בימים האחרונים הושק מתקפת פישינג מעוצבת בצורה יוצאת דופן נגד מחזיקי כרטיס אמריקן אקספרס. נראה כי ההונאה היא גרסה משופרת של קמפיין פישינג קודם שנראה לראשונה בחודש מרץ האחרון, ומתחזה כל כך טוב לאמריקן אקספרס, ועם מסרים ערמומיים כל כך, עד שהיא עשויה להצליח לפתור אנשים רבים שבדרך כלל עלולים לזהות ולהימנע מהתקפות דיוג אחרות.
שווי נטו של טרי האצ'ר 2015
בהונאה החדשה, משתמשים ממוקדים מקבלים הודעת דוא'ל שלכאורה אמריקן אקספרס (בגרסה אחת לפחות כתובת החזרה נראית מכוונת כ- AmericanExpress@welcome.aexp.com) המייעץ למקבל להגן על עצמו מפני הונאות והתחזות על ידי הקמת 'מפתח כספת אישי של אמריקן אקספרס' (PSK) לשיפור אבטחת חשבונותיהם. הדוא'ל כתוב היטב ומעוצב כמו דוא'ל אמריקן אקספרס; בניגוד לחלק מהגרסאות הקודמות, הוא אינו מכיל קישורים שגויים (כלומר קישורים אשר תיאור הטקסט שלהם מכיל קוד קישור שאינו תואם את הקישור בפועל).
הדוא'ל מכיל קישור בתחתית 'Create a PSK' - ומשתמשים הלוחצים על הקישור מופנים לדף כניסה אמריקן אקספרס מזויף באתר בכתובת http://amexcloudcervice.com/login/ ( קשה להבחין בשגיאת האיות - נכון?). אמנם היעדר HTTPS אמור גם להזהיר אנשים מסוימים לגבי הסבירות שמשהו לא בסדר, וכל דפדפן שצובע סרגלי כתובות אתרים בהתבסס על שימוש בהצפנה, מן הסתם לא יעשה זאת במקרה זה, כפי שדנתי במאמר שכתב יחד עם שירה. לפני רובינוב, לפני עשור, אנשים רבים מתמקדים לחלוטין בתוכן של חלונות הדפדפן ולא שמים לב לרמזים הביטחוניים בתשתית הדפדפן.
לאחר מסירת פרטי הכניסה לדף אמריקן אקספרס המזויף - וללא קשר למידע הכניסה נכון - מוצגים בפני המשתמשים דפים אמיתיים עבורם להזנת מספרי כרטיסים, תאריכי תפוגת כרטיס, קוד CVV בן ארבע ספרות, שלהם מספרי ביטוח לאומי, תאריכי לידה, שמות עלמות אמהות, תאריך לידה של אמהות, תאריך לידה וכתובות דוא'ל. כל הבקשות למידע מופיעות בממשק שמחקה את זו של אתר אמריקן אקספרס הלגיטימי, עם פגמים קלים בלבד שקשה להבחין בהם. כמובן שמישהו עשוי להבין שאין שום סיבה שאמריקן אקספרס יבקש חלק מהמידע הזה - המשרד יודע כמובן את מספרי הכרטיסים שלך ברגע שאתה מתחבר - אך אנשים רבים הוכשרו בפועל על ידי חברות כרטיסי האשראי לענות על כך. שאלות, לאחר שהתבקש להקליד או לדקלם את מספריהם ולענות על כל מיני שאלות אבטחה בעת התקשרות טלפונית לספקים.
היו כמובן מיילים מתחזקים אחרים המכוונים ללקוחות אמריקן אקספרס (כפי שהיו נגד בעלי כרטיסי אשראי אחרים), וכאמור, אפילו כאלה המנצלים את טכנולוגיית האבטחה SafeKey שמציעה אמריקן אקספרס לתחבולות נוספות. (שמת לב שכתובת הדוא'ל של התחזות הפרידה באופן שגוי בין SafeKey לשתי מילים?)
למרות מספר שגיאות שאנשי מקצוע בתחום אבטחת המידע עשויים לגלות בוהקים (שמתם לב לסמל © החסר בתחתית?), נראה שההתקפה הנוכחית מעוצבת היטב, ולכן, סביר להניח שרבים יערים על לקוחות אמריקן אקספרס, שרובם ברור שלא מתמודדים עם התקפות פישינג כחלק מעבודתם.
כמו כן, יש לציין כי כיבוי של פישינג הוא קשה - אלא אם כן המבצעים עצמם נתפסים, גם אם מורידים מערכות דיוג, לפושעים פשוט להפעיל מחדש התקפות באמצעות שרתים חדשים. וזה לא כל כך קשה עבור עבריינים אחרים להעתיק את ממשק הדיוג, להוסיף קצת קוד ולהפעיל התקפות משלהם גם משרתים אחרים.
אז איך עליכם להגן על עצמכם?
כמה גבוה מארק גומז
הנה כמה הצעות:
השורה התחתונה: פושעים משתפרים ללא הרף ביצירת דוא'ל פישינג
- אז תהיה מוכן.
