1. חדשות כיפה
  2. חדשות
  3. אתם עלולים להיות היעד הבא: ההונאה שמנצחת גם מומחי סייבר

אתם עלולים להיות היעד הבא: ההונאה שמנצחת גם מומחי סייבר

מתקפות Spear Phishing מתרחבות בזכות בינה מלאכותית, עם הודעות מותאמות אישית שמסוגלות להטעות גם מומחי סייבר. איך נזהה את התקיפה וכיצד אפשר להתגונן?

חיים אבייב חיים אבייב 18/09/25 17:12 כה באלול התשפה | עודכן בתאריך 21/09/25 12:23

עקבו אחרינו בגוגל Follow us Logo
אתם עלולים להיות היעד הבא: ההונאה שמנצחת גם מומחי סייבר
אילוסטרציה., צילום: Dusan Petkovic,Shutterstock

אוהבים אוכל טוב? הצטרפו עכשיו לקבוצת הוואטסאפ שלנו

חושבים שתזהו תמיד הודעה מזויפת? תחשבו שוב. מתקפת Spear Phishing, אחת משיטות ההונאה הממוקדות בעולם הסייבר, תופסת תאוצה חסרת תקדים. הסיבה לכך פשוטה - הקלות שבה ניתן לבצע אותה היום. האקרים כבר לא צריכים להשקיע ימים בחיפושי מידע ידניים או במעקב אחרי הקורבן. במקום זאת, הם מפעילים מנועי AI מתקדמים שיכולים ללקט עליכם מידע אישי ומדויק תוך שניות. התוצאה - הודעה שנראית אמיתית לחלוטין, מותאמת אישית, ומסוגלת להפיל בפח אפילו מומחי אבטחת מידע מנוסים.>

בעולם שבו רוב המשתמשים כבר למדו לזהות מיילים המבטיחים זכייה בלוטו או ניסיונות פישינג גסים, עולה איום מתוחכם הרבה יותר - Spear Phishing, או בעברית "דיוג ממוקד". אם פישינג רגיל מזכיר דייג הפורש רשת רחבה ומקווה שמשהו יילכד בה, Spear Phishing הוא צייד מדויק המשתמש בחנית. מדובר בהודעה מותאמת אישית, שמיועדת לאדם או לארגון ספציפי, ונראית כמו פנייה לגיטימית לחלוטין מגורם מהימן - קולגה, מנהל, ספק או שותף עסקי.

איך ההאקרים הופכים כל הודעה למדויקת כמו קליע

הסוד להצלחת המתקפה הוא מודיעין אישי. בעבר, האקרים השקיעו זמן רב בליקוט מידע ממדיה חברתית, חיפשו כתבות ישנות או גלשו באתרי החברה כדי ללמוד שמות עובדים ותפקידיהם. כיום, העבודה הזו מהירה פי כמה בזכות כלי AI. מספיק להריץ פרומפט במנוע חיפוש מבוסס בינה מלאכותית ולבקש: "ספר לי על דני כהן, עובד בחברת טכנולוגיה X - מי הבוס שלו, אילו פרויקטים הוא מנהל, ואיזה מידע ציבורי קיים עליו?". תוך רגע מתקבלת תמונת מצב מלאה, שלעיתים כוללת פרטים שהיו מפוזרים ברחבי הרשת ולא נגישים בקלות בעבר.ההאקר יכול להמשיך ולבקש מה-AI לנסח מייל מקצועי המתחזה לבקשה מהבוס של דני, כולל שימוש בשפה הארגונית ובמונחים פנימיים. התוצאה - הודעה כה אמינה שגם אם היא תיבדק על ידי מערכת אבטחה מתקדמת, אין לה סימנים מובהקים של דיוג רגיל. כך הופכת התקפה שבעבר דרשה ימים של הכנות לפעולה שניתן לבצע תוך שעות ספורות בלבד.

המקרה שטלטל את עולם הסייבר - קמפיין "0ktapus"

אחד האירועים הבולטים שהמחישו את העוצמה של Spear Phishing התרחש באוגוסט 2022. קבוצה של האקרים הפעילה קמפיין שכונה "0ktapus", בו נשלחו הודעות SMS מותאמות אישית לעובדים ביותר מ-130 חברות טכנולוגיה, בהן Twilio, Cloudflare, DoorDash ו-Mailchimp. ההודעות הכילו קישור לאתר התחברות שנראה זהה לדף ה-Okta שבו השתמשו העובדים לגישה למערכות הפנימיות.כמעט 10,000 סיסמאות וקודי אימות דו-שלבי נגנבו. ב-Twilio, המתקפה הובילה לחשיפת נתונים פנימיים ולפגיעה בלקוחות - כולל חשיפת מידע של משתמשים באפליקציית ההודעות המאובטחות Signal.

האירוע הוכיח שמערכות הגנה מתקדמות אינן מספיקות כאשר הקורבן עצמו מוסר לתוקף את פרטי ההתחברות. האקרים גם למדו לתזמן את ההודעות לרגעי לחץ - בעת השקת מוצר, תקלה מערכתית או מיזוג עסקי - כדי להקטין חשד ולהגביר סיכוי להצלחה.

Spear Phishing בכל ערוץ - לא רק אימייל

למרות שהדוא"ל נותר הערוץ הנפוץ ביותר למתקפות פישינג, Spear Phishing מתבצע גם ב-SMS (Smishing), בהודעות ברשתות חברתיות (לינקדאין, פייסבוק), ואפילו בשיחות טלפון (Vishing). ההאקר בוחר בערוץ שבו הקורבן הכי פחות מצפה להונאה. בהתקפה על חברת הקריפטו Axie Infinity, האקרים הציעו הצעת עבודה מזויפת בלינקדאין, קיימו ראיונות טלפוניים מזויפים ושלחו קובץ PDF "תמים" שהכיל נוזקה - תרחיש שהוביל לגניבת כ-540 מיליון דולר. במקרים אחרים, ההודעה אינה כוללת כלל קישור או קובץ. היא מסתמכת על הנדסה חברתית בלבד - למשל הודעת מייל בהולה ממנהל בכיר הטוען שהוא בחו"ל וזקוק להעברה בנקאית מיידית. לחץ הזמן ותחושת האחריות גורמים לעובד לבצע פעולה קריטית מבלי לבדוק לעומק את אמינות הבקשה.

איך אפשר להגן על עצמנו?

ההתמודדות עם Spear Phishing מורכבת, אך אפשרית. ראשית, נדרשת מודעות אישית: כל הודעה שמבקשת סיסמא, קוד או פעולה חריגה צריכה להדליק נורה אדומה. לפני שלוחצים על קישור או מגיבים לבקשה חריגה, כדאי לוודא אותה בערוץ תקשורת אחר - טלפון ישיר, שיחת וידאו או הודעה ידנית למנהל. אימות רב-שלבי חזק - מקשה על האקרים להשתלט על חשבונות גם לאחר שגנבו סיסמאות. מערכות סינון מתקדמות לאימיילים והודעות יכולות לחסום חלק ניכר מהניסיונות, אך הן לא יכולות לעצור הכל, במיוחד כשמדובר בהודעות מותאמות אישית. ארגונים יכולים לצמצם משמעותית את הסיכון על ידי הטמעת מנגנון כפול לאישור פעולות קריטיות. כלומר, כל בקשה להעברת כספים, שינוי הרשאות או שחרור מידע רגיש תאושר רק לאחר אימות מצד שני אנשים שונים. כך, גם אם עובד אחד נפל בפח, התוקף לא יוכל לבצע את הפעולה מבלי לעבור מחסום נוסף של בדיקה אנושית.

האחריות על כולנו

מתקפות Spear Phishing הוכיחו שההאקרים לא צריכים לנצל פרצות בתוכנות - הם רק צריכים לשכנע אותנו לספק להם את המפתח. כיום, עם בינה מלאכותית שמאפשרת להם להכיר אותנו טוב יותר ממה שאנחנו מכירים את עצמנו, האיום הזה מדויק ומסוכן מתמיד.הדרך היחידה לנצח אותו היא לחזק את החוליה האנושית: לשפר מודעות, להטמיע אימותים חזקים, לבנות תרבות ארגונית שמאפשרת לעובדים לדווח על חשד מבלי לחשוש, ולחייב אישור כפול לכל פעולה קריטית. בסופו של דבר, ההגנה הטובה ביותר אינה קו קוד או מערכת אבטחה - אלא החלטה אחת מושכלת של משתמש זהיר שמסרב ללחוץ על הקישור הנוצץ שנשלח אליו.

המכללה עם המלגות הכי טובות בדרום