קצת סדר בדיווחים על מתקפת הסייבר בבנקים באיראן או איך התקשורת בישראל “אכלה” שוב פייק?

אחרי שבהתחלה כל התקשורת בישראל דיווחה על מתקפת סייבר עכשיו כולם מדווחים שלא הייתה מתקפת סייבר….
אז היה? לא היה? ואם היה אז מה היה?

 

קודם כל קצת עובדות:

1. בתאריך ה-9.8 קבוצת תקיפה בשם IRLeaks פירסמה בטלגרם כי היא פרצה לאחד הבנקים באיראן וכי היא מחזיקה במידע רגיש של לקוחות הבנק. הקבוצה טענה כי אם הבנק לא ישלם את דמי הכופר או יחל במשא ומתן תוך 72 שעות השם של הבנק שנפרץ יפורסם כולל חלק מהמידע הרגיש.

מדובר בקבוצה שבנתה לעצמה מוניטין במרחב האיראני כשהיא תוקפת עד כה לא מעט מטרות איראניות בחודשים האחרונים.

2. הפוסט של הקבוצה נמחק מהערוץ כעבור מספר שעות, אבל האינטרנט זוכר הכל. 

3. מבירור שעשיתי עולה כי הדיווחים ברשת על כספומטים שלא עובדים ופתק שהודבק על כמה כספומטים אלו דיווחים שלא קשורים למתקפת הסייבר שהייתה או שלא הייתה.
מדובר בדיווחים שעלו ברשתות מוקדם יותר וככל הנראה אין ביניהם ובין המתקפה שום קשר.

 

כמה נקודות לשים אליהן לב:

1. בתקשורת בישראל עשו חיבור בין הדיווח של איראן אינטרנשיונל על מתקפת סייבר לבין הפוסטים של הכספומט עם השלט שהודבק ודיווחו על מתקפת סייבר שמשביתה כספומטים – אין קשר בין המקרים.

2. באיראן אינטרנשיונל דיווחו על מתקפת סייבר משמעותית הכוללת דלף מידע ושיבושים אך לא מעבר, מדובר היה בדיווח ראשוני ללא אימותים נוספים.

3. הדיווח של איראן אינטרנשיונל מתייחס ככל הנראה לפרסום של IRLeaks, אבל כזכור, הם כבר הספיקו למחוק את הפוסט. למה?

4. גורמים שונים טוענים כי הבנק שנפגע שילם לתוקפים דמי כופר בגובה מיליון דולר – אין אימות מלא לדיווח הזה אבל זו יכולה להיות סיבה הגיונית לכך שקבוצת התקיפה תמחק את הדיווח.

5. מה לגבי אתר האינטרנט של הבנק המרכזי באיראן? ב-14.8, כשאיראן אינטרנשיונל דיווחה על האירוע, האתר של הבנק המרכזי באיראן לא היה זמין לסירוגין. אני ביצעתי מספר בדיקות וגם גורמים נוספים והאתר אכן היה למטה לזמן מה.
האם יש קשר למתקפת סייבר? לא בהכרח אבל לא יודע בוודאות.

ועכשיו התײחסות לחלק האחרון של גיא זוהר ועל כך שאין עדות מתוך איראן ולכן הכל פייק:

1. אלפי חברות סובלות ממתקפות כופר בכל חודש והציבור לא מודע לכך, למה? כי אין השפעה על הציבור והחברה לא מוציאה דיווח מסודר.
זה קורה במדינות מפותחות עם רגולציה מסודרת והסבירות שזה יקרה באיראן, שגם ככה מנסה להשתיק כל אירוע עם נזק תדמיתי הוא סביר בהחלט.

2. אם מנטרלים את הפתקים על הכספומטים, שלא קשורים לאירוע הסייבר, ואם אכן היה רק דלף מידע, כפי שהתוקפים מציינים, אז לא הייתה באמת השפעה ישירה על הלקוחות או הפעילות של הבנק ולכן האירוע יכול היה להיסגר בשקט בלי רעש תקשורתי.

אבל רגע, מי אלה IRLeaks?
שאלה מצויינת שאין עליה תשובה ברורה, נראה שמדובר בקבוצה הפועלת רק נגד מטרות איראניות אך המניע שלה הוא פיננסי.
היא תקפה כבר כמה ארגונים באיראן כשעם חלקם היא “הגיעה להסכם” והמידע לא דלף.
אם היה מדובר בקבוצה המונעת מפוליטיקה וכו’ אז כסף לא היה נכנס למשוואה והמטרה הייתה גרימת נזק תדמיתי (ראו ערך קבוצת Darkbit וישראל, התייחסתי לזה בספר שלי  בפרק על מניעים של קבוצות כופר).

אז הייתה מתקפת סייבר על בנקים באיראן או לא?

שאלת המיליון דולר, או ה- 42,092,500,000 ריאל 🤯

כך או כך לא מומלץ לצאת בהצהרות.

Intel Brief: Irleaks' Massive Cyber Campaign In Iran Highlights Fragility Of Data Economy

קרדיט: ערוץ הטלגרם חדשות סייבר – ארז דסה     קרדיט לתמונות: דיאמי סרוויסס