זה נשמע ידידותי, מוכר ולא מזיק, אבל בהונאת סייבר חדשה מה שנראה כהזמנה למסיבה מוביל להתקנה שקטה של ScreenConnect במחשבי Windows של הקורבנות – כלי תמיכה מרחוק לגיטימי המותקן בשקט ברקע, מנוצל לרעה על ידי פושעי סייבר ומעניק להם שליטה מלאה על מערכת המחשוב. כך פועלת התרמית, מדוע היא יעילה וכיצד תגנו על עצמכם.
קורבנות מקבלים אימייל כהזמנה אישית – לעתים קרובות נכתב כך שייראה כאילו הגיע מחבר או מכר. ההודעה היא במכוון לא פורמלית וחברתית, מה שמפחית חשד ומעודד פעולה מהירה. עד כה כוונה מתקפת הסייבר הזו רק לאנשים בבריטניה, אך אין שום דבר המונע ממנה להתרחב למקומות אחרים. לחיצה על הקישור באימייל מובילה לדף הזמנה מלוטש המתארח בדומיין הנשלט על ידי פושעי הסייבר. דף הנחיתה נוטה במידה רבה לנושא המסיבה, אך במקום להציג פרטי אירוע, דוחק הדף בקורבן לפתיחת קובץ. לא הדף ולא הקובץ נראים מסוכנים, אך יחד הם שומרים על המשתמש ממוקד בקובץ ההזמנה המזויף:
- כותרת מודגשת "אתה מוזמן!"
- הודעה שחבר או מכר שלח את ההזמנה
- הודעה האומרת שההזמנה נצפית בצורה הטובה ביותר במחשב נייד או שולחני של Windows
- ספירה לאחור המודיעה כי ההזמנה כבר יכולה לרדת למחשב
- הודעה המרמזת על דחיפות והוכחה חברתית ("פתחתי את שלי וזה היה כל כך קל!")
תוך שניות, מנותב הדפדפן של הקורבן להורדת RSVPPartyInvitationCard.msi. הדף אף מפעיל את ההורדה באופן אוטומטי כדי שהקורבן ימשיך להתקדם מבלי לעצור ולחשוב. קובץ MSI זה אינו הזמנה אלא קובץ התקנה. כאשר פותח הקורבן את קובץ ה- MSI, הוא מפעיל את msiexec.exe ומתקין בשקט את ScreenConnect Client – כלי גישה מרחוק לגיטימי המשמש לעתים קרובות צוותי תמיכת IT. אין הזמנה, טופס RSVP או ערך בלוח שנה. מה קורה במקום זאת:
- קבצים בינאריים של ScreenConnect מותקנים תחת C:\Program Files (x86)\ScreenConnect Client\
- נוצר שירות Windows קבוע (לדוגמה, ScreenConnect Client 18d1648b87bb3023)
- ScreenConnect מתקין מספר רכיבים מבוססי .NET
אין לקורבן אינדיקציה ברורה שהותקן במחשב שלו כלי גישה מרחוק. מנקודת מבטו של הקורבן, נראה שקורה מעט מאד, אולם כבר בשלב זה יכולים פושעי הסייבר לגשת מרחוק למחשב שלו וזאת, מכיוון שלאחר ההתקנה יוזם לקוח ScreenConnect חיבורים יוצאים מוצפנים לשרתי הממסר של ScreenConnect. חיבור זה מעניק לפושעי הסייבר את אותה רמת גישה כמו טכנאי IT מרוחק, כולל היכולות: לראות את מסך הקורבן בזמן אמת, לשלוט בעכבר ובמקלדת, להעלות למחשבו קבצים או להוריד קבצים ממחשבו, לשמור על גישה גם לאחר הפעלה מחדש של המחשב. מכיוון ש- ScreenConnect היא תוכנה לגיטימית המשמשת בדרך כלל לתמיכה מרחוק, נוכחותה לא תמיד ברורה: במחשב אישי, הסימנים הראשונים הם לרוב התנהגותיים כגון תנועת סמן בלתי מוסברת, חלונות הנפתחים מעצמם, או תהליך ScreenConnect שהמשתמש לא זוכר שהתקין.
מתקפת סייבר זו יעילה מכיוון שהיא מכוונת להתנהגות אנושית רגילה וצפויה. מנקודת מבט של אבטחה התנהגותית, היא מנצלת את הסקרנות הטבעית שלנו ונראית כסיכון נמוך. רוב האנשים לא חושבים על הזמנות למסיבה כמסוכנות. פתיחת הזמנה כזו מרגישה פסיבית – כמו להציץ בעלון או לבדוק הודעה, לא הזמנה להתקין תוכנה. יש לציין כי אפילו עבור משתמשים המודעים לאבטחת מידע המאומנים להיזהר מאזהרות ולחץ, הודעה ידידותית של "אתה מוזמן" אינה מפעילה את האזעקות הללו. עד שמשהו מרגיש לא בסדר, הנוזקה כבר מותקנת.
סימנים לכך שהמחשב שלך עשוי להיות מושפע: קובץ שהורד או הופעל בשם RSVPPartyInvitationCard.msi, התקנה בלתי צפויה של ScreenConnect Client, שירות Windows בשם ScreenConnect Client עם תווים אקראיים, המחשב שלך יוצר חיבורי HTTPS יוצאים לדומיינים של ScreenConnect Relay.
מתקפת סייבר זו הינה תזכורת לכך שמתקפות סייבר עדכניות אינן פורצות פנימה – הן מוזמנות פנימה. כלי גישה מרחוק מעניקים לפושעי הסייבר שליטה עמוקה על מערכות מחשוב. פעולה מהירה יכולה להגביל את הנזק: לאנשים פרטיים – אם אתם מקבלים אימייל כזה: היו חשדניים כלפי הזמנות המבקשות מכם להוריד או להפעיל תוכנה, לעולם אל תפעילו קבצי MSI מאימיילים לא מוכרים, אמתו הזמנות דרך ערוץ אחר לפני פתיחת כל דבר. אם כבר לחצתם או הפעלתם את הקובץ: נתקו את החיבור מהאינטרנט באופן מיידי, בדקו את ScreenConnect והסירו אותו אם קיים, הפעילו סריקת אבטחה מלאה, שנו סיסמאות חשובות ממחשב אחר שלא הושפע ממתקפת הסייבר הזו. לארגונים (במיוחד בבריטניה): התריעו על התקנות ScreenConnect בלתי מורשות, הגבילו את ביצוע MSI במידת האפשר, התייחסו ל"כלי תמיכה מרחוק" כתוכנה בסיכון גבוה, חנכו משתמשים: הזמנות למסיבות אינן מגיעות כקבצים להתקנה.
