![[object Object]](/wp-content/uploads/2021/01/27/08/מורידים.-נכנסים.-מתאהבים.-דף-כתבה-מובייל.png)
זה התחיל כמו סיפור מוכר מדי: הזמנה למלון, חופשה שמתקרבת והודעת ווטסאפ שנשמעת דחופה. אבל במקרה הזה, בצד השני של המסך לא ישב תייר תמים, אלא איש סייבר התקפי עם הכלים, הידע והסבלנות ללכת עד הסוף.
לידור לוי, ראש צוות סייבר התקפי בחברת CyberWall Global, הזמין לפני כמה חודשים מלון בארצות הברית דרך Booking. לפני מספר ימים קיבל הודעת ווטסאפ שנחזתה להודעה רשמית מבוקינג ומהמלון עצמו. "כבר פה נדלקה לי נורה אדומה, אבל חייבים להודות - זה היה עשוי מאוד משכנע".
בהודעה הופיעו כל פרטי ההזמנה: שמו המלא, תאריכי השהייה, מספר ההזמנה ואפילו המחיר. ההודעה דרשה להזין מחדש פרטי אשראי לצורך "אישור מחדש" של ההזמנה, תוך איום ברור: אם לא תתבצע פעולה בתוך 24 שעות - ההזמנה תבוטל. "מישהו שלא מהתחום היה יכול ליפול בזה בקלות", אומר לוי. "הכול נראה אחד לאחד כמו בוקינג".
לוי נכנס ללינק והאתר נראה אמין לחלוטין: לוגו של Booking, ממשק זהה והפרטים שלו כבר מוזנים בפנים. אלא שכאן, במקום להיבהל - הוא התחיל לחקור.
השלב הראשון היה בדיקה בסיסית אך קריטית: מי עומד מאחורי האתר. "בדקתי מתי הדומיין נרשם, מי הבעלים שלו, ואיפה הוא מאוחסן", הוא מספר. התוצאה הייתה חד־משמעית: דומיין חדש, שנרשם רק ב־2025, ללא קשר רשמי לבוקינג. במקביל, הוא יצר קשר ישיר עם המלון ועם Booking. התשובה הייתה ברורה: "הם לא שלחו את ההודעה, ולא פועלים כך מול לקוחות. הבנתי שיש כאן משהו גדול יותר".
בשלב הזה, לוי כבר לא הסתכל על האירוע כעל ניסיון הונאה אישי. הוא שיתף שני חברים מצוות הסייבר שלו - ניב כוחן ואדם כחלון - ושלושתם החלו לנתח את אתר הפישינג באותם כלים שבהם הם משתמשים ביום־יום בעבודתם - כלים התקפיים, שנועדו בדרך כלל לבדוק עד כמה מערכות של ארגונים עמידות בפני פריצה.
בממשק האתר הם גילו צ’אט שנראה כמו שיחה עם נציג שירות, אך בפועל היה זה צ’טבוט פשוט, שכל פרט אישי שהוזן אליו הועבר ישירות לתוקף. בהמשך זיהו גם חולשת Cross-Site Scripting (XSS) - פרצה שמאפשרת להחדיר קוד JavaScript לאתר ולגנוב מידע ממשתמשים. "זו חולשה מאוד מוכרת, אבל כשמשלבים אותה באתר פישינג, היא עושה את העבודה בשביל התוקף".
נקודת המפנה הגיעה כשמצאו באתר מנגנון להעלאת קבצים. התוקף השתמש בו, אך לא אבטח אותו היטב. בעזרת מניפולציות, הצליח הצוות להעלות קובץ PHP זדוני שכלל Webshell, כלי שמאפשר להריץ פקודות מרחוק על השרת. מכאן, המעבר ל-Reverse Shell - חיבור שבו השרת עצמו "מדבר חזרה" ומאפשר שליטה עמוקה יותר - היה טבעי. "ברגע הזה הבנו שאנחנו כבר לא בצד שמנסה להתגונן, אנחנו בתוך המערכת שלו".
על השרת חיכתה תמונה מטרידה. תיקיות מסודרות לפי מותגים: Booking, בנקים מכל העולם, רשתות מלונות, ומאות חברות נוספות. מאגרי נתונים פתוחים, עם פרטי התחברות גלויים. "נכנסנו לדאטה־בייס וראינו את הכל: שמות, מיילים, מספרי אשראי ופרטי הזמנות".
מעבר למידע עצמו, נמצאו גם הודעות של קורבנות. אנשים שהבינו שנעקצו, התחננו שיחזירו להם את הכסף וניסו ליצור קשר. "זה היה החלק שהכי טלטל אותנו. הבנו שאנחנו אולי לא נפגענו, אבל אחרים כן - והרבה". להערכת הצוות, התוקף פעל כך במשך יותר משלוש שנים, וגרף עשרות אלפי דולרים, אם לא יותר.
בשלב הזה התקבלה החלטה לא שגרתית. "אמרנו לעצמנו שאם כבר יש לנו גישה, ואם אנשים נפגעים, אנחנו לא יכולים פשוט ללכת", אומר לוי. הצוות מחק את מסדי הנתונים - שלושה דאטה־בייסים שלמים - כולל כל המידע שנאסף. בנוסף, הם השביתו את האתר, סגרו את יכולת העלאת הקבצים, והפילו את תשתית הפישינג כולה. "החרבנו לו שלוש שנים של עבודה", הוא אומר בלי להתנצל. "נתנו לו לטעום מהתרופה של עצמו". העבודה נמשכה לילה שלם, עד שהיו בטוחים שהמערכת הושבתה לחלוטין.
כל המהלך תועד. לאחר מכן יצר הצוות קשר עם Booking. "הם היו בשוק”, מספר לוי. “הם אישרו שמאגר הנתונים של המלון אכן נפרץ”. בחקירה התגלו מאות כתובות URL עם תבניות פישינג, וקודים ייחודיים לכל קורבן - מנגנון שמאפשר לתוקף לעקוב אחרי כל מי שנפל בפח. על פי הממצאים, ההערכה היא שהתוקף פעל מהודו.
לוי מסכם במסר פשוט, אך קריטי: "לא לוחצים על לינקים שלא מכירים. ואם מבקשים מכם פרטי אשראי - תמיד, אבל תמיד, לוודא ישירות מול הגורם הרשמי".
הסיפור הזה הוא תזכורת לכך שבעולם הסייבר, לא כל הודעה דחופה היא אמיתית - אבל לפעמים, ניסיון הונאה אחד קטן, שנשלח לאדם הלא נכון, יכול למוטט תעשיית פשיעה שלמה.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו