a88b7ad3-14e5-4ec1-9c3c-2109ad02f798.png

 

דו״ח סייבר שבועי

עדכון שבועי 25.06.2020 

עיקרי הדברים

  1. הפעילו את האימות הדו שלבי שלכם, לפני שהאקרים יעשו זאת.

  2. עוקץ פיננסי באמצעות כרטיסי אשראי נטענים בישראל.

  3. האקר נעצר בחשד לגניבה ומכירת מידע אישי של כ-65 אלף עובדי בתי חולים.

  4. קמפיין פישינג עולמי המשתמש בתנועת Black Lives Matter.

  5. הצעת חוק האיכון של אזרחי ישראל על ידי השב"כ אושרה בקריאה ראשונה בכנסת.

  6. אנו ממליצים על עדכון התוכנות הבאות: Cisco Webex Client עבור Mac  ו-Windows, דפדפן Chrome, נתבי Netgear.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

התראות וחולשות חדשות

עדכון אבטחה קריטי ל-Cisco Webex Client עבור Mac  ו-Windows
כ-111 תוספים זדוניים של דפדפן Chrome נמצאו מרגלים אחר יותר מ-32 מיליון משתמשים, חברה ישראלית חשודה בשיתוף פעולה עם התוקפים.
הפעילו את האימות הדו שלבי שלכם, לפני שהאקרים יעשו זאת במקומכם
עדכון אבטחה לדפדפן Chrome של Google

התקפות

קמפיין פישינג עולמי המשתמש בתנועת Black Lives Matter
מידע השייך לרשויות חוק בארה״ב ומתפרס על פני עשרות שנים הודלף לאינטרנט
ניסוי רחב היקף חושף את מידת פגיעותן של מערכות תעשייתיות למתקפות
ארגון זכויות אדם ועיתונאי המזוהה עמו הותקפו, לכאורה, באמצעות כלי תקיפה של חברת NSO הישראלית

סייבר בישראל

עוקץ פיננסי באמצעות כרטיסי אשראי נטענים בישראל
מערך הסייבר מפרסם היום RFI בנוגע לשירותי איסוף, ניהול וניתוח מודיעין איומי סייבר

כלים ושירותים

עוקץ פיננסי באמצעות כרטיסי אשראי נטענים בישראל

סייבר ופרטיות - רגולציה ותקינה

הצעת חוק האיכון של אזרחי ישראל על ידי השב"כ אושרה בקריאה ראשונה בכנסת
רשות הגנת הפרטיות ב-EU מפרסמת הצהרה חדשה בנוגע להגנה על מידע אישי בשעת פתיחת הגבולות מחדש
ארה"ב מנסה שוב: הצעת חוק פדראלי נוספת לקידום הגנת פרטיות המידע
המועצה האירופית מאמצת מסקנות ליישום האסטרטגיה הדיגיטלית החדשה של ה-EU
האקר נעצר בחשד לגניבה ומכירת מידע אישי של כ-65 אלף עובדי בתי חולים

כנסים

הציטוט השבועי

״״פוטין אמר שכולנו צריכים להבטיח שלא יהיו יותר התקפות סייבר. כן בטח, זה יעבוד...."״ 

מתוך ספרו של ג׳ון בולטון ״החדר שבו זה קרה, זכרונות מהבית הלבן״ 
כיהן כיועץ לביטחון לאומי בממשל טראמפ
.
 

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

Konfidas בתקשורת

התרעות וחולשות חדשות

עדכון אבטחה קריטי ל-Cisco Webex Client עבור Mac ו-Windows

ב-17 במאי פרסמה חברת Cisco עדכוני אבטחה לתוכנת ה-Webex Client עבור גרסאות ה-Mac וה-Windows. העדכון מטפל בארבע חולשות, מתוכן שלוש שדורגו ברמת חומרה גבוהה. ניצול של חלק מהחולשות הללו עלול להוביל להרצת קוד זדוני על מערכת שעליה פועלת התוכנה הלא מעודכנת. אנו ממליצים לבעלי התוכנה לעדכן אותה לגרסתה העדכנית ביותר.

כ-111 תוספים זדוניים של דפדפן Chrome נמצאו מרגלים אחר יותר מ-32 מיליון משתמשים, חברה ישראלית חשודה בשיתוף פעולה עם התוקפים.

חברת Awake Security זיהתה בשלושת החודשים האחרונים 111 תוספים מזויפים או זדוניים לדפדפן Chrome. תוספים אלה מבצעים מגוון פעולות ריגול, כגון צילומי מסך, קריאה של מידע, גניבת פרטי הזדהות וסיסמאות ועוד. לאחר חקירה מעמיקה של 100 רשתות נמצאו תוספים זדוניים אלה ברחבי רשתות פיננסיות, בידור, שירותי רפואה, גופים ממשלתיים ועוד. על פי חברת המחקר, מדובר באחד הקמפיינים הגדולים ביותר על דפדפן הכרום, המשתמשים בתוספים. המידע האמור נשלח ל כ-  15,000 דומיינים הרשומים תחת חברה ישראלית בשם Communigal. החברה טוענת שאין לה שום קשר לפעילות לא חוקית, ההיפך הוא הנכון, החברה משתפת פעולה באופן מלא עם רשויות החוק.
מומלץ להוריד כמה שפחות תוספים לדפדפן ולהקפיד על הורדה של תוספים מוכרים וידועים, בנוסף יש להטמיע browser management לצורך הגבלת של התקנת תוספי למינימום האפשרי.




 

הפעילו את האימות הדו שלבי שלכם, לפני שהאקרים יעשו זאת במקומכם

בלוג האבטחה KrebsOnSecurity חושף מקרה בו תוקפים השתלטו על חשבון Microsoft המקושר ל-Xbox. בעל החשבון השתמש בסיסמת ההזדהות לחשבון ה-Xbox במקום אחר, ובדרך זו, ככל הנראה, התוקפים שמו עליה את ידיהם. לאחר שנכנסו בהצלחה לחשבון המשתמש, הפעילו את האימות הדו שלבי על החשבון של כתובת מייל אשר בבעלותם, ובכך מנעו מהמשתמש להשיג בחזרה את החשבון באופן עצמאי. בזמן שהדבר טופל ארוכות מול צוות התמיכה של Microsoft, התוקפים רכשו מספר רב של משחקים על חשבונו של בעל החשבון המקורי. מ-Microsoft נמסר שהם ממליצים למשתמשים חדשים להפעיל אימות דו שלבי, אך לא מחייבים זאת.
אנחנו ממליצים להפעיל אימות דו שלבי בכל פלטפורמה המאפשרת את הדבר, ובנוסף - להשתמש בסיסמה שונות עבור כל פלטפורמה. מי שחושש פן ישכח את הסיסמאות השונות, מומלץ שישתמש באפליקציות ניהול סיסמאות הקיימות בשוק.

עדכון אבטחה לדפדפן Chrome של Google

ב-22 ביוני (יום שני), פרסמה Google עדכון אבטחה לדפדפן Chrome. העדכון מטפל בשתי חולשות, מתוכן אחת מדורגת בדרגת חומרה גבוהה. Google טרם פרסמה מידע מפורט על הסיכון. אני ממליצים למשתמשי התוכנה לעדכן אותה לגרסתה העדכנית ביותר (83.0.4103.116).

חולשת Zero-Day פורסמה בשירות HTTP של נתבי Netgear

דוח שפורסם בשבוע שעבר על ידי (ZDI (Zero-Day Initiative מעלה כי 79 דגמי Netgear חשופים לחולשה קריטית, שתאפשר פעולות הרשאות root (מנהל מערכת) ללא צורך בביצוע אוטנטיקציה.
בתחילת חודש מרץ, חברת Netgear ביצעה עדכון תוכנה רחב, שכיסה על חולשה זו ועל 24 חולשות נוספות, בדרגות חומרה שונות. לרשימת הנתבים החשופים לחולשה יש ללחוץ כאן. במידה ומצוי בידכם נתב המושפע מהחולשה, אנו ממליצים להיכנס פרטנית להוראות עדכון השרת ולפעול על פיהן. 

התקפות

קמפיין פישינג עולמי המשתמש בתנועת Black Lives Matter

יחידת המחקר של Fortinet, המכונה Fortiguard Labs, גילתה נתקלה ב-10 ביוני בקמפיין פישינג ברמה עולמית, אשר מנצל עניין סימפטיה של משתמשים למאורעות המתרחשים בארה״ב כדי שיורידו ויפתחו קבצים זדוניים. הקמפיין משתמש במספר כותרות מייל הקוראות למשתמשים לבצע פעולות אקטיביות (״השאר דעה בעילום שם לגבי Black Lives matter״, ״חווה דעתך בנוגע ל-Black Lives Matter״ ועוד). בתוך המייל מופיע קובץ Word, שבעת פתיחתו מבקש מעודד את המשתמש לאפשר הפעלת Macros. אלא שבעת הפעלתם מופעל גם סקריפט המוביל להורדת סוס טרויאני בשם Trickbot משרתים אליהם מחובר המחשב ללא ידיעת המשתמש. אנו ממליצים לנקוט משנה זהירות בנוגע למיילים הקשורים לנושא ה-Black Lives Matter. ככלל, יש להימנע מפתיחת קבצים מצורפים, אלא אם אתם בטוחים בזהותו של השולח.

מתקפת פישינג על לקוחות חברת השירותים הפיננסיים Wells Fargo

לקוחות חברת השירותים הפיננסיים Wells Fargo חוו מתקפת פישינג שכוונה נגד 15,000-20,000 תיבות מייל של לקוחות החברה. במתקפה זו התחזו התוקפים לצוות האבטחה של חברת Wells Fargo ושלחו ללקוחות קישורים לאתרי פישינג בתוך קבצי ics (קבצי הזמנות ללוח שנה). התוקפים הובילו את המשתמשים לפתוח את קבצי ההזמנה, שבתוכם הייתה הודעה אשר כיוונה אותם ללחוץ על קישור נוסף, בטענה שכך יגנו על חשבונם. בפועל, הלחיצה על הקישור הובילה לאתר שניסה לדלות מהמשתמשים את פרטי הגישה שלהם לתוכנת Office 365.

מידע השייך לרשויות חוק בארה״ב ומתפרס על פני עשרות שנים הודלף לאינטרנט

ביום שישי האחרון, ה-19 ביוני, קבוצת האקרים בשם Distributed Denial of Secrets שחררה לאינטרנט מידע השייך למאות תחנות משטרה, כזה המתפרס על פני קרוב ל-24 שנים. בין פריטי המידע שדלפו מצויים שמות, כתובות מייל, מספרי טלפון, תעודות מסמכי זהות, מידע פיננסי רגיש ומספרי ניתוב של ACH (מספר ייחודי המשמש בארה״ב לתשלומים בין חשבונות בנק). ככל הנראה, התוקפים ניצלו חולשה שהתגלתה בחברת Hosting, שבין לקוחותיה מצויות גם רשויות חוק, והשתמשו באפשרות להעלות קבצים לממשק האתר בכדי להחדיר קובץ זדוני, שאפשר גישה למידע הנ״ל. האקרים ופורעי חוק דיגיטליים עלולים לנצל את המידע שנאסף כדי לתקוף את רשויות החוק ואנשיהן במתקפות סייבר ובקמפיינים שונים.

נחשפה שיטת הפעולה של קבוצת האקרים אשר תוקפת ארגונים צבאיים ודיפלומטיים במזרח אירופה

חוקרי אבטחת מידע חשפו ביום שישי האחרון את אופן הפעולה של קבוצת האקרים הפורצת לארגונים צבאיים ודיפלומטיים בעלי פרופיל גבוה במזרח אירופה, לצורך ריגול. הממצאים נחשפו לאחר מאמץ משותף של חברת ESET והארגונים שנפגעו מפעולות ההאקרים. קבוצת ההאקרים עומדת מאחורי תוכנת הריגול InvisiMole, שנחשפה ב-2018, אך פעילה לפחות מ-2013. במתקפות האחרונות השתמשו ההאקרים בגרסה מעודכנת של התוכנה, המנצלת את חולשות (BlueKeep (CVE-2019-0708 ו-(EternalBlue (CVE-2017-0144.
לנוזקה יכולות ריגול גבוהות, המאפשרות הפעלת מצלמה, הקלטת וידאו, צילום מסך ועוד שלל אמצעים לצורכי ריגול איכותי.

ניסוי רחב היקף חושף את מידת פגיעותן של מערכות תעשייתיות למתקפות

בניסוי שבוצע בסביבה מחקרית הפרוסה על פני מדינות רבות ומדמה מערכות תעשייתיות, ניצלו האקרים ארבע חולשות מסוג Zero Days שטרם היו ידועות לחוקרים.
בסביבות המערכות התעשייתיות בהן בוצע הניסוי טמנו החוקרים ״מלכודות דבש״ (נקודות ״רגישות״ של מידע ה״מפתות״ האקרים לגשת אליהן). מתוך כ-80 אלף נקודות גישה מהאינטרנט אל מלכודות הדבש, 9 גישות שהיו זדוניות, מתוכן 4 ניצלו חולשות Zero Days.
בעייה משמעותית של מערכות תעשייתיות היא שלרוב הן מסתמכות על טכנולוגיה ישנה שהיצרן או המשתמש אינם מעדכנים, מתוך מחשבה שמדובר במערכות סגורות ובטוחות. בפועל, הרבה מכונות תעשייתיות רבות פועלות בתקשורת עם האינטרנט, ולכן חשופות לסיכונים.

ארגון זכויות אדם ועיתונאי המזוהה עמו הותקפו, לכאורה, באמצעות כלי תקיפה של חברת NSO הישראלית

לטענת ארגון זכויות האדם הבינלאומי Amnesty International, מבוצעות תקיפות באמצעות Spyware Pegasus של חברת NSO הישראלית כנגד ארגון לזכויות אדם במרוקו, Moroccan Human Rights Defenders,  וכן כנגד עיתונאי המזוהה עם הארגון. בתגובתה של NSO צוין, שהכלי שפיתחה נועד למניעת פשעים ולהצלת חיים, ובמידה ויתברר כי נעשה בו שימוש שלא כחוק - תינקט פעולה בהתאם.

סייבר בישראל

עוקץ פיננסי באמצעות כרטיסי אשראי נטענים בישראל

בחדשות N12 נחשף עוקץ במסגרתו מגיעים מבצעי ההונאה לקופה בבית עסק עם כרטיס אשראי נטען ריק. כאשר עסקת האשראי אינה מאושרת, מצבעי ההונאה טוענים כי לשם אישור העסקה יש להקליד במסוף האשראי קוד שנמצא ברשותם. כאשר הקופאי מקיש את הקוד העסקה מאושרת באופן שעוקף את האישור התקין הנדרש, אף בפועל לא מועבר לבית העסק תשלום. חברות האשראי אינן משיבות לבית העסק את הכסף האבוד, שכן מנקודת מבטן בית העסק הזין בעצמו את קוד אישור עסקה פיקטיבי ועקף את מערכות האישור שלהן.
מחברת ״כאל״ נמסר בתגובה: "אישור לעסקה צריך להתקבל אך ורק מחברת האשראי. בית עסק הבוחר על דעת עצמו לבצע פעולה בלתי תקינה ולהקיש קוד אישור פיקטיבי, שלא התקבל מחברת האשראי, פועל בניגוד להנחיות. חשוב לציין, שבכל מקרה בו בית העסק פועל בהתאם להנחיות אנו לוקחים אחריות מלאה לתשלום על העיסקה. בקרוב, עם המעבר לתשתית תשלום בתקן Emv תמנע מבית העסק האפשרות באופן ממוכן לפעול בניגוד להנחיות החברות".

מערך הסייבר מפרסם היום RFI בנוגע לשירותי איסוף, ניהול וניתוח מודיעין איומי סייבר

מערך הסייבר פרסם היום (חמישי) קול קורא לציבור הרחב בבקשה לקבל מידע אודות מערכות איסוף וניתוח מידע מודיעיני. בפרסום צוין כי במערך קיים צורך ביכולות הצלבת נתונים, באינטגרציה עם מקורות פנימיים וחיצוניים, בגישה לנתונים באמצעות דפדפן ו-API ובכל דרך בה יכול מידע מודיעיני להגיע אל מערך הסייבר. למידע נוסף יש לבקר באתר המערך.

כלים ושירותים

גוגל פרסמה את Tsunami - מנוע לסריקת חולשות קריטיות

Tsunami הינו מנוע לסריקת חולשות, המיועד לקהילות המשתמשות בקוד פתוח. לכלי זה שתי יכולות עיקריות, הראשונה היא איסוף מידע הכולל זיהוי פורטים פתוחים, פרוטוקולים ושירותים הרצים על גבי מחשב הנסרק באמצעות כלים מוכרים, כמו NMAP. היכולת השנייה היא אימות חולשות על בסיס המידע שנאסף בשלב הראשון. מנוע הסריקה מנסה לפרוץ חולשות קיימות באמצעות כלי תקיפה open-source, ובכך מאמת קיום ממשי של אותה חולשה.

סייבר ופרטיות - רגולציה ותקינה

הצעת חוק האיכון של אזרחי ישראל על ידי השב"כ אושרה בקריאה ראשונה בכנסת

ב-24 ביוני (יום רביעי) הכנסת אישרה בקריאה ראשונה, בתמיכה של 45 חברי כנסת ובהתנגדות של 32, הצעת חוק המאפשרת לשב"כ לערוך מעקב אחר תושבי מדינת ישראל באמצעות הטלפונים הסלולריים שלהם. הצעת חוק זו מסדירה בחקיקה ראשית שתפעל כהוראת שעה (ועל בסיס החלטות ממשלה בנושא) איכון של חולי Covid-19, של נשאי הנגיף ושל אנשים שבאו במגע עם עם אלה ומחויבים בבידוד. הצעת החוק קובעת את הבסיס להסמכת השב"כ לפעול במסגרת זו, התנאים להפעלת סמכויותיו, והפעולות הספציפיות שמותרות לו.  סוגיית המעקב אחר אזרחי ישראל על ידי השב"כ כבר עלתה כבר לדיון פעמים בתקופת הקורונה, ואף נשללה על ידי בית המשפט העליון בתחילת חודש יוני, במתכונת מוקדמת יותר שלה. בזמנו התייחס לנושא ראש השב"כ, נדב ארגמן, באמרו כי ״יש אי נוחות בשב"כ מהשימוש בכלי המאפשר איכון טלפונים סלולריים לצורך מעקב אחר חולים כעת", וקרא לפיתוח אפליקציה אזרחית שתאפשר לתושבי ישראל לזהות מתי הם נמצאים בסביבת חולה או אדם שנדבק במחלת הקורונה, וזאת על בסיס התנדבותי מצד המשתמשים, בדומה לשימוש באפליקציית "המגן". ראש השב"כ מתנגד גם למתכונת האיכון שבהצעת החוק הנוכחית, בטענה כי אין להסדיר את נושא האיכונים בחקיקה ראשית, וכי אין זה ראוי להשתמש בטכנולוגיות של השב"כ לצרכים אזרחיים כגון זה. לגבי ההיבטים של מתן הגנה מספקת לזכויות הנוגעות לפרטיות המידע של אזרחים ישראלים ועיבוד המידע האישי שלהם במסגרת האיכון, הצעת החוק קובעת דרכים לצמצום הפגיעה בזכויות אלה.

רשות הגנת הפרטיות ב-EU מפרסמת הצהרה חדשה בנוגע להגנה על מידע אישי בשעת פתיחת הגבולות מחדש

ה-European Data Protection Board) EDPB) פרסמה הצהרה המדגישה מחדש את הצורך בקיום כללי ה-GDPR באופן קפדני במסגרת תהליך פתיחת הגבולות המחודשת בין מדינות ה-EU בעת האחרונה. בהתאם למדיניות הכלל-אירופית להתמודדות עם ה-COVID-19, פתיחה מדורגת של גבולות הדדיים כבר החלה, במטרה להקל על מעבר אנשים, טובין ושירותים בין מדינות האיחוד. הצורך בהצהרה האחרונה נובע מהחובות שמטילות אותן המדינות השונות על מי שנכנס לשטחן, כגון בדיקות חום גוף, בדיקות רפואיות אחרות ושיתוף בתעודות הסמכה של עובדי מערכות בריאות הציבור החוצים את הגבולות לצרכי עבודה; והשימוש באפלקציות שמאפשרת ניטור של חולים.
ה-EDPB דורש מכל מדינה לאזן בין הצורך לשמור על בריאות הציבור ולהיאבק במגפה לבין ההיבטים השונים של זכות היסוד של הגנה על מידע אישי ודרכי עיבודו. דוגמאות של אמצעי האיזון מפורטות בהנחיית ה-EDPB מחודש אפריל השנה, בקשר לשימוש במידע אודות המיקום הגיאוגרפי של יחידים ומעקב אחר תנועתם.  

ארה"ב מנסה שוב: הצעת חוק פדראלי נוספת לקידום הגנת פרטיות המידע

בניסיון לקבוע חוק הגנת פרטיות של מידע אישי ברמה הפדראלית בארה"ב (להבדיל מזו המדינתית), הסנאטור שרוד בראון הגיש הצעת חוק המכונה The Data Accountability and Transparency Act 2020 (בקליפורניה, למשל, נכנס לתוקף ה-California Consumer Privacy Act ב-1.1.2020, אשר תקף רק במדינה זו). יוזמה קודמת להסדרת הגנת המידע האישי ברמה הפדראלית קודמה בפברואר השנה על ידי הסנאטורית קירסטן גיליברנד, שהגישה הצעת חוק בשם  Data Protection Act of 2020, אשר התמקדה בהקמת רשות לאומית אחת שתוביל את יישום הנושא, כולל היבטי האכיפה.

המועצה האירופית מאמצת מסקנות ליישום האסטרטגיה הדיגיטלית החדשה של ה-EU

בתחילת חודש יוני אימצה המועצה האירופית, הגוף הביצועי העליון של ה-EU, חבילת מסקנות בעניין יישום האסטרטגיה הדיגיטלית של האזור. התפיסה הרגולטורית של ה-EU בנוגע לבניית חברה מונעת-מידע (data driven society) מתבססת על ההבנה האירופית ששגשוג הכלכלה האזורית ויצירת קשרים בין המדינות החברות ב-EU תלויה במידה רבה בהעברת מידע ביניהן באופן רציף ואמין.

האקר נעצר בחשד לגניבה ומכירת מידע אישי של כ-65 אלף עובדי בתי חולים

ההאקר האמריקאי ג׳סטין שון נעצר בחשד לפריצה למאגר הנתונים של (UPMC (University of Pittsburgh Medical Center, גניבת מידע מזהה אישי (PII) של 65 אלף עובדי בתי חולים ומכירת המידע ברשת השחורה. בין המידע שנגנב מצויים שמות מלאים, מספרי ביטוח לאומי, מידע על משכורות ועוד. 

סין מחוקקת חוק חדש המגדיר את הזכות לפרטיות המידע ואת העקרונות ליישומה

חוק סיני חדש מסדיר מגוון זכויות אזרחיות של 1.4 מיליארד תושבי המדינה וקובע זכויות פרט בנושא פרטיות מידע אישי. בין היתר, החוק מגדיר מושגי יסוד כמו "מידע אישי", "עיבוד מידע" ו"הסכמה" לעיבודו, ומפרט את החובות החלות על ארגונים המעבדים מידע אישי. למרות שמספר היבטים של הגנת המידע האישי על פי החוק הסיני החדש דומים באופיים למסגרת שנקבעה ב-GDPR של ה-EU, פרשנותם תישען על מערכת המשפט הסיני, הפועלת על בסיס שונה במהותו מזה של מערכות המשפט באירופה. החוק ייכנס לתוקף ב-1.1.2021.  

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, אלי שמי, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי.