ציפי לבני ואנשי מערכת הביטחון: האקרים איראנים תקפו תיבות מייל של בכירים בישראל

"אתם צריכים לאמת את זהותכם בכניסה לחשבון": פריצת האקרים אירנית לתיבות מייל של בכירים בישראל הובילה להתחזות ולביצוע תקיפות ממוקדות כנגד גורמים פוליטיים, מדיניים, אקדמאיים ועסקיים בעלי פרופיל גבוה

14/06/2022
מתקפת סייבר איראנית. ShutterStock
מתקפת סייבר איראנית(צילום: ShutterStock)

חברת אבטחת הסייבר הישראלית צ'ק פוינט פרסמה הבוקר (שלישי) על מהלך תקיפה איראני כנגד גורמים בכירים בישראל, שהחלה בדצמבר 2021, ובהם שרת החוץ לשעבר ציפי לבני. כחלק מהמתקפה, פרצו ההאקרים לתיבת מייל של אלוף בכיר במילואים ששימש בתפקיד רגיש, התחזו אליו והתכתבו בשמו עם גורמים בכירים במטרה לגרום להם לפתוח מסמכים שונים. צ'ק פוינט עדכנה את גורמי הביטחון בישראל אודות המתקפה.

על פי המחקר, ניהלו תוקפים איראנים תכתובות מייל עם גורמים בכירים בישראל לאחר פריצה למספר כתובות מייל והתחזות לאותם הגורמים. התכתובות כללו שליחת מסמכים הכוללים הזמנה לכנס בחו"ל ומאמרים בנושא תכנית הגרעין האירנית - ואלו דרשו מהקורבנות להקליד את סיסמת המייל שלהם. באחד מהמקרים התכתובות הובילו מנהל בכיר באחת החברות הבטחוניות המרכזיות בישראל לשלוח את צילום הדרכון שלו.

עוד בוואלה!

התחרות המתוקה ביותר בעולם חוזרת לישראל

בשיתוף גרבר
התכתבו עם גורמים בכירים במטרה לגרום להם לפתוח מסמכים שונים. ציפי לבני(צילום: ראובן קסטרו)

במהלך חודש דצמבר קיבלה שרת החוץ לשעבר לבני מספר מיילים בעברית מאותו אלוף במילואים, ובהם בקשה לקרוא מאמר שכתב על אירועים בטחוניים בשנת 2021. לאחר מספר מיילים בהם הפציר בלבני לפתוח את הקובץ באמצעות ססמת המייל שלה, לבני פנתה לאותו אלוף במילואים שלא הבין במה מדובר.

"לבני העבירה אלינו את תכתובת המיילים, וממנה התחקנו אחר השולחים והקבצים וגילינו עד כמה רחב היה המהלך (פרסום שמה של לבני תואם איתה)", מסרו בחברת צ'ק פוינט. לדבריהם, באותם החודשים ועד לשבוע שעבר, התוקפים האיראנים הצליחו לשים את ידם על תכתובת מייל פרטית בין ראש מכון מחקר מרכזי מאד בישראל ושגריר ארה"ב לשעבר בישראל, וניצלו אותה ליצירת המשך התכתבות במהלכה הם התחזו לשגריר תוך שימוש במייל אחר.

"אתם צריכים לאמת את זהותכם בכניסה לחשבון". מייל נוסף שנשלח ללבני(צילום: צ'ק פוינט/צילום מסך)
"גם הערותיך חשובות מאוד בשבילי". ניסיון כושל נוסף לשכנע את לבני להקליד את סיסמת המייל(צילום: צ'ק פוינט/צילום מסך)

"עוד ראינו שאותם תוקפים הגיעו למנהל בכיר בחברה בטחונית מרכזית בישראל וניסו לגנוב פרטים אישיים אודותיו. על מנת לעשות זאת הם השתמשו בפלטפורמה לגיטימית שאליה ניתן להעלות צילומי מסמכים. במקרה זה אותו מנהל אכן העביר לתוקפים את צילום הדרכון שלו", הוסיפו בצ'ק פוינט.

מסמך בשם "דרך נחושה- קעקוע האסטרטגיה של איראן", שנשלח אל ראש מכון מחקר מרכזי בישראל(צילום: צ'ק פוינט/צילום מסך)

במסגרת המהלך התחזו התוקפים גם לפרופסור מוכר בתחום המזרח התיכון ודרכו שלחו מסמכים נוספים הקשורים באירן. עוד נמצא כי התוקפים הקימו תשתית להשגת מספרי הטלפון של הקורבנות, כביכול כחלק מתהליך פתיחת המסמכים. השיטה עבדה כך: תחילה, לאחר לחיצה על המסמך המצורף למייל או לינק במייל, יקפוץ דף המבקש להכניס סיסמה זיהוי לחשבון המשתמש (סיסמא שעתידה להיות מועתקת על ידי התוקפים).

לאחר מכן תופיע בקשה לאימות נוסף של המשתמש בצורת קוד SMS שישלח למכשיר המקושר לחשבון המייל. יש לציין שמספר הטלפון בתוך דף ההתחזות הותאם במיוחד עבוד יעד התקיפה - מספר הטלפון שלו.

הזמנה לכנס Roundtable Kickoff Skier’s, שנשלח אל האלוף במילואים אשר שימש בתפקיד בכיר ורגיש(צילום: צ'ק פוינט/צילום מסך)

בסה"כ, באותם החודשים, אותרו תקיפות כלפי הגורמים הבאים:

  • אלוף במילואים אשר שימש בתפקיד בכיר ורגיש - המייל נפרץ והתחזו לו
  • שרת החוץ לשעבר ציפי לבני - ניסו לגרום לה להקליד את ססמת המייל שלה על קובץ ייעודי שנשלח אליה ובו הזמנה לכנס בחו"ל
  • ראש מכון מחקר מרכזי בישראל -הגיעו להתכתבות פרטית בינו ובין מי שכיהן כשגריר ארה"ב לשעבר בישראל, ועל בסיס אותה התכתבות התחזו לשגריר והעבירו מיילים נוספים לראש מכון המחקר במטרה לתקשר איתו ולהשיג, ככה"נ, מידע פרטי אודותיו
  • שגריר ארה"ב לשעבר בישראל - התחזו לו דרך שימוש בהתכתבות קיימת עם ראש מכון המחקר והעבירו בדרך זו לינק שמטרתו גניבת מידע
  • מנהל בכיר בחברה בטחונית מרכזית - ניסו לגנוב את פרטיו האישיים והצליחו להשיג את צילום הדרכון שלו
  • פרופ' מוכר בתחום לימודי המזה"ת - התחזו לו במטרה להעביר מסמכים לגורמים שונים.
  • סייבר

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully