בנק HSBC יחוייב לפצות לקוח בעשרות אלפי דולרים לאחר שנפל קרבן למתקפת פישינג מתוחכמת.

התוקפים התחזו לשם המשתמש של הבנק בהפצת הודעות סמס ושלחו ללקוחות סמס מזויף המתריע על פעילות חשודה בחשבון.

ההודעה הופיעה באותו השרשור בו מגיעות הודעות לגיטימיות מהבנק ובהודעה הזדונית נאמר כי אם הפעילות אינה מוכרת ללקוח יש ליצור קשר למספר טלפון מסוים.

בחיוג לטלפון הפעילו התוקפים מענה קולי המתחזה במדויק למענה הקולי של הבנק, שם ביקשו מהלקוח לספק סיסמאות אישיות על מנת לאמת את זהותו.
לאחר שהמשתמש סיפק את הסיסמאות הפורצים נכנסו לו לחשבון וגנבו עשרות אלפי דולרים.

ב-HSBC ניסו סירבו בתחילה לפצות את הלקוח בטענה כי הלקוח מסר לתוקף קוד אישי אותו הוא לא אמור למסור מרצונו החופשי.

מנגד, רשות התלונות הפיננסיות האוסטרלית (AFCA) טענה כי הטקטיקות שהפעילו התוקפים גרמו ללקוח לחשוף את הקוד האישי בניגוד לרצונו מאחר והרגיש כי הואצמוכרח להגן על חשבונו האישי.
לבסוף נפסק כי על הבנק לפצות את הלקוח בעשרות אלפי הדולרים שנגנבו מחשבונו בנוסף להוצאות משפטיות (סה"כ כ-53,000 דולר).

מדובר בהחלטה תקדימית שייתכן ותהווה פתח לתביעות דומות בהמשך.
גם בישראל ראינו בשנה האחרונה לא מעט מקרים בהם תוקפים שולחים הודעות זדוניות תחת אותה זהות של הארגון ובכך למעשה מגבירות את האמינות של ההודעה (לדוגמא).

אגב, לבנק HSBC יש פעילות בישראל והאתר שלהם אף הוזכר על ידי תוקפים במתקפות דידוס שונות בשנה האחרונה.

https://news.1rj.ru/str/CyberSecurityIL/5904

#פישינג #פיננסי

תוקף מציע למכירה גישת ניהול למערכות המחשוב של אחת מהעיריות בישראל.

המחיר 30,000 דולר.
(מדובר בפוסט חדש, ללא קשר לעיריית מגדל העמק)

https://news.1rj.ru/str/CyberSecurityIL/5905

#ישראל

תוקף מפרסם להורדה מידע השייך לכאורה לחברת Aurion הישראלית המספקת שירותי ניהול ואחסון אתרים.

https://news.1rj.ru/str/CyberSecurityIL/5906

#ישראל #דלף_מידע #טכנולוגיה

עיריית Calgary שבקנדה מדווחת על השבתה מערכות המחשוב בספריות העירוניות בשל מתקפת סייבר.

בשלב זה אף קבוצת כופר לא לקחה אחריות למתקפה.

https://news.1rj.ru/str/CyberSecurityIL/5907

#כופר #תרבות

חברות ענק הפסידו מיליוני דולרים - שני אחים מסודאן, שהפעילו את קבוצת התקיפה "אנונימוס סודאן" נעצרו על ידי ממשלת ארה"ב ומואשמים בביצוע עשרות אלפי מתקפות דידוס.

השניים נעצרו כבר במרץ ומואשמים בביצוע 35,000 מתקפות דידוס בשנה אחת.

אגב, קבוצת אנונימוס סודאן פעלה לא מעט כנגד גופים בישראל.
באותה תקופה הצלחתי ליצור איתם קשרים טובים ובזכות כך מספר רב של חברות בישראל קיבלו ממני מודיעין על מתקפות כנגדם לפני שאלו יצאו לפועל.

מזכיר, שבעבר קיימתי איתם ראיון קצר שהובא כאן בערוץ.

https://news.1rj.ru/str/CyberSecurityIL/5909

עדכון - ההאקר USDoS נעצר על ידי גורמי אכיפה בברזיל.

המבצע קיבל את השם - Operation Data Breach 😄

עדכון 👆🏻 - משרד המשפטים בארה"ב מדווח על מעצרו של תושב אלבמה, בן 25, האחראי לפריצה לחשבון ה-Xוויטר של הרשות מוקדם יותר השנה.

במהלך הלילה - תוקף מציע למכירה גישה לרשת של סוכנות העוסקת בתחום הרפואה בישראל.

המחיר - 70,000 דולר.

https://news.1rj.ru/str/CyberSecurityIL/5913

#ישראל #רפואה

חוקר אבטחת מידע טוען כי Eset ישראל נפרצה על ידי תוקפים שהפיצו ללקוחות מייל עם נוזקת Wiper.
החברה בתגובה: החברה לא נפרצה, לקוחות לא נפגעו והאימייל הזדוני נחסם תוך 10 דק'.

במסגרת הקמפיין הזדוני תוקפים עשו שימוש בדומיין רשמי של Eset ישראל ושלחו ללקוחות מייל המפציר בהם להוריד קובץ זדוני.
לפי הפרסומים ידוע על ארגון ישראלי שנפגע מהנוזקה.

חוקר אבטחת המידע Kevin Beaumont טוען בבלוג שפירסם ובשרשור במסטודון כי התוקפים הצליחו באופן כזה או אחר להשיג גישה כלשהי לדומיין המשמש את החנות של Eset ישראל ודרכו להפיץ את הנוזקה.

ב-Eset הגיבו לנושא בציוץ ב-Xוויטר וטענו מנגד כי שרתי החברה לא נפרצו וכי כל הלקוחות בטוחים (מה שסותר במעט את הטענה שהועברה לחוקר כי כי ארגון ישראלי הותקף בנוזקה).

כמה נקודות לשים אליהן לב:

1. המייל יצא מדומיין החנות של Eset ישראל, אך גם הקובץ הזדוני אוחסן באותו דומיין מה שהגביר את האמינות של ההודעה. התוקפים למעשה לא הפנו את הקרבן לאתר צד ג' אלא לסביבה של Eset ישראל.

2. לא ברור מי קבוצת התקיפה אך מדובר בפעילות המזכירה את קבוצת Handala סביב מלחמת חרבות ברזל.

3. בבלוג ניתן למצוא את האינדיקטורים הרלוונטיים.

4. בשבוע+ האחרונים קיבלתי מספר פניות בנושא מלקוחות של Eset שקיבלו את המייל הזדוני (תמונה מצ"ב).

https://news.1rj.ru/str/CyberSecurityIL/5914

#ישראל

תגובה מעודכנת של סיסקו בנוגע לחשד לדלף מידע מצ"ב.

אמ;לק - המערכות לא נפרצו, התוקף השיג את כל המידע מפורטל DevHub וכמה מסמכים שלא אמורים להיות ציבוריים הורדו ע"י התוקף, לא דלף מידע רגיש.

- Based on our investigations, we are confident that there has been no breach of our systems.
- We have determined that the data in question is on a public-facing DevHub environment—a Cisco resource center that enables us to support our community by making available software code, noscripts, etc. for customers to use as needed.
At this stage in our investigation, we have determined that a small number of files that were not authorized for public download may have been published.
- As of now, we have not observed any confidential information such as sensitive PII or financial data to be included but continue to investigate to confirm.
Out of an abundance of caution, we have disabled public access to the site while we continue the investigation.
- Meanwhile, Cisco will engage directly with customers if we determine they have been impacted by this event.

https://news.1rj.ru/str/CyberSecurityIL/5915

שבוע וחצי אחרי הפריצה - אתר Internet Archive אמנם חזר לעבוד אך נראה שהתוקף עדיין מחזיק בגישה.

משתמשי האתר מדווחים ברשת כי קיבלו בשעות האחרונות מייל מהדומיין של Internet Archive בשם התוקף.

חברת הטכנולוגיה Nidec מדווחת כי היא סובלת מדלף מידע בעקבות מתקפת כופר.

מהצצה בפיד הכופר עולה כי שני קבוצות תקיפה פירסמו את Nidec כקרבן בחודשים האחרונים - קבוצת 8base ביוני וקבוצת Everest באוגוסט.

https://news.1rj.ru/str/CyberSecurityIL/5920

#כופר #תעשיה

בשבועיים האחרונים קבוצת תקיפה תומכת טרור העושה שימוש בשם "בני ישמעאל" טוענת כי פרצה למספר אתרי אינטרנט בישראל וגנבה מידע.

בין האתרים שהוזכרו על ידי הקבוצה:

zimmer.co.il
seret.co.il
lawforums.co.il
hebpsy.net
betipulnet.co.il
rrr.co.il
talniri.co.il

בבדיקה שלי חלק מהאתרים אכן הושפעו מהמתקפה באופן כזה או אחר כשבחלק מהמקרים עלה חשש גם לדלף מידע, עם זאת מדובר בקבוצה, ככל הנראה איראנית, עם מוניטין לא משהו.

https://news.1rj.ru/str/CyberSecurityIL/5921

#ישראל #דלף_מידע

פרויקט הקריפטו Radiant Capital מדווח ע"י תוקפים הצליחו לגנוב מהפרויקט מטבעות דיגיטליים בשווי 50 מיליון דולר.

בפוסט שפירסמו מסבירים ב-Radiant כי התוקפים הצליחו לפרוץ לשלושה ארנקים של מפתחים מרכזיים בפרויקט למרות שאלו השתמשו בארנקים קרים והיו מפוזרים גאוגרפית במקומות שונים בעולם.

https://news.1rj.ru/str/CyberSecurityIL/5922

#קריפטו

קבוצת תקיפה המשייכת את עצמה לתימן טוענת כי פרצה לנמל חיפה ולחברת נמלי ישראל.

בשעות האחרונות קיבלתי דיווחים כי עובדים בנמל חיפה קיבלו הודעות סמס לטלפון שלהם מהתוקפים.

הקבוצה מפרסמת מספר מסמכים שגנבה לכאורה מהמקומות אליהן פרצה.

למרות שמדובר בקבוצה המשייכת את עצמה לתימן נראה כי מדובר בקבוצה איראנית.

https://news.1rj.ru/str/CyberSecurityIL/5923

#ישראל #דלף_מידע #לוגיסטיקה

תוקף מציע למכירה גישה לרשת של מכללה טכנולוגית בישראל.

המחיר - 10,000 דולר.

אני מקבל מכם הרבה שאלות על התוקף הזה אז אני מרחיב טיפה:

התוקף, המכנה את עצמו DarkRaaS, פועל לא מעט בישראל כשהוא מפרסם מספר רב של קרבנות ישראלים בתקופה האחרונה.

התוקף טוען כי הוא שייך לקבוצת Darkside - אני לא יודע כמה מכם זוכרים אבל מדובר בקבוצה שתקפה בעבר הרחוק את חברת Colonial Pipeline (כתבתי על זה בהרחבה בספר "חמושים במקלדת").
מדובר בקבוצה שסחטה מקרבנות 90 מיליון דולר בתקופה קצרה של תשעה חודשים.
מאוחר יותר ביצעה Darkside מיתוג מחדש ל-Blackmatter ולבסוף סיימה את הפעילות תחת השם AlphV (Blackcat).
זוכרים את AlphV? אחת מהקבוצות הדומיננטיות ביותר.

קשה לי להאמין שיש קשר, ולו הקלוש ביותר, בין קבוצת כופר סופר רצינית, שהרוויחה לאורך השנים מאות מיליוני דולרים, לתוקף שמבקש סכומים של עשרות אלפי דולרים ומפרסם פוסטים בפורומים שונים.

הערכה שלי היא כי מדובר בתוקף שמתחזה ל-Darkside ועושה שימוש בשם כדי לייצר אמינות/מוניטין.

https://news.1rj.ru/str/CyberSecurityIL/5924

#ישראל #אקדמיה #כופר