שיחת Zoom מזויפת מנוצלת להשתלטות על מערכות של משתמשי קריפטו
הזמנה לראיון פיקטיבי, שיחת Zoom שגרתית, ולחיצה אחת שמובילה להשתלטות מלאה על המחשב שלכם
פגישת וידאו. תמונה: Alexandra_Koch, Pixabay
הקמפיין מתחיל בנימוס. הודעה פרטית ברשת X (טוויטר לשעבר) או מייל שמגיע מכתובת שנראית כאילו שייכת ל-Bloomberg, עם הצעה לראיון קצר בנושאי קריפטו. המציגים מתחזים לעיתונאים, הקישורים נראים לגיטימיים, וההזמנה עצמה עוברת דרך Calendly ו־Zoom. כל שלב מרגיש מוכר, רגיל, אמין. אז למה שתחשוד במשהו?
אבל מאחורי החזות הלגיטימית פועל קמפיין הונאה רב-שלבי ומתוחכם של קבוצת Elusive Comet, שמנצלת את כל הסימנים המוכרים של שיחה מקצועית כדי לייצר לעצמה פתח לתוך המערכת שלכם. השיחה מתנהלת כרגיל, ואז נשלחת בקשה לשיתוף מסך, כולל בקשת שליטה מרחוק. משהו שכבר עשיתם ככל הנראה לפחות פעם אחת.
הרמז היחיד לכך שאתם הולכים ליפול קורבן הוא קטן, שולי, לא משהו חשוב: רק השם משתמש שמבקש שליטה שונה ל־Zoom. התוצאה: על המסך מופיעה הודעה שנראית כמו בקשה רגילה מצד האפליקציה. ברגע שהבקשה מאושרת, התוקפים מקבלים שליטה מלאה על המחשב. הם לא צריכים לנצל חולשת אבטחה או כל דבר אחר. כל מה שצריך זה אישור אחד שניתן בטעות ומשם הדרך פתוחה: גישה לקבצים, גניבת מידע, התקנת כלים, או החדרה שקטה של דלת אחורית שתאפשר חזרה בשלב מאוחר יותר.
כמו בפריצת Bybit
הסיבה שזה עובד כל כך טוב, היא שהכול נראה שגרתי. שום דבר לא מרגיש כמו מתקפה. המשתמשים רגילים לראות הודעות כאלה, לוחצים, ממשיכים. Trail of Bits, החברה שחשפה את המתקפה, אומרת שהמסוכנות כאן היא בדיוק בזה, לא מדובר בפריצה, אלא בהטעיה שמנצלת את ההתנהגות הרגילה של המשתמש. לפי הודעת החברה, "Elusive Comet משתמשת בטכניקה דומה לזו שנראתה בפריצת Bybit בחודש פברואר, אז נשדדו 1.5 מיליארד דולרים במטבעות קריפטוגרפיים. אגב, את ההונאה גילו Trail of Bits לגמרי במקרה, כאשר Elusive Comet פנו ישירות למנכ"ל החברה והציעו לו להתראיין ב-Zoom.
