גל של הודעות סמס זדוניות המתחזות לגורמים רשמיים, בהם גם פיקוד העורף, נשלח הלילה (ג') לישראלים רבים ועוררו דאגה ובלבול. על פי בדיקה של מערך הסייבר הלאומי, מדובר בהודעות שבחלקן מצורף קישור זדוני שמטרתו להוריד למכשירי הקורבנות נוזקה.
על פי החשד, הקמפיין הנוכחי בוצע על ידי קבוצות האקרים איראניות ופרו-פלסטיניות, כאשר מקור ההודעות הוא ככל הנראה בחברה להפצת סמסים שנפרצה על ידי אותם גורמים, שהשתמשו בתשתיות שלה להפצה של ההודעות. על פי בדיקת המערך, אם לחצתם על הקישור אך לא הורדתם את הקובץ או ביצעתם התקנה שלו, כנראה שלא נפגעתם. עם זאת צוין כי הנושא עדיין בבדיקה וייתכנו עדכונים נוספים בהמשך.
הקבוצה האיראנית שמתמקדת בישראל
אחת ההודעות שהופצה הלילה כוללת קישור המוביל לאתר של הקבוצה האיראנית אנונימוס סודן, עליה כבר כתבנו בעבר. מדובר בקבוצת האקרים-אקטיביסטים זדונית שכבר תקפה בעבר מטרות בישראל, תוך שימוש בכלי פריצה רוסיים. רק לפני שבוע דווח ששניים מראשי הקבוצה, ממוצא סודני, נעצרו לבקשת ארה"ב במדינה לא מזוהה, שם הם עומדים בפני הסגרה.
עם זאת לא בטוח שהשניים הם היחידים שמפעילים את הקבוצה הזו, שכן בעבר כבר עלה חשד שמדובר בהאקרים הפועלים (גם) בחסות או בשליחות הקרמלין. עם זאת, לא תמיד ניתן לבצע זיהוי ודאי חד-ערכי של האקרים, ולפעמים קבוצות שונות פועלות תחת אותם שמות כדי לבלבל את רשויות החוק.
4 צפייה בגלריה
קבוצת אנונימוס סודן ו-Killnet הרוסית - שיתוף פעולה איראני-רוסי ידוע
(צילום מסך ערוץ טלגרם)
מבחינת הקמפיין שתקף הלילה והבוקר , ההודעה המסוכנת יותר נשלחה בשם פיקוד העורף. על פי בדיקת חברת צ'ק פוינט, מדובר בהונאה שמטרתה להתחזות לאפליקציה של הפיקוד. "ההודעה מבקשת להוריד 'בהקדם האפשרי' אפליקציה חדשה שמתחזה לאפליקציה של פיקוד העורף. לאחר בדיקה ראשונית שלנו, מצאנו כי מדובר באפליקציה זדונית. האפליקציה יורדת ישירות לסמארטפון שלא דרך חנויות אפליקציות רשמיות, ומטרתה לפגוע במשתמש ובמכשיר שלו", כך הוסבר לנו מהחברה.
עוד הסבירו בחברה כי "האפליקציה מסוגלת 'למשוך' מהסמארטפון מידע על חשבונות, לקרוא אנשי קשר, לשלוח הודעות סמס והתראות, ולעבוד גם כאשר המסך כבוי או במצב המתנה (באמצעות WAKE_LOCK). בנוסף, יש לאפליקציה גישה לקבצים שעל המכשיר (תמונות, סרטים, שמע וכו') והיא מסוגלת להעביר את המכשיר למצב שקט על דעת עצמה, אולי במטרה למנוע מהמשתמש לשמוע התראות חירום בעת הצורך".
איום בנקמה על חיסולו של סינוואר
ההודעה השנייה שנשלחה הלילה הגיעה תחת שם השולח sinvar, שיבוש שמו של יחיא סינוואר באנגלית. "ההודעה מאיימת בנקמה עם הכיתוב 'רצח סינוואר פתח את שערי הגיהינום בפני היהודים', ומצורף אליה לינק המפנה לאתר של קבוצה איראנית שעמדה מאחורי תקיפות נגד גופים ממשלתיים וציבוריים בישראל במהלך המלחמה. על סמך ניסיון העבר יש להניח שההודעות האלו נשלחו בהיקפים גדולים לאזרחים רבים", כך לפי הערכת צ'ק פוינט.
ממערך הסייבר נמסר: "במהלך הלילה התקבלו דיווחים רבים מאזרחים על הודעות SMS מתחזות לפיקוד העורף, ומכילות קישורים מזיקים. בסיוע הצוותים שלנו, הקישור כבר אינו זמין. מבדיקה שערכנו, לחיצה על הקישור הובילה להורדת תוכנה זדונית לטלפון שלכם, שעלולה לאפשר שליחה של הודעות SMS מאיימות מהמספר שלכם לאנשי הקשר".
"אם לחצתם על הקישור אך לא המשכתם בתהליך ההתקנה ולא הענקתם הרשאות לאפליקציה, המכשיר שלכם ככל הנראה לא נפגע. (המלצות נוספות בנושא יפורסמו בהמשך). ככלל, אנו ממליצים להוריד אפליקציות לנייד אך ורק דרך חנויות האפליקציות הרשמיות. חשוב לשמור על ערנות ולדווח לנו למוקד 119 על כל חשד נוסף", לשון ההודעה.
חשוב לזכור כי יש נוזקות המסוגלות לפרוץ לטלפון הקורבן ללא הורדה של קובץ, כך שמומלץ בכל מקרה להיזהר, וגם אם לא הורדתם את הקובץ – בדקו היטב את פעולת המכשיר שלכם. אם הוא מאט או שאתם חווים בעיות בשימוש, מומלץ לקחת אותו לבדיקה של איש מקצוע.
