הונאת ענק במייל: קמפיין פישינג מתחזה למשרד המשפטים

מערך הסייבר הלאומי פרסם התרעה על קמפיין דיוג חדש המאיים על ארגונים ואנשים פרטיים בישראל.

לפי ההתראה, מדובר בקמפיין המתחזה להודעות רשמיות מטעם משרד המשפטים, פרקליטות המדינה או משטרת ישראל.

המטרה העיקרית של הקמפיין היא להטעות משתמשים להוריד קובץ זדוני, שמתקין על מחשביהם תוכנת שליטה מרחוק (RMM) בשם ScreenConnect, המאפשרת לתוקפים גישה ישירה לעמדות המשתמש ובכך לגנוב ממנה מידע.

הקמפיין באיכות גבוהה. כתובת השולח נראית חוקית (מייל ב @justice.gov.il) וגם שאר הפרטים של המייל נראים לעין בלתי מקצועית אותנטיים. ככותב שורות אלו קיבלתי גם אני מייל מקמפיין הפישינג וגם לי לקח שניות ארוכות להבין שמדובר בזיוף.

פרטי המתקפה

ההודעות המזויפות נשלחות מכתובות המתחזות למשרד המשפטים, ומכילות תוכן שמדווח על פתיחת תיק חקירה פלילית כנגד הנמען.

ההודעה כוללת איום כי סירוב לפתוח את התיק עלול להוביל למעצר, ובכך מפעילה לחץ פסיכולוגי משמעותי על הקורבן. הקישור בהודעה מוביל לדף עם כפתור להורדת קובץ הפעלה (EXE), שמתקין את תוכנת ה-RMM ומחבר את המחשב המותקף לשרת נשלט על ידי התוקפים.

למרות שהתוכנה עצמה היא כלי לגיטימי לניהול מרחוק, השימוש בה למטרות תקיפה נחשב לפעולה בלתי חוקית. לאחר התקנתה, התוקפים יכולים לקבל שליטה מלאה על המחשב, לגשת לקבצים, לצפות במסכים, ולהשתמש במכשיר לניצול נוסף.

הנחיות להתמודדות עם האיום

מערך הסייבר הלאומי ממליץ לנטר את כל מערכות האבטחה הארגוניות אחר הסימנים הכלולים בהתרעה, ולדווח למערך במקרה של גילוי פעילות חשודה או זיהוי אחד מהסימנים. כמו כן, חשוב להימנע מהורדת קבצים ממקורות לא מוכרים ולהיזהר מהודעות המאיימות על המשתמשים במעצר או בהליכים משפטיים.

אם קיבלתם מייל מקמפיין הדיוג

כל עוד פתחתם אותו, לא קרה כלום. גם אם הורדתם את הקובץ המצורף לא קרה כלום. אם הפעלתם את הקובץ המצורף שחזרו את המחשב מגיבוי והקפידו לגבות את כל התוכן שנמצא עליו.