פרצת אבטחה בארה"ב: האקרים סינים חדרו למיילים של משרד החוץ והמסחר

מיקרסופט אמרה כי קבוצת האקרים סינית פרצה לחשבונות של 25 גופים מאז חודש מאי, רובם במדינות המערב.

בבית הלבן אמרו כי הפריצה זוהתה במהרה, וכי לא נפגעו מערכות מסווגות. בבייג'ינג הכחישו, אך בלינקן הבהיר לעמיתו הסיני כי וושינגטון תגבה דין וחשבון מאותם ההאקרים.

לפי דיווח בוושינגטון פוסט, בין המיילים שנפרצו היה אחד השייך לשרת המסחר, ג'ינה ריימונדו, שהיא ככל הנראה חברת הממשל היחידה שנפגעה ישירות.
עוד דווח כי גם מיילים של בכירים במשרד החוץ נפרצו על ידי האקרים הסינים.

https://news.1rj.ru/str/CyberSecurityIL/3373

https://news.walla.co.il/item/3593919

אתר חדש יגיד לכם אם ה-SMS שקיבלתם עכשיו הוא לגיטימי או תרמית.

כל שתצטרכו לעשות הוא להדביק בו את הלינק או ההודעה שקיבלתם באתר ScanMySMS – והלינק ייבדק.
תוך שניות תקבלו הודעה האם זה לינק לגיטימי או לינק פישינג שיסתיים בהודעה מחברת האשראי על חיובים חריגים.
אגב, אם אתם מעדיפים, המערכת זמינה גם בתור בוט בטלגרם.

בשיחה עם גיקטיים מסביר שרון בריזינוב, חוקר אבטחה ב-Claroty, ואחד מהאנשים שעומדים מאחורי האתר, איך עובדת הבדיקה מאחורי הקלעים: "האתר מריץ אוטמציה של כרומיום שמתחילה גלישה בתור iPhone 13 ונותנים לזה לרוץ. בדרך אוספים את כל ה-redirects ושומרים את הנתונים. לאחר מכן בודקים את כל ה-Certificates כדי להבין אם הן תקינות ולמי שייכות", הוא מסביר. אחרי השלבים האלו, המערכת בודקת את כל ההפניות של הלינקים שהועלו ואת כתובות ה-IP שנאספו מול מאגרי מידע שבהם מדורג ה"מוניטין" של הלינקים והכתובות הללו – ומתקבל ניקוד לגבי כל כתובת URL, דומיין ו-IP. בריזינוב מוסיף כי לאחר מכן הם נעזרים ב"אלגוריתם קטן" שמנסה לקבוע האם השרשרת בעייתית בעזרת כל הפרמטרים שנאספו.

לבסוף, אם כל האוטמציה לא הצליחה לקבוע אם הלינק זדוני או לגיטימי – המידע נשלח לקבוצת טלגרם בה פעילים מתנדבים שבודקים ידנית לינק לינק ומעדכנים בלייב את המערכת.

https://news.1rj.ru/str/CyberSecurityIL/3374

https://www.geektime.co.il/scan-my-sms-will-let-you-know-whether-that-link-you-got-is-legit-or-a-scam/

חולשה ב-BUYME אפשרה לכל אחד למצוא בגוגל את השוברים שלכם ולנצל אותם.

מיכאל לוגסי, שהוא במקצועו יזם טכנולוגי ומתכנת עם רקע היסטורי ב-SEO, גילה את החולשה ממש במקרה, כשאשתו שלחה לו קופון שנרכש כמתנת סוף שנה למורות.

לוגסי הבין שהוא פשוט יכול לגשת אליו ללא כל הזדהות ברגע שיש לו את הלינק לאותו שובר, ואז הוא חשב לעצמו: האם ואיך אני יכול למצוא עוד לינקים כאלו? התשובה, איך לא, היא גוגל.

בגוגל הוא מספר שמצא מספר גיפטקארדים בודדים ובבינג נמצאו לדבריו עוד כמה עשרות שוברים שונים.

בתוך השוברים נחשפו גם פרטים על האנשים שהיו אמורים לקבל אותם. כך למשל נחשפו שמות של המקבלים או השולחים, היתרה והמימושים האחרונים של המשתמש, וכן שימוש חלקי שנעשה בחנות של מותג מחטבים מוכר.
בנוסף, ניתן היה לצפות בברכות האישיות שצורפו לגיפט קארדים, וכך ניתן היה לקבל עוד מידע יקר ערך כמו תאריכי יום הולדת, גיוס, מקומות עבודה.
הנתונים אומתו מול הצוות של אתר גיקטיים ואלה פנו לחברת BuyMe עם הפרטים.

מחברת BuyMe נמסר לנו שבין היתר היא חסמה את סריקת עמודי השוברים באמצעות השירות של אימפרבה, הוסיפה את ה-Headers הרלוונטיים, הגישו בקשה לגוגל ומיקרוסופט לחסימת תבנית הכתובת, ולשוברים שאונדקסו נוספה הגנת 2FA, כך שהלקוחות צריכים להזדהות אל מול המערכת לפני הגישה לשובר.

https://news.1rj.ru/str/CyberSecurityIL/3375

https://www.geektime.co.il/buyme-gifts-seo-problem/

#דלף_מידע #ישראל

שבוע טוב, סיכום חדשות סייבר מהיממה האחרונה:

🔺 שלושה חודשים אחרי שהושבת ע"י גופי האכיפה, האתר למכירת מידע גנוב Gensis Market מנהלי האתר מציעים את האתר למכירה. המוכרים מציעים את כל קוד המקור של האתר ומידע נוסף (תמונה מצ"ב)
לא עבר זמן רב ובהודעה נוספת המוכרים טוענים כי כבר יש רוכש שביצע הפקדה ראשונה.

🔺 קבוצת AlphV (Blackcat) מפרסמת באתר ההדלפות את המרכז לבריאות הנפש Highland Health Systems שבאלבמה.
לטענת הקבוצה היא מחזיקה ב-1.8TB של מידע ותחל לפנות בקרוב גם למטופלים על מנת שישלמו דמי כופר כדי שהמידע הרפואי שלהם לא יפורסם.

🔺זוכרים את מתקפת הכופר על חברת Kronos? החברה הסכימה להסדר תביעה במסגרתו תשלם 6 מיליון דולר ותפרסם את כל הידוע לה על כמות המידע שנגנב והאנשים שהושפעו.

🔺 מספר מתקפות DDoS במהלך סף השבוע - קבוצת אנונימוס סודאן תקפו מספר אתרים ביניהם גם את שירות הענן Onedrive של מייקרוסופט שסבל משיבושים למשך כשעה.
אתרים נוספים שהותקפו - אתר Wattpad, Tumblr ועוד.
קבוצת Noname תקפה מספר אתרי ממשל במדינת ליטא, שם התקיימה השבוע פסגת נאט"ו.
קבוצות נוספות תקפו אתרים באוסטרליה, הודו ועוד

https://news.1rj.ru/str/CyberSecurityIL/3377

#DDoS #כופר #ממשלה #רפואה

"בשבילכם אלו זיכרונות, בשביל אחרים זה מידע ובשבילי זה עתיד מפחיד"

משתפים תמונות וסרטונים של הילדים שלכם ברשתות החברתיות? כדאי שתצפו בפרסומת הזו.

חברת התקשורת הגרמנית דויטשה טלקום יצרה פרסומת המציגה כיצד בעזרת AI הם משכפלים את הקול והדמות של ילדה שהוריה פירסמו סרטונים שלה ברשתות החברתיות.

הילדה/נערה מופיעה במהלך סרט, שההורים רואים כביכול בקולנוע, שם הילדה הבוגרת מסבירה להם על ההשלכות ההרסניות שנגרמו לה לאורך השנים בעקבות השיתופים של הסרטונים שלה ברשתות החברתיות.

(ראיתי שמועות על כך שמדובר בהורים אמיתיים לילדה אמיתית אבל לא מצאתי לכך מקור מספיק אמין)

https://news.1rj.ru/str/CyberSecurityIL/3379

עיריית Cornelius שבצפון קרוליינה סובלת ממתקפת כופר בעקבותיה הושבתו חלק משירותי העירייה, ביניהם גם קו הטלפון לשירותי המשטרה.

הזדמנות לציין כי מדינת צפון קרוליינה היא המדינה הראשונה בארה"ב שאסרה על כל גופי הממשלה לשלם דמי כופר.

https://news.1rj.ru/str/CyberSecurityIL/3380

#כופר #ממשלה

המכון לפיתוח סטארטאפים ויזמות בדרום קוריאה מדווח כי העביר לתוקפים סכום של 135,000 דולר לאחר מתקפת פישינג מוצלחת.

לדברי המכון, התוקפים התחזו לאחד מהספקים ודרשו מקדמת תשלום של 50% על פעילות שהם מבצעים.

https://news.1rj.ru/str/CyberSecurityIL/3383

#פישינג

כמו בשנה שעברה - מנוע החיפוש Shodan במבצע של 90% עד סוף היום.

מניח שחלקכם מכירים את מנוע החיפוש Shodan המאפשר לנטר התקנים שונים המחוברים לרשת ומשמש לא מעט חוקרי אבט"מ.

ראיתי שהם מציעים הנחה של 90% (5$ במקום 50$) עד לסוף היום (17.7) וחשבתי שיכול לעניין אתכם.
מדובר ברכישה חד פעמית ולא במנוי חודשי.

בקיצור, אם זה יכול להתאים לכם אז ההודעה של Shodan כאן ורכישה אפשר לבצע כאן.

(ואם אתם לא מכירים את Shodan אז כאן.)

https://news.1rj.ru/str/CyberSecurityIL/3385

עיריית אודסה שבטקסס מדווחת על דלף מידע רחב לאחר שתוקפים ניגשו למידע באמצעות חשבון של עובד בכיר שפוטר.

בשלב זה אין פרטים נוספים מלבד כך שמידע רגיש דלף החוצה. ראש העיר שם אמר שיעדכן במסיבת עיתונאים שתתקיים בהמשך היום. אם יהיה משהו מעניין אז אעדכן.

https://news.1rj.ru/str/CyberSecurityIL/3387

#דלף_מידע #ממשלה

בלי טיפה של כבוד - קבוצות הכופר ממשיכות עם שיטות סחיטה הכוללות סחיטה מינית ופרסום תמונות אינטימיות של מטופלים.

אתר Databreaches מביא שני אירועי כופר הכוללים סחיטה מינית, אחד ממש מהימים האחרונים ואחד נוסף קרה לפני חודשיים אבל פורסם רק השבוע.

1. לפני 10 ימים קבוצת AlphV מעדכנת כי פרצה למכון לניתוחים פלסטיים בבוורלי הילס ודרשה דמי כופר.
כשהמשא ומתן כשל (או לא התקיים) החלה קבוצת AlphV לפרסם תמונות אינטימיות של מטופלים, לפני ואחרי טיפולים קוסמטיים, כשהיא מנסה להפעיל לחץ על המכון ומאיימת כי תפרסם עוד תמונות וסרטונים בהמשך.

אגב, זו לא הפעם הראשונה שקבוצת AlphV משתמשת בסחיטה מינית כדי לגבות את הכופר, ראינו אותם עושים את זה גם במתקפה על בית החולים Lehigh Valley, שם המטופלים כבר התערבו וביקשו שדמי הכופר ישולמו....

2. לפני כשבוע, המכון לניתוחים פלסטיים Dr. Motykie מדווח לרשויות על מתקפת כופר שהחלה בחודש אפריל, מהדיווח עולה כי התוקפים (שבשלב זה לא משתייכים לאף קבוצת תקיפה מוכרת), גנבו מידע רגיש של 3,461 מטופלים ודרשו מהמכון דמי כופר של 2.5 מיליון דולר.
בין המידע שגנבו ניתן למצוא גם מספרי כרטיסי אשראי (כולל cvv), מידע רפואי, וגם כאן, תמונות של מטופלים לפני ואחרי הניתוחים.
לאחר שבמכון החליטו לא לשלם את דמי הכופר התוקפים החלו לפרסם את התמונות האינטימיות ברשת, ויצרו רשימה של כל המטופלים שלכל אחד יש את התיקייה שלו עם השם, מספר טלפון ותמונות בפנים.
התוקפים פנו למטופלים בטלפון ו/או בדוא"ל, הפנו אותם לאתר שם התמונות שלהם התפרסמו ואמרו להם כי התמונות יכולות להימחק תמורת תשלום.
מהצורה שבה התיקיות של המטופלים מופיעות באתר ניתן להסיק כי חלק מהמטופלים אכן שילמו לתוקפים.
(התוקפים הציגו למטופלים גם אפשרות למחיקה כוללת של כל התמונות של כולם תמורת 800k$).

אם בא לכם לקרוא יותר על האירועים אז המקור (והמקור למקור) כאן.

ראיתי בחלק מהמקומות שמקשרים בין שני האירועים, אני לא בטוח אם יש קשר או שיש כאן בלבול מאחר ושני המכונים ממוקמים בבוורלי הילס 🤷🏻‍♂

https://news.1rj.ru/str/CyberSecurityIL/3388

#כופר #רפואה

מתקפת הכופר באמצעות ניצול החולשה במערכת MOVEit - חוקר בחברת הסייבר Emsisoft מדווח כי כמות הקרבנות עומדת כעת על 347 חברות, והמידע שנגנב שייך לכ-18.6 מיליון משתמשים.

אגב, רק ביממה האחרונה הקבוצה הוסיפה 18 קרבנות חדשים...

https://news.1rj.ru/str/CyberSecurityIL/3389

#כופר

בסרטון בטיקטוק: עובד חיצוני בכללית חשף פרטים רפואיים חסויים - ואפילו שמות של מטופלים

צעיר העובד בשירותי בריאות כללית כעובד חיצוני חצה קו אדום הבוקר (שני) לאחר ששידר לייב ב"טיקטוק" ובו בדק מטופלים וחשף נתונים ללא ידיעתם. במהלך השידור, שכבר הספיק להימחק, העובד סיפר על המטופלים וחשף פרטי מידע רפואיים חסויים - ואפילו את שמותיהם.

הצעיר צילם עצמו כשהוא מקבל מטופלת, מדבר איתה בעברית ובמקביל מספר לצופים שלו מה קורה בשפה הערבית. הוא הסביר על האופן שבו מתבצעות בדיקות הדם ב"כללית", דיבר על בעיות המטופלים השונים - ואף חשף נתונים רפואיים בצירוף שמות.

משירותי בריאות "כללית" נמסר בתגובה: "אנו רואים מקרה יוצא דופן זה בחומרה רבה. עם קבלת הפניה פעלנו לאיתור המצולם- נדגיש כי לא מדובר בעובד שלנו אלא עובד של חברה חיצונית. הסרטונים הוסרו ועבודתו הופסקה מידית ולאלתר ואנו בוחנים הגשת תלונה במשטרה. נדגיש כי שמירה על סודיות רפואית וכבוד המטופל הם אבן יסוד ונר לרגלנו, אנו נוקטים ונמשיך לנקוט בכל האמצעים על מנת להבטיחם".

תודה ליובל שגב על ההפניה לכתבה 🙏🏻

https://news.1rj.ru/str/CyberSecurityIL/3390

#דלף_מידע #ישראל

הטעות המטופשת שגרמה לדליפת מיליוני מיילים רגישים של צבא ארה"ב.

במשך יותר מעשר שנים מיילים שקשורים או מיועדים לצבא ארה"ב נשלחו לכתובות אימייל במאלי, מדינה באפריקה שנחשבת מקורבת לרוסיה ובאופן מיוחד לפוטין. זאת, כתוצאה משגיאה בהקלדת סיומת האימייל של הנמענים בצבא.
כתובות האימייל של צבא ארה"ב מסתיימות ב-.mil, אך פעמים רבות האות האמצעית נשמטת והאימיילים נשלחים לכתובות בסיומת .ml, שהיא הסיומת שמוקצית לאתרים במאלי.

מבחינת צבא ארה"ב זה לא אמור להיות מידע חדש. יוהאנס זורביר, יזם הולנדי שאחראי על ניהול סיומת .ml אמר לפייננשל טיימס שבמשך שנים הוא מתריע על בעיה זו בפני ממשלת ארה"ב, אך זו מתעלמת מאזהרותיו.
לדבריו, כשהחל להבחין באימיילים שנשלחים לכתובות לא קיימות, דוגמת army.ml ו-navy.ml, הוא יצר מערכת שתאגור אותם.

מאז ינואר השנה, למשל, יירט זורביר 117 אלף אימיילים שנשלחו בטעות למאלי במקום לצבא ארה"ב, חלקם מכילים מידע רגיש שנוגע לפעילות הצבא. רבים מהאימיילים כוללים מידע רפואי, מסמכי זיהוי, רשימות אנשי צוות בבסיסים צבאיים, תמונות בסיסים, דוחות ביקורת של הצי, רשימות צוות של ספינות, מסמכי מס ועוד. אלו נשלחו, בין השאר, על ידי אנשי צבא, סוכני נסיעות שעובדים עם הצבא, גורמי מודיעין וקבלנים פרטיים.

כך, לדוגמה, מוקדם יותר השנה יירט זורביר אימייל שכלל את לו"ז הביקור של ראש מטה צבא ארה"ב, גנרל ג'יימס מקונוויל, באינדונזיה. לפי הפייננשל טיימס, האימייל כלל את רשימת החדרים המלאה במלון גרנד הייאט ג'קרטה שבו השתכן, וכן את פרטי איסוף המפתח לחדרו של הגנרל.

החוזה בן 10 השנים של זורביר לניהול סיומת .ml צפוי לפוג בתחילת שבוע הבא, ולאחר מכן יוכלו הרשויות במאלי לגשת לאימיילים שנשלחים לסיומת זו.

https://m.calcalist.co.il/Article.aspx?guid=h1xoxiq5n

מהכתבה נראה שהמידע לא הגיע באמת לידיים של גורמים במדינת מאלי אלא נעצר בדרך 🤷🏻‍♂

תודה לכל מי שפנה בפרטי עם ההפניה לכתבה 🙏🏻

https://news.1rj.ru/str/CyberSecurityIL/3391

#דלף_מידע #ממשלה #צבא

אתר Ynet למטה בעקבות מתקפת DDoS המבוצעת ע"י קבוצת אנונימוס סודאן.
נראה שגם האפליקציה לא מגיבה.

(15:25) עולה יורד לסירוגין

(15:30) כרגע נראה שתקין, למעט איטיות במעבר בין כתבות.

(15:38) למעלה כרגיל

https://news.1rj.ru/str/CyberSecurityIL/3392

#DDoS #ישראל #מדיה

דיפלומט פולני במשרד החוץ פירסם את הרכב שלו למכירה במייל ותוך זמן קצר האקרים העתיקו את המודעה, הורידו את המחיר לאטרקטיבי במיוחד, צירפו קישור לקובץ זדוני ושלחו את המודעה החדשה לנציגים בשגריריות זרות בקייב.

הזמן קצר ואני לא מספיק לסכם את הסיפור אז למי שמעוניין פרטיים נוספים בדוח המלא כאן

https://news.1rj.ru/str/CyberSecurityIL/3393

#פישינג

(לא סייבר קלאסי) תנועת כל הרכבות בארץ הופסקה בשל תקלת מחשוב - לפי עמית סגל גורמים ברכבת מוסרים כי מדובר בכפתור חירום של כיבוי אש שמפגין לחץ עליו והוריד את מערכת החשמל ואז גם הגנרטור של הגיבוי לא עזר
(המפגין לא היה אמור להיות שם).

https://news.1rj.ru/str/CyberSecurityIL/3394

חברת הכרייה והמיחזור הנורווגית Tomra מדווחת כי היא נאלצת להשבית חלק ממערכות המחשוב בשל מתקפת סייבר.

בשלב זה לא ראיתי לקיחת אחריות של אף קבוצת כופר.

https://news.1rj.ru/str/CyberSecurityIL/3395

#כופר #תעשיה