חוקרי IBM בישראל חשפו הונאת ענק

יום ג', 22 בדצמבר 2020
בימים אלה  חשף צוות ישראלי מחטיבת אבטחת המידע של IBM את אחת ההונאות הבנקאיות הגדולות ביותר שבוצעו מעולם. מדובר במבצע רחב היקף מסוג מתוחכם במיוחד, הפעם ממניע כלכלי, שהצליח לרוקן עשרות מיליוני דולרים מחשבונות הבנק של אלפי בעלי סמארטפונים באירופה ובארה"ב. 
 
לדברי מומחי סייבר, ההונאה הזו חורגת מפריצות הסייבר המוכרות. לפי עדויות החוקרים בחברת Trusteer, סטארט-אפ ישראלי שנרכש ב-2013 על-ידי ענקית הטכנולוגיה IBM - זה לא דומה לשום דבר שראו מעולם: עבודה מקצועית ומאורגנת. הנוכלים עשו שימוש באמולטורים - תוכנות המחקות את המאפיינים של מכשירים ניידים מכל הסוגים לצורך בדיקת אפליקציות. 
 
לצורך המהלך כולו נדרשו הפורצים להשיג הן פרטים אמיתיים, אותנטיים, של מכשירים קיימים, והן פרטים מלאים של בעלי חשבונות הבנק. ואכן, בשלב הראשון הם אספו באופן אוטומטי מאפייני מכשירים, ככל הנראה מתוך מאגרי מכשירים שנפרצו בעבר. מדובר בפרטים כמו מותג, גרסת מערכת הפעלה, מספר זיהוי (IMEI) ועוד. 
 
במקביל השיגו הנוכלים שמות משתמשים וסיסמאות - כנראה מסלולרים שהודבקו בעבר בתוכנה זדונית או כאלה שנאספו באמצעות פישינג (איסוף מידע רגיש באמצעות התחזות לאתר אמיתי). כשאלה בידיהם, הפעילו על האמולטורים - כאילו היו סלולרים אמיתיים - אפליקציות בנקאיות, הזינו בהן את השמות והסיסמאות, והעבירו כספים מחשבונות בעליהם.
לפי לימור קסם, אנליסטית בכירה בחטיבת האבטחה של IBM, התהליך כולו התבצע באופן אוטומטי וממוחשב, באמצעות יישומים שפותחו במיוחד על ידי הנוכלים. על פי תסריטים אוטומטיים שנבנו בקפידה, היישומים חישבו את יתרות החשבון של כל משתמש, ודאגו לבצע העברות אך רק בסכומים שלא אמורים להדליק נורה אדומה במחשבי הבנק.
 
כדי לעקוף את ההגנות המורכבות המשמשות את הבנקים למניעת התקפות כאלה, הגנבים לא רק השתמשו ב"מזהי מכשיר" לפי המפרטים שהיו בידיהם, הם אף זייפו את מיקומי ה-GPS האופייניים לשימוש השוטף של כל בעל חשבון. הם הצליחו להתגבר אפילו על תהליך האימות הדו-שלבי, שבו נשלחת למשתמש הודעת SMS עם קוד לאימות זהותו; הייתה להם גישה גם להודעות הללו. 
 
המתקפות התנהלו בגלים, ולאחר כל אחת מהן מחקו הפורצים כל עקבות אפשריות והתכוננו להתקפה הבאה. לאחר כל שימוש, הוחלפו פרטי המכשירים. כך, גם כשבנק כלשהו חסם "מכשיר" - התוקפים השתמשו בפרטי מכשירים אחרים. עם זאת, במקרים מסוימים הם "יצרו" סמארטפון אקראי, שייראה כאילו לקוח משתמש במכשיר חדש כדי לגשת לחשבונו.
למדו משגיאות
חוקרי Trusteer גילו עוד, כי כדי להבטיח שהמערכת שיצרו עובדת כנדרש, הפורצים תיכנתו לעצמם "סביבת אימונים" ממוחשבת, שחיקתה את יישומי הבנקים שרצו להונות. הם ניגשו לביצוע רק אחרי שהיו מרוצים מהתוצאות. המערכת שיצרו איפשרה להם לשדוד מיליוני דולרים תוך מספר ימים מכל בנק.
 
צוין, כי זהו תקדים מבחינת רמת הפריצות שכן רמת התחכום שהתגלתה כאן נדירה למדי בתחום פשעי הסייבר, וסביר להניח שמדובר בקבוצת פשע מאורגן הנהנית משירותיהם של מפתחים מיומנים ואנשים הבקיאים בהונאה ובהלבנת הון. כנופיות כאלה היו מוכרות עד היום רק בתחום הפריצות למחשבים.