С 7 октября 2023 года зарегистрирован значительный рост фишинговых атак на израильские компании, организованных иранскими кибершпионами. И когда говорят о возможной иранской атаке на Израиль, то это предположение неактуально. Атаки ведутся беспрерывно и являются частью более широкой кибервойны, направленной на Израиль и его союзников, и включают в себя не только фишинг, но и другие формы кибертерроризма.
Масштаб и методы
Как пояснили специалисты, атаки включают рассылку фальшивых электронных писем, якобы от имени Армии обороны Израиля (ЦАХАЛ), с призывом скачать документ с инструкциями по безопасности. При переходе по ссылке пользователи загружали приложение для удаленного управления, что позволяло злоумышленникам получить полный контроль над устройством и потенциально заразить другие устройства в сети компании.
Использовались сложные методы обхода защиты, такие как размещение вредоносного приложения на легитимном хостинг-сервисе и цифровая подпись от легитимного IT-вендора.
Цели и последствия
Цели атак включают вымогательство, дискредитацию израильских компаний, компрометацию критической инфраструктуры, уничтожение данных и даже физический вред.
Некоторые атаки были направлены на крупные израильские инфраструктурные компании, однако благодаря системам защиты, таким как Perception Point, большинство атак было заблокировано до того, как они достигли пользователей.
Идентификация и подозреваемые
По мнению экспертов, атаки, скорее всего, были организованы иранской кибершпионской группой MuddyWater, связанной с Министерством разведки и безопасности Ирана (MOIS).
Эта группа ранее уже проводила атаки на частные организации по всему Ближнему Востоку и использовала аналогичные методы.
Рекомендации по защите
Внимательно проверяйте домены отправителей и ссылки в электронных письмах. Например, фальшивое письмо от ЦАХАЛа пришло с адреса IDFAlert@miraclecenter.org, что явно не является официальным доменом ЦАХАЛа.
Избегайте открытия ссылок из неизвестных источников.
Не открывайте документы или сайты из подозрительных источников и никогда не вводите пароли или одноразовые коды на сомнительных сайтах.
Проверка информации напрямую у отправителя:
Если в письме просят позвонить по номеру или посетить сайт, указанный в ссылке, самостоятельно проверьте контактную информацию на официальном сайте организации.
Сообщение о подозрительных письмах:
Сообщайте о подозрительных письмах своему администратору безопасности или IT-администратору. Используйте встроенные инструменты для сообщения о фишинге в стандартных почтовых клиентах, таких как Gmail и Outlook.
Иранские кибератаки на израильские компании продолжаются и становятся все более изощренными. В условиях текущего конфликта важно быть особенно внимательными к входящим сообщениям и следовать рекомендациям по защите от фишинговых атак.