גלובס - עיתון העסקים של ישראלאתר נגיש

הודעות פייק שונות שנשלחות לישראלים / צילום: צילומי מסך

על רקע המלחמה, ובמיוחד המערכה מול איראן, עולים ניסיונות חוזרים ונשנים של האקרים ותוקפים המזוהים עם איראן ליצור בהלה בקרב הישראלים. אלה פועלים בכל מיני דרכים דרך הרשת כדי לפגוע, ולגרום לכניסה לקישורים שיובילו את הלוחצים לעמודי נחיתה זדוניים, שם יידרשו לספק מידע אישי - כמו פרטי כרטיס אשראי - או שיורידו קובץ זדוני למכשיר.

התוקפים לא בהכרח מחפשים את המידע האישי שלכם, אלא מעוניינים לייצר פאניקה. מומחים שונים מגדירים זאת כמלחמת תודעה של ממש, שמטרתה להפעיל לחצים פנימיים על המתרחש במדינת ישראל. אז איך מתמגנים?

"עזבו את חיפה מיד"

במהלך סוף השבוע האחרון, קיבלו מערך הסייבר הלאומי ופיקוד העורף דיווחים מאזרחים על שיחות טלפון המתחזות לפיקוד העורף, ומגיעות מהמספר 073-3103014, ושבהן נאמר להכין ציוד חירום, וחלקן קוראות לגלוש לאתר אינטרנט מסוים לקבלת הנחיות. במערך הסייבר הבהירו כי מדובר בהתחזות, וכי אסור לגלוש לאתר המוזכר בשיחה. השיחות האלו נשמעות כמו שיחות מוקלטות מהסוג שמבקש תרומות, אבל למעשה מדובר בניסיון ליצירת בהלה.

דוגמה נוספת: ממש לאחרונה התקבלה התרעה חמורה מעיריית חיפה לתושבים - על דליפה של גז אמוניה. כך נכתב בהודעה: "עיריית חיפה: קיימת אפשרות לזיהום ודליפה של גז אמוניה עקב פגיעת טילים במכלים ובמתקנים כימיים. עזבו את חיפה מיד", ומצורף קישור.

בעיריית חיפה הבהירו, כי מדובר בניסיון פישינג, וכי אסור ללחוץ על הלינק המצורף. נוסף על כך, הודעות נוספות נשלחו מהשולח "SOS", שם כתוב: "אנחנו במצב מלחמה, תביאו איתכם למקלטים מספיק מזון, מים, לחם, וכסף לשבוע ימים לפחות".

מומחים מסבירים כי מדובר בהודעות שלא עומד מאחוריהן גורם רשמי מהימן, וכי חשוב לעקוב רק אחרי הדיווחים הרשמיים וההנחיות הרשמיות של פיקוד העורף. למעשה, מדובר ביכולות שהיו לאיראן קודם, וכעת הניסיונות האלו ממוקדים סביב המצב וסביב קמפיינים של דיסאינפורמציה ופחד בציבור.

"ההאקרים שולחים הודעות בוואטסאפ, במייל ובהודעות. התוקפים הקימו עמודי טלגרם חדשים בעברית - שם כותבים שיהרגו את כולנו", מסביר גיל מסינג, ראש המטה ומערך התקשורת הגלובלית בצ'ק פוינט. דוגמה להודעה בוואטסאפ: "שמעתי הייתה נפילה באזור מגורים שלך".

כעת ניתן לראות שהצטרפו לקבוצות האיראניות האלו גם קבוצות תקיפה שמזוהות עם רוסיה. המומחים מסבירים שיש ניסיונות של איראנים לגייס ישראלים תמורת תשלום - כשהפעם המשימה היא לצלם מיקומים של נפילות. "זה כבר אזור אחר מתבהלה ופחד, זה אומר לבוא ולעזור להם להבין יותר טוב איפה הם פגעו ואיך להשתפר".

"מזייפים בעזרת AI"

Handala היא קבוצה איראנית בולטת ואגרסיבית בתחום הסייבר נגד ישראל. הקבוצה מזוהה עם משרד המודיעין האיראני, ונחשבת הלכה למעשה לשלוחה של משמרות המהפכה. הקבוצה הזו ביצעה בחודשים האחרונים כל מיני מתקפות, וטענה בחשבונות שלה להצלחות שונות, כמו פריצה למערכות מידע או מערכות קריטיות במדינת ישראל.

עוד מיוחסות לקבוצה שיטות מתקדמות, כמו מתקפות פישינג מתוחכמות. עם זאת, מומחים מסבירים כי מדובר בקבוצה שמפיצה פייק ניוז, וטוענת שביצעה המון מתקפות שעבדו - אך אין הוכחה לכך.

קבוצת התקיפה הזו שלחה עשרות אלפי מיילים לישראליים, שנועדו להפחיד, בטענה שפרצו לחברת תקשורת 099. "הספירה לאחור החלה, נותרו לכם שעות", כך נכתב.

לדברי המומחים מדובר בהודעות הפחדה נטו. "Handala עושה הרבה מאוד רעש. לפעמים יש לה הצלחות, הרבה פעמים זה המון שקרים", מסביר רפאל פרנקו, מייסד ומנכ"ל חברת ניהול משברי הסייבר קוד בלו.

"היום הם פרסמו שהם תקפו חברת דלקים ואנרגיה וחברת רחפנים. ככל הנראה תגובה על ההצלחות שלנו. בדקנו, וזיהינו שהמידע שהם פרסמו שאותו אספו הומצא וזויף על ידי בינה מלאכותית". עם זאת, יש לציין, כי פרנקו והצוותים זיהו יום לאחר מכן כי קבוצת התקיפה פרסמה עוד מקבץ נתונים מהמתקפה, ושם הנתונים נראו אמינים יותר.

יתרה מכך, ביממה האחרונה, Handala טוענת לפריצה למכון ויצמן וטוענת שהצליחה לחלץ 4 טרה-בייט של מידע מסווג. הפורצים המזוהים עם איראן מאיימים לפרסם את המידע. לא נמסרה תגובה ממכון ויצמן על כך.

הקבוצה אחראית לפייק עצום ברשת, בניסיון נוסף לייצר לחץ אדיר בקרב האנשים. חלק מההודעות הן על שיחות טלפון מקידומות לא מוכרות, והטענה היא שמדובר ב"ניסיון איראני לנטר מיקומים וכתובות" רק אם תענו לשיחה.

על כך מומחים מסבירים שאכן יש שיחות כאלו, ואכן אלו תוקפים פוטנציאליים, אבל אין יכולת לגלות כך את המיקום או את הכתובת שלכם. פרנקו מסביר, כי "לא ניתן באמצעות חיוג לקבל גישה לנתוני מיקום של המכשיר, גם אם עונים לשיחה.

"מובן שאם לוחצים על קישור זדוני ומאפשרים לו נתוני גישה של המכשיר, אז כן אפשר להגיע למידע הנ"ל. אסור לשתף עם זה פעולה".

ג'ון הלטקוויסט, אנליסט ראשי ב-Google Threat Intelligence Group, מוסר לגלובס כי "לאיראן יש היכולת לבצע ריגול סייבר ומתקפות סייבר משבשות, כמו גם מבצעי מידע כמו קמפיינים של פריצה והדלפה. רבות מהפעילויות הללו זכו להצלחה מוגבלת. לדוגמה, למרות שאיראן ביצעה כמה מתקפות סייבר משבשות רציניות, רבות מהן נכשלו, ושחקנים איראניים פרסמו שוב ושוב טענות שקריות ומוגזמות כדי לחזק את השפעתן. מטרתן של רבות מהפעולות הללו היא פסיכולוגית ולא מעשית, וחשוב לא להפריז בהערכת השפעתן".

מה אסור לעשות?

איך מתמגנים? במערך הסייבר מבהירים כי "פיקוד העורף אינו פונה לאזרחים בשיחות טלפון אוטומטיות, ואינו יוזם שיחות הכוללות הנחיות התגוננות או קישורים לאתרים - אלא אם פניתם אליו מיוזמתכם". לכן, עלינו להתייחס רק להודעות ולהנחיות שמתקבלות בערוצים רשמיים, כמו אפליקציה ואתר פיקוד העורף.

אסור ללחוץ על קישורים שנראים חשודים, ואם ההודעה נראית חשודה במיוחד - להטיל בה ספק. עוד ממליצים במערך הסייבר לשתף מידע רק ממקורות מקוריים ואמינים. ביחס לשיחות טלפון, אין מניעה לענות, וזה לא מספק מידע לצד השני - אבל להבין שאלו עשויות להיות מתקפות.

מסינג מסביר, כי "המטרה שלהם זה שנפעיל לחץ על ההנהגה לעצור את המלחמה. הם מנסים לדלג על התקשורת ועל מערכות השלטון ישירות לאזרחים כדי לגרום להחלטות פזיזות". ולכן, לדבריו, עלינו לפעול בדיוק ההיפך ממה שהם רוצים. "הם רוצים את שיתוף הפעולה שלנו? אסור לתת להם את זה. רוצים שנשתף מידע? לא לשתף. מתקשרים אליכם ממספר בעייתי, או קיבלתם הודעה מלחיצה, תדווחו על זה למשטרה או למערך הסייבר, כדי שיהיה אפשר לבלום את התוקפים".

עוד הוא מוסיף: "התוקפים יכולים להתחזות לגופים ממשלתיים, לגורמי הצלה או לגורמים צרכניים. אם יותר ידווחו - כך ניתן יהיה לבלום זאת".