-

התחזו לאלוף במיל' ופנו לציפי לבני: מתקפת הסייבר של ההאקרים האיראנים

במשך חצי שנה לפחות, התכתבו ההאקרים האיראנים בשמו של האלוף הבכיר במילואים, לאחר שפרצו לחשבון הדואר האלקטרוני שלו, עם גורמים בכירים במטרה לגרום להם לפתוח מסמכים שונים • באחד מהמקרים התכתובות הובילו מנהל בכיר באחת החברות הביטחוניות המרכזיות בישראל לשלוח את צילום הדרכון שלו
איתי שיקמן
14 ביוני 2022
12:59

האקרים איראנים פרצו לתיבת מייל של אלוף במילואים, התחזו אליו, וניסו לבצע מתקפות סייבר נגד גורמים פוליטיים, מדיניים, אקדמאיים ועסקיים בעלי פרופיל גבוה, בהם שרת החוץ לשעבר ציפי לבני, שגריר ארצות הברית בישראל לשעבר, ראש מכון מחקר מרכזי מאוד, אקדמאי בכיר העוסק בנושאי המזרח התיכון, סמנכ"ל בחברה ביטחונית מרכזית ועוד. כך מפרסמת היום (שלישי) חברת אבטחת המידע "צ'ק פוינט".

במשך חצי שנה לפחות, החל מדצמבר 2021 ועד לשבוע שעבר, התכתבו ההאקרים האיראנים בשמו של האלוף הבכיר במילואים, לאחר שפרצו לחשבון הדואר האלקטרוני שלו, עם גורמים בכירים במטרה לגרום להם לפתוח מסמכים שונים.

ההתכתבויות השונות של ההאקרים עם הגורמים שאותם ניסו לתקוף כללו שליחת מסמכים עם הזמנה לכנס בחו"ל ומאמרים בנושא תוכנית הגרעין האירנית – ואלו דרשו מהקורבנות להקליד את סיסמת המייל שלהם. באחד מהמקרים התכתובות הובילו מנהל בכיר באחת החברות הביטחוניות המרכזיות בישראל לשלוח את צילום הדרכון שלו.

אחד מהמיילים החשודים ששלחו ההאקרים האיראנים

במהלך חודש דצמבר קיבלה שרת החוץ לשעבר לבני מספר מיילים בעברית מאותו אלוף במיל' לכאורה, ובהם בקשה לקרוא מאמר שכתב על אירועים ביטחוניים בשנת 2021. לאחר מספר מיילים בהם הפציר בלבני לפתוח את הקובץ באמצעות סיסמת המייל שלה, לבני פנתה לאלוף במיל', שלא הבין במה מדובר. לבני העבירה לצ'ק פוינט את תכתובת המיילים, וממנה החברה התחקתה אחר השולחים והקבצים וגילתה עד כמה רחב היה המהלך.

בחודשים המדוברים התוקפים האיראנים גם הצליחו לשים את ידם על תכתובת מייל פרטית בין ראש מכון מחקר מרכזי מאוד בישראל ושגריר ארצות הברית לשעבר בישראל, וניצלו אותה ליצירת המשך התכתבות. בהתכתבות האיראנים התחזו לשגריר תוך שימוש במייל אחר, ושלחו לראש המכון קבצים העוסקים לכאורה בתכנית הגרעין האיראנית והשתמשו בלינק המשומש למתקפות דיוג (איתו ניתן לקצר כתובות URL).

אחד מהמיילים החשודים שקיבלה שרת החוץ לשעבר לבני

עוד נמצא כי התוקפים הקימו תשתית להשגת מספרי הטלפון של הקורבנות, כביכול כחלק מתהליך פתיחת המסמכים. השיטה עבדה כך: תחילה, לאחר לחיצה על המסמך המצורף למייל או לינק במייל, יקפוץ דף המבקש להכניס סיסמת זיהוי לחשבון המשתמש (סיסמה שעתידה להיות מועתקת על ידי התוקפים). לאחר מכן תופיע בקשה לאימות נוסף של המשתמש בצורת קוד SMS שיישלח למכשיר המקושר לחשבון המייל. יש לציין שמספר הטלפון בתוך דף ההתחזות הותאם במיוחד עבוד יעד התקיפה – מספר הטלפון שלו.

על רקע המתקפה, איגוד האינטרנט הישראלי מחדד כי בכל מקרה של קבלת מייל מומלץ לשים לב לא רק לשם המופיע כמי ששלח לנו אותו - אלא לכתובת המייל עצמה והאם הכתובת הזו מוכרת לנו ככתובת האמיתית של השולח.