מתקפת כופרה מתחזה למשטרת ישראל

האקרים מתחזים לאתר משטרת ישראל ודורשים תשלום קנס, כשלמעשה הם גונבים את פרטי האשראי של הקורבן תוך שהם מייצרים הונאה כאילו המחשב נעול. בניגוד למתקפות קודמות, הפעם מדובר בפישינג שמקורו במודעות תמימות באינטרנט ולא בקישורים

טל שחף
תמונה כלליתתמונה כלליתתמונה כללית

מתקפת פישינג שהתגלתה היום (ד') בישראל חושפת את הגולשים לסכנת כופרה ותביעת תשלום של 1,500 שקל כתנאי לשחרור המחשב. המתקפה מתבצעת באמצעות מודעות תמימות למראה, שמופיעות באתרי תוכן שונים. לחיצה על המודעה מובילה לדף שמתחזה להיות אתר משטרת ישראל, אשר מתריע בפני הגולש כי עקב פעילות בלתי חוקית מצידו הוא נדרש לשלם קנס. התוקפים משתלטים על הדפדפן של הגולש ומייצרים הדמייה של מחשב נעול, למרות שבפועל אין הדבר כך. 

זהירות, התוקפים מתחזים למשטרה 

בחברת GeoEdge, שחשפה את המתקפה, אומרים כי שיגור המתקפה נעשה על ידי קוד שנשתל בתוך מודעות באנר, ככל הנראה ללא ידיעת המפרסמים. חשיפה ראשונה של תופעת ההתחזות למשטרה התפרסמה באתר Bleeping Computer בשבוע שעבר, כשהמתקפות הופנו למדינות שונות, בהן צרפת, נורווגיה, עומן, איחוד האמירויות ועוד. כעת מתברר שהמתקפה הגיעה גם לישראל.


איך מתבצעת המתקפה? התוקפים גורמים לנעילת הדפדפן (Browser locking),  מצב בו הם משתלטים על חלק מתפקודי הדפדפן ומדמים מצב של נעילת דף הנחיתה המתחזה לאתר המשטרה. בשלב ראשון התוקף חוסם את האפשרות לחזור אחורה ולאחר מכן הוא מעביר את הדפדפן למצב מסך מלא שבו מוצג צילום של אתר המשטרה. במצב כזה אין כמובן אפשרות ללחוץ על כפתורי ההפעלה של האתר, מה שיוצר הדמייה של מחשב נעול. 

צילום מסך: Geoedgeפישינג מתחזה למשטרה (צילום מסך: Geoedge)

בשלב זה מופיעה ההודעה לכאורה של משטרת ישראל, שדורשת תשלום קנס. טופס הזנת פרטי כרטיס האשראי נראה אותנטי לגמרי, כולל התחזות לשליחת קוד SMS לטלפון של המשתמש. למעשה לא נשלחת שום הודעה וכל מספר יקדם את ההונאה: התוקף מציג הודעה כי כרטיס האשראי נמצא בבדיקה, אך למעשה הוא משדר ברקע את פרטי הכרטיס בפרוטוקול בלתי מוצפן לשרת המתקפה. בפועל הכרטיס לא מחוייב אבל פרטיו נגנבים ויש להניח שייעשה בהם שימוש בעתיד הקרוב.

ממשטרת ישראל נמסר: "מדובר באתר בשפה האנגלית הנחזה לאתר משטרת ישראל ומבדיקתנו עולה כי מאחורי ההודעה עומד גורם זר. ההודעה מציינת כי יש לתוקף שליטה מלאה על מכשירו של מקבל ההודעה, כשהדבר למעשה אינו כך, כדי לשוות לה אמינות והגולש נדרש לשלם כופר בעקבות פעילות בלתי חוקית. אנו חוזרים וממליצים על כניסה לחשבונות ואתרים רק באמצעות הלינק הרשמי ובאמצעות אתרים מאובטחים".

ממערך הסייבר נמסר: "המערך מכיר את המתווה המתואר כבר מסוף דצמבר ופעל לסייע למשטרה בנושא. במקרים דומים, מומלץ לציבור לסגור את חלונית ההודעה ולהיזהר מלחיצה על פרסומות חשודות".

אז איך מתחמקים מהמתקפה הזו? ראשית, אם מצאתם את עצמכם באתר שלא תכננתם להגיע אליו, אל תלחצו על שום קישור וחזרו לאחור. אם נקלעתם למצב שהמסך נראה כנעול, לחצו CTRL-ALT-DEL כדי להיכנס למנהל המשימות, ושם סגרו את הדפדפן.

אמנון זיו, מנכ"ל GeoEdge, אומר כי מדובר במקרה זה בקמפיין פישינג אפקטיבי במיוחד, שמצליח להתחזות בצורה מדויקת לאתר הממשלתי ואולם לדבריו התקפות באמצעות מודעות הן תופעה נפוצה ביותר:  "הרבה אנשים לא יודעים שהפרסומות הן וקטור התקפה מאוד משוכלל כיום. זו דרך להגיע למסה רחבה של אנשים בצורה מתוחכמת". לדבריו מתקפות כופר על חברות עסקיות זוכות לחשיפה בולטת, ואולם מתקפות כופר על קהל יעד רחב של גולשים פרטיים מצליחות להניב הכנסות בהיקף גדול לתוקפים.

צילום: יובל שיבוליאמנון זיו, מנכ"ל Geoedge (צילום: יובל שיבולי)

זיו אומר כי כל גולש צריך להיות מודע לסכנת הפישינג באמצעות מודעות, ממש כמו שהוא מודע לפישינג באמצעות קישורים בהודעות ובמיילים: "צריך להיות זהירים, לא להאמין לכלום, אבל זה לא אומר כמובן שצריך לא ללחוץ על מודעות".

חברת GeoEdge עוסקת במערכות בקרת פרסום דיגיטלי ובניטור וזיהוי פרסומות ובאנרים המכילים נוזקות. בין לקוחותיה אתרי תוכן בולטים כמו אתר הניו יורק טיימס, פייננשל טיימס, NPR ועוד. הטכנולוגיה שלה מאפשרת לאתרים לוודא כי כל המפרסמים עומדים בדרישות האתר ולא מובילים את הגולשים למלכודות והונאות.

 

פורסם לראשונה 18:28 | 13/01/2021