איומי סייבר הם לא רק מטרד, אלא יכולים להוות נזק כספי גדול מאוד. ענקית אבטחת המידע צ'ק פוינט פירסמה בלוג-פוסט ובו היא מתארת מקרה חריג במיוחד של גניבת מיליון דולר באמצעות השתלטות על תשתית הדוא"ל של סטארט-אפ ירושלמי. 

המידע שחושפת צ'ק פוינט הוא חלקי אבל אלו הפרטים: מוקדם יותר השנה, בתחילת 2019, הצליח האקר להשתלט על תשתית האימייל של סטארט-אפ ירושלמי בתחום מדעי החיים. מתברר, שהחברה השתמשה באימייל בסיסי שמספקת חברת האחסון GoDaddy. ההאקר גילה סבלנות, "התיישב" ברשת, קרא תכתובות מייל והמתין להזדמנות הראשונה.

יום אחד הוא הבחין בתכתובת בין הסטארט-אפ הישראלי לבין חברת הון סיכון סינית, שדנה בהעברת כסף לחברת ההזנק מהקרן הסינית כחלק מסבב גיוס הון של מיליוני דולרים שהשלימה החברה. בשלב זה ההאקר נכנס לפעולה: הוא רשם שני דומיינים, אחד שדומה מאד לשם החברה הישראלית, והשני, שדומה מאד לשם החברה הסינית. בצורה זו התוקף הצליח להקים תשתית מחוכמת בה הוא יכול ליזום אימיילים כאילו בשם החברות.

ההאקר שלח מייל מהכתובת ה"ישראלית" ובה ביקש מהקרן להשלים העברה בנקאית לחשבון בנק מסויים. אלא שחשבון הבנק הזה, ודאי ניחשתם, היה מזוייף ושייך לתוקף. ההאקר אפילו דאג לשלוח לשני הצדדים אי-מייל ביטול על פגישה שתוכננה בשנחאי, כדי למנוע מהם שייפגשו פנים אל פנים ויעבירו מידע ישיר על חשבון הבנק או כל פרט אחר שיעלה חשד. המתקפה הצליחה והקרן הסינית אכן העבירה מיליון דולר לתוקף.

אחרי ששני הצדדים הבינו שרימו אותם, אחרי שהכסף עבר אבל עוד לפני שהגיע לידיו, צוות המענה להתקפות סייבר של צ'ק פוינט הוזעק לחקור את המקרה. הם כותבים שהתקשו מאוד במלאכה. ראשית, כי בחברה הישראלית מחקו את המיילים, וכל שנשאר להם היה כמה צילומי מסך מהטלפון הנייד של מנכ"ל הסטארט-אפ. שנית, על תשתית האימייל בה השתמשה החברה שומרים תיעוד (לוגים) רק של חמש כניסות אחרונות בלבד, מה שמקשה על חקירה היסטורית.

הצוות של צ'ק פוינט מסכמים וממליצים: "אימייל הוא וקטור התקיפה מספר 1 על מנת לחדור לארגון. באמצעות פישינג הרבה פעמים מפתים התוקפים עובדים לחשוף את שם המשתמש והסיסמה וכך משתלטים על תשתית האימייל. אנחנו ממליצים להשתמש בכלי אבטחה לדואר האלקטרוני ולהשתמש בתשתית דוא"ל ששומרת לוגים לפחות שישה חודשים אחורה".

פורסם ב-TheMarker

עוד ב-TheMarker

שינוי בהליך אשרות לעובדי היי-טק לארה"ב עשוי להקפיץ את מספר הבקשות
מכירות מאכזבות: הצרות של סטארט-אפ המשקפיים החכמים שגייס מיליארדים

עוד הסבירו: "חשוב לחנך את העובדים למודעות לגבי איום שנשקף מהאימייל, וכשזה מגיע להעברת כסף, חשוב לבצע וידוא שני בשיחה טלפונית עם הגורם הרלווטי. אין למחוק ראיות פורנזיות במתקפת סייבר, היות שהדבר רק מקשה על החקירה ומקל על התוקף. כדאי להשתמש בכלי שיודע לזהות רישום דומיינים שדומים לדומיין של החברה. לבסוף, תמיד כדאי שתהיה לחברה תוכנית תגובה למקרי חירום, מוכנה מראש, על מנת להקטין את זמן המענה לאירוע".