צוות ה DFIR (Digital forensics and incident response) שלנו נקרא לסייע באירוע חדירה לארגון בתחום התשתיות בעקבות מתקפת פישינג. על פי CISA יותר מ-90% מהתקפות הסייבר המוצלחות מתחילות באימייל תמים לכאורה. איך נופלים בפח, ומה אפשר לעשות כדי לצמצם נזקים?
אורן פינחסוב, מומחה אבטחת מידע בצוות DFIR חברת 2BSecure
03.09.2025
יש לכם Firewall חכם? זיהוי איומים מתקדם מבוסס AI? שערי דוא”ל מאובטחים? נפלא, ועדיין שום מערכת לא מספקת 100% הגנה. מדי פעם מייל פישינג מתוחכם מצליח לעבור את כל הסינונים ולנחות בתיבת הדואר של עובדי החברה. מהרגע הזה, הרבה מאוד תלוי ביכולת של העובד/ת לזהות את האיום (ושל הארגון להתמודד אתו) – כאשר נקודת התורפה האנושית הזאת היא בדיוק הדבר שאליו התוקפים מכוונים.
כ1/3 מהעובדים בכל ארגון “פגיעים לפישינג”
על פי CISA יותר מ-90% מהתקפות הסייבר המוצלחות מתחילות באימייל פישינג. לעומת פריצה קלאסית, פישינג הוא פשוט, זול ויעיל. נוסף על כך, בעידן ה-GenAI, יצירת מייל פישינג הפך להיות תהליך קל, וזיהוי פישינג קשה מתמיד. תוקפים משתמשים בטכנולוגיה כדי ליצור מיילים כמעט מושלמים, כולל חיקוי סגנון כתיבה והתאמה אישית. זה גורם למיילים לעבור כאמינים במיוחד, ומעלה את הסיכוי של הקורבנות ליפול בפח, והם אכן נופלים. על פי דוח שפורסם השנה כ-1/3 מהעובדים נחשבים “פגיעים לפישינג”. ולצורך חדירה למערכות הארגון, לפעמים מספיק גם עובד/ת אחד.
כצוות DFIR (Digital forensics and incident response) ייעודי, אנו נקראים לחברות שקיים חשש שהן נמצאות תחת מתקפת סייבר, או לחברות שחוו מתקפת סייבר, במטרה לתחקר את המקרה באופן מעמיק, להכיל את האירוע במידת הצורך, לנסות לצמצם נזקים, ולהבטיח שלא נשארו שרידים זדוניים למתקפה.
בארגון מתחום התשתיות נפלו בפח מספר עובדים, אולם הבעיה היא שאותם א.נשים שנפלו בפח, המשיכו להפיץ הלאה את האימייל בתוך הארגון, כאשר במקרה זה, המייל הגיע מכתובות אימייל אמיתיות של עובדים בחברה
אירוע פריצה מהחודש האחרון: מתקפת הפישינג הפילה בפח מספר עובדים, והתוקפים ניצלו זאת כדי להעמיק את החדירה
בארגון מתחום התשתיות המונה כמה מאות עובדים, נפלו בפח מספר עובדים, אולם הבעיה היא שאותם א.נשים שנפלו בפח, המשיכו להפיץ הלאה את האימייל בתוך הארגון, כאשר במקרה זה, המייל הגיע מכתובות אימייל אמיתיות של עובדים בחברה, ולכן הוא עבר כאמין יותר.
התוקפים נקטו בטקטיקת פישינג שעושה שימוש בדומיין לגיטימי כדי להטעות משתמשים. לדוגמה, קישור כמו זה:
במבט ראשון, הקישור נראה תמים. הוא מתארח על stripe.com, פלטפורמה מוכרת ואמינה. אבל בתוך הקישור מסתתרת הפניה חדשה לאתר חיצוני חשוד. ההפניה מובילה את המשתמש לתצוגה של מסמכים מזויפים, למשל:
כאשר המטרה היא לגרום למשתמשים לחשוב שהם פותחים מסמך ב-OneDrive או ב-Google Docs, בעוד שלמעשה, הם מועברים לדף שמטרתו לגנוב פרטי גישה או להפיץ malware. כאמור, מספר מצומצם של עובדים נפלו בפח.
לאחר שהם הזינו את פרטי ההתחברות בדף המזויף, התוקפים קיבלו גישה לחשבונות שלהם, והחלו לשלוח את אותם קישורים מזיקים גם פנימה בתוך הארגון וגם לשותפים חיצוניים.
בשלב זה, המיילים נשלחו מתוך חשבונות אמיתיים, כך שהנמענים סמכו עליהם, והאירוע החל לצבור תאוצה של ממש.
המצב הוחמר בשל העובדה שלא הופעלMulti-Factor Authentication (MFA) , כך שהתוקפים התחברו בקלות יתרה לתוך הארגון. למרות שבארגון הותקנה פלטפורמת הגנת דוא”ל, הצוות לא היה מיומן מספיק, ולא ידע איך להפעיל אותה בזמן אמת. דבר זה הוביל לעיכובים בזיהוי, בחסימה ובהסרה של ההודעות, והשאיר לתוקפים פתח להעמיק את החדירה. והתוצאה: המייל הופץ בחברה וגם בחברות הבנות.
נזק שפחות חושבים עליו: מרגע שנודע על הפריצה, לקוחות החברה חסמו אותה לפעילות
ברגע שהארגון עלה על זה שיש פריצה, הם הודיעו ללקוחותיהם כי נפרצו. כיוון שהם עובדים עם חברות ממשלתיות, רוב לקוחותיהם חסמו אותם לפעילות עד קבלת אישור שהאירוע הסתיים. המשמעות היא פגיעה ביכולת העבודה של הארגון במשך כשבוע-שבועיים, וגרימת נזקים כספיים משמעותיים כתוצאה מכך.
אבל יכול היה להיות הרבה יותר גרוע. למשל, נניח שהארגון אמור לקבל תשלום, מרגע שפרצו לחשבונות האימייל של אנשי מפתח, הפורצים יכלו בקלות להעביר פרטי חשבון בנק אחר להעברת התשלום, כבקשה לכאורה לגיטימית מטעם עובד החברה. בנוסף, הם יכלו לגנוב מידע ולפרסם אותו, הם יכלו להוציא חשבוניות עם בקשות לתשלום, לבקש העברות של כספים ועוד.
לאחר שלא הצליחו להתמודד לבד עם הפריצה, פנו אלינו. כחלק מהתהליך, צוות ה-DFIR סייע להם לתפעל את מערכת הגנת המיילים, לנקות את התשתית הארגונית ולספק מנגנונים להגנה עתידית.
הסיכון הגדול במתקפות מסוג Open Redirect Abuse
המתקפה הזאת שייכת לסוג מתקפות שנקרא Open Redirect abuse. במסגרתן, שירות אמין (במקרה הנוכחי זה היה Stripe שמשתמשים בו כDomain Abuse ) מציע עמודים שבהם יש פרמטר בשם url=, המאפשר הפניית משתמשים לכתובת אחרת. התוקפים יוצרים קישור שנראה אמין במספר חלקים, אבל בתוכו מוחדר יעד זדוני. כאשר המשתמש לוחץ על הקישור, הדפדפן מפנה אותו לכתובת שהוזנה, מבלי שהמשתמש יבחין בכך. בדרך זו, התוקפים מנצלים את האמינות של דומיינים מוכרים כדי להסתיר את כוונותיהם הזדוניות. הדבר חמור במיוחד, שכן מערכות אבטחה רבות אינן מסמנות קישורים כאלה כחשודים.
למה זה כל כך אפקטיבי? המשתמש רואה כתובת מוכרת כמו stripe.com ומרגיש בטוח. היעד האמיתי של הקישור מסתתר בפרגמנט (#url=…) שלא תמיד מוצג באופן ברור. זה אפקטיבי במיוחד כשמדובר בהתחזות לדפי Login של מותגים מוכרים מאוד, כמו Microsoft או Google.
איך תזהו אם מייל באמת לגיטימי?
אם מייל חשוד הצליח לעבור את הסינון, הנה כמה כלים פשוטים לזיהוי:
1. רחפו עם העכבר מעל הקישורים – ראו לאן הם באמת מובילים.
2. שימו לב לדחיפות מוגזמת – ניסוחים כמו “תוקף המסמך שלך יפוג מחר” הם סימנים אופייניים לפישינג.
3. בדקו את השולח – האם כתובת ה-reply תואמת לשם המוצג? אם מישהו מכתב את עצמו, יש כאן משהו משונה.
4. בקשות הזדהות לא צפויות – אם נדרש להתחבר כדי לראות מסמך, עצרו ואמתו את המקור.
5. שגיאות כתיב או ניסוח קלוקל – למרות שהבינה המלאכותית שיפרה את איכות ההתחזות, עדיין יש רמזים.
6. בדקו את הדומיין – האם קישור למסמך ב-OneDrive אכן שייך ל-microsoft.com? אם לא, תגגלו אותו בעצמכם, אל תלחצו.
טיפ בונוס: כמה מילים על Account Takeover (ATO)
נניח שמישהו בארגון נפל בפח, וכאמור, כמעט תמיד יש מי שנופל בפח, מתקפת הפישינג הצליחה, ותוקפים השתלטו על חשבונות של עובדים – וקיבלו גישה לדוא”ל הפנים-ארגוני. מרגע שיש להם גישה, הם יכולים:
1) להפיל בקלות בפח א.נשים נוספים, באמצעות שליחת המייל הזדוני ממקור לגיטימי.
2) לגשת למידע רגיש.
3) לבצע פעולות פיננסיות לא מאושרות.
4) להפיץ malware בתוך הרשת.
אז איזה אמצעי הגנה אפשר לנקוט, שימנעו נזק נוסף מרגע שיש השתלטות על חשבונות של עובדים? למקרה כזה, חשוב להצטייד מראש בכלי אבטחה שיודעים לסרוק גם תעבורת דוא”ל יוצאת, כולל:
• התרעות בזמן אמת על פעילות חריגה
• זיהוי התנהגות חשודה כמו שליחת קישורים זדוניים
• איתור חדירה שכבר הצליחה – לפני שנגרם נזק רחב
בסדר, הבנו, אין 100% הגנה. מה בכל זאת אפשר לעשות?
על מנת להפחית את הסיכון להתקפות מסוג זה, הנה כמה המלצות:
• השתמשו בפתרונות Email Security מתקדמים – עם ניתוח קישורים, זיהוי redirect ו-AI
• ערכו הדרכות וסימולציות פישינג שוטפות למשתמשים
• הפעילו סריקה של תעבורת דוא”ל יוצא (outbound scanning)
• בדקו היטב קישורים
• דווחו על כל מייל חשוד לצוות אבטחת המידע
לבסוף, זכרו, לעשות שימוש בכלי אבטחה מתקדמים זה חשוב מאוד, אבל במתקפות מסוג זה בסופו של דבר, שיקול הדעת של המשתמש הוא היחידי שיקבע האם התקיפה תצליח או תימנע. לכן מבין כל הסעיפים, אולי החשוב ביותר הוא דווקא השקעה בהדרכות וסימולציות שוטפות לעובדים.
למידע נוסף על הפתרונות שלנו בתחום שירותי ניתוח פורנזי מתקדמים, חקירות DFIR מורכבות ומתן פתרונות מותאמים אישית להגנה על הארגון שלכם – מוזמנים לפנות אלינו.
