כי התגובה לפריצה היא קריטית באותה המידה הואיל והדבר יקבע את ההשלכות המסחריות של הארוע. בממוצע משך זמן גילוי הפריצה הוא 229 יום. החדירה לארגונים היא על פי רוב דרך מערכות האוטומציה, אולם משעה שהעסק נפרץ, יש צורך במעורבות אנושית למצוא את המידע הערכי ולחלצו, דבר אשר אורך זמן. לפיכך יש לצמצם את משך הזמן הנדרש לגילוי הארוע ולמתן מענה מחודשים לשעות. הדבר נכון בעיקר כאשר 97% מהארגונים אשר נבדקו בניסוי שנערך, היו פרוצים באותו הזמן ואפילו לא ידעו מכך.
  4. תרגול ופיתוח מיומנויות – ארגונים רבים לא מתעדים היטב, מנסים או בוחנים אסטרטגיות תגובה המכסות לא רק את ההיבטים הטכניים, אלא גם את הבנת הארוע. בפעולה נכונה ניתן לתת מענה עסקי מתאים שמשמעו צמצום הנזקים. לפיכך יש צורך בשינוי החשיבה העסקית בנושא האבטחה הקיברנטית במונחים של בעיות ותהליכים עסקיים, מאשר דבר מה שהוא טכני מאוד.

הכתבה נכתבה עבור עמותת אשנ"ב

Tal Pavel

הדלפת רשומות מפריצה לאתרים ישראליים

/ב , /על ידי

בשעות הבוקר של ה-24 ספטמבר פורסמה הודעת טוויטר על ידי Izzah Hackers בדבר הדלפת פרטיהם של למעלה מ-100 אלף ישראלים ובכללם גורמי ממשל.

ההודעה הפנתה לקישור ממנו ניתן להוריד קובץ בשם detail.zip בן 3 MB. קובץ זה כולל שלושה קבצי txt הנושאים את השמות user, user1, user2 המכילים מידע אשר ככל הנראה מקורו בבסיסי נתונים ישראליים.

השניים הראשונים כוללים פרטים אישיים דוגמת כתובת דוא"ל, שם, כתובת ועוד.

הקובץ האחרון (user2) לא כולל שמות אולם יש בו התייחסות בעברית לרמת השליטה בשפות השונות (עברית, רמת שפת אם, רוסית או ספרדית סבירה, עברית שפת אם, אנגלית), תאריך לידה, מספר תעודת זהות וכן שדה בשם army (כן / לא).

ממבנה הנתונים נראה כי מקורם של אלו בשלושה בסיסי נתונים שונים, אולם על פניו לא ניתן לקבוע את זהות האתרים שנפרצו ומהם נגנבו נתונים אלה.

Tal Pavel

פרסום ארבע כתובות דוא"ל וססמאות של עיתון "הארץ"

/ב , , , /על ידי

ב-3 ספטמבר פורסמה הודעה של ההאקר הסעודי security_511 ובה ארבע כתובות דוא"ל של "הארץ" (3 בעלות סיומת com ואחת בעלת סיומת co.il) וכן ססמאות של כתובות אלו.

Capture

יצויין כי הודעה זו הגיעה לאחר שרק ב-13 באוגוסט פורסמה הודעה בטוויטר ובה הודעה על "מותו" של האקר זה והפסקת פעילותו.

ב-2 פברואר 2013 דווח על ארוע דומה נגד העיתון במסגרתו הצליח "הצבע הסורי האלקטרוני" לחדור לשרת הדואר הארגוני, ארוע בעקבותיו פורסמו עשרות כתובות דוא"ל וססמאות של עובדים בעיתון.

 

 

Tal Pavel

300 חברות אנרגיה ונפט בנורבגיה תחת מתקפה קיברנטית

/ב , , /על ידי

בכתבה שפורסמה ב-27 באוגוסט באתר החדשות הנורבגי בשפה האנגלית – The Local – נטען כי מקור ממשלתי מסר שכ-300 חברות נפט ואנרגיה בנורבגיה הושפעו מאחת מתקיפות המחשבים הגדולות ביותר שהתרחשה במדינה.

רשות הבטחון הלאומית בנורבגיה, העוסקת במניעת התקפות קיברנטיות, חשפה כי 50 חברות במגזר הנפט נפרצו ולמעלה מ-250 הוזהרו על ידי סוכנות זו, במסגרת ההתקפה הגדולה מסוגה בנורבגיה. עוד נמסר כי הסוכנות חושדת בדבר הגורמים שמאחורי המתקפה, אולם אין בכוונתה לפרסם זאת לפי שעה.

מנהל הסוכנות Kjetil Nilsen מסר כי להערכתו חברות רבות אינן מודעות לכמות הרבה של המידע הערכי המצוי בסכנה.

בכתבה שפורסמה בנושא ב-30 באוגוסט נמסר כי ההתקפה היתה מסוג Spear Phishing במהלכה קיבלו העובדים הודעות דוא"ל ובהן קבצים חשודים. ההערכה היא כי התוקפים ביקשו להשיג נוכחות ברשתות הפנימיות של החברות, להתקין נוזקות ולשאוב מידע רגיש מהארגונים.

בשנת 2011 לפחות כעשר חברות נפט נורבגיות היו נתונות להתקפה מצד קבוצה של האקרים, אשר הצליחה לפרוץ לרשתות החברות ולגנוב מידע רגיש ובכלל זה מייזמים תעשיתיים, הרשאות כניסה וחוזים. כיום, בשנת 2014 נרשם גידול של 100% בהתקפות לעומת שנת 2013.

Tal Pavel

דליפת מידע אישי של 27 מיליון מתושבי דרום קוריאה

/ב , , /על ידי

בידיעה שהתפרסמה ב-22 באוגוסט באתר החדשות הקוריאני Korea JoongAng  Daily דווח כי רשויות דרום קוריאה אישרו שכ-72% מאוכלוסיית המדינה בין גילאי 15-65 נפגעה מחשיפת מידע. כ-27 מיליון איש.

בידיעה נמסר כי הרשויות חשפו יום קודם לכן דליפה המונית נוספת של מידע אישי אשר נועדה לגנבת מאות מיליונים במטבע המקומי Won באתרי משחקים מקוונים וביצוע הונאות של העברות כספיות בשווי מיליארדים. משטרת מחוז South Jeolla מסרה כי היא עצרה אדם בן 24 אשר שמו הפרטי Kim, כמו גם 15 אחרים בהאשמה כי הפיצו את המידע האישי של 27 מיליון מתושבי המדינה בין הגילאים 15 ו-65.

לטענת המשטרה Kim זה קיבל 220 מיליון פרטי מידע אישיים מהאקר סיני אותו הכיר במשחק מקוון בשנת 2011. המידע כלל שמות, מספרי זהות, פרטי חשבון וססמאות. עוד נטען כי החשוד השתמש במידע האישי לגנוב מטבעות מקוונים באתרי משחק באמצעות שימוש בכלי פריצה אשר מתחברים אוטומטית לחשבונות המשתמש משעה שהוזנו שם המשתמש והססמא של המשתמש.

כאשר הססמאות שקיבל היו שגויות, הוא קנה את המידע האישי שבתעודות הזהות ואת תאריך ההפקה שלהן מספק סלולר מקומי ושינה את הססמאות בעצמו. לטענת המשטרה באמצעות פריצה לשישה מאתרי המשחק המרכזיים בקוריאה, עלה בידו להרוויח כ-400 מיליון Won (השווים לכ-391 אלף דולר), כאשר 130 מיליון מהם הוא העביר להאקר הסיני.

השלטונות חושדים כי Kim מכר את המידע האישי שקיבל מההאקר הסיני לאחרים לשם הונאות משכנתאות והימורים לא חוקיים. מכירות שהובילו לנזק משני כאשר מאות נפלו קורבן להונאות של נוכלים בין ספטמבר 2012 ונובמבר 2013 והנזק הכספי שנגרם בשל כך לטענת המשטרה הגיע לכ-2 מיליארד Won.

בידיעה על ארוע זה שפורסמה ב-26 באוגוסט דווח כי מתברר שאין זו הפעם הראשונה שתושבי המדינה סובלים מדליפה המונית של מידע אישי, בשנת 2011 נפרצה רשת חברתית דרום קוריאנית, אשר הביאה לחשיפת מידע אישי של 35 מיליון איש. כמו בן בתחילת 2014 דלפו פרטיהם של 20 מיליון תושבים על ידי עובד של חברת אשראי במדינה.

Tal Pavel

הדלפת 4.5 מיליון רשומות של מטופלים בארה"ב על ידי האקרים סיניים

/ב , , , /על ידי

ב-18 באוגוסט דווח כי חברת Community Health Systems, קבוצת בתי החולים הגדולה ביותר בארה"ב, הודתה כי היתה נתונה להתקפה קיברנטית מצד סין שבעטיה נגנבו פרטיהם האישיים של 4.5 מיליון מלקוחותיה.

מומחי אבטחה טענו כי קבוצת התוקפים קרויה APT18 וכי יתכן והיא קשורה לממשל הסיני. החברה אשר ביצעה את המחקר על התקפה זו באפריל וביוני השנה, גורסת כי הקבוצה פועלת בעיקר נגד תעשיות החלל, ההגנה, בינוי, הנדסה, טכנולוגיה, שרותים פיננסיים ובריאות.

עוד נמסר כי התברר שלתוקפים יכולת לא רק לפרוץ לארגונים אלו, אלא גם לשמר גישה למערכות המידע במשך תקופה ארוכה למדי מבלי להתגלות.

המידע שנגנב כלל את שמות המטופלים, כתובות, תאריכי לידה, מספרי טלפון וביטוח לאומי של אלו אשר קיבלו שרותים רפואיים מרופאים הקשורים בחברה בחמש השנים האחרונות. עם זאת נמסר כי המידע שנגנב לא הכיל נתונים רפואיים, פרטי כרטיסי אשראי או קניין רוחני של החברה המתפעלת 206 בתי חולים ב-29 מדינות בארה"ב. למרות הטענה כי קבוצות האקרים סיניות ידועות בפעילותן להשגת קניין רוחני דוגמת עיצובי מוצרים או מידע שיש בו תועלת למשא ומתן פוליטי או עסקי.

עוד נמסר כי זו ההתקפה הגדולה מסוגה בה מעורבים פרטיהם של מטופלים מאז החל האתר של המשרד לשרותי בריאות ומשאבי אנוש בארה"ב לעקוב אחר דליפות שכאלה בשנת 2009. השיא הקודם היה פריצה לשרתי מחלקת בריאות הציבור במונטנה אשר התגלתה ביוני ואשר השפיעה על מיליון איש.

על ארוע דומה, בסדרי גודל קטנים בהרבה, נודע ביוני השנה במהלכו התברר כי פרטיהם האישיים של כל 62 אלף עובדי University of Pittsburgh Medical Center נגנבו ודלפו.

Tal Pavel

… עוד הדלפות שלא היו …

/ב , , , /על ידי

ב-12 ביולי פורסמה הודעה מטעם GHOSTSEC-TEAM לפיה עלה בידם להדליף מידע מאתר משרד התרבות והספורט, בדיקה מהירה גילתה כי מקור הנתונים בקובץ בשם "רשימת רופאי צלילה מורשים" המצוי באינטרנט.

בנוסף, ב-10 ביולי פורסמה הודעה נוספת מטעמם בדבר הדלפת נתוני עובדים מבנק ישראל, התברר כי המידע (שם, דוא"ל, ומספר טלפון) זמין באתר האינטרנט של בנק ישראל. לפיכך, לא מן הנמנע כי הסיסמאות המצורפת בהודעה זו, מזוייפות.

 

Tal Pavel

אבות רבים להדלפה שככל הנראה לא היתה

/ב , , , /על ידי

ב-10 ביולי פרסם JOHN MILK הודעה ובה לכאורה פרטי 30 כתובות דוא"ל של משטרת ישראל וסיסמאות מוצפנות. 

למחר היום פורסמה רשימה זו על ידי שניים נוספים (Anonymous ArabGHOSTSEC-TEAM) אשר טענו לבעלות על פרסום המידע שלכאורה הודלף ממשטרת ישראל.

Tal Pavel

טענות AnonGhost להדלפת נתונים ממשרדי ממשלה בישראל, האמנם ?

/ב , , , , , /על ידי

במהלך ה-11 וה-12 ביולי פורסמו מספר ידיעות על ידי AnonGhost בדבר פריצות לכאורה אל מערכות מחשב של גורמי ממשל בישראל ופרסום הדלפות מידע ממערכות אלו. על פי רוב שמות משתמש, פרטים אישיים וכדומה. הקישורים מובילים לנטילות האחריות לפריצות אלו, אולם ניתן לראות כי אין מדובר כלל בהדלפה ממערכות מחשב של גורמי ממשל בישראל;

כפי שניתן לראות, אין בכל ההודעות הללו דבר וחצי דבר;

  1. מקורם של הנתונים אינו בהדלפות מערכות מחשב של גורמי ממשל בישראל.
  2. כל הנתונים שלכאורה הודלפו, מקורם בנתונים גלויים שניתן למוצאם באינטרנט.
  3. מרביתם של הנתונים ישנים ובעלי עדכניות נמוכה.

אולם ארוע זה שב ומדגים לנו לא רק את האפשרויות הקלות והזמינות לביצוע מניפולציה על התודעה ולוחמה פסיכולוגית בעידן המידע המקוון והזמין, אלא גם את המידע הרב הקיים וזמין במרחבי האינטרנט על כל אחד ואחת מאיתנו.

Tal Pavel

Middle East Cyber Army טוענים להדלפת מסמכים של ה-F.B.I

/ב , , , /על ידי

בשעות הערב של ה-9 יולי פורסמה הודעת טוויטר מטעם ./Fatinonymous ובה נטען כי עלה בידי Middle East Cyber Army להדליף מסמכים של ה-F.B.I.

ההודעה כללה קישור לקובץ שפורסם ב-9 יולי ובו קובץ בן כאלפיים רשומות אשר נראה כי הוא אסופה ממקורות שונים. בדיקה מדגמית העלתה כי לפחות חלק מהרשומות פורסמו בעבר בקבצים שונים.

Tal Pavel

הדלפת פרטי המשתמש של פורום משתמשי Mac בישראל

/ב , /על ידי

בהודעת טוויטר שפורסמה בשעות הבוקר של ה-7 ביולי נמסר על הדלפת בסיס הנתונים של אתר קהילת משתמשי מקינטוש בישראל.

ההודעה מפנה לרשימה ובה 14,609 רשומות אשר מקורן ככל הנראה באתר זה.

בדיקה מדגמית של כתובת הדוא"ל מעלה כי הנתונים עד רשומה 14,080 נחשפו כבר ברשימה שפורסמה ב-15 נובמבר 2013. עם זאת, הרשימה החדשה כוללת כ-530 רשומות חדשות, מהן כ-250 רשומות נסיון והיתר הן רשומות ובהן נתוני משתמשים אשר פרטיהם לא אותרו לפי שעה כמופיעים ברשימות קודמות.

לפיכך יתכן ואכן מדובר בהדלפה נוספת מאתר זה, כאשר בארוע הראשון הודלף מרבית בסיס הנתונים וכעת נוספו לרשימה שהודלפה פרטי כ-280 משתמשים חדשים אשר הצטרפו לאתר מאז נובמבר 2013.