פירצת אבטחה חדשה בדואר ישראל

יום ג', 30 בנובמבר 2021
פירצת אבטחה חדשה בדואר ישראל .
 
לקוחות של דואר ישראל, שרצו לשלם מכס עבור חבילות שקיבלו, הופנו על ידי אתר הדואר הרשמי לעמוד לא קיים, שיכול היה בקלות להיות אתר פישינג. מדואר ישראל נמסר: ”הנושא הועבר לבדיקה וטופל באופן מיידי”
 
פירצת האבטחה החדשה שהתגלתה באתר של דואר ישראל ונסגרה בעקבות פניית גיקטיים, היא מהבסיסיות והמטופשות שראינו בשנה האחרונה, אבל פוטנציאל הפגיעה שלה בלקוחות הדואר היה גדול.
עידן דרדקמן חוקר אבטחת מידע: "קיבלתי הודעה מהדואר שעדכן אותי שחבילה שהזמנתי הגיעה לארץ, ואני צריך לשלם מכס על מנת לקבל אותה”, הוא מספר לגיקטיים. לדבריו, הוא נכנס לאתר של דואר ישראל והתחבר לאיזור האישי שלו, שם הוא הקליד גם את מספר החבילה שלו. בשלב הזה האתר של דואר ישראל עדכן אותו שלצורך התשלום הוא יועבר לאתר חיצוני שפועל בשיתוף פעולה עם דואר ישראל בשם mechespay.co.il. “הגעתי לאתר עם חמישה כפתורים גדולים שעליהם רשום pay my bill”, ושם לדבריו הוא הבחין בפרסומות מפוקפקות, ואם זה לא הספיק הוא גם קלט שהדומיין עצמו מוצע למכירה.
 
הגורם שהציע למכירה את הדומיין, ככל הנראה סיני, ביקש עבורו 300 דולר, כשעל פי עמוד המכירה נכנסו אליו כבר יותר מ-1,000 משתמשים. ככל הנראה מדובר במשתמשים שרצו לשלם את תשלום המכס, כדי לקבל את החבילה שהזמינו, ורק בדרך נס חנוכה חיפשו שוב באתר של דואר ישראל את העמוד הנכון שמוביל אל עמוד התשלום הרלוונטי.
 
למעשה, הפרט היחידי בעמוד הרשמי של דואר ישראל, שעשוי היה להעיד על כך שלא מדובר בעמוד לגיטימי של הדואר הוא ההפניה מעמוד בשם “aaa”. מעבר לכך – לא היה רמז לכך שמדובר בעמוד חיצוני.
 
לא יודעים מה פשר העמוד הזה, וככל הנראה לא מדובר בעמוד קיים שהיה בבעלות הדואר. 
 
החשש המרכזי במקרה כזה הוא הקמה פשוטה וזריזה של עמוד פישינג, שנהנה מרוח גבית וטראפיק מהאתר הרשמי של הדואר. נסו למשל לדמיין האקר – שפשוט רוכש את הדומיין הזה ומקים בו אתר דמה לסליקת כספים בשם המכס או הדואר. תוך זמן קצר מאוד הוא יכול לקבל מדואר ישראל הפניות ישירות לאתר שלו של לקוחות, שרק רוצים לקבל את החבילה שלהם ומוכנים להזין את פרטי האשראי – אחרי הכל מדובר לכאורה בהפנייה מהאתר הרשמי.
 
דרדקמן ובת זוגתו עשו את הדבר הנכון וניסו לפנות לדואר ישראל, כדי להתריע בפניהם על התקלה כבר לפני מספר ימים, אך לדבריו הוא לא מצא אוזן קשבת: “נתקלנו בתגובות ‘קופי-פייסט’ של נציגים שלא קראו את הפנייה”, ששיאן היה המלצה של נציגה שייזהר ממתקפות פישינג… לאחר שדרדקמן פנה לגיקטיים, ולאחר שאימתנו את דבר הפירצה, ביצענו תהליך אסגרה מול דואר ישראל. תוך זמן קצר מפנייתנו הוסר העמוד שמפנה אל mechespay.co.il מאתר הדואר.
 
זוהי לשון תגובת דואר ישראל, במלואה: “הנושא הועבר לבדיקה וטופל באופן מיידי”.
 
עדכון: כמה שעות לאחר פרסום הכתבה דואר ישראל ביקשו לעדכן את תגובתם עם התוספת הבאה: “לא מדובר באירוע אבטחת מידע, אלא בקישור שהוביל לעמוד שגוי והועלה עקב טעות אנוש לאתר. הטעות תוקנה והדף הוסר. במקביל הנושא הועבר לבדיקה”