מחקר מקיף של חברת צ'ק פוינט חשף היום (שלישי) כי האקרים איראנים פרצו לתיבות מייל של בכירים בישראל במשך לפחות חצי שנה, וביצעו תקיפות דיוג ממוקדות. היעדים היו גורמים פוליטיים, מדיניים, אקדמאיים ועסקיים בעלי פרופיל גבוה.

דובר החברה, גיל מסינג, שוחח עם ענת דוידוב ב-103FM והתייחס לאירוע אבטחת המידע החמור: " אנחנו מדברים על מבצע של חצי שנה, לפחות חצי שנה, שבמהלכו קבוצה איראנית דיי מוכרת מצליחה לפרוץ למיילים של גורמים בכירים ישראליים, מתחום המחקר ואלוף לשעבר במילואים. הם נכנסים למיילים , רואים את התכתובות ומשם יוצרים קשר עם אותם המיילים המקוריים שלהם עם גורמים נוספים, אחת מהן זו ציפי לבני, שרת החוץ לשעבר".

"אנחנו כמובן לאורך כל התהליך הזה מלווים את כל הקבוצה הזאת, זאת קבוצה רחבה היא כוללת אנשים גם מהעולם העסקי, עולם המחקר ושגריר ארה"ב לשעבר בישראל, שהם כמובן בתוך כל התהליך הזה יחד איתנו להבין מה קורה. היא הייתה בסדר עם לפרסם את השם שלה והיא אגב באמת נהגה פה נכון. היא הביאה לידנו את החשדות שלה, הוסיף.

עוד אמר: "הסיטואציה לא נעימה ויש פה הרבה פרטים שהם פרטים אישיים. מה שציפי לבני עשתה זה כשהיא קיבלה את אותו מייל מאדם שהיא מכירה, אותו אלוף במילואים, מהמייל המקורי שלו, היא התבקשה להקליד את הסיסמה של המייל שלה על קובץ שהוא שלח לה, זאת הייתה הזמנה לחו"ל, והתעורר החשד שלה. היא הלכה לדבר עם אותו גורם והוא אמר לה שהו אלא מבין על מה מדובר בכלל וכאן היא הבינה שיש פה משהו קצת חשוד והיא פנתה אלינו והתחלנו לחקור את זה. העניין של המודעות זה מה שאפשר את המעקב פה, את החקירה, ולהביא לגילוי התשתית הזאת שעד לפני שבוע היא הייתה פעילה".

בהמשך, התייחס לאירוע דומה שפורסם לפני כשבועיים ואמר כי "הם נפרדים והם מעידים על מוטיבציה איראנית מאוד גבוה לנסות להגיע לאנשים מכל מיני תחומים, כולם בפרופיל גבוה, ובעצם להונות אותם לעשות משהו שבסופו של דבר זה גניבת מידע. במקרה הקודם הם התחזו לחוקר זר, ובמקרה הזה שלדעתי הוא חמור יותר הם ממש פרצו לתיבות מייל אמיתיות של אנשים אמיתיים והתחזו אליהם. כשאנחנו מקבלים בקשה ממישהו שאנחנו מכירים כנראה ניטה יותר לבוא ולהסכים לה ולעשות את מה שהם רוצים, ולכן לצערי חלק מאותם גורמים בכירים נפלו בפח, הקישו את הפרטים ולפחות במקרה אחד גם ממש צילום דרכון של אותו גורם הועבר לאותה קבוצה איראנית שזה כמובן דבר חמור".

"קודם כל, כשהמידע נמצא בצד השני הוא יכול לעשות איתו ככל שהוא רוצה. אם הוא נמצא בתיבת המייל שלנו הוא יכול לראות את המיילים, אנשי הקשר, לוחות הזמנים שלנו ואיפה אנחנו נמצאים. כשיש לו את הדרכון שלנו הוא יכול להשיג פרטים אישים שלנו שכתובים שם ואפילו לעקוב אחרי טיסות", הוסיף.

לדבריו, "כשתופסים את זה בזמן אני חושב שתפסנו את זה פה בזמן אפשר לעשות פעולות לעצור את זה. למשל למנוע מאותו בן אדם לטוס לכנס בחול, וזה מה שקרה הוא לא טס לכנס הזה כי הוא הבין שזה לא אמיתי, אפשר להחליף דרכון. יש פעולות שאפשר לעשות שעוצרות את זה. הדבר הכי חשוב שקרה זה שבעצם יחד עם חברת גוגל הצלחנו לסגור את החשבונות האלו בהם האיראנים השתמשו. כרגע זה נבלם, גם מאמץ הקודם שהשב"כ פרסם נבלם. אנחנו צריכים לצאת מנקודת הנחה שמאמצים אחרים קורים במקביל. הם מנסים לבוא ולהגיע לאנשים עם פרופיל גבוה בישראל, לכל הפחות לעקוב אחריהם".

ציפי לבני (צילום: יונתן זינדל, פלאש 90)
ציפי לבני (צילום: יונתן זינדל, פלאש 90)

בהתייחסו לשיטות הפעולה בה משתמשת חברת טכנולוגיות תוכנה הישראלית, סיפר מסינג כי "שאנחנו מגיעים ועושים הנדסה לאחור ומגיעים לקבצים שהם שולחים אותם ולקוד שנמצא בתוך אותם קבצים ולתשתית שהם הקימו אנחנו רואים שני דברים - שימוש באותה פיסת קוד שהשתמשו בה בתקיפה 2020 כנד משתתפי כנס הביטחון במינכן, גם שם איראן הייתה בלב הדיון שם והם ניסו לתקוף דרך המייל כל מיני אנשים שהשתתפו שם, אותה פיסת קוד".

"הם גם הקימו פלטפורמה לנהל בה את כל התכתובות והפלטפורמה הזאת בכתובת האינטרנט שלה הייתה עם סיומת IR, סיומת של איראן. אנחנו עושים את כל הדברים הלאו ביחד ובעצם יכולים לייחס את זה לאותה קבוצה מוכרת שקשורה למשמרות המהפכה. היא באמת מנסה להגיע לבכירים בכל מיני מקומות בעולם בדרך הזאת", אמר.

"להיזהר מלפתוח קבצים או ללחוץ על לינקים"

בסיום, המליץ דובר החברה "להסתכל בשבע עיניים על מי שולח לנו דברים במיוחד שמדובר בדברים שכוללים הזמנות לנסיעות לחו"ל או קבצים שמבקשים מאיתנו להקליד איזה שהיא סוג של סיסמה, שהם מוצפנים. זה צריך לדליק לנו נורות אזהרה והדבר שאני מציע לכל מי שמקבל את זה זה להסתכל מי שלח את זה, ואפילו לפנות לאותו גורם להגיד 'האם זה באמת אתה והאם זה באמת נכון'".

כשאנחנו מקבלים מייל או בקשה, לפתוח משהו מגורם שאנחנו לא מכירים, אנחנו צריכים להיות מאוד חשדניים ופשוט לא ללחוץ על זה. זה העולם שאנחנו חיים בו. כשזה מגיע מאדם שאנחנו כן מכירים צריך לקחת בחשבון שיש קבוצות שזה מה שהן עושות – פורצות לחשבונות האישיים ומזדהות כאילו הם אנחנו ואז מנצלות את ההיכרות המוקדמת ואת הידע האישי", הוסיף.

לדבריו, "ודעות זה הדבר הכי חשוב וזה גם מה שעוצר את זה. להסתכל טוב טוב מאיפה אנחנו מקבלים את הדברים ולהיזהר מלפתוח קבצים או ללחוץ על לינקים שמבקשים מאיתנו משהו שהוא חשוד. זה יכול להגיע גם מהארץ כי הם נכנסים לכתובות קיימות ומתחזים לאנשים קיימים כאן. כל ההתכתבות שהייתה עם לבני הייתה בעברית, חשוב להגיד את זה. היא הייתה בעברית, פה ושם היו שגיאות אבל עברית יחסית טובה".

"הם מתחכמים והם נהיים יותר מתוחכמים ויותר טובים במה שהם עושים. אני מקווה שנצליח להמשיך לבוא ולעצור אותם. צריך לצאת מנקודת הנחה שזה חלק מהחיים שלנו. "הדבר הכי חשוב שאני מציע לכולנו זה בתוך ההגדרות של האימייל לעשות אימות דו שלבי, זה יגן על זה שאם מישהו מנסה להכנס למייל שלנו אז אחנו נוכל לדעת מזה. אני לא חושב שצריך להחליף את המיילים אני חושב שצריך להיות מאוד זהירים. אם פתחתם מייל שאתם לא בטוחים שהוא היה אמיתי, אם לחצתם על לינק שאתם חושבים שהוא חשוד - מיד להחליף סיסמה ולעשות את האימות הדו שלבי", סיכם.

סייעה בהכנת הכתבה: שני רומנו 103fm