מאחורי משבר הקורונה שמזעזע את העולם מסתתר אירוע עולמי אחר, קשה ומסוכן. הטלטלה שעובר המשק העולמי והמעבר ההמוני לעבודה מהבית הביאו לפריצת גדרות ההגנה שבנה המגזר העסקי לאורך שנים, וכעת רבות מהמערכות הפיננסיות, מערכות השליטה ומאגרי הנתונים הפרטיים עומדים לא מוגנים, טרף קל בידי אלפי פושעי רשת מיומנים.
נדב אביטל מאימפרבה, באולפן ynet
(חגי דקל)
תסתכלו עלינו, עדר עצום של אנטילופות מבולבלות, שמסתובבות עכשיו בסאוונה ללא כל הגנה. מבחינת מרבית הציבור, החיבור לאינטרנט הוא עורק החיים שמאפשר בכלל את השהות הממושכת בבית. בזכות האינטרנט אפשר להמשיך לנתח נתונים, לפתח מוצר ולקיים ישיבות כמעט כמו במשרד. ואחר כך אפשר גם לערוך קניות, להיפגש עם בני משפחה וחברים ולצפות בסרטים, הכל באינטרנט. מי בכלל חושב על הסכנות עכשיו, כשסכנת הקורונה מעל לראשינו?
אז זהו, שעבור אנשים תאבי בצע וחסרי מצפון, הקורונה היא הזדמנות, לא בעיה. אמצעי התקשורת רגילים לקבל מדי דיווחים מחברות הגנת סייבר על פרצות שהתגלו במערכות מחשב ועל ניסיונות פריצה שנמנעו או הצליחו, אבל גל כזה של דיווחים לא זכור מעולם. סופוס דיווחה על כמות אדירה של ניסיונות הונאה שמתחזים כולם כקשורים למאבק בקורונה. פאלו-אלטו פירסמה על עלייה משמעותית באיומי הסייבר באמצעות פישינג ואפליקציות מזוייפות. אימפרבה מזהירה מפני יותר מ-100 אלף שמות מתחם חדשים באינטרנט, שכולם מכילים הטיות שונות של המילה covid, virus או corona. בקספרסקי דיווחו על מתקפת סוס טרויאני שממוקדת בחברות תעשייה. חברת סייפהאוס דיווחה על התחזות לנטפליקס במטרה לגנוב את פרטי המנוי. אין ספק שמשהו רע קורה למערכות המידע בעוד תשומת הלב של העולם נתונה להתמודדות עם הווירוס.
קשה להאמין, אבל לפי דיווחים של קספרסקי וסייבריזן, אחד היעדים המרכזיים של פושעי הסייבר הן מערכות הבריאות, אלה שעמלות עכשיו יומם ולילה כדי להציל חיים וכדי לנסות ולפתח חיסונים ותרופות. היקף המתקפות על ארגון הבריאות העולמי (WHO) זינק, ומתקפות מרושעות עוד יותר מכוונות לבתי חולים ולארגוני בריאות. נפילת אחת המערכות האלה בידי העבריינים עלולה להביא לסחיטת כספים שלא היתה דוגמתה: כופר או חיי אלפי בני אדם.
בחברת קספרסקי ישראל מדווחים על שיחות היסטריות שמגיעות בימים אלה לקו התמיכה שלהם, פי שלושה וחצי יותר מהכמות הרגילה. מנכ"ל החברה, נעם פרוימוביץ', אומר: "קורה פה משהו שלא קרה בשנים שאני זוכר. העולם עבר בתוך חודשיים מעבודה בסגנון אחד לסגנון אחר, ועשה את זה באופן לא מתוכנן. כדי לעשות את זה היו חייבים לשנות דברים גם בתחום הסייבר, אבל השינוי הזה נעשה באופן מהיר ולא מתוכנן, וזה הפך להיות סיכון". לדבריו, ארגונים כבדים ורציניים שפעלו עד כה תחת הגנות סייבר כבדות נאלצו בעת המעבר לעבודה מהבית לשלוף הגנות מאולתרות לפלטפורמות חדשות וכלים חדשים. "זה מגיע לכך שאנשים היום חותמים על חוזים והעברות כספיות מהבית ומקבלים סמכויות לגשת למערכות הכי רגישות מהבית וכל זה נעשה בלי תכנון והופך כר פעולה קל, ממש מכרה זהב לפושעים".
פרוימוביץ' אומר כי בכמות אירועי התקיפה בעולם לא רואים בינתיים שינוי משמעותי שחורג מהתנודתיות הרגילה בתחום. יש זינוק של 70% בתנועת האינטרנט בעולם עם התקפות שבאות והולכות, מה שהיה נחשב עד לא מזמן לחריג נחשב עכשיו לנורמלי, וקשה לזהות את הפעילות העויינת.
התופעה הברורה היא ניצול בהלת הקורונה כדי להוליך שולל אנשים, שחומות ההגנה האישיות שלהן רעועות ממילא. מהדיווח של חברת אבטחת הסייבר פאלו-אלטו נטוורקס עולה כי איומי הסייבר הבולטים ביותר מגיעים מהאקרים, שמבקשים לנצל את מגפת הקורונה ואת החששות המאפיינים את הציבור בימים אלה, באמצעות פישינג ואפליקציות מזוייפות. בחברת אבטחת הסייבר סופוס מדווחת שכמעט על הפעילות הזדונית שהיא מזהה כעת קשורה לווירוס הקורונה, למשל הצעות לרכוש מסכות וחיסונים כביכול וגם התחזות לגופים המתרימים עבור המאבק בקורונה, כולל ארגון הבריאות העולמי והמרכז למניעת מחלות (CDC), והכל כדי לגרום לקורבנות התמימים ללחוץ על קישורים מסוכנים. בחלק מהמקרים זה מסתיים בגניבת הכספים, בחלק מהמקרים בגניבת זהות הקורבן, מספרי כרטיסי אשראי, סיסמאות כניסה.
פרוימוביץ' מוצא הקבלה מדאיגה בין התפשטות נגיף הקורונה לבין התפשטות פשיעת הסייבר החדשה: קצב גידול ואז ההתפרצות. מאמצי הפריצה של ארגוני הפשיעה שעד כה היו מכוונים למערכות ארגוניות גדולות, עוברות עכשיו לרשתות ביתיות ולמחשבים ביתיים. גם לפושעים יש עקומת למידה, והם לומדים את החולשות של המערכות האלה, אבל בתוך זמן קצר הם יתחילו להפציץ. "זה מדהים כמה אנלוגיה יש בין העולם הפיזי לווירטואלי. אני מעריך שאנחנו נראה את האפקט של זה בשבועיים-שלושה הקרובים". חוקרות בחברת סייבריזן הישראלית גילו שהווירוסים הדיגיטליים מתפשטים גיאוגרפית במקביל לווירוס הקורונה, תוך ניצול מפלס הבהלה הגדל באותן מדינות. בתחילה רוכזו רוב התקיפות בסין וכיום התוקפים ממקדים את ההתקפות שלהם בעיקר מול אנשים מדרום קוריאה, יפן, אירופה וארצות הברית.
כופרה - הסכנה האמיתית
יש דגי רקק בין פושעי הסייבר, שרוצים להציק לכם עם פרסומות או למכור את נתוני כרטיס האשראי שלכם בדארק-ווב. אלה הפחות מסוכנים שביניהם. אלה שצריך באמת לדאוג מהם, הם מי שמנסים להשתלט על נתוני הגישה שלכם למחשבי מקום העבודה. הם עושים את זה באמצעות אותן פעולות פישינג או הונאה אבל המטרה שלהם היא הכסף הגדול של החברות הגדולות.
המטרה של הפושעים האלה היא חיבורי ה-VPN שמאפשרים במרבית החברות גישה ישירה של העובדים למערכות התפעול הרגילות של החברה. אתה עובד מהבית אבל על המסך רואה את שולחן העבודה הרגיל שלך במשרד. עכשיו תחשבו מה יכול לעשות פושע רשת מיומן אם ישתלט על העמדה שלך במשרד. רמז: פיגוע פייסבוק לא יהיה המטרה הראשונה שלו.
מחלקת המחקר של חברת אבטחת המידע אימפרבה שעוקבת אחר נתוני אלפי לקוחות מאז התפרצה מגפת הקורונה, מצאה שהתוקפים מנצלים את העובדה שעיקר מאמצי יחידות המחשב הוא בהסדרת מערך העבודה מהבית כדי לתקוף באינטנסיביות במטרה לפרוץ את מערכי ההגנה הראשוניים.
צוות המחקר והניתוח הגלובלי של קספרסקי חשף מתקפה ממוקדת להפצת נוזקה מסוג סוס טרויאני על מחשבים ארגוניים, בהם מחשבים של חברות תעשייה. הסוס הטרויאני מסוג Milum מאפשר לתוקפים לקבל שליטה מרחוק על מחשבים מרגע שהמכשיר המותקף נפרץ, להוריד מידע מהשרת ולבצע פקודות מרחוק, לאסוף מידע ולשלוח אותה למערכת השליטה והבקרה ואף לשדרג את עצמה לגירסה חדשה. חוקרות סייבר בחברת סייבריזן הישראלית חשפו אפליקציה שמטרתה תקיפת סייבר נגד חברות ובתי חולים בניסיון להשתלט על המחשבים ולדרוש כופר תמורת אי מחיקת מידע.
"התקפות הכופרה עוד יבואו", משוכנע פרוימוביץ', "כרגע התוקפים מכיילים את המערכות שלהם". ככל הנראה חלק ממאמצי ההשתלטות האלה לא ייחשפו גם אחרי שיצליחו. המטרה של התוקפים היא לחדור לתוך מערכות המחשב המרכזיות ולהתבסס בתוכן. באמצעות שליטה מרחוק הם יכולים אז לעבור ממערכת למערכת, לשלוף החוצה מאגרי נתונים ולבנות בחשאי יכולת חסימה והצפנה של מערכות הליבה. יכול להיות שרק בעוד חודשים רבים הם יחשפו עצמם ויודיעו להנהלות: המערכת שלכם בשליטתנו. שלמו.
הממשלה החריגה
עדות נוספת לחומרת הבעיה אפשר לראות בהתרעות החמורות שהוציא מערך הסייבר הלאומי בימים האחרונים, גוף שממעט בדרך כלל לפרסם אזהרות לציבור הרחב. מערך הסייבר הזהיר גם מפני מתקפות דיוג, מניעת שירות וכופרה המכוונות לבתי חולים, למעבדות לאומיות ולגופי ממשלה תוך ניצול הבהלה העולמית. המערך הזהיר גם מפני אתרים חשודים, המתחזים בשם המתחם coronavirus.
בימים האחרונים התריע מערך הסייבר גם מפני התקפות וישינג (Vishing), מתקפות דיוג טלפוני, שמטרתן להוציא מעובדים מהבית את פרטי ההתחברות שלהם לרשת הארגון באמצעות שיחה טלפונית. ניסיון כזה בוצע השבוע מול עובדי חברה פיננסית ישראלית, ובעברית. מערך הסייבר גם התריע על מגמת עלייה מדאיגה במתקפות נגד חברות בישראל באמצעות משלוח קבצים מצורפים מסוג RTF, המנצלות חולשה ישנה בתוכנת Word של מיקרוסופט.
צעד חשוב בהתמודדות מול המתקפות הרבות היה בהחרגת חברות הגנת הסייבר מהצו המורה על הפחתת פעילות כל החברות במשק. בתיקון לתקנות לשעת חירום, שאושר על ידי הממשלה בתחילת השבוע, נקבע כי חברות המספקות שירותים ומוצרים של הגנת סייבר ואבטחת מידע יורשו לעבוד בשעת חירום ולא תוטל עליהן מגבלה כמו שאר החברות.
במערך הסייבר, שיזם את הצעד הזה, אומרים שמדובר במאות חברות המעניקות שירותי הגנת סייבר ואבטחת מידע ומציעות מוצרי הגנה בתחום לגופים שונים. יגאל אונא, ראש מערך הסייבר, אמר שהגדרת החברות חיונית לשמירת הרציפות התפקודית של המשק הישראלי: "תוקפי סייבר מנצלים את העת הרגישה הזו כדי לבצע מתקפות שיכולות להטיל עול משמעותי נוסף על תפקוד המשק, ולכן קיימת חשיבות מוגברת לשמירת יכולות ההגנה הקיימות על ארגונים ואף להגברתן".
וירוס הקורונה יעבור מהעולם, אפשר להיות סמוכים ובטוחים, אבל אולי במקומו יצוץ וירוס חדש ומסוכן יותר. ממש כמוהו גם מתקפות הקורונה יעברו מהעולם ובמקומן יצוצו מתקפות שמתחזות לעניינים אחרים. אבל שינוי אחד כנראה יהפוך לקבוע: המעבר לעבודה מהבית והצורך הברור לאבטח אותה. "הדבר היותר מדהים שברור לכולנו, שגם אחרי שהגל הזה יעבור ונחזור לחיים הרגילים, זה כבר לא יהיה מה שהיה", אומר פרוימוביץ', "ארגונים יבינו שהם צריכים להיערך לווירוס של החורף הבא".
