תרחיש האימים של כל מנהל אבטחת מידע, וחלומם הרטוב של ההאקרים: חברת הסייבר הישראלית גארדיו (Guardio) חושפת היום (ב') שורה של פרצות אבטחה בתשתית המייל הוותיקה של נטוויז'ן, המופעלת כיום על ידי סלקום.
אחת מהן כבר נוצלה בפועל לקמפיין פישינג מתוחכם שהתחזה לרשויות המדינה ונועד להדביק מחשבים בנוזקת שליטה מרחוק. התוקפים, למעשה, השתמשו בשרתים של סלקום-נטוויז'ן כשרת דיוור פרטי להתקפותיהם. סלקום מצידה טוענת כי היא פעלה במהירות ותיקנה את הליקויים.
התחזות לגורמים ממשלתיים
אחת הפרצות, שהוגדרה כ"Open Relay" - מונח טכני שמשמעותו "דלת אחורית פתוחה לרווחה" בשרת הדואר - כבר נוצלה כאמור בפועל על ידי גורמים עוינים ופרו-פלסטינים. אותם תוקפים ניהלו קמפיין פישינג רחב היקף תוך שימוש בשרתי נטוויז'ן כדי להתחזות לגופים ממשלתיים ישראליים, תחת כתובת השולח הרשמית והאמינה gov.il.
כתוצאה, אלפי אזרחים בישראל קיבלו הודעות דואר אלקטרוני תמימות למראה, שהתיימרו להיות הודעות על פתיחת תיקי חקירה במשטרה או דרישות לתשלום חובות לרשות המיסים. להודעות צורף קובץ, שכאשר נפתח, הדביק את המחשב בנוזקה שהעניקה לתוקפים שליטה מלאה עליו מרחוק. הסכנה המוחשית נבעה מכך שהמיילים נראו לגיטימיים לחלוטין. הם חמקו מתחת לרדאר של מערכות האבטחה, לא סומנו כ"ספאם", ונחתו היישר בתיבת הדואר הנכנס של הקורבנות.
התוקפים ניהלו קמפיין פישינג רחב היקף תוך שימוש בשרתי נטוויז'ן כדי להתחזות לגופים ממשלתיים ישראליים, תחת כתובת השולח הרשמית והאמינה gov.il
"הצלחנו לשחזר בקלות שליחת מיילים מזויפים שנראו זהים לחלוטין למיילים רשמיים של סלקום, נמל אשדוד, עיריית נתניה, רשת ישרוטל, בנק הפועלים ועוד", מסביר נתי טל, מנהל קבוצת המחקר בחברת Guardio שחשפה את הפרצות. "המיילים עברו את כל בדיקות האבטחה והגיעו ישירות ליעד. זהו מצב שמאפשר תקיפות מתוחכמות במיוחד, שקשה מאוד להתגונן מפניהן".
פוטנציאל לנזק חמור בהרבה
לצד הפרצה שנוצלה, חשפו חוקרי גארדיו שתי חולשות נוספות, שאמנם לא נמצא כי נעשה בהן שימוש, אך טמנו בחובן פוטנציאל נזק חמור אף יותר. החולשה הראשונה הייתה מאפשרת התחזות מלאה לדומיינים של לקוחות עסקיים של סלקום, תוך עקיפה של מנגנוני אימות דואר מתקדמים (כמו SPF ו-DMARC), שכל תפקידם הוא לוודא שהמייל אכן הגיע מהמקור המוצהר.
החולשה השנייה והמסוכנת מכולן, אפשרה שליחת מיילים אנונימית לחלוטין, ללא כל צורך בהזדהות עם שם משתמש או סיסמה, בשם לקוחות סלקום ודומיינים אחרים. המשמעות פשוטה: תוקף יכול היה להפיץ מיילים בשם בנקים, חברות ביטוח, משרדי ממשלה או כל מותג מוכר אחר, במטרה לבצע הונאות פיננסיות, לגנוב סיסמאות ופרטי אשראי, או להשתלט על מערכות מחשוב, סמארטפונים ומחשבים אישיים. המחשבה על תרחיש בו תוקף מתחזה למנכ"ל ושולח הוראות כספיות לסמנכ"ל הכספים שלו אינה מופרכת כלל במקרה כזה.
עם גילוי החולשות, יצרה גארדיו קשר עם סלקום, שלדבריהם "פעלה בשיתוף פעולה מלא ובמהירות שיא לסגירת כל הפרצות. מהנדסי סלקום ביצעו עדכונים ו'הקשחות' בתשתית המיילים של נטוויז'ן ועדכנו את מדיניות ההרשאות למאות אלפי המשתמשים בשירות. בסלקום ציינו כי הפעולה נעשתה תחת לחץ ותוך התמודדות עם אתגרים טכניים, במקביל לשמירה על הפעילות השוטפת של לקוחותיהם".
במקביל, גארדיו פנתה למערך הסייבר הלאומי ולרשמי דומיינים בינלאומיים, ובפעולה משותפת נוטרלו כתובות השליטה והבקרה (C&C) של התוקפים בקמפיין הפישינג שכבר פעל. מהלך זה עצר את התפשטות המתקפה וגם ניתק את הקשר בין התוקפים למחשבים שכבר נדבקו.
המקרה חושף שוב את תופעת "עקב אכילס" של ספקי שירותים גדולים - פגיעה בתשתית של ספק אחד עלולה לחשוף למתקפות רחבות היקף אלפי ארגונים, וגם את הציבור הרחב. על אחת כמה וכמה בתקופה הנוכחית, בה המרחב הדיגיטלי הפך לזירת לחימה פעילה, אחריותן של חברות תשתית אלו היא קריטית מאי פעם. הפעם, זה נגמר בטיפול מהיר יחסית. בפעם הבאה, זה עלול להסתיים אחרת לגמרי.
המקרה חושף שוב את תופעת "עקב אכילס" של ספקי שירותים גדולים - פגיעה בתשתית של ספק אחד עלולה לחשוף למתקפות רחבות היקף אלפי ארגונים, וגם את הציבור הרחב
שירותי מייל נחשבים לנקודת תורפה חמורה וזאת בגלל אופי הטכנולוגיה המיושנת שסובלת מבעיות אבטחה קשות. מיילים והודעות SMS מהוות שירותים שקל מאוד לנצל לתקיפות סייבר בעיקר למשלוח הודעות פישינג זדוניות ובמקרה של המייל גם להפצה של נוזקות.
פנינו למערך הסייבר עם כמה שאלות לגבי שירותי המייל של שאר ספקיות התקשורת בישראל, האם הן נבדקו על ידי המערך והאם זוהו גם שם פרצות דומות. אולם עד לשעת פרסום הכתבה במערך טרם השיבו. מנטוויז'ן נמסר: "כלל הגורמים בנטוויז'ן פעלו בצורה מהירה על מנת למנוע נזקים מהאירוע. אנו לומדים את המקרה וממשיכים להשתפר כל העת, על מנת להימנע מאירועים נוספים בעתיד".
מיילים: שער הכניסה הראשי של עולם הפשע הדיגיטלי
כאמור, הדואר האלקטרוני הוא עדיין הווקטור האפקטיבי והנפוץ ביותר לתקיפות סייבר. הסיבה פשוטה: הטכנולוגיה הזו מכוונת לחוליה החלשה ביותר בשרשרת האבטחה - האדם שיושב מול המסך. נתונים מהשנים האחרונות (2024-2020) מספרים סיפור עקבי ומדאיג.
דוחות מובילים בתעשייה, כמו ה-Data Breach Investigations Report (DBIR) של Verizon, מצביעים באופן עקבי על כך שהמייל הוא נקודת ההתחלה בלמעלה מ-90% מתקיפות הסייבר המוצלחות, כאשר הנדסה חברתית וגניבת פרטי הזדהות מהוות את רוב מוחלט של האירועים.
במקביל, הונאות BEC (Business Email Compromise) מהוות את האיום הכלכלי הגדול ביותר דרך המייל. לפי נתוני ה-FBI (IC3), בשנת 2023 לבדה, הונאות BEC גרמו להפסדים מדווחים של כ-2.9 מיליארד דולר. התוקפים פשוט מתחזים למנהלים בכירים או לספקים ומשכנעים עובדים לבצע העברות בנקאיות דחופות. פשוט, גאוני ומכאיב לכיס.
עוד עולה כי כ-92% מתוכנות הכופר (Ransomware) מופצות באמצעות מיילים. מייל פישינג תמים למראה מכיל קובץ מצורף או קישור, שלחיצה עליו מורידה את תוכנת הכופר, מצפינה את הרשת הארגונית, ומשביתה את העסק עד לתשלום דמי סחיטה גבוהים. בדו"ח "State of the Phish" לשנת 2024, צוין כי 69% מהארגונים חוו מתקפת כופר מוצלחת בשנה החולפת, כאשר רובן החלו במייל.
לפי הנתונים, 69% מהארגונים חוו מתקפת כופר מוצלחת בשנה החולפת, כאשר רובן החלו במייל
הזווית הישראלית
בישראל התמונה דומה, אך עם טוויסט גיאופוליטי, כך לפי נתוני מערך הסייבר הלאומי. דוחות המערך מראים עלייה מתמדת בדיווחים על אירועי סייבר. בדו"ח לשנת 2023, נרשמה עלייה של 43% בדיווחים למוקד 119 בהשוואה ל-2022. ניסיונות דיוג (פישינג) היוו כ-25% מהדיווחים. גם בדו"ח שסיכם את 2024, פישינג צוין כמתקפה הנפוצה ביותר.
התוקפים הפועלים בישראל מתוחכמים ומנצלים את ההקשר המקומי, זאת כאשר התחזות לדואר ישראל ("החבילה שלך ממתינה"), רשות המיסים ("מגיע לך החזר מס"), בנקים ומוסדות ממשלתיים היא הנפוצה ביותר. במאי 2025, המערך אף הוציא אזהרה מיוחדת על מיילים המתחזים למשרד המשפטים והמשטרה, המכילים "זימון לחקירה" כפיתיון להורדת נוזקה.
במקביל, חלק ניכר ממתקפות הפישינג הממוקדות (Spear Phishing) נגד ישראל מגיע מגורמים מדינתיים, בעיקר איראן וגרורותיה. תקיפות אלו אינן מכוונות רק לגניבת כסף, אלא לריגול, גניבת קניין רוחני ושיבוש תשתיות קריטיות.
דוגמאות מהשטח: כשמייל הופך לאסון
הסטטיסטיקה יבשה, אבל הסיפורים מאחוריה ממחישים את הנזק האדיר שבמתקפות אלו. אחת הדוגמאות הבולטות לכך היא המתקפות של כנופיית הכופר Conti, שפעלה בעיקר בשנים 2022-2020. חברי הכנופיה שלחו הודעות פישינג מתוחכמות לעובדים בארגונים גדולים, במייל שהכיל לרוב מסמך Word או Excel תמים למראה, עם בקשה להפעלת "פקודות מאקרו".
ברגע שהעובד התמים אישר, נוזקת TrickBot או BazarLoader הייתה מותקנת, ומספקת לתוקפים דריסת רגל ראשונית ברשת. כך, ההאקרים הצליחו לגנוב מידע רגיש, ולבסוף הפעילו את תוכנת הכופר Conti, שהצפינה את כל המידע.
התוצאה - עשרות חברות ענק, בתי חולים וממשלות ברחבי העולם שותקו לחלוטין. הנזק היה כפול: גם תשלום כופר של מיליוני דולרים (לעתים עשרות מיליונים) וגם איום בפרסום המידע שנגנב אם התשלום לא יבוצע. הדוגמה המפורסמת ביותר היא התקיפה על מערכת הבריאות של אירלנד (HSE) במאי 2021, שהשביתה את שירותי הבריאות במדינה לשבועות ועלות שיקומה נאמדה במאות מיליוני יורו.
כאמור גם הונאות Business Email Compromise (BEC) הן מהמסוכנות ביותר שבמתקפות המייל. בשיטה זו, התוקפים מבצעים מחקר מעמיק על הארגון המטרה. הם מזהים את המנכ"ל, סמנכ"ל הכספים ואנשי מפתח אחרים. לאחר מכן, הם רוכשים דומיין שנראה כמעט זהה לדומיין הארגוני (למשל, compnay.com במקום company.com) או פורצים לחשבון של בכיר.
בשלב הבא, נשלח מייל "דחוף ביותר" מסמנכ"ל הכספים לעובד במחלקת הנהלת חשבונות, עם הוראה לבצע העברה בנקאית מיידית ודיסקרטית לחשבון של "ספק חדש" לצורך "עסקה סודית". הטון לחוץ, הדרישה בהולה, והעובד מרגיש לחץ לציית.
ומאות אלפי חברות נפלו בפח מתקיפות אלו, זאת כאשר ה-FBI מעריך את הנזק המצטבר הגלובלי בין 2013 ל-2023 בלמעלה מ-55 מיליארד דולר. הכסף מולבן במהירות דרך רשת של חשבונות קש ברחבי העולם והופך כמעט בלתי אפשרי לאיתור. התוצאה היא נזק כלכלי ישיר והליכים פליליים נגד הכנופיות המעורבות.
ה-FBI מעריך את הנזק המצטבר הגלובלי מתקיפות פישינג דרך המייל בין השנים 2013 ל-2023 בלמעלה מ-55 מיליארד דולר
בהקשר הישראלי, זוהו קמפיינים מתמשכים של קבוצות תקיפה איראניות (כמו APT42/Charming Kitten) נגד בכירים ישראלים, בהם התוקפים בונים פרופיל על המטרה (למשל, בכיר במערכת הביטחון, דיפלומט, עיתונאי או אקדמאי) ויוצרים איתה קשר דרך מייל או רשת חברתית, תוך התחזות לדמות לגיטימית מעולמו של הקורבן.
לאחר בניית אמון ראשוני, הם שולחים קישור להרשמה לכנס, לצפייה במצגת או לקביעת פגישת וידאו. הקישור מוביל לדף פישינג שגונב את פרטי ההזדהות של הקורבן לחשבון הגוגל או המייל שלו. התוצאה - השגת גישה מלאה לתיבת המייל, ליומן, לאנשי הקשר ולמסמכים של הקורבן.
מידע זה משמש לריגול, לגניבת סודות מדינה, להבנת עמדות מדיניות, ובמקרים מסוימים, לפי דוח של השב"כ, אף לניסיונות לגייס סוכנים בתוך ישראל. מדובר במערכה שקטה ומתמשכת שתוצאותיה הן פגיעה בביטחון הלאומי.
5 צפייה בגלריה
אם משהו נראה טוב מדי - זה כנראה לא אמיתי. חשדנות בריאה ומודעות הן הכלים הטובים ביותר במלחמה נגד הונאות המייל
(צילום: shutterstock)
לפי מומחים, המגמה הזו רק תלך ותחריף. כניסת כלי בינה מלאכותית גנרטיבית מאפשרת לתוקפים ליצור מיילי פישינג משכנעים ועמידים יותר בפני טעויות דקדוק ותחביר, ובשפות רבות. במקביל, טכנולוגיות Deepfake של קול ווידאו מתחילות להשתלב בהונאות BEC, מה שהופך את הזיהוי לקשה עוד יותר.
בשורה התחתונה, כל עוד בני אדם קוראים מיילים, הוא יישאר כר פורה לתקיפות. ההגנה הטובה ביותר, מעבר לטכנולוגיה, נותרה מודעות וחשדנות בריאה. או במילים אחרות: אם משהו נראה טוב מדי (או דחוף מדי) מכדי להיות אמיתי - הוא כנראה לא.
