שרשור מעניין מאוד ב-X (לשעבר טוויטר), מציג מתקפת פישינג מתוחכמת בניסיון לגנוב את ה-Apple ID של איש טכנולוגיה, שכותב תחת המשתמש Parth ברשת החברתית. לדבריו, קולגות נוספים שלו הותקפו, במה שנראה כמו מאמץ מתוכנן נגד קבוצה ספציפית של אנשים, אם כי המניע לא ברור.
התוקפים השתמשו במידע גלוי מהרשת (OSINT), מחברות כמו People Data Labs, שעוסקת באיתור ואספקת מידע על אנשים לעסקים, כדי למצוא את הפרטים של Parth וחבריו. בנוסף, הם השתמשו ב-spoofing של Caller ID.
המתקפה החלה כאשר Parth קיבל למעלה מ-100 נוטיפיקציות במכשיר האייפון שלו. ההודעה של הנוטיפיקציות היתה קשורה לאיפוס סיסמא – Use this iPhone to reset your Apple ID password. מכיוון שמדובר בהודעות מערכת של אפל, הן מפריעות לשימוש הרגיל במכשיר וחוסמות את המסך. כדי להתמודד עם הבעיה, פארת' השתיק את הנוטיפיקציות בטלפון. אגב, שימוש בשיטת העמסה של התראות, שמטרתה להתיש את המשתמש ולגרום לו לחשוב שישנה תקלת מערכת, שימשה גם במתקפה על חברת אובר.
כרבע שעה לאחר מכן, הוא קיבל שיחת טלפון ממה שנראה כמו שירות הלקוחות של אפל. הוא חיפש בגוגל את המספר ועל פניו היה נראה שמדובר בשירות הלקוחות של אפל. משתמש אחר, פחות מיומן, היה עלול ליפול כאן. אבל זה היה הרבה יותר גרוע, מכיוון שהתוקפים החזיקו במידע רב על פארת'. בגלל החשד שמישהו מנסה לגנוב את האפל איידי שלו, הוא ניסה להבין עם מי הוא מדבר, ולאמת שאכן מדובר בחברה עצמה. לדבריו, היה להם המון מידע עליו – תאריך לידה, מייל, מספר טלפון ואפילו כתובת נוכחית וכתובת קודמת. הדבר היחידי שהם לא דייקו בו, למרבית האירוניה, זה השם שלו. ככל הנראה, במידע שמצאו התוקפים ב-People Data Labs או בשירותים דומים, חלה טעות. כלומר, כל המידע על האיש היה נכון – אבל השם היה שגוי, ושייך בכלל למורה בבית ספר יסודי.
התוקפים ביקשו מפארת' סיסמא חד פעמית (OTP) שנשלחה לו ב-SMS. אם הוא היה נותן להם את הקוד שקיבל בהודעה, הם היו משתלטים לו על החשבון. לדבריו, קולגות שלו הותקפו באותה צורה – אולם אף אחד מהם לא נפל במלכודת, והוא שיתף את המידע בשרשור כדי להזהיר אנשים וללמד אותם איך להימנע מלאבד נכסים דיגיטליים.
אם התוקפים היו מצליחים במשימתם, הם היו משתלטים על הזהות הדיגיטלית שלו, וגונבים לו מידע מהאימייל, משירותי הענן ומכל מיני אפליקציות שאליהן נרשם עם הכתובת הזו, ואולי אף מחשבון הבנק או שירותים פיננסיים אחרים. ייתכן שהיה מתקשה מאוד לשחזר את הגישה למייל. לא מדובר במטרד שולי, אלא בבעיה רצינית מאוד – רובנו תלויים בצורה משמעותית בגישה שלנו לכתובת מייל מסוימת, וזו גניבת זהות לכל דבר ועיקר.
מההתנהלות של פארת' אפשר להבין איך להתנהל במקרה של מתקפה או חשד למתקפת פישינג:
- היו חשדניים תמיד, גם אם המסרים או השיחות מגיעים מטלפון מוכר. היכולת לזייף מספר טלפון קיימת ונגישה בכל מקום בעולם, כולל בישראל. התוקפים יכולים בהחלט לשלוח לכם הודעות שנראות כאילו הן מגיעות ממקור "לגיטימי" כמו חברת האשראי או הסלולר.
- אם אתם מקבלים הודעה לשחזור סיסמא שלא יזמתם, אל תקליקו על קישורים בהודעה. ליתר ביטחון, אתם יכולים להחליף את הסיסמא, אם כי לרוב אין בכך צורך. בנוסף, אפשר לגשת להגדרות של האפליקציה (למשל, פייסבוק) ולבקש לנתק את כל החיבורים הפעילים באותו רגע, ואז להתחבר מחדש לחשבון. כך תוודאו שאף אחד לא מחובר לחשבון שלכם ומנסה לשחק עם ההגדרות.
- לעולם אל תמסרו את הקוד שאתם מקבלים ב-SMS לאנשים בשיחה או בהודעה. מוקד שירות לקוחות אותנטי לא יבקש ממכם את הקוד או הסיסמא החד פעמית. זה תמיד חלק מתהליך של הונאה – נציין כי יש חריג אחד לסיטואציה הזאת, כאשר אתם התקשרתם מיוזמתכם, למוקד טלפוני של חברה, למספר הטלפון שמצאתם באתר החברה הרשמי, אליו הגעתם דרך חיפוש בגוגל – בסיטואציה כזאת, על מנת לוודא את זהותכם, הנציגים עשויים לבקש למסור להם קוד אימות שכזה, על פי רוב הקוד ישלח עם טקסט המעיד על כך שהוא נשלח לצורך אימות זהותכם בשיחה עם נציג חברת _______.
- ודאו שיש לכם אימות דו שלבי על המייל וכל אפליקציה חשובה. אפשר להפעיל אימות דו שלבי שכולל קבלת הודעה בטלפון, או להשתמש באפליקציות אימות שמייצרות סיסמאות חד פעמיות.
