לא חייבים לפרוץ לאייפון: מאחורי הפריצה לטלגרם של נפתלי בנט

קבוצת ההאקרים האיראנית "חנדלה" טענה אמש (רביעי) כי הצליחה לחדור לטלפון הנייד של ראש הממשלה לשעבר נפתלי בנט, ואף העניקה למהלך שם: "מבצע תמנון: נפתלי בנט נפרץ". בנט עצמו הכחיש תחילה את הטענות, אך כעבור כמה שעות מסר כי "לאחר בדיקה מסתמן שהושגה גישה לחשבון הטלגרם בדרכים שונות". בריאיון ל-N12 מסביר ד"ר יניב לויתן, מומחה ללוחמת מידע מאוניברסיטת חיפה, כיצד נראות מתקפות מהסוג הזה מבפנים, מי אמור לטפל בהן - ואילו לקחים צריכים להדאיג לא רק בכירים, אלא כל ישראלי.

"זה פחות סייבר, יותר לוחמה פסיכולוגית", אומר לויתן. "האירוע הזה הוא 100% ניסיון איראני להביך, להשפיל, והוא חלק ממסע הנקמה האיראני בעקבות ההישגים של ישראל במלחמה". לדבריו, "מלכתחילה, הדגש האיראני הוא על כותרות. יש פה הרבה מאוד קופי-רייטינג, 'מבצע תמנון'. המטרה של האירוע הזה היא להיות עד כמה שאפשר בתקשורת ובכותרות בישראל, כחלק ממהלכי התודעה של האיראנים".

מבחינה טכנולוגית, הוא מדגיש, לא מדובר בהכרח בפריצה מתוחכמת במיוחד. "מבחינת אירוע סייבר, זה לא כזה אירוע משמעותי, מה שהאיראנים עשו. ממה שאנחנו יודעים עד עכשיו, בעולמות הסייבר בדרך כלל רב נסתר על הגלוי". לדבריו, עצם פרסום החומרים והתגובה של בנט מלמדים שכנראה הייתה חדירה כלשהי - אך לא ברור כיצד. "האיראנים טוענים שהם פרצו לאייפון. אני לא יודע אם זה המצב, כי לפרוץ לאייפון זה מורכב - זה אפשרי אבל זה מורכב".

"ההאקרים לא צריכים ללכת עד הסוף"

המידע, מסביר לויתן, יכול היה להיגנב מבלי שהטלפון עצמו נפרץ. "אין צורך מבחינתם לפרוץ לאייפון – הם לא צריכים ללכת עד הסוף כדי להשיג את ההישג התודעתי. את ההישג התודעתי הם כבר השיגו". לדבריו, ייתכן שהגישה למידע הושגה בכלל דרך מחשב שבו בוצע גיבוי מהטלפון הנייד של בנט: "מספיק שלטלפון של בנט היה גיבוי במחשב שלא היה מאובטח - יכול להיות שמשם גנבו את המידע, ואז טענו כאילו נפרץ האייפון".

כששואלים אותו על שיטות התקיפה הנפוצות, לויתן מונה שלוש דרכים עיקריות. הראשונה - ניצול פרצות אבטחה מתקדמות, במה שמכונה מתקפת אפס ימים (Zero-day attack): "זו טכניקה שמאפשרת לך לפרוץ לאייפון וכמעט בלתי ניתן לעצור מתקפה כזו. מדינות שהן מעצמות סייבר יכולות לבצע את זה".

השיטה השנייה פשוטה בהרבה: "הנדסה חברתית ופישינג. כאן כמעט כל אחד יכול לפרוץ לסביבת המידע שלנו, כי מתחזים - היום עם כלים של בינה מלאכותית זה מאוד קל – יוצרים איתך קשר ואומרים: 'אני מתמיכה של כך וכך, תמסור לי בבקשה את הקוד שקיבלת', או שפורצים לחשבונות הגיבוי".

הדרך השלישית היא גישה פיזית למכשיר: "יכול לעמוד מישהו מאחוריך ופשוט להביט בקוד שאתה רושם כדי לפתוח את המכשיר, וכשאתה לא שם לב הוא פותח את המכשיר ושולח ממנו את המידע".

כך מגיעים למידע של בכירים

קבוצת "חנדלה", שנטלה אחריות למתקפת הסייבר על בנט, ידועה כקבוצת האקרים איראנית הפועלת במסגרת מערך הסייבר ההתקפי של איראן. הקבוצה הפכה לאחד מהשחקנים המרכזיים בזירת מתקפות הסייבר נגד ישראל, ונטלה אחריות לשורה של פריצות למוסדות ישראליים מאז תחילת המלחמה.

העובדה שמדובר שוב בבכיר ישראלי אינה מפתיעה את לויתן, במיוחד נוכח מקרים קודמים - בהם הפריצה לטלפון הנייד של בני גנץ ב-2019, אז מועמד מוביל לראשות הממשלה. רק בחודש ספטמבר פרסמה קבוצת האקרים טורקית את מספר הטלפון הנייד של שר הביטחון ישראל כ"ץ, ואחד מחבריה אף הצליח להתקשר אליו - כשכ"ץ ענה בטעות בשיחת וידאו, על אף שניסה לנתק. ההאקרים פרסמו בהמשך גם צילום מסך מהשיחה.

לדבריו, "ברגע שארגון סייבר רציני שם לעצמו מטרה להגיע ליעד מסוים וישקיע בזה משאבים - זה יכול לקחת חודשים, זה יכול לקחת גם שנים, אבל בסופו של דבר הקורבן ייפרץ". לכן, הוא אומר, "אנחנו צריכים להיות כל הזמן מודעים לנושא הזה ואפילו להיות פרנואידים כשזה מגיע לסייבר".

נקודת המוצא של הדרגים הבכירים, מבהיר לויתן, חייבת להשתנות: "אנחנו צריכים לצאת מנקודת הנחה שהמידע הדיגיטלי שלנו יזלוג. ולכן, מבחינת בכירים, הם אמורים להסתובב עם שני מכשירים: מכשיר אחד שבכלל לא מחובר לרשת ומכשיר שני שיוצאים מנקודת הנחה שהמידע שבו יזלוג".

מי אמור לטפל באירוע כזה? לדברי המומחה, הגורמים המוסמכים הם שירות הביטחון הכללי, שלדבריו "כנראה מבצע את החקירה העיקרית עכשיו", ובהמשך גם מערך הסייבר הלאומי, ואולי אף היחידה לאבטחת אישים אם עולה חשד להגעה פיזית למכשיר עצמו. "אני בטוח שייקחו את האירוע הזה ברצינות יתרה ויסיקו ממנו מסקנות".

ומה הלקח לציבור הרחב? "המלחמה במרחב הסייבר ובמרחב התודעה לא הסתיימה", הוא אומר. "האויבים שלנו מנסים וימשיכו לנסות לפגוע בנו בסייבר. כולנו כישראלים, ובטח כבכירים – לא רק בסביבה הפוליטית אלא גם בסביבה העסקית – צריכים להיות מודעים לכך שכולנו מטרה". בין ההמלצות: אימות דו-שלבי לאפליקציות, אבטחת מחשבים שמחוברים לחשבונות וואטסאפ וטלגרם, והנחת יסוד שכל הודעה או לינק עלולים להיות ניסיון תקיפה. "אם יש מידע רגיש, שווה להחזיק אותו במכשיר שלא מחובר לאינטרנט, שלא ניתן לתקוף אותו", הוא מדגיש. "זה נכון לכל ישראלי".