חשבונות דוא"ל ממשלתיים ומשטרתיים פעילים נמכרים ברשת האינטרנט האפלה תמורת 40 דולר בלבד, מה שנותן לפושעי סייבר גישה ישירה למערכות ולשירותים התלויים באמון הציבור במוסדות המדינה. על פי מחקר חדש של Abnormal AI, מגיעים החשבונות מסוכנויות בארצות הברית, בריטניה, גרמניה, הודו וברזיל והם נסחרים בפורומים מחתרתיים. חשוב להבין כי בניגוד לכתובות דוא"ל מזויפות או רדומות, חשבונות אלו פונקציונליים ובשימוש על ידי סוכנויות לגיטימיות. לאחר פריצה למערכות מחשוב באמצעותם, הם מאפשרים לפושעי סייבר להתחזות לפקידי ממשל, לשלוח זימונים מזויפים למטרות הונאה, או להשיג נתונים רגישים. כל זאת – ברמת אמינות עליה קשה לערער.
חוקרי סייבר מצאו שחשבונות רבים נגנבים בשיטות פשוטות. מילוי אוטומטי ומאסיבי של פרטי גישה ושימוש חוזר בסיסמאות: עובדי ממשל המשתמשים בסיסמאות חוזרות או בוחרים בסיסמאות חלשות, יוצרים פתח עבור פושעי סייבר. כמו כן, באמצעות מיליארדי פרטי גישה גנובים מפריצות קודמות הזמינים באינטרנט, בודקים פושעי סייבר כתובות דוא"ל ממשלתיות מול מסדי נתונים כדי למצוא התאמות. שימוש בנוזקת גניבת מידע: נוזקה אשר אוספת אישורים המאוחסנים בדפדפנים יכולה לחשוף חשבונות דוא"ל. ניתן לרכוש יומני נתונים גנובים בכמות גדולה תמורת 5 דולר בלבד. לאחר מכן, בודקים פושעי הסייבר אילו כתובות דוא"ל ממשלתיות עדיין פעילות. דיוג ממוקד: מתקפות דיוג חנית המכוונות נגד משטרה או עובדי ממשל מסוגלות להערים על קורבנות ולגרום להם למסור את פרטי הגישה שלהם. ללא אימות רב גורמי, מספיקה סיסמה גנובה אחת כדי לתת בידי פושעי הסייבר גישה מלאה.
מכירת חשבונות אלו מתרחשת בדרך כלל באמצעות שירותים מוצפנים להעברת הודעות כמו Telegram או Signal. קונים משלמים במטבעות קריפטו ומקבלים את האישורים הדרושים להתחברות באמצעות פרוטוקולי דוא"ל סטנדרטיים כגון SMTP, POP3 או IMAP. המוכרים מפרסמים בגלוי שימושים ספציפיים לחשבונות, כולל הגשת בקשות משפטיות מזויפות או עקיפת שלבי אימות של פלטפורמות מקוונות. חלקם אף מאחדים גישה לחשבון עם הפרטים האישיים של הבעלים המקורי כדי להפוך את הרכישה למושכת יותר.
חשבון ממשלתי שנפרץ נושא משקל משפטי ותפעולי עצום. הדו"ח של Abnormal AI מדגיש שלושה תחומים מטרידים:
- סמכות אכיפה משפטית: שירותים רבים נדרשים להגיב במהירות לבקשות דחופות של אכיפת החוק, לעתים קרובות ללא אימות.
- אמינות מובנית: הודעות דוא"ל מדומיינים רשמיים יכולות לעבור בדיקות אבטחה אוטומטיות ופחות סביר שיוטל בהם ספק על ידי הנמענים.
- גישה בלעדית: חלק ממערכות המחשוב ומסדי הנתונים מאפשרים גישה רק לחשבונות ממשלתיים מאומתים.
כאשר שולטים פושעי סייבר באחד מחשבונות דוא"ל אלו, הם יורשים את סמכותו והדבר מקשה על הנמענים להבחין בין בקשה מזויפת לבין בקשה אמיתית. באמצעות חשבון דוא"ל פרוץ, יכולים פושעי סייבר לשלוח מה שנראה כצווי זימון לגיטימיים או בקשות נתונים בהולות לחברות טכנולוגיה וספקי תקשורת. בקשות חירום מיועדות למצבים דחופים שבהם לא ניתן להשיג זימון במהירות, מה שהופך אותן לפגיעות במיוחד. במקרים מסוימים, השתמשו פושעי סייבר בחשבונות פרוצים כדי להיכנס למערכות מוגבלות. דוגמה אחת שצוטטה בדו"ח כללה גישה לפלטפורמת טיפול בבקשות משפטיות לחברת מדיה חברתית, שניתן להשתמש בה כדי לגנוב נתוני משתמשים או להסיר תוכן.
הסיכון חורג משליחת הודעות דוא"ל משכנעות: חוקרי סייבר מצאו שחלק מהמוכרים הציעו גישה למאגרי נתונים של אכיפת החוק וכלי חקירה, כולל מערכות חיפוש לוחיות רישוי ולוחות מחוונים פנימיים לדיווח משטרתיים. בידיים הלא נכונות, עלולים אלו לשמש למעקב, גניבת מידע או פשעים אחרים. הדו"ח מזהיר כי כלי אבטחת דוא"ל מסורתיים עלולים שלא לזהות את האיומים הללו. מכיוון שהאימיילים מגיעים מחשבונות לגיטימיים עם רשומות אימות תקפות, הם יכולים לעקוף מסננים סטנדרטיים. האתגר מחמיר בשל העובדה שנמענים סומכים לעתים קרובות ללא עוררין על כתובות דוא"ל רשמיות.
עבור צוותי אבטחת מידע, מדגיש מחקר זה את הצורך באימות חזק יותר, נהלי סיסמאות טובים יותר ותגובה מהירה יותר לפריצת חשבונות דוא"ל. על סוכנויות גם לבחון כיצד הן מאמתות בקשות דחופות ומגבילות את הגישה למערכות רגישות, על מנת להפחית את הנזק שעלול לגרום חשבון יחיד שנפרץ.
