לקוחות דלתא על הכוונת של ZEUS

קיבלתם מייל מחברת התעופה האמריקאית דלתא בו אתם מתבקשים לאשר את רכישת כרטיס הטיסה שרכשתם כביכול באמצעות כרטיס האשראי? יתכן מאוד כי מדובר במתקפת סייבר אשר נועדה לפתות אתכם כדי להחדיר למחשב נוזקה (malware) זדונית.

מומחי חברת אבטחת המידע ADACOM, אשר זיהו את הנוזקה הקטלנית באמצעות מערכת Deep Discovery של טרנד מיקרו, מסרו כי הנוזקה, המכונה ZEUS, מוכרת כבר מספר שנים ומטרתה להשתלט מאתר מרוחק על מחשב הקורבן ולגנוב ממנו מידע יקר מבלי ידיעתו.

דפוס הפעולה הוא למעשה מתקפת פישינג מכוון (spear phishing) המאופיינת ברמת תחכום גבוהה יחסית אשר מותאמת לפרופיל הנמען כדי לפתות אותו להפעיל את הנוזקה. מדובר במייל תמים למראה הנשלח כביכול על ידי חברת התעופה דלתא – כאשר שורת הנושא של המייל נושאת את מספר ההזמנה והאישור ובמייל עצמו נרשם כי "הזמנתך באמצעות כרטיס האשראי בוצעה" ואת פרטי הטיסה ועלות הכרטיס. הנמען מתבקש ללחוץ על הלינק המצורף במייל כדי להדפיס את כרטיס הטיסה האלקטרוני (תמונת מסך מצורפת).

אלון כפרי, מנהל טכני בחברת ADACOM, ציין כי נראה שמקור הנוזקה הוא ברוסיה מאחר ובקוד הנוזקה מופיעים תווים בשפה הרוסית לאחר שהתקפות בתצורה דומה בוצעו מאלג'יריה. עוד הוסיף כי גם דפוס הפעולה של ZEUS הוא שונה במקרה הנוכחי. לאחרונה, פושעי הסייבר נהגו לשלוח הצעות מזויפות להורדת שומר מסך למחשב אשר גורמת למעשה להפעלת הנוזקה. "ה – Deep Discovery הצליחה לזהות התנהגות חשודה של malicious code במהירות ולאתר את מקורה תוך מתן מענה הגנתי מלא למשתמש".

יש לציין כי טרנד מיקרו הציגה לאחרונה מחקר חדש ממנו עולה כי 91% מכלל מתקפות הפישינג המכוון (spear phishing) מבוצעות באמצעות הדואר האלקטרוני. הפישינג הממוקד הוא סוג חדש של הונאת רשת מתוחכמת אלא שהפעם נעשה שימוש באיסוף מידע ספציפי ו"אישי" על עובד בארגון היעד על מנת לפגוע בו. הדואר האלקטרוני, המכיל פישינג מכוון, יכול להגיע אל הקורבן תוך שימוש בשמו, תפקידו או דרגתו בארגון במקום להשתמש בפנייה כללית כפי שהיה מקובל עד כה בהתקפות פישינג שאופיינו בשליחת כמות גבוהה של מיילים מתוך שאיפה לפגוע במספר רב ככל האפשר של משתמשים.