דוח האיומים של חברת אבטחת המידע ESETלמחצית הראשונה של 2024, מציג עלייה משמעותית במספר הזיהויים של נוזקות לגניבת מידע. כיום, הנוזקות האלה לא מוטמעות רק במשחקים ובכלי פריצה פיראטיים ל-Windows, אלא גם מתחזות לכלי בינה מלאכותית פופולריים והן כבר לא מוגבלות למערכת ההפעלה Windows בלבד. משפחת הנוזקות לגניבת מידע GoldDigger פועלת על מערכת ההפעלה Android, וקמפיין הנוזקה ארוך-הטווח Ebury ממשיך, במשך יותר מעשור, לגנוב נתונים כמו כרטיסי אשראי, מטבעות דיגיטליים, ופרטי גישה ל-SSH על גבי מערכות הפעלה דמויות UNIX.
צפייה בכמות הזיהויים של נוזקות לגניבת מידע במשך תקופה של שנתיים, מאוגוסט 2022 ועד אוגוסט 2024, מראה שהן המשיכו להיות פעילות במהלך התקופה הזאת, אף על פי שזוהו ירידות משמעותיות בפעילותן בדצמבר ובינואר של כל אחת מהשנים.
זיהויי נוזקות לגניבת מידע, אוגוסט 2022-אוגוסט 2024
אנחנו לא בטוחים בנוגע לסיבה המדויקת לירידות האלה, אך מעריכים שזה עשוי לנבוע מהפחתת השימוש במחשב מצד הקורבנות או מכך שהתוקפים יצאו לחופשת חג – תופעה שהפכה לנפוצה למדי בעקבות המעבר של פושעי הסייבר מעבודה עצמאית לעבודה בארגון פשיעה מסודר, שדומה במידת מה לעסק לגיטימי.
ESET מזהה משפחות רבות של נוזקות לגניבת מידע, אך עשר הנוזקות המובילות אחראיות רק ל-56% משיעור הזיהויים שבוצעו ע״י ESET, כך שבצמרת עומדת נוזקת Agent Tesla עם 16.2 אחוזים.
עשר נוזקות גניבת המידע המובילות, אוגוסט 2022-2024
חשוב לזכור שבזמן שמרבית הזיהויים האלה הם זיהויים של נוזקות מבוססות Windows, קיימות גם נוזקות מבוססות-דפדפן לגניבת מידע. אמנם נתקלים בהן פחות מנוזקות מבוססות Windows, אך ייתכן שהן הצליחו לגנוב מידע מאנשים שלא משתמשים בתוכנות של ESET, כך שייתכן שההשפעה שלהן גדולה מזו שאנחנו מעריכים.
בהתחשב בכך שכל הסטטיסטיקות האלה מגיעות מנתוני הטלמטריה של ESET, ייתכן שהנתונים של חברות אבטחה אחרות יראו תוצאות שונות, כאשר השוני יכול לנבוע מסיווג שונה של איומים, בסיסי לקוחות שונים עם פרופילי סיכון שונים, שימוש במוצרי האבטחה בזמנים שונים ועוד.
גניבת מידע להנאה, אך בעיקר לגריפת רווח
מהי בדיוק נוזקה לגניבת מידע, ומה קורה אחרי הרצה של נוזקה כזו?
בהתאם לשמן, נוזקות מהסוג הזה מנסות לגנוב מידע שמאוחסן במחשב שלכם ונחשב למידע בעל ערך מצד מפעיל הנוזקה. המידע הזה לא כולל רק שמות משתמש וסיסמאות לאתרי אינטרנט, אלא גם לתוכנות שמותקנות על המחשב עצמו. ניתן לגנוב חשבונות למשחקי וידאו ולהוציא מהם פריטים בעלי ערך, להשתמש בהם לביצוע רכישות או למכור אותם בשלמותם. תכני סטרימינג עשויים להימכר מחדש, וכך גם חשבונות דוא״ל וחשבונות ברשתות חברתיות. כסוג של ״בונוס״, ניתן להשתמש בחשבונות הרשתות החברתיות כדי לגרום לחבריכם להוריד ולהפעיל את נוזקת גניבת המידע, מה שיהפוך גם אותם לקורבנות שעשויים להפיץ את הנוזקה לאחרים, במעגל קסמים שלא מפסיק להסתובב לעולם. לא רק שמות משתמש וסיסמאות נגנבים כאשר גם ארנקי מטבעות דיגיטליים הם בעלי ערך רב.
עסקי גניבת המידע
נוזקות לגניבת מידע הן סוג נוזקה שלרוב נמכר במתכונת שירות, ולכן הפעולות שיבוצעו על המחשב עשויות להיות שונות בין מקרה אחד למשנהו, כשההבדל ינבע בעיקר מסוג המידע אותו הפושע מנסה לאתר ולגנוב. במרבית המקרים, הנוזקות האלה מסירות את עצמן לאחר שסיימו לגנוב את המידע הרלוונטי, כך שיהיה קשה יותר להבין מה קרה ומתי. אם הקורבן המום כתוצאה מהפלישה לפרטיותו, ובעקבות כך מגיב לאותה פלישה באיחור מסוים, לפושעי הסייבר נשאר זמן רב יותר להשתמש במידע שגנבו מהמחשב.
מכיוון שנוזקות לגניבת מידע מוצעות בעיקר במודל של ״נוזקה במתכונת שירות״, סביר להניח שהן שימשו גם להתקנת נוזקות נוספות במערכת שיאפשרו את המשך הגישה אליה, אם הפושעים ירצו לחזור לאותו המחשב בעתיד ולראות אם יש מידע חדש שאפשר לגנוב ממנו.
התאוששות ממתקפת גניבת מידע
כל עוד אין צורך לשמור את כונני המחשב כראיה, הדבר הראשון שצריך לעשות הוא למחוק את תוכנו של הכונן ולהתקין את מערכת ההפעלה מחדש. זאת מתוך הנחה שהמחשב עובר גיבוי באופן קבוע, כך שמחיקת תוכן הכוננים ואובדן כל המידע שמאוחסן בהם לא מהווה בעיה גדולה, מכיוון שהוא כבר מאוחסן במקום אחר.
אם זה לא המקרה, ויש מידע חשוב ומשמעותי שמאוחסן על המחשב, ניתן להסיר את הכונן מהמחשב, להחליף אותו בכונן נקי ולהתקין את מערכת ההפעלה מחדש בכונן הנקי.
לאחר מחיקת תוכן המחשב, התקנה מחדש של Windows, התקנת תוכנת אבטחה ועדכון כלל התוכנות, ניתן לגשת לדפדפן המחשב ולשנות סיסמאות בכל החשבונות שאליהם התחברתם מהמחשב הזה.
את כל אחת מהסיסמאות יש להחליף בסיסמה מורכבת אחרת ושונה לכל שירות. כך, אם אחת מהסיסמאות תאבד (או שיצליחו לנחש אותה), התוקף לא יצליח לנחש את יתר הסיסמאות.
הפעלת אימות דו-שלבי (שלפעמים נקרא גם בשם אימות רב-שלבי) בכל החשבונות שתומכים באפשרות כזאת יהפוך את פריצת החשבון בעתיד לקשה יותר, גם אם הם יודעים את הסיסמאות לחשבונות.
ישנן עוד שתי פעולות שמומלץ לבצע לאחר מתקפת גניבת מידע, ומתפספסות בדרך כלל – דיווח למשטרה, והתראה למוסדות הפיננסיים מולם אתם פועלים. אם רשויות אכיפת החוק יידעו שהתבצע פשע כלפיכם, זה עשוי לסייע בשחזור של חשבונות שנגנבו. אם נגנבו כספים, פנייה למוסדות הפיננסיים הרלוונטיים יחד עם דוח משטרתי תגביר את הסיכוי לכך שהכסף שנגנב יוחזר לכם.
איך מתגוננים?
כי התמודדות עם ההשלכות של מתקפת גניבת מידע היא תהליך ארוך וכואב שיכול להימשך ימים ארוכים, שבועות, או אפילו חודשים. אמנם הצגנו את העקרונות הבסיסיים שנדרשים כדי להתחיל בתהליך ההתאוששות ממתקפה כזו, אך נוזקות לגניבת מידע אינן השיטה היחידה, או הנפוצה ביותר, שמשמשת לגניבת חשבונות מקוונים. המנעולים והמפתחות לזהויות המקוונות שלנו הם שמות המשתמש (שהם כתובת הדוא״ל במרבית המקרים) והסיסמאות, והדלפות נתונים שכוללות את הפרטים האלה הופכות לפופולריות יותר ויותר.
הגנה מפני גניבת זהות יכולה לסייע בצמצום חלק מהצדדים המזיקים ביותר של פגיעה כזאת, אך כמו פוליסת ביטוח (או גיבוי לנתוני המחשב), זה משהו שרבים לא חושבים עליו כלל עד להתרחשות של אירוע שלילי כלשהו.
אחד מהמקורות היעילים ביותר שבאמצעותם ניתן לגלות אם כתובת הדוא״ל שלכם הייתה חלק מהדלפת נתונים כלשהי הוא האתר Have I Been Pwned, שמקבל עדכונים שוטפים על הדלפות נתונים שהתרחשו בכל רחבי העולם, ויודיע לכם אם כתובת הדוא״ל שלכם נמצאה באחד מהם. זה לא בהכרח אומר שחשבון הדוא״ל שלכם נמצא בסכנה כלשהי, אלא רק שיש לכם חשבון בשירות שממנו בוצעה הדלפה. השירות הוא חינמי ללקוחות פרטיים.
דליפות מידע הן תוצאה של בעיות אבטחה אצל גורמים חיצוניים, ולכן די קשה להימנע מהן. אך מהצד השני, הנזקים של נוזקות גניבת מידע הן תוצאה של התנהגות מסוכנת במרבית המקרים.
הנה כמה צעדים שתוכלו לבצע כדי לצמצם את ההשפעה של מתקפות כאלה וכדי להתאושש מהן במהירות רבה יותר, אם יתרחשו:
• השתמשו בסיסמאות ארוכות, ובחרו בסיסמאות שונות באפליקציות ובאתרים שונים. מנהל סיסמאות יכול להפוך את התהליך
המורכב הזה להרבה יותר פשוט.
• הפעילו אימות דו-שלבי בכל השירותים בהם קיימת אפשרות כזאת. מפתחות פיזיים ואפליקציות לטלפון הם הרבה יותר בטוחים
מהתראות בדוא״ל או ב-SMS, שכן ייתכן שלתוקף יש גישה לתיבת הדוא״ל או לטלפון.
• שירותים מסוימים מאפשרים לכם לראות את כל המכשירים שמחוברים לחשבון שלכם. בדקו את הרשימה הזאת באופן קבוע
ונתקו מכשירים שאתם לא מזהים, או שלא היו פעילים במשך זמן מה.
• השתמשו בשירות לניטור הדלפות נתונים או שירות להגנה מפני גניבת זהות, שיתריע לכם על חשבונות שנפרצו.
• אל תשתמשו בתוכנות פיראטיות ובכלי פריצה, גם אם הם נראים אמינים מאוד. קל מאוד לגרום לתוכנות האלה להיראות כאילו
הן בטוחות ואמינות, אך בפועל הפושעים שעומדים מאחוריהן גנבו חשבונות שבאמצעותן נתנו לתוכנה דירוגים גבוהים.
• הקפידו לעדכן את מערכת ההפעלה ויתר התוכנות לגרסתם העדכנית ביותר.
• השתמשו בתוכנת אבטחה עדכנית שמגיעה מספק אמין וידוע.
• המשיכו להתעדכן בחדשות האחרונות ולחזק את המודעות בנוגע למגמות באבטחת סייבר באמצעות בלוג אבטחת המידע
המועדף עליכם.
אם תעקבו אחר הצעדים האלה, תוכלו לצמצם משמעותית את הסיכון לפגיעה מנוזקות גניבת מידע, או להתאושש ממתקפה כזאת במהירות רבה יותר אם תתרחש.