הסבר | קיבלתם מייל מאיסט ישראל? זהירות!
-
-
לתועלת החסומים הכתבה:
האקרים פרצו ל-ESET ישראל ושלחו ממנה מיילים עם נוזקות
חברת ESET מגינה על לא מעט מכשירים ואירגונים ברחבי העולם, אבל האקרים ניצלו את המוניטין הזה ושלחו מיילים שיכול להיות שגם אתם הייתם נופלים בהם, והם היו יכולים לעשות לא מעט נזק
חברת ESET הסלובקית מוכרת לרבים בזכות תוכנות האנטי-וירוס הוותיקות ואפליקציות האבטחה הארגוניות שלה. מדי פעם החברה גם מפרסמת פרצות ומחקרים מעניינים שחוקריה איתרו, אבל אני לא חושב שאפילו היא ציפתה לעמוד במרכז תקרית סייבר חמורה מאוד משל עצמה – דווקא בישראל.
הכל החל ב-8 באוקטובר, 2024, יום לאחר יום השנה למתקפת ה-7 באוקטובר, כשלקוחות של ESET החלו לקבל מיילים תחת הכותרת "תוקפים מטעם ממשלות זרות מנסים לפרוץ למכשיר שלך". בניגוד להודעות חשודות שאתם מקבלים מדי יום עם שגיאות כתיב ו-URLים חשודים, המייל הזה נראה לגיטימי, נשא את הלוגו של ESET, ואפילו נשלח מהדומיין של ESET. "המכשיר שלכם זוהה כחלק מרשימת מכשירים שהפכו למטרה על ידי איום ממדינה זרה. מידע שהגיע ממחלקת המודיעין של ESET זיהה כי קבוצה המונעת מטעמים גיאופוליטיים ניסו לפרוץ למכשירך במשך 14 הימים האחרונים". בהמשך המייל, הציעה לכאורה ESET למשתמש להצטרף לתוכנית Unleashed, שאמורה להדוף מתקפות שכאלו, ומאפשרת למשתמש להתקין את "תוכנת ההגנה" על 5 מכשירים שונים. המייל אף נחתם "אנחנו מבקשים שלא תשתף את הלינק הזה עם אף אחד".
הסיבה שהמייל הזה עבר גם מערכת סינון שונות היא שהוא הגיע מהשרתים האמיתיים של eset.co.il. גם הלינק עצמו היה לקובץ שאוחסן תחת דומיין הרשמי של ESET בישראל וכך גם הקבצים שאוחסנו בתוך קובץ ה-ZIP היו חתומים על ידי ESET. אז איפה הבעיה? הקובץ ה-5 היה קובץ Setup.exe שלא היה חתום על ידי ESET (אם כי הוא היה מעוטר בלוגו החברה), ולפי VirusTotal, מדובר ב-Data Wiper שמטרתו היא לבצע כמה שיותר נזק במהירות למחשב עליו הוא מותקן. ווייפר (Wiper) נזכיר היא נוזקה שמוחקת מידע מהדיסקים או מהקושחה (Firmware) של המערכות שהיא תוקפת.
התאריך המוטמע בתוך ה-Wiper, לפי חוקר אבטחה, הוא ה-7 באוקטובר, 2023 בשעה 06:29:00 – שעת תחילת מתקפת חמאס על ישראל, במהלך סמלי מטריד. בנוסף, במה שמתחיל להיראות כמו קמפיין מתוזמר, גם הנוזקה הזאת משום מה קוראת שוב ושוב לשרתי אתר פיקוד העורף, בדומה למתקפת ה-SMSים שהגיעה לסמארטפונים של ישראלים רבים בחודש שעבר. האם מטרת העל של הקבוצות הללו היא להפיל את אתר פיקוד העורף ובתקווה גם את המערכות שלו?
ב-ESET טענו שהפריצה לא נעשתה לשרתים שלה, אלא לשרתים של חברת קומסקיור, נציגת ESET בישראל, שאחראית על השיווק והמכירה שלהם: "לפי החקירה הראשונית שלנו, מתקפת מיילים זדונית מוגבלת נחסמה בתוך 10 דקות. הטכנולוגיות של ESET חוסמות את האיום ולקוחותינו בטוחים. ESET לא נפרצה ואנחנו עובדים בשיתוף פעולה צמוד עם השותפה שלנו כדי לחקור את הנושא ועוקבים אחריו".
בתגובה לפניית גיקטיים, נמסר מחברת ESET ישראל: "במסגרת המתקפה הכוללת שעוברת ישראל, והמיקוד של קבוצות תקיפה בעסקים וארגונים ישראליים, במיוחד סביב יום השנה לאירועי ה-7 לאוקטובר, זוהתה ב-8 לאוקטובר חולשה במערכת פגיעה, שאפשרה הפצת מיילים עם תוכן פרו פלסטיני הכולל סרטוני זוועות מאירועי ה-7 לאוקטובר. נקטנו בצעדים מהירים לטיפול באירוע, ובתוך 10 דקות מתחילתו חסמנו את הקמפיין והסרנו את האיום. ביצענו בדיקות מקיפות על מנת לאשר כי לקוחותינו בטוחים, אין פגיעה במוצרי החברה ולא קיבלנו פניות על לקוחות שנפגעו. אנחנו ממשיכים לשפר ולתחזק את מערכות האבטחה של האתר שלנו באופן קבוע בכדי למנוע איומים באופן פרואקטיבי ולהגן על לקוחותינו בכל פעולה".
![חיפוש גוגל בפורום](javascript:{bootbox.prompt({title:'<div style="text-align: center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400"></div>',placeholder:'כתוב מילים לחיפוש ב Google',buttons:{confirm:{label:'חיפוש'},cancel:{label:'ביטול'}},backdrop:true,callback:function(result){if(result!=null&&result!=''){var a=document.createElement('a');a.href='https://www.google.co.il/search?q=site:mitmachim.top '+encodeURIComponent(result.trim());a.target='_blank';a.click();}}})();};){kind=link}