כאילו לא הספיקה לארה"ב מתקפת הסייבר הרוסית, שהצליחה כנראה לאסוף מידע משמעותי משרתי המחשב של רשויות הממשל הכי רגישות. בימים האחרונים חשף צוות ישראלי מחטיבת אבטחת המידע של IBM את אחת ההונאות הבנקאיות הגדולות ביותר שבוצעו מעולם. מדובר במבצע רחב היקף מסוג מתוחכם במיוחד, הפעם ממניע כלכלי, שהצליח לרוקן עשרות מיליוני דולרים מחשבונות הבנק של אלפי בעלי סמארטפונים באירופה ובארה"ב.
ההונאה הזו חורגת מפריצות הסייבר המוכרות. לפי עדויות צוות החוקרים בהובלת שחר גריצמן מחברת Trusteer, סטארט-אפ ישראלי שנרכש ב-2013 על-ידי ענקית הטכנולוגיה IBM - זה לא דומה לשום דבר שראו מעולם: עבודה מקצועית ומאורגנת. הנוכלים עשו שימוש באמולטורים - תוכנות המחקות את המאפיינים של מכשירים ניידים מכל הסוגים לצורך בדיקת אפליקציות.
תהליך אוטומטי
לצורך המהלך כולו נדרשו הפורצים להשיג הן פרטים אמיתיים, אותנטיים, של מכשירים קיימים, והן פרטים מלאים של בעלי חשבונות הבנק. ואכן, בשלב הראשון הם אספו באופן אוטומטי מאפייני מכשירים, ככל הנראה מתוך מאגרי מכשירים שנפרצו בעבר. מדובר בפרטים כמו מותג, גרסת מערכת הפעלה, מספר זיהוי (IMEI) ועוד. בשלב השני, כל אמולטור הוגדר בקפידה כך ש"ייראה" כאילו הוא מכשיר ממשי מהמאגר, או כמכשיר חדש אקראי. בחלק מהמקרים הם נעזרו בכ-20 אמולטורים כאלה כדי להתחזות באמצעותם לכ-16 אלף מכשירי טלפון אמיתיים. אמולטור יחיד, מתברר, יכול לזייף יותר מ-8,100 מכשירים.
במקביל השיגו הנוכלים שמות משתמשים וסיסמאות - כנראה מסלולרים שהודבקו בעבר בתוכנה זדונית או כאלה שנאספו באמצעות פישינג (איסוף מידע רגיש באמצעות התחזות לאתר אמיתי). כשאלה בידיהם, הפעילו על האמולטורים - כאילו היו סלולרים אמיתיים - אפליקציות בנקאיות, הזינו בהן את השמות והסיסמאות, והעבירו כספים מחשבונות בעליהם.
(צילום: משי בן עמי)
לפי לימור קסם, אנליסטית בכירה בחטיבת האבטחה של IBM, התהליך כולו התבצע באופן אוטומטי וממוחשב, באמצעות יישומים שפותחו במיוחד על ידי הנוכלים. על פי תסריטים אוטומטיים שנבנו בקפידה, היישומים חישבו את יתרות החשבון של כל משתמש, ודאגו לבצע העברות אך רק בסכומים שלא אמורים להדליק נורה אדומה במחשבי הבנק.
כדי לעקוף את ההגנות המורכבות המשמשות את הבנקים למניעת התקפות כאלה, הגנבים לא רק השתמשו ב"מזהי מכשיר" לפי המפרטים שהיו בידיהם, הם אף זייפו את מיקומי ה-GPS האופייניים לשימוש השוטף של כל בעל חשבון. הם הצליחו להתגבר אפילו על תהליך האימות הדו-שלבי, שבו נשלחת למשתמש הודעת SMS עם קוד לאימות זהותו; הייתה להם גישה גם להודעות הללו.
חוקרי IBM מזהירים כי מתקפות מתוחכמות מסוג זה אפשריות על כל יישום שמציע גישה מקוונת ללקוחות, במיוחד מוסדות פיננסיים, בכל מקום בעולם. גם כאשר מדובר בעסקה המאומתת על ידי קוד שנשלח ב-SMS או על ידי שיחה קולית מוקלטת או הודעת דואר אלקטרוני.
המתקפות התנהלו בגלים, ולאחר כל אחת מהן מחקו הפורצים כל עקבות אפשריות והתכוננו להתקפה הבאה. לאחר כל שימוש, הוחלפו פרטי המכשירים. כך, גם כשבנק כלשהו חסם "מכשיר" - התוקפים השתמשו בפרטי מכשירים אחרים. עם זאת, במקרים מסוימים הם "יצרו" סמארטפון אקראי, שייראה כאילו לקוח משתמש במכשיר חדש כדי לגשת לחשבונו.
למדו משגיאות
חוקרי Trusteer גילו עוד, כי כדי להבטיח שהמערכת שיצרו עובדת כנדרש, הפורצים תיכנתו לעצמם "סביבת אימונים" ממוחשבת, שחיקתה את יישומי הבנקים שרצו להונות. הם ניגשו לביצוע רק אחרי שהיו מרוצים מהתוצאות. המערכת שיצרו איפשרה להם לשדוד מיליוני דולרים תוך מספר ימים מכל בנק.
כדי לוודא שהכל עובד כמתוכנן במהלך ניסיונות ההונאה, התוקפים השתמשו בטכניקות חיבור שיירטו את התקשורת עם שרתי היישומים של הבנקים ועקבו מקרוב אחר האופן שבו הם מגיבים לניסיונות החיבור מהמכשירים המדומים. המעקב איפשר להם לשנות טקטיקות בזמן אמת ולקבל סימני אזהרה במקרה שמשהו השתבש. כשהתגלו שיבושים כאלה, פשוט מיהרו לעצור את הפעולה ולמחוק עקבות. החוקרים גילו כי הפורצים הלכו והשתכללו מתקיפה לתקיפה, תוך שהם לומדים משגיאות העבר.
2 צפייה בגלריה
"שהתחילה הפצת הנוזקות והבוטים למכשירי הסלולר, ניבאנו שזה מה שיקרה". לימור קסם
(הצילום באדיבות IBM)
לפי קסם, רמת התחכום שהתגלתה כאן נדירה למדי בתחום פשעי הסייבר, וסביר להניח שמדובר בקבוצת פשע מאורגן הנהנית משירותיהם של מפתחים מיומנים ואנשים הבקיאים בהונאה ובהלבנת הון. כנופיות כאלה היו מוכרות עד היום רק בתחום הפריצות למחשבים.
קסם: "מדובר בפשע אוטומטי לחלוטין, שמתבצע בלחיצה על כפתור, אחרי עבודת הכנה מדוקדקת ביותר, ולוקח בחשבון גם אמצעי אבטחה חדשים. אנחנו עומדים בפני עידן חדש, שממנו בדיוק חששנו. כשהתחילה הפצת הנוזקות והבוטים למכשירי הסלולר, ניבאנו שזה מה שיקרה; משום מה, חלפו שנים ולא קרה כלום. עכשיו אנחנו רואים מה גודל האיום".
