האקרים פרצו לאפליקציות בנקאיות ובתוך ימים גנבו עשרות מיליוני דולרים

האקרים עשו שימוש בתוכנות שהתחזו לאלפי טלפונים סלולריים, פרצו לאפליקציות בנקאיות וגנבו עשרות מיליוני דולרים – בתוך ימים. חוקרי יבמ, ממחלקת IBM Trusteer, הם שחשפו את מבצע ההונאה הענק.

לדברי חוקרי האבטחה של הענק הכחול, מתקפות אלו בוצעו על ידי צוות מקצועי ומאורגן, אשר השתמש בתשתית מתוחכמת, שכללה תוכנה המדמה אלפי מכשירים טלפון סלולרי שניגשו לאלפי חשבונות בנק – בעת ובעונה אחת. בכל תקיפה, התוכנה ניצלה מידע אמיתי של בעלי המכשירים או בעלי החשבונות. המידע הזה, שכלל בין היתר שם משתמש וסיסמת הקורבן, הושג קודם לכן באמצעות הדבקה של המכשירים הפיזיים בנוזקות לאיסוף מידע, או באמצעות קמפיין פישינג שהשיג את המידע מהמשתמשים.

התוקפים עשו שימוש בכלי אוטומציה מתקדמים ואפילו פיתחו סקריפטים משלהם, בין היתר כדי לנטר את פעילות מיזם ההונאה הענק ולוודא שהכל מתנהל כנדרש – או אם דרוש שינוי כדי לעקוף מכשולי אבטחה מצד הבנקים. התוקפים אפילו הקפידו למשוך בכל פעם סכומים מוגבלים, שלא יעוררו חשד במערך האבטחה של הבנקים, אך הקפידו לבצע מספר רב של משיכות עד ריקון החשבונות.

"מעולם לא נראה קנה מידה כזה של פעולה באמצעות הסלולר"

לדברי לימור קסם, אנליסטית בכירה לסייבר בחטיבת האבטחה של יבמ, "מעולם לא נראה קנה מידה כזה של פעולה באמצעות מכשירי סלולר. בחלק מהמקרים התוקפים השתמשו ביותר מ-20 תוכנות (emulators) וזייפו יותר מ-16 אלף מכשירים או חשבונות שנפגעו. התוקפים ניגשו שוב ושוב לאותם חשבונות והצליחו לגנוב את הכסף באמצעות האפליקציות הרלוונטיות, שאותן בחרו בקפידה לאחר שמצאו שרמת האבטחה שלהם ניתנת לפריצה. לאחר כל 'מכה' – התוקפים סגרו את התוכנות, מחקו והעלימו את כל העקבות, ואז הקימו את המערך מחדש מול קורבן חדש – בנק אחר".

לימור קסם, יועצת בכירה בתחום האבטחה ביבמ. צילום: יח"צ

תוכנות ההדמיה בהן נעשה שימוש הן תוכנות לגיטימיות, זמינות בשוק ומשמשות מפתחים לביצוע בדיקות, בין היתר בדיקות עומסים של אפליקציות סלולריות. הן יכולות לחקות את המאפיינים של מגוון מכשירים ניידים, בלא צורך ברכישתם. התוקפים השתמשו לרוב באמצעי זיהוי של מכשירים קיימים – למשל מותג, גרסת מערכת ההפעלה ועוד. במקרים מסוימים הם יצרו מכשיר אקראי, שייראה כאילו לקוח משתמש במכשיר חדש כדי לגשת לחשבונו. בשלב הבא, האוטומציה התאימה את המכשיר לשם המשתמש והסיסמה של בעל החשבון – לגישה לחשבון הבנק שלו.

התחכום הרב של התוקפים כלל כמה ממדים: התגברות על רובד האבטחה של אימות דו-שלבי; הגדרה מוקפדת של כל תוכנת הדמייה, כך שייראו בדיוק כמו מכשיר ממשי; זיוף של מיקום ה-GPS; כל פעם שהם השתמשו במכשיר לגניבת כסף, המכשיר "מוחזר" והוחלף במכשיר אחר, שלא היה בשימוש מול אותו בנק – כדי למנוע מצב בו הבנק מזהה אותו כחשוד וחוסם אותו; התוקפים האזינו ויירטו את התקשורת עם שרתי האפליקציות הבנקאיות במהלך ההונאה, וכך עקבו מקרוב אחר תגובת האפליקציה לנסיונות החיבור מהמכשירים המדומים. הם גם יכלו לשנות טקטיקות בזמן אמת ולקבל סימני אזהרה למקרה שמשהו משתבש. כשזה קרה, הם עצרו את כל המהלך, העלימו עקבות ונעלמו.

לדברי קסם, "החוקרים גילו שהתוקפים התכוננו למהלך היטב ואפילו הקימו לעצמם סביבת אימונים כדי לשכלל ולשפר את התפעול של ההונאה. כדי להבטיח שמסגרת האמולציה והאוטומציה עובדת כמצופה, הם יצרו יישומים נוספים, המותאמים אישית, כדי לחקות את האפליקציה הבנקאית שרצו להונות. כך הם הצליחו לבדוק ולכוונן את הסקריפטים השונים והפעולות האוטומטית, שיעבדו תוך התערבות אנושית מינימלית. רק לאחר ששכללו את התפעול של המהלך כולו, הם פנו לתקוף את האפליקציות והבנקים האמיתיים".

חוקרי האבטחה של הענק הכחול מעריכים, לפי רמת התחכום של ההונאה, סכומי הכסף שנגנבו והיכולות הטכנית הגבוהות – שמאחורי המהלך עומדת קבוצה מאורגנת, עם גישה למפתחים מיומנים של נוזקות לסלולר, שבקיאים בהונאה ובהלבנת הון. כישורים אלה אופייניים לקבוצות תקיפה מתחומי הנוזקה בשולחן העבודה, כגון אלה המפעילים את TrickBot, או את החבורה המכונה Evil Corp.