סקר חדש בדבר פשיעה קיברנטית בקרב חברות במזרח התיכון

ב18 במאי פורסמו תוצאות סקר בינלאומי ("Global State of Information Security survey 2016") שנערך על ידי חברת PricewaterhouseCoopers הכולל 18 שאלות בחמישה תחומים.

300 מהחברות שנשאלו היו מהמזרח התיכון, כאשר 85% מהן השיבו כי היו נתונות לארוע פשיעה קיברנטית, בהשוואה לממוצע העולמי העומד על 79%.

עיון בנתונים מגלה כי 41% מהחברות במזרח התיכון דיווחו על למעלה מ50 ארועים במהלך 12 החודשים שחלפו, זאת בהשוואה ל32% בקרב כלל מדינות הסקר. בשנת 2015 נרשמה עליה של 38% בארועי אבטחה באזור לעומת השנה הקודמת, עם זאת נטען כי חברות רבות, בעיקר במזרח התיכון, לעיתים קרובות מתקשות לזהות התקפה ורבות מגלות זאת לאחר דיווחי לקוחות או צד שלישי, כאשר 48% מהחברות באזור דיווחו על הפסדים המוערכים בין חצי מיליון למיליון דולר בשל התקפות אלו, בהשוואה ל16% בכלל מדינות הסקר.

על מנת להתמודד עם איומים אלה, כ20% מהחברות באזור השקיעו סכום שכזה מתקציבן באבטחת מידע, בהשוואה לכ12% בממוצע העולמי. בנוסף, תקציב אבטחת מידע עד לסכום של 10 מיליון דולר, בקרב חברות במזרח התיכון, היה גבוה מהממוצע העולמי, אך נמוך ממוצע זה עבור תקציבים הגדולים מ10 מיליון דולר.

כמו כן, רק לפחות מ20% מהחברות באזור יש תוכנית בנושא מודעות לאיומים אלו, חברות רבות רואות בנושא האבטחה הקיברנטית סוגיה מתחום טכנולוגיית המידע בלבד, למרות שעליה להוות חלק ממדיניות האבטחה הכוללת של החברה.

"חברות במזרח התיכון זקוקות לא רק לטכנולוגיה הנכונה, המיושמת בצורה מתאימה, אלא גם האנשים הנכונים, מבנה משילות ותהליכים נכונים. סייבר הוא אתגר מקצה לקצה והוא דורש מענה מקצה לקצה".

הדלפת פרטי 13.5 מיליון לקוחות חברת הארוח החופשי 000Webhost

ב-28 באוקטובר פורסם כי השרות הפופולרי ביותר בעולם לשרות ארוח חופשי 000Webhost היה נתון לפריצה חמורה אשר גרמה לחשיפת פרטיהם האישיים של יותר 13.5 מיליון מלקוחותיו.

הנתונים שנגנבו כוללים שמות משתמש, סיסמאות, כתובות דוא"ל, כתובות IP ושמות משפחה, כאשר הטענה כי שהפריצה בוצעה כבר בחודש מרץ 2015 על ידי האקר אנונימי.

בפוסט בעמוד הפייסבוק של החברה נכתב;

Capture14

הודעה קצרה פורסמה גם באתר החברה;

Capture16

המידע שנגנב הגיע על ידי מקור אנונימי לידיו של חוקר אבטחה אוסטרלי אשר אישר את מקוריות הנתונים. עם זאת נמסר כי ככל הנראה החברה התעלמה בעקביות מאזהרות מוקדמות יותר של החוקר ואף נכשלה ביישום צעדי אבטחה בסיסיים לאבטחת בטחון המידע של לקוחותיה.

גילו פרצות אבטחה באתר סטארבקס

ב-16 ספטמבר פרסם חוקר אבטחה מצרי Mohamed M .Fouad כי הוא גילה כשלי אבטחה קריטיים באתר סטארבקס, אשר מאפשרים להאקרים לגנוב את פרטי האשראי של המשתמשים ולבצע הרצה מרוחקת של קוד באתר.

בפוסט הוא מסביר ומדגים כיצד גילה חולשות אבטחה רבות באתר החברה, אשר להן השלכות חמורות על המשתמשים, באמצעות אילוצם להחליף סיסמאות, הוספת כתובות דוא"ל חלופיות, או אף שינוי תכולת הפרופיל שלהם וגנבת פרטי האשראי השמורים באלו, לצד שתי חולשות קריטיות המאפשרות ביצוע מתקפות פישינג עליהם והרצה מרוחקת של קוד על שרתי סטארבקס.

על חולשות עלה הוא דיווח לחברה ב-29 ביוני 2015, אולם ללא כל מענה וב-4 יולי 2015 לשרות הלקוחות של החברה באמצעות חשבון הטוויטר שלה. באותה העת הוא דיווח על כך גם ל-US-CERT.

ב-20 באוגוסט הוא קיבל תשובה מ-US-CERT לפיה החברה מאשרת את קיום שתי החולשות שמצא וכי היא מבקשת 30 יום נוספים כדי לטפל בכך בטרם הפרסום.

לדבריו החולשות תוקנו לפני עשרה ימים וכי הוא עדיין ממתין לפרסום של החברה ולתמורה שלו בגין איתור החולשות.

last reply

תקיפות נגד אתרי הכרויות

בחודש יולי התבשרנו על פריצה ולאחר מכן הדלפת ענק ממחשבי אתר ההכרויות אשלי מדיסון, עוד קודם לכן, בחודש מאי פורסם על ארוע דומה, אך קטן יותר בהקפו, במהלכו הודלפו 3.9 מיליון רשומות מאתר ההכרויות FriendFinder, ב-3 ספטמבר פורסם כי חוקרי אבטחת מידע של חברת Malwarebytes גילו נוזקה בפרסומות שבגרסה הבריטית של אתר ההכרויות Match.com.

מודעות אלה מופיעות בעומדים באתר באמצעות רשת המעבירה תכנים לאתר זה ולאחרים ומנתבות את אלו שלחצו עליהן באמצעות סדרה של קישורים לאתר המוטמע בקוד הבודק את מידת העדכניות של רכיבי תוכנה שונים אצל המשתמש. במידה ונוזקה זו מגלה באגים בדפדפן או ברכיבים שונים בו היא מנצלת זאת.

עם הפריצה ניתן היה לתקוף את מחשב היעד בדרכים שונות, אולם השרתים עצמם לא נפרצו. חברת המחקר מסרה כי לפי שעה לא ברור כמה נפלו קורבן לנוזקה המהווה ככל הנראה סוג של כופרה.

החברה עצמה הודיעה כי היא מודעת למקרה ופועלת לנקות את האתר.

תופעה זו של מתקפת Malvertising תועדה על ידי חברת מחקר זו בתחילת חודש אוגוסט, הפעם נגד מודעות באתר Yahoo!.

דליפת כ-90 אלף כרטיסי אשראי מחברת אינטרנט בארה"ב

ב-18 אוגוסט פרסמה חברת האינטרנט Web.com כי גילתה חמישה ימים קודם לכן כניסה בלתי מורשית לאחת ממערכות המחשב שלה. כתוצאה מכך דלף מידע על כרטיסי האשראי של כ-90 אלף מתוך למעלה מ-3.3 מיליון לקוחות החברה.

ההודעה מסרה כי החברה גילתה את דבר הפריצה במהלך פעילות ניטור מתמשכת. מיד לאחר גילוי הארוע, הודיעה החברה על כך לבעלי הכרטיסים ולרשויות הפדראליות, כמו גם פניה לחברת אבטחת מידע לשם ביצוע חקירה כוללת וביצוע השקעה בתהליכי אבטחה ומערכות על מנת למנוע השנות מקרים כאלה בעתיד.

כל הלקוחות אשר יתכן ודלפו פרטי כרטיסי האשראי שלהם, אמורים היו לקבל הודעת דוא"ל ובה פרוט הצעדים אותם נוקטת החברה. בנוסף פתחה החברה עמוד ובו FAQs לטובת לקוחותיה.

דליפת 900 אלף רשומות לקוחות מחברה בארה"ב

ב-29 ביולי פורסם באתר העיתון Winston-Salem Journal כי חברת Hanesbrands המקומית דיווחה שבסיס הנתונים של הזמנות הלקוחות שלה נפרץ על ידי האקר בסוף חודש יוני והביא לדליפת פרטיהם של 900 אלף לקוחות מקוונים וטלפוניים.

דובר החברה מסר כי הפורצים חדרו למערכות באמצעות אתר החברה תוך התחזות ללקוח אורח, כלומר ללא רישום ממשי באתר, אך תוך יכולת לבצע מניפולציה על המידע באתר.

עוד נמסר כי עלה בידם להשיג מידע אשר כלל כתובות, מספרי טלפון, וארבע ספרות אחרונות של כרטיס אשראי, אולם לא שמות משתמש וסיסמאות גישה הנשמרים בבסיס נתונים נפרד. לדבריו, הלקוחות שהושפעו מהארוע הם אלו אשר רכשו מוצרים דרך האתר והשתמשו באפשרות ה"אורח". עוד נמסר כי החנות המקוונת עצמה לא נפגעה ולא מערכות המידע של החברה, אולם הדובר מסר כי יתכן והיתה גישה למידע של משתמשים רשומים, כאלה קיימים לחברה כ-900 אלף.

עוד עולה כי ככל הנראה המידע על הארוע הגיע לחברה דווקא מהפורצים עצמם שעדכנו אותה במעשהיהם.

הדלפת קבצי אשלי מדיסון וארגוני טרור

ב-19 ביולי פורסמה הודעה בדבר פריצה למערכות המחשב של אשלי מדיסון והדלפת מידע רב של לקוחות רשומים, תוך פניה אישית לסמנכ"ל הטכנולוגיה בחברה וזלזול בו וביתר חברי ההנהלה בדבר רמת האבטחה של מערכותיהם.

בהודעה נטען כי הפרטים שיודלפו יחשפו כי הנהלת החברה לא מוחקת רשומות של משתמשים המבקשים זאת ואף משלמים על כך. טענה שהופנתה גם במקרה של הפריצה לאתר דומה FriendFinder במאי השנה.

במסגרת חלקי המידע שפורסמו בדבר תכולת הקובץ, פורסמו פרטי לקוחות רשומים (משלמים ושאינם משלמים) באתר, בקבצים שונים אודות לקוחות רשומים המשוייכים לארגונים ומדינות שונות, ובכללם; מתחומי האקדמיה (אוניברסיטת אוקלהומה, UCLA, אוניברסיטת אורגון, אוניברסיטת מישיגן, ורבות נוספות), בנקאות (Wells Fargo, Royal Bank of Canada), ממשל (ברזיל, קנדה, משרד ההגנה של אוסטרליה וגורמי ממשל נוספים בה), תקשורת, צבא (צבא ארה"ב), וכן כתובות בחתך מדינתי ואזורי (פורטוגל, וותיקן, קונטיקט) ובהן פרטי כתובות פיזיות ודוא"ל.

במסגרת זו פורסמו גם רשימות שונות ובהן כתובות דוא"ל של גורמים פרטיים מישראל וכאלה המיוחסות לגורמי ממשל בישראל (קובץ 1, קובץ 2).

רשימות ובהן טענה לפרטיהם של ישראלים מודלפות מעת לעת הן על ידי גורמים המזוהים עם 'אנונימוס' וארגוני טרור שונים. לעיתים יש באלו מהאמת, אך לרוב הן ישנות, מנופחות במתכוון, או מזוייפות כך שאין בינן ובין המציאות דבר.

לצד גורמי פשיעה, האקרים ובעלי אינטרסים שונים, גם לגורמי טרור עניין בקבצי מידע השייכים לגורמי ממשל וצבא;

הג'האד האסלאמי טען לפרסום רשימה ובה אלפי חיילי צה"ל במהלך מבצע 'עמוד ענן', המורדים החות'ים בתימן טענו בינואר 2015 לחשיפת פרטים של אלף אנשי צבא ומודיעין סעודיים, כעבור חודשיים פרסמו גורמים המזוהים עם 'המדינה האסלאמית' רשימה שמית ובה פרטיהם מאה אנשי צבא אמריקאיים, וחמישה חודשים לאחר מכן, פורסמה רשימה נוספת ובה פרטיהם של כ-1,500 אנשי צבא וממשל אמריקאיים מרחבי העולם.

בעידן זה של מידע דיגיטלי בו מחד גיסא מידע רב נאסף עלינו (בין אם על ידי מסירה אקטיבית שלנו ובין אם באמצעות עצם הפעילות המקוונת הפאסיבית שלנו) ונשמר, למידע יש ערך רב לגורמי פשיעה, טרור, גורמים מדינתיים, חוקרים, חברות מסחריות וגורמים רבים אחרים.

אנו עדים למספר ההולך וגדל של דיווחים על ארועי דליפות מידע ברחבי העולם, לעליית חשיבותו של היחיד בארועים שכאלה (כחוליה החלשה המאפשרת חדירה למערכת ואף ביכולת אדם אחד לגנוב מידע רב כיום באמצעים פשוטים) ולגניבת מידע אישי (פרטים אישיים, נתונים כספיים ורפואיים), לצד הדלפת מסמכים מארגונים וממשלים שונים ברחבי העולם.

ארועים אלו הם בעלי ערך רב לארגוני טרור, אשר להם עניין רב הן בפריצה וההדלפה, כמו גם ביצירת מניפולציה על המידע, ניפוחו וזיופו. לבד מההיבטים של לוחמה פסיכולוגית יש באלו בסיס מידע רב ערך בו ביכולתם לפעול למטרות שונות באמצעות חשיפת פרטיהם של גורמים שונים, ואף יצירת בסיס לסחיטה ואיומים נגדם.

 

בעת התנהלותנו המקוונת בחיים דיגיטליים אלו, הן כמשתמשים והן כגורמי מערכות מידע ומנהלי אתרי אינטרנט, חשוב לזכור כי לצד הקלות שבאיסוף המידע הרב, כך עולה גם הקלות שבחשיפת כמות רבה של מידע זה, אשר הוא בעל ערך לא רק לחברות מסחריות וארגוני פשיעה, אלא גם עבור ארגוני ופעילי טרור.

מתקפת Malvertising נגד שרות המודעות של Yahoo

חברת המחקר Malwarebytes פרסמה ב-3 באוגוסט כי במהלך החודשים יוני ויולי נרשמו שיאים חדשים בהתקפות מסוג malvertising – מתקפות העושות שימוש בהודעות פרסומת באתרים השונים, תוך ניצול רשת המודעות של !Yahoo. הודעה על כך נמסרה לחברה אשר נקטה בצעדים מיידיים לעצור את המתקפה.

המתקפה החלה ב-28 ביולי ובשל היות האתר מוקד ל-6.9 מיליארד מבקרים בחודש, היתה זו אחת מהמתקפות הגדולות ביותר מסוג זה בה נתקלה לאחרונה חברת המחקר.

גניבת 85 אלף כרטיסי אשראי מחברת קזינו בארה"ב

ב-3 ביולי פרסמה חברת "FireKeepers Casino Hotel" כי בוצעה כניסה בלתי מוקשית למערכות המחשב של החברה, במהלכה נחשפו פרטי כ-85 אלף כרטיסי אשראי של לקוחותיה.

ב-16 באפריל התברר לחברה על הארוע, מבדיקת מומחי אבטחה חיצוניים התברר כי פרטיהם של כרטיסי אשראי בהם בוצעו עסקאות לרכישת מזון, משקאות וקמעונאות בין התאריכים 7 ספטמבר 2014 ו-25 אפריל 2015 יתכן ודלפו בארוע זה.

אולם כרטיסים בהם נעשה שימוש לשם הזמנת חדרים במלון ומשיכת מזומנים, לא נפגעו, הואיל ואלו מטופלים באמצעות מערכות נפרדת.

ב-6 במאי התברר כי נפרץ גם שרת אחסון קבצים אשר הכיל מידע אישי של לקוחות, עובדים (בווה  ובעבר) וקרוביהם, ובכלל זה מספרי ביטוח לאומי, מספרי רשיון נהיגה ומידע רפואי מנהלתי, אולם לא נמצאה עדות לגישה בלתי מורשית או שימוש לרעה במידע האישי. למרות שאין לחברה עדות כי נעשה שימוש לרעה במידע זה, היא עדכנה בכך את הנוגעים בדבר והמערכות פועלות כעת באופן מאובטח.

החברה פרסמה הודעה ללקוחותיה ואחת לעובדים בהווה ובעבר.

יצויין כי ב-15 באפריל דווח על ארוע שני של דליפת מידע מרשת בתי המלון WLSC בארה"ב, אשר גם בו דליפת המידע – בשני המקרים – היתה דווקא מעמדות מכירת המזון והמשקאות.

דליפת מידע – סכנה ברורה, מיידית וריווחית

ב-27 במאי פורסם כי ממחקר של חברת Ponemon, אשר מומן על ידי IBM, עולה כי העלות הממוצעת של ארוע דליפת מידע עומד על 3.8 מיליון דולר, ממוצע של 154 דולר לרשומה, זאת בהשוואה ל-3.5 מיליון דולר בשנה שעברה וממוצע של 145 דולר לרשומה.

המחקר אשר בוצע בקרב 350 חברות שנפגעו מדליפת מידע מ-11 מדינות, מגלה שמלבד ההוצאות הישירות בגין נזקי הדליפה, אלו כוללות גם עלויות של שכירת מומחים לטיפול בארוע, חקר המקרה, שרות תמיכה טלפונית וכן שרותי ניטור כרטיסי אשראי ללקוחות שנפגעו. במחקר נטען כי העלות הממוצעת אינה כוללת הדלפות ענק אשר השפיעו על מיליוני לקוחות, כאשר זו שפגעה בחברת Target לבדה הסבה נזק בעלות של 148 מיליון דולר.

עוד טוען המחקר כי מרבית פעילות של הדלפת נתונים מבוצעת על ידי פשיעה מאורגנת ממומנת היטב וכי תחום שרותי הבריאות הוא בעל סיכון גבוה יותר כאשר עלות רשומה שדלפה במגזר זה היא 363 דולר בהשוואה ל-154 בממוצע בכל המגזרים.

אכן מגזר הבריאות והרפואה בארה"ב מהווה "גן עדן לפושעים קיברנטיים"  תוך יצירת נזק שנתי של 6 מיליארד דולר וגניבת 88.4 מיליון רשומות על ידי פושעים קיברנטיים, אשר שמים דגש הולך וגדל על מגזר זה בפעילותם, זאת הואיל ושוויו של מידע זה הוא פי 20 מאלו של נתוני אשראי גנובים. דוגמאות לכך הם דליפת פרטיהם של אלף מטופלי צינתור, 56 אלף מטופלי הרפואה הציבורית בסן פרנסיסקו, 62 אלף עובדי המרכז הרפואי UPMC (והדלפה נוספת הפעם של 2,200 מטופלים ממוסד זה), פרטי 4.5 מיליון מטופלים מקבוצת בתי החולים הגדולה ביותר בארה"ב ואף 11 מיליון רשומות של לקוחות חברת ביטוח רפואי.

שימוש באתרים לחיפוש עבודה על מנת להחדיר נוזקות לארגונים

ב-29 באפריל פורסם על דבר קיומה של מתקפה מתוחכמת המבוססת דוא"ל והכוללת פישינג לצד שיטות של הנדסה חברתית וזאת על מנת להונות את המשתמשים לפתיחת מסמכים נגועים.

בהתקפה זו התוקף צרף כקורות חיים קובצי Word נגועים בנוזקות למודעות דרושים אשר נפתחו באתר CareerBuilder.com. משעה שצורפו הקבצים, השרות באתר יצר אוטומטית הודעת דוא"ל למפרסם המודעה וצרף בה את המסמך, אשר מקרה זה הכיל את הנוזקה.

אמנם במתקפה זו הפעילות היא ידנית ודורשת יותר זמן ומאמץ מצד התוקף, אולם סיכויי הפתיחה של הודעת הדוא"ל גבוהים יותר, זאת הואיל והקבצים הגיעו ממקור לכאורה בעל אמינות גבוהה; האתר בו הוצבה המודעה ואשר מרכז את הפניות שהתקבלו ושולח אותן למציבי מודעות הדרושים, כמו גם אלו הודעות דוא"ל שהמקבל מצפה להן.

foot-in-the-door-1

מתברר כי זוהי מתקפה ממוקדת בעלת היקף נמוך ביותר הכוללת פחות מעשר הודעות דוא"ל אשר נשלחו ליעדים ממוקדים ובכללם חנויות, חברות אנרגיה, רשתות שידור, חברות אשראי וספקי חשמל. זאת תוך מענה למודעות בתחומי ההנדסה והפיננסים דוגמת "אנליסט עסקי", "מפתח אתרים", "מפתח תווכה", כאשר מאפייני המשרה במודעה מספקים מידע רב ערך בדבר הכלים והתוכנות בהם נעשה שימוש בקרב קורבן התקיפה ובכך מאפשרים לתוקף להתאים את התקיפה לכל יעד בנפרד.

מהדוח שחקר את המקרה התברר כי לשם יצירת הנוזקה נעשה שימוש בכלי אשר נצפה מוצע למכירה ב-31 במאי 2013 בפורומים רוסיים בסכום של 2-3 אלף דולר.

תקלה מקוונת ברשת סופרמרקטים באוסטרליה גרמה לנזק בשווי 1.3 מיליון דולר

ב-31 במאי פורסם כי רשת הסופרמרקטים האוסטרלית Woolworths נאלצה לבטל תווי קניה בשווי 1.308 מיליון דולר וזאת בשל דליפת ענק של מידע על לקוחותיה, אשר נשלח בטעות באמצעות קובץ אקסל ובו קודים של 7,941 כרטיסי מתנה המכילים את שמות וכתובות הדוא"ל של הלקוחות ללמעלה מאלף לקוחות. כל אחד מהם יכול היה להכנס לקודי כרטיסי המתנה ולהתחיל מיידית בקניות.

כתוצאה מכך לקוחות אשר התחברו לאתר החברה גילו שכבר נעשה שימוש בקופונים שלהם.

הארוע התגלה כאשר לקוחות רכשו שוברים בצורה מקוונת, ועם ביצוע הרכישה נמסר להם כי יקבלו הודעת דוא"ל אשר תכיל קובץ PDF של הקופון האלקטרוני, אולם משעה שחלק מהלקוחות פתחו את הקובץ, הם גילו גיליון אקסל אשר הכיל קישורים לקופונים בשווי של למעלה ממליון דולר. בהמשך קיבלו הלקוחות הודעת דוא"ל לפיה תווי הקניה בוטלו, דבר אשר גרם להתמרמרות בקרב הקונים שרכשו את התווים.

החברה סרבה למסור פרטים על היקף הפריצה ומספר הלקוחות שנפגעו, אלא סיפקה הצהרה בת שתי שורות לפיה היא דואגת לבטחון המידע של הלקוחות וכי היא ניצבה בפני תקלה טכנית הקשורה בתווים שרחשו הלקוחות, תקלה שהיא פועלת לפתור, תוך סיוע ללקוחות.

1433025868313