מפת האיומים ברשת הולכת ומשתכללת: בסוף השבוע האחרון התקבלו דיווחים ממשתמשים שקיבלו הודעות דואר אלקטרוני מלחיצות במיוחד. "שלום, האם שמת לב ששלחתי לך דוא"ל מחשבונך? זה פשוט אומר שיש לי גישה מלאה לחשבונך", כך נכתב בהודעה המפרטת לכאורה כיצד תוקפים השתלטו על חשבונות המשתמשים והשתילו תוכנה זדונית במחשביהם. המטרה: סחיטה כספית והפחדה.
בהודעת מייל ארוכה מסבירים התוקפים כי ההשתלטות המוחלטת על מכשיר הקורבן אפשרה להם לגשת למצלמה ולמיקרופון, כמו גם לרשימות אנשי הקשר ולחשבונות ברשתות החברתיות. הדרישה לא אחרה להגיע - ביטקוין בשווי 1,850 דולר, או שהסרטונים מתפרסמים לכולם, ונשלחים ישירות מחשבונות הקורבן. בניגוד לשיטות ה"סקסטורשן" המוכרות לנו בעבר.
הרעיון שעומד מאחורי מתקפות "סקסטורשן" הוא די פשוט ואפקטיבי: רוב האנשים עושים מול מצלמות המחשב או הסמארטפון גם פעולות אינטימיות - ולכן זה ממש לא משנה אם יש תיעוד אמיתי או לא - רובנו ניכנס לפאניקה מוחלטת ברגע שירמזו לנו שזו בכלל אפשרות. בפועל - אין פריצה ואין שום תיעוד, יש רק איום ודרישת תשלום - הונאה בעלת היבטים פסיכולוגיים יעילים במיוחד. בישראל כבר ראינו מתקפות מהסוג הזה, באמצעות הודעות דואר אלקטרוני ואפילו באמצעות מסרונים, המגיעות בדרך כלל עם דרישה לתשלום סכומים סבירים לגמרי באמצעות ביטקוין.
משבר הקורונה כמובן מתדלק מחדש מתקפות מהסוג הזה, משום שרובנו נמצאים מול המחשב או הטלפון החכם ברוב שעות היום - בעבודה, בלימודים, במפגשים חברתיים או משפחתיים, ולכן הנחת המוצא של התוקפי היא שרובנו גם רגישים יותר לאפשרות שהצליחו לקבל גישה למצלמה או למיקרופון, להיסטוריית החיפוש שלנו וגם לאנשי הקשר ולחשבונות הרשת השונים.
הפעם התוקפים עולים מדרגה: הם שולחים את מייל ההפחדה, לכאורה מחשבון המייל של המשתמש עצמו, ובכך "מוכיחים" כי יש להם גישה ישירה לחשבון. אלא שבדומה לשיטות הקודמות, גם הפעם יש כאן בעיקר הפחדה. התוקפים בעצם עושים שימוש בשיטה שמכונה Email Spoofing, ובעצם מזייפים את כתובת המייל שמהם נשלחה הודעת הסחיטה. כך, הקורבן רואה בעצם שההודעה נשלחה לכאורה מכתובת החשבון שלו עצמו, וממהר להסיק שאכן התוקפים השיגו גישה לתיבת הדואר האלקטרוני ולשורה של חשבונות רשת נוספים.
שיטה זו יכולה לשמש גם בשלל תקיפות פישינג אחרות, למשל באמצעות זיוף כתובת המייל של השולח כך שתהיה תואמת כתובת מייל של אדם קרוב, של קולגה, וכן הלאה. הזיוף הוא מעין אסמכתא עבור הקורבן, שמניח שהוא קיבל הודעת מייל לגיטימית, ועשוי להיענות לה באופן שיחשוף אותו לסכנות פישינג, סחיטה וגניבת מידע.
קיבלתם מייל דומה? ביקשנו מחוקרי האבטחה של ESET להסביר מה אפשר לעשות:
- מחקו את המייל והתעלמו. מדובר בניסיון תקיפה מזויף לגמרי.
- הפעילו סריקת וירוסים מלאה במחשב, ודאו כי אין נוזקות בנמצא.
- החליפו סיסמאות - קודם במייל, ואז גם בשירותי הרשת הפופולריים.
- הקפידו להתעדכן: חפשו פרסומים וכתבות העוסקים באיומי רשת, טפחו מודעות והזהירו את הקרובים לכם.