קבוצת Fancy Bear תקפה אורחים בבתי מלון באירופה ובמזה”ת
קבוצת Fancy Bear תקפה אורחים בבתי מלון באירופה ובמזה"ת
ב-13 לאוגוסט דווח על ידי הרשות הלאומית להגנת הסייבר על כך שקבוצת התקיפה, המכונה בין היתר Fancy Bear, תקפה אורחים בבתי מלון באירופה ובמזרח התיכון. התקיפה בוצעה בין השאר באמצעות גניבת סיסמאות על ידי ציתות לרשת ה-Wi-Fi של בתי המלון, שימוש בתגובות מזויפות והתפשטות רוחבית ברשת באמצעות הפגיעות המוכרת כ-Eternal Blue
על פי הדיווח, התקיפה החלה באמצעות דיוג ממוקד (Spear Phishing) לבתי מלון בשבע מדינות אירופיות ומדינה מזרח תיכונית אחת. פתיחה של הקובץ שצורף להודעת המייל גרמה להפעלת פוגען המכונה Gamefish במכשיר.
קבוצת התקיפה משתמשת בכלי המזייף תשובות לשאילתות כך שהמשתמש מעביר לעמדה הנשלטת על ידי התוקף את נתוני ההזדהות שלו.
לאחר השגת נתוני ההזדהות, קבוצת התקיפה משתמשת בפגיעות על מנת לבצע תנועה רוחבית (Lateral Movement) והתפשטות ברשת. פגיעות זו מנצלת חולשה שבה השתמשו בעבר במתקפת הכופר העולמית WannaCry.
“בתי מלון בישראל ובעולם הם גן עדן להאקרים”, מסביר איציק בן-יצחק, CTO חברת סמארטנט הישראלית המתמחה במערכות אינטרנט מלונאיות חכמות בישראל ובאירופה. “בבתי המלון מותקנת, בדר”כ, רשת אלחוטית אחת גדולה, ולצערי, לרוב אינה מאובטחת. הסיבה לכך היא שרוב הלקוחות הם מזדמנים, מה שלא קיים בארגונים אחרים, שם הרשת מוצפנת ורק מי שמורשה להתחבר אליה יכול.”
“במילים פשוטות – מה שעשתה קבוצת ההאקרים הזו זה לשלוח אימייל באופן ממוקד לאורחי המלון אשר היו מחוברים לרשת האינטרנט במלון באמצעות ה- Wi-Fi. מאחר ואין בידוד בין המכשירים המחוברים לרשת – מספיק שאורח יחיד לחץ על הקובץ אותו השתילו באותו אימייל – והם מסוגלים להתפשט לכל השאר. זו בעצם ה”תנועה הרוחבית”.
“רבים ממנהלי בתי המלון, למרות שכבר הבינו שה-Wi-Fi הוא שירות חשוב, ואפילו “חובה”, עבור האורחים, מחפשים פתרונות זולים ו”ביתיים” כדי להעניק אותו. פתרונות אלו אינם מתאימים לבתי מלון מאחר ואינם מאפשרים הגדרת בידוד ברשת. “בידוד” היא תכונה ייחודית הקיימת במערכות מתקדמות יותר, ומטרתה לבודד כל מכשיר המחובר לרשת המלון – באופן שיחסום את האפשרות לאותה “תנועה רוחבית” והתפרשות ממכשיר אחד למשנהו.” מסביר בן-יצחק.
פרט לעובדה שהאורחים ובית המלון עצמו נפגעו במתקפה – מה הסכנה העיקרית לבתי המלון?
“בעלי בתי המלון נפגעים שלוש פעמים ובאופן שיכול לגרום להם נזק אדיר”, מבהיר בן-יצחק. “הפגיעה הראשונה היא במלון עצמו, ממנו נגנב מידע הכולל גם מידע רב על אורחיו. הפגיעה השניה היא באורחים עצמם, להם נגנב מידע הכולל כרטיסי אשראי, ואפילו תמונות וסרטונים אישיים. אורחים אלו יאבדו את האמון בבית המלון ויפגעו במוניטין שלו. הפגיעה השלישית היא התביעה הייצוגית שיוכלו הנפגעים כולם להגיש כנגד בית המלון – תביעות אשר בשנים האחרונות הופכות תדירות יותר, ועולות לעסקים שכאלו עשרות מיליוני דולרים”.
כשחברה נכשלת בהגנה על מידע לקוחותיה, הלקוחות שנפגעו מכך מתאגדים, בדר”כ, לתביעה ייצוגית שעלולה להגיע לעשרות מיליוני דולרים.
באפריל 2017, רשת אינטרקונטיננטל (IHG) אשר כוללת את בתי המלון הולידיי אין הודיתה כי 1,200 מבתי המלון שלה בארה”ב ופוארטו-ריקו היו נתונים למתקפת האקרים וגניבת מידע לאורך 3 חודשים. כעת היא נתונה לתביעת ענק מצד לקוחות שנפגעו והתאגדו.
בדצמבר 2015 נתבעה רשת Wyndham, הרשת הגדולה בעולם, על ידי ועדת הסחר הפדרלית (FTC) על כך שנגנב ממנה מידע שכלל 600,000 מספרי כרטיסי אשראי של לקוחותיה. הנזק של אותה גניבה היה של למעלה מ-10 מיליון דולרים. התביעה התבססה על העובדה שבאחריות בתי המלון עצמם להגן על המידע של אלו המתחברים לשירותי הרשת שלהם.
איך בית המלון יכול למנוע תביעות שכאלו?
“אחד הדברים שסמארטנט עושה היא יצירת רשת נפרדת לאורחי המלון”, מסביר בן-יצחק, אליה הם מתחברים דרך דף נחיתה ייעודי המאמת את היותם אורחים. בנוסף, מערכת ה-Wi-Fi המלונאית החכמה אותה אנו מתקינים מאפשרת הגדרת ISOLATION – בידוד – אשר מתייחסת לכל מכשיר המתחבר לרשת כמכשיר בודד שאינו יכול “לראות” מכשירים אחרים. בדרך זו אנו מפחיתים משמעותית את יכולת ההאקרים לגרום נזק כה רב”.