מתקפות Whale ודרכי התגוננות (CEO Hack)

בתקופה האחרונה התגברו באופן משמעותי מתקפות Whale אשר מכוונות למשתמשים בכירים בעלי השפעה ולא בהכרח משתמשים בעלי הרשאות או משתמשים טכנולוגיים.
כיום מבין כל סוגי המתקפות הקיימות ישנם בנוסף מתקפות שנקראות C Hack או CEO Hacks ומכוונות לגורמי הנהלה בכירים, כגון: CEO, CTO, CFO וכן הלאה. במתקפות אלה נעשה מאמץ בכדי להשיג זהות, גישה ופרטים כלשהם מתוך אותם משתמשים בכירים בכדי להשיג מידע באופן מהיר יותר ולנצל את החולשה מול אותם משתמשים.
בשונה ממתקפות Spear בהם המתקפה מתמקדת בקבוצות משתמשים שונות שהם לא בהכרח משתמשים בכירים כלל מתקפת Whale מתמקדת באותם משתמשים VP ולרוב מדובר על מתקפות פישינג קלאסיות.
קצת מהשטח, בחודש האחרון חוו מספרים בכירים במגזר העסקי והפרטי מתקפת Whale וברוב המקרים לא נגנבו זהויות ולא נגנב סכומי כסף, אבל עדיין היה מקרה בודד שהצליח וכתוצאה מכך נגרם נזק.

מהם מתקפות Whale

לרוב מתקפת Whale נעשות בשילוב של מתקפת פישינג חכמה ושילוב של דף או טופס ייעודי ומיועדת למנהלים בכירים בארגון, כדוגמת: CEO, CFO וכו’. בשונה ממתקפות פישינג מסוימות בין אם מתקפת פישינג רגילה או מתקפה מסוג Spear מתקפת Whale נעשית בצורה מתוחכמת על מנת שתוכל להיראות אמיתית ככל האפשר וקרובה למציאות החל מנראות של המייל עם אותו display name, נושא ותוכן המייל נראה מהימן ולרוב מדויק מאד בפרטים הקטנים ובנוסף הקישורים או הקבצים במייל אינם מחשידים במבט ראשון ואפילו במבט שני.

כמו בכל מתקפות הפישניג המטרה הסופית במתקפת Whale היא להפחיד את הנמען, לשכנע את הנמען לבצע את הפעולה הנדרשת בכל דרך וישנם דוגמאות רבות לכך, בין היתר: לעצור את החברה מפשיטת רגל, להעביר סכום כסף בכדי שהארגון לא יכנס תביעה משפטית, להעביר סכומי כסף לספקים ועוד.
הייחוד במתקפות Whale הוא ההשקעה שנעשית קמפיין תקיפה בכדי שייראה אמיתי ככל האפשר ולכן אם נקח לדוגמא מתקפת Whale פישינג תשלח מגורם מוכר בין אם חיצוני או פנימי לנמען בתוך הארגון כאשר הגורם השולח נראה גורם מוכר ברמת המיל, התוכן והמלל נראה מדויק והקישור עלול להיראות כמשאב פנימי של הארגון.
במידה וישנו שיתוף פעולה של אחד הגורמים בארגון כודגמת לחיצה על קישור והזנת נתונים כלשהם כגון זהות בשלב הבא שמתרחש מאחורי הקלעים הוא התקשרות ישירה אל התוקף, חשיפת פרטי הזהות ולאחר מכן ברמת המשתמש אשר לחץ וחשף את הפרטים הכל נראה אותו הדבר אך לתוקף ישנ פרטי הזדהות ומכאן תתבצע חשיפת של נתונים רגישים בארגון.
קצת מהשטח, לאחרונה נתקלתי במקרה של מתקפת whale פישינג מושקע שכלל קמפיין רציני מול אותו ארגון:

• הקורבן: CFO
• סוג המתקפה: whale phishing
• נמען: CEO
• נושא ותוכן: העברת כספים לספק חיצוני לטובת רכישת ציוד (חשוב להדגיש כי המייל כלל שמות נמענים וחברות נוספות עם נושאים רלוונטיים ועכשווים של החברה)
• אופן הכתיבה: מלל אמין מאד ואינו מחשיד ובנוסף כולל קישור
• איך נעשתה התקיפה: נעשתה באמצעות פישינג עם אותו דומיין smtp של הארגון

במקרים רבים מיילים כאלה שנקראים מתוך טאבלט, סמארטפונים וכאלה אינם ניתנים לזיהוי במבט ראשוני ובפועל משתמשים לוחצים על הקישור או במקרים קיצוניים נשלח מייל המאשר את העברת הכספים לאותו ספק עם פרטי חשבון או מזהים אחרים רגישים השייכים לארגון.
*אגב במקרה הנ”ל עירנות של אותו CFO מנעה מבוכה רבה כי היה מדובר על כסף רב.

אחרי הכל מה ההבדל בין מתקפות פישינג שונות מאשר מתקפת Whale פישינג? קמפיין תקיפה מסוג Whale הוא קמפיין הרבה יותר מושקע, מתוכנן היטב ובעל מטרות מדויקות.
המטרות בקמפיין תקיפה כזה נבחר בהקפדה ולרוב נעשה בגלל תחרות, דומיינטיות של אותו ארגון והצורך שנזק תדמיתי וכלכלי לאותו ארגון מותקף.
בניגוד לפישינג הרגיל שבו כל העת מתבצעים ניסיונות פישינג, במתקפת Whale פישינג המטרה היא איכותית והניסיון ולהתמקד במידע של האנשים הרלוונטיים ביותר ובגלל הדרך המצומצת הנ”ל היא מסייעת לתוקפים להישאר ממוקדים במטרה ומתחת לרדאר של חברות אבטחת המידע השונות.

עקרונות בתקיפה של Whale פישינג

ישנם כמה דגשים כאשר מתבצע Whale פישינג:

• איסוף מידע שכולל מהות הארגון, מתחרים, מידע לגבי תצורת עבודה, אנשים רלוונטים ובכירים בארגון
• הכנת רשימה של נמענים וקורבנות שהם למעשה המטרות
• יצירת קמפיין שכולל יצירת מזהה יחודי לכל נמען בכדי שיוכל להזדהות לאחר מכן מול הרשימה
• כאשר הקורבן לוחץ על הקישור הוא מגיע לשרת אשר מאמת אותו עם אותו מזהה במידה ולא נמצא ברשימה לא מאומת (למשל כך חברות האבטחה אינן מצליחות לקבל מידע מלא על  המתקפה)
• במידה ויש אימות תהליך הפישינג ממשיך ומכאן נגנבים זהויות המשתמש

איך מונעים Whale פישינג

בכדי למנוע מתקפות מסוג זה ישנם מספר הנחיות שניתן לבצע בכדי למנוע מתקפות מסוג זה:

• הדרכת משתמשים וביצוע סימולציות (למרות שמדובר על אנשים בכירים)
• ביצוע חסימות ברמת Mail Relay, למשל בExchange ניתן להגדיר חוקים התמבססים על אותו Display Name ומזהים נוספים שיכולים למנוע שליחת מייל מסוג זה
• הפעלת יכולות למתפקות Zero-Day היכולות לבצע Rewrite וכן הלאה

אחת הדוגמאות הנפוצות והידועות של Whale פישינג היא הילארי קלינטון שלפני ובמהלך הבחירות האחרונות אנשי הצוות שלה חוו מתקפות נקודתיות שחלקן ע”י פישינג וע”י כך נפלו קורבן והתוצאה מסמכים שנגנבו.
(מעבר לעובדה של שימוש במייל פרטי Gmail עם מסמכי עבודה)

מידע נוסף לדרכי התמודדות מול Exchange Online במאמר הבא.