X

התחזו באופן מושלם לדיסני+: כך פורצים הצליחו להעתיק מייל של חברות ענק כדי להונות ולגנוב פרטי אשראי מלקוחות

חוקרים בחברת הסייבר גרדיו (Guardio) חשפו חולשת אבטחה חמורה בשרתי חברת Proofpoint, האחראית על הגנת 87 מתוך 100 החברות המובילות בעולם • החולשה אפשרה לתוקפים להתחזות באופן מדויק למיילים של חברות ענק כמו קוקה קולה ודיסני כדי להונות, לגנוב כספים ופרטי אשראי ממיליוני אנשים בעולם

דניאלה גינזבורג
, עודכן
0השמעה
דיסני פלוס. פרצת אבטחה אפשרה לתוקפים להתחזות למיילים מהחברה. צילום: AFP

חוקרים בחברת הסייבר גרדיו (Guardio) חשפו חולשת אבטחה חמורה המצויה בשרתי חברת Proofpoint, חברת אבטחת מידע האחראית בין השאר על הגנת חברות ומותגים ידועים כגון דיסני, IBM, קוקה קולה וכן של 87 מתוך 100 החברות המובילות בעולם על פי Fortune. החולשה אפשרה לתוקפים ליצור הודעות דואר אלקטרוני הנראות זהות לאלה של חברות הענק על מנת להונות, לגנוב כספים ופרטי אשראי ממיליוני אנשים בעולם.

באמצעות חולשת האבטחה התוקפים הקימו מערך של שרתים, חשבונות Office365 ודומיינים שאפשרו להם לעקוף את כל ההגנות של המערכת ולשחרר לעולם מתקפת פישינג ברמה גבוהה, במסגרתה הם יכלו להעביר כל מייל שרצו דרך שרתי Proofpoint. או במילים פשוטות – התוקפים הצליחו להתחזות באופן מושלם למיילים של חברות ענק שונות.

Proofpoint. פרצת אעבטחה אפשרה להאקרים לבצע מתקפת פישינג בהיקפים עצומים, צילום: Proofpoint/ יוני נמר

באחד המקרים, החוקרים עלו על כך שהתוקפים הצליחו להתחזות ל-Disney.com ושלחו מיליוני מיילים תחת המותג של +Disney עם הודעה על כך שהחשבון פג תוקף ויש לחדש אותו בעלות סמלית לכמה חודשים נוספים. על פי העמוד המזויף, הכנסת פרטי האשראי הובילה באופן מיידי לחיוב של כמה עשרות דולרים וחיוב מחזורי של כ-200 דולר בחודש.

לאחר חשיפת החולשה, ב-Proofpoint החלו לפנות לכל הלקוחות המעורבים, כאשר במקביל גרדיו פנתה לחברות המספקות את התשתיות של אותם גורמים עוינים על מנת לחסום ולהוריד את השרתים והדומיינים המזויפים - ולמנוע את המשיך פעילות הפישינג שמתנהלת כבר מספר חודשים באין מפריע.

פעילות הפישינג נמשכה במשך חודשים ארוכים ללא מפריע. אילוסטרציה, צילום: gettyimages

נתי טל, Head of Guardio labs: ״החולשה הזו היא דוגמה מעולה לכך שפרטיות ואבטחה תלויה במידה רבה בחברות המספקות את השירות. שיתוף הפעולה בין החברות ולקיחת האחריות המהירה והאקטיבית של Proofpoint הם קריטיים בעולם אבטחת המידע של ימינו, בו תשתיות משמעותיות שבונות את העולם הדיגיטלי שלנו מופעלות ע״י חברות פרטיות, אך משרתות ומשפיעות על כלל משתמשי הרשת".

"האירוע הנ״ל רק ממחיש שוב את החשיבות של שיתוף הפעולה בקהילה, וכמה קריטית האחריות שיש לחברות הגדולות לא רק כלפי לקוחותיהן, אלא לכלל המשתמשים בעולם״, מסכם טל.

תגובת Proofpoint

בחודש מרץ 2024, זיהו חוקרי חברת Proofpoint קמפיינים של דואר זבל (ספאם) אשר נשלחו באמצעות כתובות הדואר האלקטרוני של מספר קטן של לקוחות החברה, המתארחים על תשתית Microsoft 365. מבדיקות שערכנו עלה כי הפעילות בוצעה על ידי גורם אחד, שאינו ישות מוכרת.

מהרגע שזוהה קמפיין הספאם, פעלנו בדבקות על מנת לספק ללקוחות הוראות לתיקון המצב. במסגרת זאת, יישמנו ממשק ניהול יעיל אשר מציין אלו תיבות של לקוחות ספציפיים המתארחים על מיקרוסופט 365 מורשים לבצע העברה של דואר(relay) , בעוד כל השאר נדחים כברירת מחדל. קמפיינים אלה לא חשפו נתוני לקוחות של Proofpoint, ואף לקוח לא חווה אובדן נתונים כתוצאה מכך.

אקוסיסטם האבטחה בכללותו נהנה משיתוף פעולה ומתקשורת פתוחה בין צוותי מחקר וזיהוי איומים ברחבי העולם. אנו מעודדים חוקרי אבטחה ליצור עמנו קשר, לדווח על בעיות ולשתף ממצאים. מאז שגילינו את קמפיין הספאם במרץ, עבדנו בשיתוף פעולה עם מספר גורמי צד שלישי כדי לאמת את יעילות הפתרון שלנו כנגד ניצול לרעה של תצורת relay זאת.

בסוף מאי, כאשר תהליך יצירת הקשר עם הלקוחות עדיין נמשך, Guardio Labs פנו לצוות האבטחה שלנו במייל. הם שיתפו מידע טכני שאפשר לנו לשחזר בצורה מדויקת יותר את הגדרת הrelay . לאחר מכן הם אישרו כי השינויים שהנחינו את לקוחותינו לבצע היו יעילים והובילו להפסקת השימוש לרעה בתצורת הrelay הזאת.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אבטחת מידעדיסני פלוסהאקריםסייברפישינג

כדאי להכיר