גלובס - עיתון העסקים של ישראלאתר נגיש

זירת הסייבר: מתקיפות אקראיות למבצע מתוזמן / אילוסטרציה: גלובס (נוצר באמצעות Adobe Firefly)

מבצע "שאגת הארי" לא מתנהל רק באוויר ובקרקע. במקביל למתקפה הישראלית־אמריקאית באיראן, מתנהלת מערכה אינטנסיבית במרחב הסייבר - זירה שקטה יותר לעין הציבורית, אך פעילה לא פחות. בכל הסלמה ביטחונית המרחב הדיגיטלי מתחמם, אולם בימים האחרונים החברות הפועלות בתחום מזהות שינוי לא רק בעוצמה אלא גם באופי האיום: יותר תחכום, יותר תזמון, וניצול מדויק של מצב החירום והתודעה הציבורית.

ב־Cyvore Security מזהים החרפה ברורה במיוחד בזירת הפישינג. מתחילת המערכה נרשמה עלייה של 540% בניסיונות ההתחזות, בעיקר באמצעות הודעות ווטסאפ ו־SMS. מאז יום שבת הם זיהו כ־600 מתקפות שונות, מהן למעלה מ־400 זוהו כזדוניות בוודאות ועוד כ־160 סווגו כחשודות. הנתונים הללו משקפים מתקפה רחבה ומכוונת, ולא גל אקראי של הודעות ספאם.

על פי נתוני צ'ק פוינט, מאז שאיום התקיפה הפך ממשי, ארגון ממוצע בישראל חווה כ־2,146 מתקפות סייבר בשבוע - הנתון השבועי הגבוה ביותר ב־12 החודשים האחרונים. למרות זאת, העלייה לעומת התקופה שקדמה למבצע עומדת על 4% בלבד. לכאורה מדובר בגידול מתון, אלא שבחברה מדגישים כי המספר הכולל אינו הסיפור המרכזי. לדבריהם, חלה עלייה של יותר מפי עשרה בפעילות הווירטואלית של קבוצות התקיפה המרכזיות המזוהות עם איראן ועם יריבי ישראל בהשוואה לשבוע ממוצע בחודש שקדם למלחמה.

ההתחזות לפיקוד העורף - "מתקפה אגרסיבית"

הדוגמאות בשטח כבר ניכרות. בימים האחרונים נרשמו ניסיונות התחזות לדואר ישראל ולפיקוד העורף באמצעות אתרים ואפליקציות מזויפים שכללו רכיבים זדוניים, כפי שהתריע מערך הסייבר הלאומי. במקרה שאותר על ידי Cyvore בעקבות דיווחי משתמשים, התקבלו מאות פניות למערכת ScanMySMS משעות הבוקר המוקדמות. בחינה של המקרה העלתה כי תחת אותה מתקפה הופעלו יותר מ־70 קישורים שונים - נתון המעיד על מבצע רחב, מתוזמן ואגרסיבי, אומר מנכ"ל החברה אורי סגל.

סגל מסביר כי בזירה פועלים במקביל תוקפים מדינתיים לצד קבוצות פשיעה מאורגנות היטב. לדבריו, שלוש מטרות מרכזיות עומדות מאחורי המתקפות: גניבת כספים, גניבת זהות וחדירה למאגרים ממשלתיים.

"גניבת הכספים מזכירה מתקפות עבר נגד כביש 6 ודואר ישראל, אך כעת היא מתבצעת גם כלפי גופים מסחריים ובשיטות מתוחכמות יותר. גניבת הזהות חמורה אף יותר, ובעבר כוונה גם נגד משפחות חטופים. במקביל קיימים ניסיונות לחדור למאגרים ממשלתיים, כגון ביטוח לאומי", אומר סגל. "התוקפים מנצלים את העובדה שאנחנו במצב של לחץ ולא תמיד עוצרים לחשוב. הם מזהים את הנקודות הרלוונטיות למצב הנוכחי ומתחזים בדיוק לגופים שאזרחים מצפים לשמוע מהם".

גם בצ'ק פוינט מדגישים שהשינוי המרכזי הוא באיכות המתקפות ולא בכמות שלהן. גיל מסינג, ראש המטה בחברה, מסביר: "יש הבדל מהותי בין אתר פישינג פשוט לבין מבצע מתוזמן הכולל פיתוח אפליקציה מזויפת, הפצת הודעות בהיקף רחב בסמיכות לאירועי השעה וניסיון לגרום להורדת קובץ זדוני". לדבריו, מדובר במאמץ מרוכז ומתוכנן היטב, שמבחינה סטטיסטית נספר כמתקפה אחת - אך רמת התחכום וההשקעה בו גבוהה לאין שיעור. גם הכמות, הוא מעריך, עוד תעלה.

במסגרת הפעילות שנצפתה בימים האחרונים, זיהו בצ'קפוינט מספר קבוצות תקיפה בולטות. בין היתר קבוצה המכונה Cotton Sandstorm, הפועלת במודל משולב של שיבוש והפרעה, לרבות מתקפות מניעת שירות (DDoS) והקמת זהויות חלופיות במטרה לבסס נרטיב ולהשפיע על דעת הקהל. קבוצה נוספת, Handala, מתמקדת בחדירה לארגונים ובפרסום מתוזמן של מידע גנוב לצרכים פסיכולוגיים ותודעתיים, לעיתים תוך הצגת הוכחות מבוימות או חלקיות שנועדו להגביר פאניקה. Educated Manticore פועלת בזירת הריגול הממוקד באמצעות הנדסה חברתית והתחזות לפלטפורמות אמון, בעיקר נגד עיתונאים, חוקרים ובעלי גישה למידע רגיש.

עוד עולה ממחקר של החברה שנרשמה עלייה מסיבית בניסיונות מצד גורמי סייבר המזוהים עם איראן כדי לפרוץ למצלמות אבטחה בישראל ובמדינות המפרץ לצורך איסוף מידע חזותי או להערכת נזק לאחר תקיפות. פעילות דומה נצפתה גם בלבנון ובקפריסין.

המגמה ארוכת הטווח אינה מעודדת. בשנתיים האחרונות זיהתה Cyvore עלייה דרמטית של 2,500% במספר מתקפות הפישינג ועלייה של 1,000% באירועי גניבת זהות. החברה מעריכה כי מדי יום מתבצעות כ־15 מיליארד מתקפות ברחבי העולם, כאשר ישראל מדורגת במקום השלישי בהיקף התקיפות, לאחר ארצות הברית ובריטניה, גם בימי שגרה. סביב המלחמה הנוכחית בלבד אותרו כמה עשרות אלפי ישראלים שנפלו למקרי פישינג, נתון שלהערכת החברה בעל משמעות רחבה מבחינת היקף החשיפה והפגיעה האפשרית.

איך מנהלים אירוע סייבר בעיתות משבר?

ניהול אירועי סייבר בעת מלחמה מציב אתגר נוסף. אל"מ (במיל') דורון הדר, שותף מייסד בחברת Critical Impact המתמחה בניהול משברי סייבר, מסביר כי האירועים מתנהלים לעיתים בדיליי תפעולי: "העובדים בארגון לא במשרדים, חלקם בממ"דים, ולצד זאת אנשי הסייבר שאמורים לטפל באירועים האלה לעיתים מגויסים למילואים - כך שפחות כוח אדם מנטר את המערכות בזמן אמת".

הדבר הראשון והחשוב ביותר לדבריו הוא לאפיין את האירוע וזהות התוקף - "האם מדובר במדינת אויב המבקשת לייצר נזק לישראל, או בארגון פשיעה שמונע ממוטיבציה כלכלית ורוכב על המציאות הביטחונית". בהתאם לכך נקבעת אסטרטגיית ההתמודדות, לרבות ניהול משא ומתן: "האתגר הוא להבין כמה האנטי־ישראליות היא המוטיבציה המרכזית או אם מדובר באירוע שדורש כופר. לצורך ההבחנה נעשה שימוש גם בכלים פסיכולוגיים ובניתוחים טקסטואליים של דרישות התוקפים".

במקרים שבהם ברור שמדובר בקבוצת פשיעה וההערכה היא שתשלום כופר יניב תמורה מלאה, רבים מהארגונים - במיוחד אם הם מבוטחים - בוחרים לשלם, אומר הדר. לעומת זאת, "כשמדובר בגורם מדינתי עוין או בדרישת כופר גבוהה שאינה פרופורציונלית לנזק הפוטנציאלי, אנחנו ממליצים לא לשלם, אלא לפעול באמצעים טכנולוגיים זולים יותר לפתיחת ההצפנות ושחזור המידע".

הדר מוסיף כי בעידן שבו ישראל מתגאה ביכולות הסייבר שלה כחלק מהעוצמה המודיעינית, עצם הדיווח על מתקפה המיוחסת למדינת אויב יוצר תחושת פגיעה תודעתית. עם זאת, ניהול תקשורתי נכון של האירוע עשוי להפוך גם מתקפה לסיפור של שליטה והתאוששות.

להתגונן באמצעות משמעת דיגיטלית גבוהה

לצד התמונה המורכבת, ההמלצות של מסינג מצ'קפוינט לציבור נותרות בסיסיות אך קריטיות: "לנהוג במשמעת דיגיטלית גבוהה, להניח שכל הודעה היוצרת תחושת דחיפות היא חשודה עד שיוכח אחרת, להימנע מהורדת אפליקציות או עדכונים מקישורים המופצים ב־SMS, בווטסאפ או ברשתות חברתיות, גם אם הם נראים 'רשמיים', ולא להזין פרטי הזדהות בעמודים שאליהם מגיעים באמצעות קישור - במיוחד כאשר מדובר בגופים ממשלתיים, בנקים או שירותי דוא"ל. בנוסף מומלץ להפעיל אימות דו־שלבי בכל חשבון מרכזי".

ארגונים מצדם נדרשים לעבור למצב כוננות מוגבר, עם דגש על קמפייני התחזות ופישינג לצד ניסיונות שיבוש והשחתה. לדברי מסינג, "יש לרענן את מודעות העובדים באמצעות דוגמאות וסימולציות של תרחישים עדכניים, וכן לחדד תהליכי אימות פנימיים לפעולות רגישות כמו שינוי הרשאות, תשלומים, איפוס סיסמאות ושינוי DNS, כדי לצמצם סיכון להנדסה חברתית". עוד הוא ממליץ לוודא ניטור רציף של המערכות הארגוניות תוך מעקב אחר אינדיקציות שעשויות להיות חריגות, כגון יצירת משתמשים חדשים או שינויי הרשאות.

לדברי סגל מ־Cyvore, חינוך לבדו הוא תהליך ארוך טווח שעשויות לחלוף שנים רבות עד שיוטמע בהצלחה. לכן החברה מפעילה כלי חינמי בשם ScanMySMS המאפשר סריקת קישורים חשודים וקבלת חיווי מיידי לגבי אמינותו. "בשנת 2025 נמנעה נפילתם של כרבע מיליון ישראלים במתקפות פישינג בזכות שימוש בכלי", הוא אומר.

בסופו של דבר, מסכימים המומחים, הזירה הדיגיטלית אינה רק זירת משנה של העימות - ומתקפות הסייבר כבר לא רק מלוות מערכות צבאיות, אלא מהוות חלק אינטגרלי מהן.