צ'ק פוינט חושפת כי קבוצת האקרים איראנית הצליחה לפרוץ לתיבות המייל של בכירים בישראל, בהם עמוס ידלין, והשתמשה בהם למתקפת פישניג ("דיוג") ממוקדת וספציפית כנגד גורמים פוליטים, אנשי בטחון לשעבר ואקדמאים. הקבוצה אף הצליחה לחדור למערכות של מכון מחקר בטחוני בולט. שמו של ידלין לא הותר לפרסום בתחילה, ונחשף לראשונה ב"תוכנית חיסכון".
מדובר על קמפיין שנמשך עד לפני שבוע, והחל לכל הפחות בדצמבר 2021. קבוצה איראנית מוכרת בשם Phosphorus הצליחה לפרוץ לתיבת האימייל הפרטית (ג'ימייל) של ידלין, אלוף במילואים ולשעבר ראש אמ"ן.
אחרי הפריצה לאימייל, התוקפים השתמשו בתיבה כתשתית: הם שלחו מיילים ממוקדים לעוד גורמים ביניהם השרה לשעבר ציפי לבני. התוקפים שלחו מייל לפיו ידלין כביכול, כתב מאמר על סיכום 2021 בהיבטים בטחוניים - וביקש מלבני התייחסות. רק שהמייל הוביל ללינק שנועד לגרום לה למסור את פרטי ההזדהות שלה.
אחרי הפריצה לאימייל, התוקפים השתמשו בתיבה כתשתית: הם שלחו מיילים ממוקדים לעוד גורמים ביניהם השרה לשעבר ציפי לבני. האלוף כביכול כתב מאמר לסיכום 2021 בהיבטים בטחוניים, רק שהמייל הוביל ללינק שנועד לגרום ללבני למסור את פרטי ההזדהות שלה
כשלבני לא פתחה את המייל הוא המשיך ללחוץ: "חברים, אני מחכה לשמוע את הערותיכם", כתב, וגם: "ציפי, הצלחת לראות את המאמר?", שאל. כשלבני ניסתה לבסוף לפתוח את הקובץ, הלינק דרש ממנה את הסיסמה למייל. זה נראה לה חשוד, גם כי באותם ימים היו כותרות בעיתונים על קמפיין של NSO בישראל, והיא נזהרה.
בישראל כמו בישראל, אחרי כמה ימים פגשה לבני פנים אל פנים את ידלין במקרה, ושאלה אותו על המאמר. אז הוא אמר לה שהוא לא כתב דבר כזה. לבני פנתה עם המידע לצ'ק פוינט שהחלו לחקור. הם הגיעו לתיבת מייל הפרוצה של ידלין, ומשם לכלל התשתית של התוקפים.
החדירה החמורה ל-INSS
הסתבר שהתוקפים הגיעו לעוד תיבת מייל פרטית, של בכיר במכון מחקר בטחוני מוכר (שאיננו ידלין). התוקפים זיהו שיחה של הבכיר עם שגריר ארה"ב לשעבר, העתיקו אותה ושלחו אותה שוב ממייל מזוייף חדש של "השגריר", תוך הדבקת שרשור השיחה הקודם (email thread hijacking technique). המטרה במקרה הזה הייתה שהבכיר באותו מכון בטחוני ימסור גם את היוזר והסיסמה של מקום העבודה, והם כנראה הצליחו במשימתם, וחדרו כך למכון המחקר.
עוד יעדים של הקמפיין: חוקר מזרח תיכון מוכר, שכפי הנראה גם המייל שלו נפרץ - וממנו הם הצליחו להפיל בפח מנהל בכיר של חברת ביטחונית מרכזית. הם השתמשו באמתלה של הרשמה לכנס בטחוני והצליחו לגרום לבכיר להעלות את הדרכון שלו לתשתית שלהם
עוד יעדים של הקמפיין: חוקר מזרח תיכון מוכר, שכפי הנראה גם המייל שלו נפרץ וממנו הם הצליחו להפיל בפח מנהל בכיר של חברת ביטחונית מרכזית. הם השתמשו באמתלה של הרשמה לכנס בטחוני והצליחו לגרום לבכיר להעלות את הדרכון שלו לתשתית שלהם. צ'ק פוינט פעלה יחד עם גוגל לניקוי המתקפה, והחשבונות נסגרו. גם מערך הסייבר והשב"כ היו מעורבים בטיפול.
לסיכום: ניתן לראות כי התוקפים כיוונו לתיבות מייל פרטיות של בכירים, שכפי הנראה לא היו מוגנות כהלכה, והצליחו לפרוץ למספר כאלו. משם, הם הצליחו לזהות יעדים נוספים ולגרום להם למסור עוד פרטי הזדהות או למסור מסמכים. כך, הם חדרו למערכות של מכון מחקר בטחוני מוכר בישראל.
האיראנים ממשיכים לתקוף את ישראל בזירת הסייבר, ביתר שאת לאור ההתחממות במאבק בין המדינות. בתחילת החודש דיווחה מיקרוסופט על קבוצה לבנונית, בחסות משרד המודיעין האיראני, שתקפה מטרות ישראליות ממגזרי התשתיות הקריטית, הייצור וה-IT.
אל תשכחו להפעיל אימות דו-שלבי
איגוד האינטרנט הישראלי מחדד כללי זהירות וסימני זיהוי למיילים חשודים, בעקבות חשיפת הניסיונות האיראנים להשתלט על חשבונות מייל של גופים ואזרחים ישראליים:
1. חשבון המייל האישי של כל אחד מאיתנו מייצג אותנו באינטרנט ומהווה מפתח הכניסה למידע האינטימי ביותר שלנו, גם כזה המתקבל לתיבה שלנו מגופים נוספים – עלינו להפעיל את אמצעי האבטחה המתקדמים ביותר הזמינים לכל שירות דואר אלקטרוני מוכר.
2. בחרו סיסמה חזקה והחליפו אותה באופן תדיר, אחת למספר שבועות – החלפה של הסיסמה מונעת ממי שגילה אותה להמשיך לעשות שימוש בחשבון.
3. חובה להגדיר אימות דו שלבי לשירותי הדואר שלנו – המשמעות היא שכדי להיכנס למייל שלנו ממכשיר לא מוכר, צריכים להפעיל קוד אימות חיצוני. מדובר באמצעי חינמי ומצוין להגנה.