תקיפות פישינג איראניות הפכו מאז תחילת המלחמה ליותר ויותר נפוצות. כעת מערך הסייבר הלאומי מזהיר מפני מתקפת דיוג איראנית חדשה ובעזרת תוכנה שלא מעט עובדים משתמשים בה. המתקפה כוללת הודעת דוא"ל שמנסה להונות אנשי מחשוב של ארגונים להוריד עדכון אבטחה, אך בפועל מביאה להורדת תוכנות מזיקות שגונבות ומוחקות מידע. מחקר של המערך בשיתוף חברה מסחרית מצא כי מאחורי ניסיון זה עומדת קבוצת תקיפה איראנית.
הודעת הדיוג מתחזה לחברת F5 הפופולרית המספקת מוצרי אבטחה לארגונים רבים. בהודעה נטען כי קיים עדכון אבטחה קריטי לתוכנה המחייב הורדת תוכנה מקישור מצורף. המערך מצא כי למימוש מתקפה זו נעשתה עבודת הכנה תשתיתית של קבוצת התקיפה הכוללת זיהוי הגורמים הטכניים הרלוונטיים בארגונים השונים אשר סומנו כיעדים לשליחת ההודעה. יעד זה נבחר במטרה לנסות להביא להטעמת התוכנה הזדונית בכלל שרתי הארגון. הקישור המתחזה מכיל שני קבצים זדוניים שהורדתם מפעילה כלי שאוסף מידע מהמערכת וכלי שמוחק את כלל המידע שברשת הארגונית (Wiper).
דו"ח חדש שלנו מסכם את פעילות התוקפים, השיטות והטכניקות הנפוצות במימד הסייבר מתחילת המלחמה. הדו״ח מצא כי המתקפות הפכו הרסניות יותר בתקופה האחרונה וכי חלה עלייה בעצימות מתקפות הסייבר כנגד ישראל.
לכל התובנות, השיטות ודרכי ההתגוננות לארגונים:https://t.co/WbJA9LQbyN pic.twitter.com/TiqUnzzcy1
המתקפה משתמשת בכתובת דוא"ל עם סיומת הנראית במבט ראשון של F5 וכן מנצלת התרעה קודמת של החברה אודות הצורך להוריד ולהריץ קובץ מסוים כדי להגן על המערכת. במטרה לנסות לשכנע את הנמענים, אף צורפו להודעה המתחזה כתובות ה-IP החיצוניות של ציוד F5 אשר בבעלות הארגון.
בהתרעה שהוציא המערך לארגונים, מפורטים המחקר על הכלי הזדוני, הדרכים לזהות את המתקפה והמזהים לחסימתה במערכות הארגון. המערך קורא לארגונים לנקוט בצעדים לחסימת המתקפה מבעוד מועד, לדווח על הודעות דומות ולהימנע מלחיצה על קישורים לפני בדיקתם.