Tal Pavel

הבנק המרכזי של אוקראינה הזהיר את המערכת הבנקאית מפני מתקפה קיברנטית קרובה

/ב , , /על ידי

ב-18 אוגוסט פורסם כי בהנחיית שרותי הבטחון המקומיים, הזהיר הבנק המרכזי של אוקראינה ב-11 בחודש את כלל המערכת הבנקאית במדינה מפני מתקפה של נוזקה חדשה המתפשטת באמצעות פתיחת קבצי Word נגועים המצורפים להודעות דוא"ל. זאת בדומה למתקפת NotPetya שהשביתה מגזרים רבים במדינה ב-27 יוני השנה, אשר ב-7 באוגוסט פרסמו השלטונות כי עצרו חשוד יצירת אותה המתקפה.

"זוהי נוזקה בעלת תפוצה נרחבת והעובדה כי בזמן ההפצה שלה היא לא התגלתה על ידי אף תוכנת אנטי-וירוס, מצביעה על כך כי מתקפה זו מהווה הכנה למתקפה קיברנטית רחבת היקף נגד רשתות ארגוניות של עסקים אוקראינים".

האזהרה גורסת כי ב-24 באוגוסט אוקראינה עלולה להיות נתונה למתקפה קיברנטית הדומה לזו הקודמת אשר מטרתה "לערער את יציבות המדינה בעודה חוגגת את עצמאותה מבריה"מ בשנת 1991".

Tal Pavel

האם ה-NSA עוקב אחר העברות כספים של בנקים ברחבי המזרח התיכון ?

/ב , , , /על ידי

ב-14 באפריל פורסמו ידיעות לפיהן קבוצת האקרים בשם TheShadowBrokers פרסמה מסמכים המצביעים על כך שעלה בידי ה-NSA לפרוץ לרשתות של בנקים במזרח התיכון, ככל הנראה לאחר פריצה למשרד בדובאי של חברת EastNets הפועלת בתחום השרותים הפיננסיים (בכלל זה קישור הלקוחות לרשת העולמית להעברת כספים, SWIFT) והמאבק בהלבנת כספים.

מהפרסומים השונים עולה כי נראה שעלה בידי ה-NSA אף לפרוץ למערכות SWIFT במשרדיה הראשיים בבלגיה. עם זאת נטען כי לא היה כל צורך בפריצה זו, הואיל והארגון השיג גישה ברשות למחשבים אלו במטרה להלחם בהעברות כספים למימון טרור:

1

קבוצת ההאקרים TheShadowBrokers, אשר הדליפה באוגוסט 2016 מספר כלי פריצה של ה-NSA, פרסמה כעת הודעה בשם "Lost in Translation" ובה הפניה לארבעה קבצים והסיסמא "Reeeeeeeeeeeeeee" לפתיחתם. שניים מהם נושאים את השם swift.tar.xz.gpg ו-windows.tar.xz.gpg: 

2

האחרון כולל 23 כלי תקיפה חדשים (הקבצים עצמם מצויים גם ב-GitHub).

3

למרות פרסום כלי תקיפה אלו של ה-NSA בעבר, זו הפעם הראשונה שיש עדות למטרות של אותה פריצה מתוחכמת למערכת העברת הכספים העולמית. מסתבר כי עלה בידי ה-NSA לחדור למערכות ה-SWIFT לא במטרה לגנוב כספים, אלא כדי לעקוב בחשאי אחר העברות הכספים במזרח התיכון לגורמים שונים ובכללם גורמי טרור.

ככלל אין בכך חדש הואיל וכבר בספטמבר 2013 נחשף כי עלה בידי ה-NSA לפרוץ לרשת ה-SWIFT העולמית. זאת כחלק ממסמכי ה-NSA שהדליף אדוארד סנואדן, אולם אלו מעולם לא נחשפו לציבור ונטען כי הם מתוארכים לשנת 2011. מאלו שהודלפו כעת עולה כי לפחות אחד מהם מתוארך ל-17 אוקטובר 2013, חודש לאחר הדיווח על פריצת ה-NSA לרשת זו.

מומחה אבטחת מידע טען כי בפריצה שפרטיה הודלפו כעת, נראה כי אלפי חשבונות ומחשבים ממשרדי EastNets נפרצו ושמוסדות פיננסיים בכווית, בחרין והרשות הפלסטינית היו נתונים לריגול. ידיעה באל-ג'זירה דיווחה כי "מהמסכים עולה שה-NSA חדר לשני משרדי שירות של SWIFT ובכלל זה של EastNets" ומוסיפה לרשימת המדינות בהן בנקים ומוסדות פיננסיים היו נתונים למעקב, גם את דובאי, ירדן, תימן וקטאר. (מקור אחר כלל גם את סוריה ואבו ד'אבי). 

בהודעה שפרסמה חברת EastNets באותו היום נמסר כי "אין אמת בטענה המקוונת לפריצה למידע של לקוחות EastNets במשרד שרותי ה-SWIFT שלה".

בהודעה עליה חתום מנכ"ל החברה נכתב כי "הדיווחים שלכאורה נפרצה הרשת של EastNets Service Bureau (ENSB) שגויים לחלוטין ובלתי מבוססים. יחידת האבטחה הפנימית של הרשת ביצעה בדיקה מלאה של שרתיה ולא מצאה כל פריצה או חולשות. ה-ENSB פועלת על רשת מאובטחת נפרדת בלתי נגישה מהרשתות הציבוריות. התמונות שהוצגו בטוויטר, ובהן טענה לדליפת מידע, הם עמודים בלתי מעודכנים ומיושנים, אשר נוצרו משרת פנימי ברמה נמוכה אשר אינו פעיל משנת 2013.

למרות שלא ניתן לוודא את המידע שפורסם, אנו יכולים לאשר שלא נפרץ כל מידע של לקוחות EastNets, בכל דרך שהיא, EastNets תמשיך להבטיח את הבטיחות המלאה והבטחון של נתוני לקוחותיה באמצעות הרמות הגבוהות ביותר של הגנה ממשרד שרותי ה-SWIFT שלה".

חברת SWIFT מסרה "אנו מבינים כי יתכן והיתה בעבר גישה בלתי מורשית של צד שלישי לתקשורת בין משרד שרותים זה והלקוחות שלהם, יתכן וזו נפרצה" ומסרה כי אין עדות לכך שהרשת הפנימית שלה נפרצה.

מנגד מומחים אשר בחנו את הנתונים שדלפו (חלקם ניתוחים מעמיקים) מצאו קבצי סיסמאות וכן קבצי אקסל המפרטים את הארכיטקטורה הפנימית של שרת החברה, לצד למעלה מ-20 קודים זדוניים אשר חוקרים טוענים כי הם בני שלוש שנים ויותר, המנצלים חולשה בגרסאות ישנות (מלבד Windows 10) של מערכת ההפעלה Windows, עדות "לשחקן מתוחכם ודאגה אפשרית למאות מיליוני משתמשי Windows". חלק מהן מאפשרות לפורץ גישה מלאה להריץ את הקוד שלו על מחשב הקורבן, מבלי שיזוהו על ידי תוכנות אנטי וירוס שונות. חברת מחקר בדקה ומצאה כי הגרסאות הפגיעות מפעילות יותר מ-65% מהמחשבים שהשתמשו באינטרנט בחודש החולף.

מומחה האבטחה Matthew Hickey שבדק את התכולה כתב "אני לא חושב שאי פעם ראיתי בימי חיי כל כך הרבה exploits ו-Zero-day ששוחררו בבת אחת. ואני מעורב בפריצת מחשבים ואבטחה במשך 20 שנה". לדבריו "כלי תקיפה ברמה מדינתית מצויים כעת בידי כל אדם המעוניין להוריד אותם, אלו כלו נשק קיברנטיים, פשוטו כמשמעו, לשם פריצה למחשבים … אנשים ישתמשו בתקיפות אלו במשך שנים רבות".

מומחה אחר טען כי הקבצים מכילים הנחיה "כיצד להוריד את כל השאילתות של SWIFT ואת כל בסיס הנתונים אורקל של המשתמשים".

4

אחר הגדיר זאת כ"אסון מוחלט. הצלחתי לפרוץ כמעט לכל גרסה של Windows במעבדה שלי באמצעות הדליפה זו".

בהקשר זה צייץ אדוארד סנאודן במועד החשיפה כי "ה-NSA ידע ששיטות הפריצה שלהם נגנבו בשנה שעברה, אולם הם סרבו לספר למפתחי התוכנות כיצד לנעול אותן מפני גנבים. האם הם אחראים?" וכן טענה אחרת כי לארגון היו לפחות 96 ימים להזהיר את חברת Microsoft:

 5

החברה פרסמה הודעה בו ביום ובה נמסר כי היא בוחנת את הדליפה והיא "תנקוט בצעדים הנדרשים להגן על הלקוחות", אך סרבה לפרט.

 

ארוע זה מלמד אותנו על זילותם בעידן המידע של מושגים דוגמת "פרטיות", "סודיות", "אבטחה". מחד גיסא יכול ארגון מודיעין לחדור, בין אם ברשות ובין אם באמצעות פריצה, ולנטר את העברות הכספים של בנקים ברחבי העולם. מאידך גיסא, גם פעילות מסווגת זו, אינה סודית עוד. היא נחשפה לעין כל ובכלל זה העדויות ומצבור כלי תקיפה רבי ערך אשר יכולים לשמש בעתיד כל אדם.

לגבי טענת חברת EastNets, נראה כי יש אמת חלקית בטענתה; אכן הפריצה היתה לשרת "אשר אינו פעיל משנת 2013", כפי שמעידים המסמכים שהודלפו. אמנם שרת ישן, אך הוא ככל הנראה אכן נפרץ.

נותר לראות מה תהיה תגובה מדינות האזור, בעיקר בעלות בריתה של ארה"ב, לטענות ולהוכחות כי בנקים בשטחן נפרצו ונוטרו לאורך זמן על ידי ה-NSA.

בנוסף, נראה כי בזה לא תמה מלאכת ההדלפות של הקבוצה או כמו שכתבה בהודעתה "Maybe if all suviving WWIII theshadowbrokers be seeing you next week. Who knows what we having next time?".

Tal Pavel

דרישה גוברת לבנקאות דיגיטלית במפרץ הפרסי

/ב , , /על ידי

בחודש מאי פורסמו מספר כתבות בדבר הצורך של בנקים במפרץ הפרסי לאמץ טכנולוגיות חדשות, בין השאר לאור דרישות לקוחות צעירים לחוויה בנקאית דיגיטלית טובה יותר. מסקר שבוצע בקרב 2,700 נשאלים מקרב מדינות המפרץ עולה כי 77% מאזרחי איחוד האמירויות יאמצו אמצעי תשלום חלופיים במידה ואלו יהיו זמינים, תוך העדפת אמצעי תשלום דיגיטליים.

ב-25 ביולי פורסם מחקר נוסף בתחום אשר מצא כי 83% מהלקוחות במעמד הבינוניגבוה באיחוד האמירויות משתמשים באפליקציות פיננסיות ובנקאיות לעומת 36% בשנת 2014. בנוסף, 42% מבצעים פעולות בנקאיות בצורה מקוונת או סלולרית, 32% מעדיפים בנקאות טלפונית ורק 26% מגיעים לסניף. 66% מבצעים תשלומים דיגיטליים ו-64% מאמינים כי בנקאות סלולרית היא בעלת חשיבות רבה, בנוסף 63% טענו כי ישקלו מעבר לבנקאות דיגיטלית ללא סניפים במידה ויעברו בנק בעתיד.

לפיכך קיים מצב בו אוכלוסיה בעלת ידע וצורך דיגיטלי, לא מקבלת שרותים בנקאיים מתאימים. נטען כי על הבנקים יהיה, במוקדם או במאוחר, להתאים עצמם לדרישות לקוחותיהם בתחום הדיגיטלי ובכלל זה שינוי דפוס החשיבה של עובדי הבנקים וגיוסם למהלך של עבודה עם הלקוחות לשם עיצוב מחדש של הבנק, בו העובדים מהווים חלק משינוי זה מתחילתו. תוך קביעה כי 3-5 השנים הקרובות יהיו קריטיות ובהן אנו צפויים לשינויים מהותיים בנוף הבנקאי באזור, בכלל זה אימוץ מודלים עסקיים ושרותי חברות העוסקות בתחום הFinTech.

לדוגמא השאלה האם ברצון הבנק ליצור פלטפורמות דיגיטליות חדשות בעצמו, לחבור לסטארטאפ, לחברת טכנולוגיה בתחום או אף לרכוש שחקנים קטנים יותר הפעילים בתחום. על הבנקים יהיה לקחת סיכונים ולהשקיע בתחומים שונים, בחלק מהמקרים בבחינת 'ניסוי וטעיה' דיגיטלי.

חברות רבות בתחום הFinTech צומחות ברחבי העולם ובמפרץ הפרסי וגורמים שונים מגלים בהן עניין גובר והולך, ההשקעות בתחום זה בעולם גדלו מ-3 מיליארד דולר בשנת 2013 לכדי 12 מיליארד דולר בשנה שלאחריה. קיימים כיום אלפי מוצרים ופתרונות בתחום האמורים לשפר ולהגדיל את הטכנולוגיה הפיננסית ובכך להפחית את העלויות שבעשיית עסקים ולשפר את היעילות.

אחת מאלו היא טכנולוגיית ה Blockchainהמאפשרת תעוד עסקאות המבוצעות במטבע הוירטואלי ביטקויין, כמו גם תעוד כל נכס ומידע וירטואלי. לדוגמא אפשרות לתעוד כל מכירות הרכב באיחוד אמירויות, כך שאדם יכול להעביר את הבעלות על רכבו באמצעות טכנולוגיה זו המתוארת כ"המצאה הגדולה ביותר מאז האינטרנט, אשר גרמה למהפכה ולפשטות תהליכים של ביצוע העברות כספיות בין ארגונים". כאשר רכיבי השרשרת מתועדים, הדבר הופך את התהליך לנגיש לכל הצדדים, שקוף, נוח וזול יותר.

תחום זה מצוי בראשית דרכו באזור ואיחוד האמירויות היא הראשונה אשר צועדת בכיוון זה ומעודדת את השימוש בו. במסגרת זו הוקם בה בסוף חודש מאי ה Global Blockchain Councilעל ידי Dubai Future Foundation  וחברת התקשורת המקומית Du.

Tal Pavel

חממה בתחום הטכנולוגיה הפיננסית במצרים

/ב , , /על ידי

Flat6Labs בשיתוף עם Barclays Bank of Egypt הקימו חממה, הראשונה מסוגה, בשם 1864 Accelerator עבור חברות סטארטאפ בתחום הטכנולוגיה הפיננסית (FinTech) במצרים, אשר תמנף את הנסיון של האחת בטיפוח חברות עם הנסיון הבנקאי של השניה (בחירת השנה 1864, בה החל הבנק את פעילותו, מסמלת את ההסטוריה הארוכה שלו). זאת על מנת "לנער את המגזר הפיננסי במזרח התיכון, תוך מתן אפשרות ליזמים לשנות את רעיונותיהם ממושגים לפתרונות מסחריים ממשיים".

Flat6Labs היא קהילה, המונה 116 מייסדים, 81 אנשי צוות ו-140 מנטורים ומהווה חממה עבור למעלה מ-80 חברות סטארטאפ, תוך מתן מימון, חונכות, הדרכה, שרות משפטי, מיקום, רישות חברתי, חשיפה ושרותים נלווים משותפים מסחריים. הקהילה ממוקמת בקהיר, ג'דה, אבו ד'אבי, ובקרוב בבירות ובתוניס, תוך כוונה להרחיבה לערים נוספות בטווח הזמן הקצר

מטרת התוכנית "לספק הדרכה ליזמים שאפתניים", באמצעות תוכנית מותאמת המיועדת לספק, לאלו שימצאו מתאימים לקחת בה חלק, את הסיכוי הטוב ביותר להצליח ולהגיע למצב של בשלות להשקעה בתוך 14 שבועות. זאת על ידי 19 מנטורים ומגוון השרותים שמעניקה Flat6Labs.

תהליך זה מורכב ממספר שלבים;

  • 30 מאי 2016 תחילת הרישום
  • 7 אוגוסט 2016 – תהליך בחירת 20 הצוותים הטובים ביותר אשר יטלו חלק במחנה בן חמישה ימים במהלכו יציגו את תוצריהם ומהם יבחרו עשרה צוותים
  • 18 ספטמבר 2016 – התוכנית עצמה בה צוות החממה יסייע לעשרת הצוותים לפעול כעסק לכל דבר ובכלל זה היבטים משפטיים שונים.
  • 10 דצמבר 2016 – יום הצגות הDemo. לאחר השלב הראשון של התארגנות, מתחיל שלב החניכה וההדרכה, הצוותים מקדישים את החודש הראשון לבניית מוצר ממשי בסיסי. החודש השני מוקדש לחדירה לשוק במהלכו הצוותים מתחילים לרכוש לקוחות ובוחנים את תגובותיהם. בחודש השלישי הצוותים מגדילים את חברותיהם ומנתחים את המידע כדי להחליט האם להמשיך או לחדול. בסוף התהליך יתקיים ארוע הדגמה של החברות בפני משקיעים, מנהלי קרנות, ייזמים, חונכים, שותפים ונציגי תקשורת.

בנוסף יתקיים האקתון בתחום ה-FinTech בתמיכת הבנק ב-4-6 באוגוסט ב-The Greek Campus שבקהיר (המוגדר כ-Tech valley in the heart of Cairo) אשר מטרתו להציג ולקדם את השלב הראשון בתוכנית.

Tal Pavel

פשיעה קיברנטית נגד מוסדות בנקאיים במזרח התיכון

/ב , , /על ידי

ב22 במאי פורסם דוח של חברת FireEye החוקר התקפות ממוקדות נגד בנקים במזרח התיכון.

המחקר מגלה כי בשבוע הראשון של חודש מאי זיהתה החברה גל של הודעות דוא"ל אשר הכילו קבצים זדוניים ונשלחו למספר בנקים ברחבי המזרח התיכון. מניתוח התקיפות עולה כי הן כללו קוד אשר לא נעשה בו שימוש בדרך כלל בהתקפות שכאלה בעבר וכי לתוקפים היתה הכרות מוקדמת עם יעדיהם, אישית וטכנולוגית, תוך שימוש ב"הנדסה חברתית" לשם הסווואת המתקפה.

בתוך כך התפרסמה ב8 ביוני כתבה בדבר מחקר בשם  Data Security Confidence Indexשל חברת Gemalto הבוחן בין השאר את המזרח התיכון (בקרב 50 מקבלי החלטות בתחום ה-IT) ובו 54 שאלות בארבעה תחומים, מהן עולה כי ארגונים ממשיכים להאמין שטכנולוגיות הגנה היקפית יעילות נגד פשעים קיברנטיים;

  • 94% ציינו שמערכות אבטחה אלה יעילות במניעת גישה בלתי מורשית לרשת, עם זאת 54% ציינו כי סבלו מפריצה למערכת האבטחה ההיקפית במהלך 12 החודשים האחרונים.
  • 60% מאמינים שמשתמשים בלתי מורשים יכולים להכנס לרשת שלהם, בעוד 36% אמרו שמשתמשים בלתי מורשים יכולים להכנס לרשת כולה בארוע של פריצה.
  • כל הארגונים מהמזרח התיכון שנכללו בסקר השיבו כי חוו פריצה במהלך חמש השנים האחרונות.

אלו מצטרפים לדוח נוסף של חברת FireEye מה1 במאי אשר מצא כי מגזרי הפיננסים, הממשלה והאנרגיה הם המותקפים ביותר בקרב מדינות המשפ"מ. ממנו עולה כי שינויים גאופוליטיים, פיננסיים וכלכליים בעולם הפיזי, חשיבותן והקישוריות הרבה של מדינות האזור, מוצאים ביטויים גם בזה הקיברנטי, תוך שינוי במפת האיומים בין שתי המחציות של שנת 2015, לצד צמיחתם של שחקנים נתמכי מדינה.

מספר ההתראות מאזור זה הוכפל במהלך שנת 2015, תוך עליה משמעותית במחצית השניה של השנה והמשך האיום שמציבות כופרות לארגונים באזור. המחקר צופה כי פגיעתם של שחקנים אלו באזור תחמיר באמצעות שינוי הנתונים או השמדתם על ידי התוקפים.

Tal Pavel

קבוצה בשם FIN6 אחראית לגנבת 20 מיליון כרטיסי אשראי

/ב , , , /על ידי

ב21 אפריל פורסם על מחקר של חברת FireEye בדבר קבוצת פשיעה קיברנטית בשם FIN6 אשר פרצה לעסקים רבים בתחום הקמעונאות והארוח וגנבה כ20 מיליון כרטיסי אשראי בשווי של כ400 מיליון דולר, אותם מכרה בפורומים יעודיים של פשיעה קיברנטית ב"רשת האפלה" כדי שישמשו למעשי הונאה.

השוני בינה ובין קבוצות אחרות של פשיעה קיברנטית היא העובדה כי זו הראשונה העושה מאמץ לוודא שנתוני הכרטיסים יגיעו לשווקי הפשיעה בצורה המהירה והיעילה ביותר, על מנת למקסם את המחיר שניתן יהיה להפיק מכרטיסים אלו. ערך הכרטיסים הגנובים בפורומים הרלבנטיים תלוי במידת "טריות" הכרטיסים והמידע שבהם, כאשר הערך הרב ביותר הוא במקרה בו המנפיק עדיין לא יודע כי הכרטיס נגנב. משעה שזוהתה הגניבה והאתר או המיקום ממנו בוצעה, שווים של הנתונים יורד באופן טבעי.

קבוצות הפשיעה הקיברנטית כיום פועלות להתקין נוזקות בעמדות PoS במטרה לגנוב מספר רב ככל האפשר של כרטיסי אשראי, אולם הן לא עושות שימוש בכרטיסים שגנבו, אלא מוכרות אותם לאחרים המבצעים בהם מעשי הונאה שונים.

בעבר נרכשו כרטיסי האשראי הגנובים לשם משיכת כספים והעברתם לחשבונות בנק שברשות הפושע, או לשם רכישת מוצרים יקרי ערך ומשלוחם פיזית. שיטות אלו הפכו לבלתי יעילות הואיל ומשיכת כספים מצריכה מעורבות פיזית ואמון, והמשלוח הפיזי הפך לקשה יותר בשל העובדה כי חברות אמריקאיות רבות חוסמות משלוחים למדינות מסויימות ובכללן רוסיה ואוקראינה.

כיום נעשה שימוש בשיטה אחרת במהלכה נרכשת הסחורה באמצעות הכרטיסים הגנובים, נשלחת לכתובת נייטרלית, על פי רוב אדם שגוייס לכך כחלק מהונאה, עם קבלת הסחורה הוא שולח אותה לפושעים אשר מוכרים אותה בשוק השחור או באתרים חוקיים. בשל מורכבות השיטה, בה קשה לעקוב, לעצור ולהחזיר משלוחים, היא הפכה לאמצעי הנפוץ להפיכת כרטיסים גנובים למזומן. חלק מקבוצות הפשע אף מציעות שרותי "משלוח חוזר" שכזה תמורת 50% מהרווח או קביעת מחיר אחיד של 50-70 דולר לחבילה.

המומחים מעריכים כי אתר אחד של משלוח מחודש של סחורה מרוויח בממוצע 7.2 מיליון דולר בשנה מתוך שוק שנתי של 1.8 מיליארד דולר.

עוד עולה מהמחקר כי החלוקה ברורה למדי; רוב גנבות הכרטיסים נעשות מקורבנות בארה"ב, שם גם מבוצעת רכישת המוצרים באמצעות הכרטיסים שנגנבו, כאשר 85% מהסחורה נשלחה למוסקבה או לסביבתה, בהתאם גם הערכת חברת המחקר כי כנופיה זו פועלת ממזרח אירופה.

Tal Pavel

מעצר רשת רומנית של הונאות פיזיות ב-ATMs

/ב , , /על ידי

ב19 אפריל פורסם כי היורופול עצר יחד עם כוחות הבטחון האיטלקיים 16 אזרחים רומניים אשר הפעילו רשת נרחבת של הונאות מסוג Skimming נגד מכשירי ATM באיטליה, דנמרק ובריטניה. הרשויות תפסו ציוד רב ובכללו מחשבים וטלפונים וכן מכשור לשכפול כרטיסי אשראי אשר הותקן בATMs במדינות אלה.

הכרטיסים המשוכפלים הועברו לשותפיהם של חברי הרשת בבליז ובאינדונזיה, אשר ביצעו העברות שרוקנו את חשבונות הלקוחות. הנזק מפעילות זו מוערך ב1.2 מיליון אירו, בו התחלקו חברי הכנופיה.

עוד נמסר כי חקירת פעילות הקבוצה החלה כבר בשנת 2014.

Tal Pavel

GozNym – נוזקה חדשה בעולם הבנקאות

/ב , , /על ידי

ב14 אפריל פורסם על נוזקה חדשה בעולם הבנקאות, בשםGozNym , אשר גרמה לגנבת כ4 מיליון דולר תוך מספר ימים מ24 בנקים בארה"ב וקנדה ששמותיהם טרם פורסמו.

נוזקה חדשה זו קרויה על שם שתי נוזקות קודמות ISFB Gozi וNymaim מהן היא מורכבת; מהנוזקה Nymain נלקחו יכולות ההתגנבות החשאית, בעוד מהנוזקה ISFB Gozi (אשר נטען כי הקוד שלה פורסם כבר ב2010) נלקחו היכולות המאפשרות הונאות באמצעות דפדפנים נגועים. כאשר מערכי הקוד של שתי הנוזקות פועלים יחדיו למימוש הפעולות הפנימיות של הנוזקה המאוחדת.

מחקירת הנוזקה עולה כי היא מכוונת כלפי 22 בנקים בארה"ב וכן שני מוסדות פיננסים בקנדה, בחלוקה הבאה;

Figure 1: GozNym Targets per URL Type (Source: IBM X-Force)2

ההנחה היא כי הצוות שפיתח את Nymaim הצליח להשיג את קוד המקור של ISFB Gozi ושילב אותו בהצלחה בזו שיתר, לכדי סוס טרויאני המיועד להונאות נגד מוסדות פיננסיים, ככל הנראה מנובמבר 2015. עד אז שימשה Nymaim ככופרה בלבד אשר פותחה באופן מתמשך והדרגתי ותקפה ברחבי העולם. עם זאת נטען כי המופע הראשון של הנוזקה המשולבת היה בתחילת אפריל 2016.

Tal Pavel

תפוצת הנוזקות עבור מכשירי ATMs

/ב , , , /על ידי

ב12 אפריל פורסם מחקר משותף של חברת Trend Micro ומרכז הפשיעה הקיברנטית (EC3) של האירופול העוסק בגידול בשימוש בנוזקות כלפי ATMs.

המחקר בוחן את האיום וסוגי הנוזקות הפעילות נגד למעלה משלושה מיליון מכשירים הקיימים ברחבי העולם, מהם נמשך בממוצע סכום של כ8.6 מיליארד אירו מידי שנה. אלו מהווים יעד ברור ואטרקטיבי למתקפות קיברנטיות, הואיל וגנבת כסף ממכשירים אלה קלה ובטוחה יותר באמצעות שימוש בנוזקות, מאשר באמצעים פיזיים כבעבר.

המחקר מראה כי חל גידול של 15% בתקיפות הונאה באמצעות נוזקות בין השנים 2014 ו2015 נגד מכשירים אלו, תופעה המצויה בראשיתה וצפויה לגדול, כאשר שלוש המדינות מחוץ לאירופה בהן נרשמו ההפסדים הגדולים ביותר הן ארה"ב, אינדונזיה והפיליפינים.

מהמחקר עולה כי מספר רכיבים תורמים למגמה זו;

  • שימוש במערכות הפעלה שפג תוקפן, דוגמת Windows XP, אשר לא ניתן עוד להתקין בהן עדכוני אבטחה.
  • העליה בתחכום הפושעים אשר בוחרים בשיטות פעולה דיגיטליות הואיל והן מוסוות ופחות מסוכנות.
  • יצרני הATMs המאפשרים מנגנוני ביניים (eXtensions for Financial Services (XFS) middleware) המספקים APIs לתקשורת עם מכשירים נלווים.
  • עוד בחן המחקר את הנוזקות המרכזיות הפעילות בתחום, לצד ההיבטים הגאוגרפיים של תפוצתן, וגילה כי העדר יישום צעדי אבטחה בבנקים מסחריים באמריקה הלטינית ובמזרח אירופה, הביא לחשיפתם לפעולות של פושעים קיברנטיים, כמו גם ייצוא של שיטות הפעולה לאזורים נוספים.
  • כל משפחת נוזקות נבדלת בשני רכיבים מרכזיים; סוג יצרן הATM ויכולות הנוזקה (הונאת המכשיר כך שיקבל כרטיסים ומספרי PIN שונים, או בפועל לשם משיכת כספים), אולם המשותף להן הוא הצורך להתקינן ידנית באמצעים חיצוניים. עם זאת נטען כי טרם נצפה סחר בנוזקות עבור ATMs.
  • נתונים אלו מצטרפים למחקר של  European ATM Security Team (EAST)אשר התפרסם באותו היום, בדבר הפסדים בשל הונאות שונות הקשורות בATMs ועל חלקן הנמוך יחסית של אלו הפיזיות מכלל ההונאות;

1

מנגד, עולה מהפרסום כי בשנת 2015 נרשמו 15 מקרים של הונאות מכשרי ATM באמצעות נוזקות, בהשוואה ל51 שנה קודם לכן, לצד ירידה בהיקף הנזק מ1.23 מיליון אירו לכדי 743 אלף אירו.

Tal Pavel

פריצה והדלפת מידע רב מ-Qatar National Bank

/ב , , /על ידי

ב25 באפריל פורסם כי קבוצת ההאקרים התורכית Bozkurtlar הודיעה בחשבון הטוויטר שלה (שבינתיים נסגר), ובסרטון שפרסמה, כי עלה בידה לפרוץ למחשבי Qatar National Bank (QNB) ולגנוב מידע רב. עוד פורסם כי נפרצו מערכותיו של בנק נוסף אשר מידע ממנו, החל משנת 2001, יודלף בקרוב.

מהדיווחים השונים עולה כי המידע שדלף כלל ככל הנראה פרטים אישיים ולא נתונים פיננסיים, דבר אשר העלה את האפשרות כי יתכן ומטרת הגנבה מודיעינית ולא כלכלית. במסגרת זו נטען כי כחלק מהמידע הרב שדלף, היתה התמקדות במספר מצומצם יחסית של גורמים ובכללם בכירים אשר "חלק הואשמו בהיותם מרגלים", וכן כי "המידע כולל פרטים על העברות כספים וכן על צוותי אלג'זירה, ואלו הפועלים עם רשויות הבטחון, הממשל והמודיעין".

הפריצה בוצעה על ידי חדירה לבסיס הנתונים של הבנק באמצעות SQL Injections כתוצאה מחולשה באפליקציית בנקאות מקוונת, אשר הביאה לחדירה עד למערכותיו הפנימיות של הבנק, לצד העדר הצפנה בבסיס הנתונים. עוצמת המחדל גדלה שבעתיים כשמתברר כי הפורצים שהו ככל הנראה בחלק מהחשבונות כמאתיים ימים מבלי שדבר התגלה על ידי גורמי האבטחה בבנק, אשר גילו את הדבר רק עם פרסום הארוע ברשתות החברתיות.

Tal Pavel

פשיעה קיברנטית באיחוד האמירויות

/ב , , /על ידי

ב-16 דצמבר פורסם על כל שבדובאי נפתחו מספר אתרים אשר פרסמו משרות לכאורה מטעם סוכנויות ממשל בדובאי, תמורה לדמי רישום של 40-136 USD באמצעות הזנת פרטי כרטיסי אשראי אשר יתכן ואלו נגנבו על ידי בעלי האתרים.

עוד התברר כי רבים מהאתרים המזוייפים הללו יישמו אופטימיזציה של מנועי חיפוש (SEO) וכללו מילות מפתח מתאימות רבות, כך שהן עלו בראש התוצאות עבור חיפוש עבודה, לעיתים אף גבוה יותר מאתרים אמיתיים.

אכן, איחוד האמירויות חווה, כמדינות רבות אחרות, ארועי פשיעה קיברנטית מסוגים שונים. בתוך כך דווח על מתקפה מסוג "דיוג ממוקד" נגד אזרחי האמירות, וכן פריצה ל- Sharjah bank עליה דווח ב-25 נובמבר ונסיון לסחיטת הבנק בטענה כי מידע מסווג על אודות הלקוחות יודלף לאינטרנט אם לא ישולם לו כופר במבעות ביטקויין. על מנת להוכיח את טענתו, הוא פרסם דפי חשבון של גורמי ממשל, חברות ועסקים באיחוד האמירויות מידי יום מה-18 נובמבר. בנוסף הפורץ פנה ישירות לחלק מהלקוחות בטענה כי הוא שולט בחשבונותיהם ודרש מהם לשלם לו ישירות או לגרום לכך שהבנק יעשה זאת, אחרת פרטי חשבונותיהם יפורסמו באינטרנט. איום אשר התממש כעבור מספר שעות.

בתגובה הודה הבנק בפריצה, אשר הוגדרה ככל הנראה כחמורה ביותר בתולדות האמירות, ובדרישת הכופר. ארוע אשר גרם לזעם וחרדה בקרב הלקוחות שהבינו את היקף ועוצמת הארוע, במהלכו נחשפו פרטיהם של לקוחות הבנק, נתונים פיננסים, מידע על קשריהם העסקיים. כאשר רבים מהם לא ידעו על הארוע עד אשר אמצעי התקשורת מסר להם על כך.

בתכתובת שניהל אתר החדשות למול ההאקר הוא טען כי הוא דורש 3 מיליון דולר וכי בידיו הגישה לבסיס הנתונים של הבנק ולקבצי הגיבוי מכל השרתים. מומחים טוענים שלא ניתן להתחקות אחר עקבותיו; על פי טוויטר מקום מושבו הוא בהונגריה, פוסטים קודמים שלו היו בשפה האינדונזית והודעות ה-SMS ששלח ללקוחות הבנק היו ממספר טלפון בריטי.

זאת בין השאר הואיל ואיחוד האמירויות מובילה את המזרח התיכון בכלכלת האינטרנט וממוקמת 30 מבין כלל מדינות העולם.

Tal Pavel

האקרים תורכיים תקפו את אתר הבנק המרכזי של רוסיה

/ב , , , , /על ידי

לפני כשעה פורסמה ידיעה לפיה האקרים תורכיים המשתייכים לקבוצה המכונה THT, תקפו את אתר האינטרנט של הבנק המרכזי של רוסיה במחאה על המתיחות הצבאית השוררת בין המדינות ביממה האחרונה.

עוד נמסר כי הארוע גרם להשבתה קצרה של אתר הבנק.