אתמול התבשרנו על מתקפת סייבר נגד הטכניון במסגרתה מערכות המחשוב נותקו. קבוצת ההאקרים DarkBit דרשה יותר מ-60 מיליון שקלים תוך 48 שעות כדי לסיימה. מערך הסייבר הלאומי ציין בהודעה לתקשורת כי מגזר ההשכלה הגבוהה מהווה יעד מרכזי לתקיפות סייבר, כאשר רק ב-2022 המערך זיהה וטיפל ב-53 אירועים באקדמיה שרובם נבלמו. שנה לפני הייתה זו אוניברסיטת בר אילן שנפלה קורבן למתקפת כופר, כאשר התוקפים דרשו 2.5 מליון דולר כדי להפסיקה. האירוע הסתיים בהדלפת מאות אלפי רשומות של תלמידים ומרצים עקב חוסר ההיענות לתשלום מצד האוניברסיטה.
חברתנו, CyberSixgill , ספקית מובילה של מודיעין על איומי סייבר מציגה מחקר ובו הצצה לאופן שבו האקרים ופושעי סייבר מנסים לפעול מול הסטודנטים והאוניברסיטאות.
האינטראקציה עם האוניברסיטאות עברה כבר מזמן לעולם הוירטואלי. חשבונות אקדמיים של סטודנטים עלולים לשמש כגורמי איום על מוסד הלימודים ומשתמשי המערכת. לדוגמה, השתלטות על חשבון מייל אקדמי מאפשרת לתוקף להתחזות לאחד התלמידים או העובדים ולגנוב את זהותם. תוקפים ברמה מתקדמת יותר יכולים להשתמש באמצעי זה כצעד ראשון למתקפה רחבה יותר, כדי להשיג גישה לבסיסי נתונים המכילים נתוני תלמידים, רשומות חינוכיות, נתונים פיננסיים ואף מחקרים חדשניים רגישים ביותר. באותה המידה התוקפים יכולים גם להטמיע תוכנות כופרה ולסחוט מוסדות אקדמיים תמורת מיליוני דולרים.
במסגרת מחקר זה, בדקנו את חשיפתם של מוסדות ההשכלה הגבוהה בישראל ברשת האפלה של האינטרנט, ה- Dark web בה מתרחש סחר בחשבונות גנובים ופרוצים. חיפשנו בעיקר חשבונות שנפרצו (שמות משתמשים, לרוב כולל סיסמאות) ו-iot's (כל מכשיר המחובר לרשת) שנפרצו ומחוברים לחשבונות באוניברסיטאות.
חשבונות פרוצים
החיפוש שלנו העלה כ-22,340 חשבונות פרוצים של סטודנטים ועובדי מוסדות אקדמאיים בישראל שהופצו ברשת האפלה ב-2022. מלבד זאת, ישנן רשימות משולבות להורדה, שיכולות להכיל עד אלפי רשומות. מה שמצביע על כך שמספר החשבונות הפרוצים בפועל גבוה בהרבה מהמספר שציינו.
שמות המשתמשים והסיסמאות הללו התגלו ככל הנראה באמצעות פרצות אבטחה שונות, בין אם של המוסד החינוכי עצמו, באתרי צד שלישי שאליהם הסטודנט נרשם באמצעות הדוא"ל האוניברסיטאי שלו, או על ידי פריצה למחשבים האישיים של הסטודנטים.
המידע בדרך כלל מתפרסם ב-Dark web כחלק ממאגר נתונים שדלף. ברוב המקרים שחקנים מפרסמים את המידע בתוך קובץ להורדה (combo file), שמכיל רשימה משולבת של שמות משתמשים וסיסמאות. תוקפים יכולים להשתמש ברשימות אלו לצורך מתקפות שונות כגון התחזות ושימוש בפרטים אלו להתחברות לחשבונות צד שלישי (בנק, מייל פרטי, רשתות חברתיות ועוד).
הפורומים המחתרתיים ברשת האפלה מתנהלים כמו שוק לכל דבר ועניין. במרבית הפורומים אפשר למצוא רשימות של אלפי סיסמאות שמתמקדות במאגרי נתונים של מוסדות לימודיים בלבד. מכיוון שעבור ההאקר הממוצע, סטודנט הוא מטרה מעניינת פחות מאשר מנכ"ל של בנק או פקיד ממשלתי בכיר, המחיר של הרשימות הללו אינו גבוה, וברוב המקרים הן משותפות באופן חינמי או במחיר זול במיוחד. בשל המחיר הנמוך שלהן, הסיכוי שהאקרים מתחילים ינסו להשתמש ברשימות אלו הוא גבוה.
דוגמה: מייל של משתמש מאחד המוסדות המובילים להשכלה גבוהה בישראל מתוך רשימה של מיילים ישראליים שפורסמה באחד הפורומים המובילים.
חשוב לציין שלא כל שמות המשתמשים והסיסמאות יכולים לשמש ככניסות בטוחות עבור החשבונות שפורסמו. לדוגמה, נניח שהמידע האישי נגנב/נפרץ דרך מערכת צד שלישי (אפליקציות, אתרי אינטרנט, תוכנות וכדומה) בה הסטודנט השתמש בכתובת דוא"ל של אוניברסיטה כשם משתמש. במקרה זה, אמנם נעשה שימוש בחשבון האוניברסיטאי, אולם כל עוד הסטודנט מקפיד להשתמש בסיסמא שונה עבור כל שירות שבו הוא משתמש, הנזק שעשוי להיגרם לו יהיה מצומצם. יתרה על כך, אם האוניברסיטה אוכפת כללים עבור תוקף פקיעת סיסמה, ייתכן שהסיסמאות שדלפו לא יהיו תקפות יותר. לפיכך, כדי לאמת את החשבונות והפרטים האישיים, שחקנים משתמשים בכלים אוטומטיים כדי לבדוק שילובי סיסמה של משתמש עם כתובת המייל/שם המשתמש.
כניסות מאומתות, המכונות לוגים, יקרות הרבה יותר מאשר פרטי זיהוי, ולעתים קרובות נמכרות בשווקים מחתרתיים ב-Dark web.
"נקודות קצה" (Endpoints) גנובות - לוגים:
בכלכלה המחתרתית, השירותים של נקודות קצה למכירה מבוקשים מאוד עבור פושעי סייבר בעלי שאיפות גבוהות בתחום. במחיר של כמה דולרים בלבד, ספקים שונים מוכרים גישה לנקודות קצה שנפרצו או לפרוטוקולים המקנים גישה מרחוק כמו פרוטוקול ה- RDP. כתוצאה מכך, גם פושעי סייבר בעלי מומחיות התחלתית יכולים לקנות את דרכם לתוך רשתות פנימיות של ארגונים שונים. פריטים בשווקים אלה מציגים חשבונות שאליהם המערכת מחוברת, וכל מי שרוכש גישה לנקודת הקצה עשוי להיות מסוגל לגשת לחשבונות אלו. ברגע שהתוקף מצליח להגיע לנקודה זו, ייתכן שהוא יוכל להתפשט בתוך הרשת ולבצע מתקפה נוספת בהתאם לצרכיו ומטרותיו.
לפי ממצאי המחקר, בשנה האחרונה התגלו 1,972 נקודות קצה אשר הוצעו למכירה וכוללות גישה לחשבונות אקדמיים.
מסקנות:
לאוניברסיטאות יש נכסים דיגיטליים עם נתונים שיכולים לעניין מאוד פושעי סייבר. ואכן, על פי דו"ח 'השפעת הסייבר 2022' של jisc, בתי ספר ואוניברסיטאות מתמודדים עם התקפות חסרות תקדים של תוכנות כופר, כאשר תקריות אלו ממשיכות להשפיע בצורה קשה על מגזר החינוך. בנוסף, ב Dark web ניתן למצוא מיליוני פרטים אישיים וחשבונות שנפגעו, אשר באמצעותם יכולים שחקנים שונים להפעיל התקפות נגד סטודנטים ומוסדות חינוך רבים.
על מנת שיהיה ביכולתם של סטודנטים להתמודד מול מתקפות credentials שונות, אנו ממליצים על 5 פעולות שאם תעשו אותן, תורידו משמעותית את הסיכוי לפגיעה בחשבונות שלכם:
- סיסמה חזקה - סיסמה חזקה צריכה להיות באורך 10 תווים לפחות. סיסמאות חזקות משלבות אותיות גדולות וקטנות, מספרים וסימנים מיוחדים, והן רצף בלתי צפוי של תווים שאינו דומה למילים או שמות הנגזרים מפרטיכם האישיים (שם פרטי, משפחה, ותאריך לידה).
- ריבוי סיסמאות - שימוש בסיסמאות שונות עבור כל נותן שירות יקשה מאוד על האקרים במידה ואחד החשבונות ייפרץ. כך הנכם יוצרים מעטפת פרטית עבור כל חשבון ללא קישור ישיר ביניהם.
- שימוש בMFA- - אימות רב גורמי באמצעות sms או שיחת טלפון, מהווה הגנה נוספת על החשבון שלכם וידרוש מהפורץ לחשוב על דרך לענות במקומכם דרך המכשיר הסלולרי.
- התראות על כניסה לא מוכרת - ברוב הפלטפורמות בהן אנו משתמשים ביום יום כגון ג'ימייל, ישנה האפשרות לקבוע התראות על כניסות ממכשירים ורשתות לא מוכרות. כך תוכלו לעקוב אחר הפעילות בחשבונכם בכל רגע, ובמידה ועולה חשד לפריצה, תוכלו להשביתו מיידית ולשנות סיסמא.
- תפוגת סיסמה - יש להחליף את הסיסמאות כל כמה חודשים (תקופת זמן קצובה וקבועה).
הכותב הוא ראש צוות מחקר CyberSixgill