האקרים איראנים פרצו לתיבות מייל של גורמים בכירים בישראל, וביניהם: פוליטיקאים, אלוף בצה"ל, אנשים מהעולם העסקי, ומעולם המחקר. ענת דוידוב ביקשה לשוחח עם דובר 'צ'ק פוינט' גיל מסינג אשר הביא פרטים נוספים על חשיפת ועצירת תשתית הטרור האיראנית.
"אנחנו מדברים על מבצע של חצי שנה שבמהלכו קבוצה איראנית דיי מוכרת מצליחה לפרוץ למיילים של גורמים בכירים ישראליים, מתחום המחקר ואלוף לשעבר במילואים", הסביר מסינג בפתח השיחה. "הם נכנסים למיילים , רואים את התכתובות ומשם יוצרים קשר עם אותם המיילים המקוריים שלהם עם גורמים נוספים, אחת מהן זו ציפי ליבני, שרת החוץ לשעבר. אנחנו כמובן לאורך כל התהליך הזה מלווים את כל הקבוצה הזאת, זאת קבוצה רחבה היא כוללת אנשים גם מהעולם העסקי, עולם המחקר ושגריר ארה"ב לשעבר בישראל, שהם כמובן בתוך כל התהליך הזה יחד איתנו להבין מה קורה".
עוד ציין מסינג הוא אינו שופט אף גורם שביקש לא להזדהות, והדגיש כי ליבני נהגה כראוי. "היא הביאה לידנו את החשדות שלה. כשהיא קיבלה את אותו מייל מאדם שהיא מכירה, אותו אלוף במילואים, מהמייל המקורי שלו, היא התבקשה להקליד את הסיסמה של המייל שלה על קובץ שהוא שלח לה, זאת הייתה הזמנה לחו"ל, והתעורר החשד שלה. היא הלכה לדבר עם אותו גורם והוא אמר לה שהוא לא מבין על מה מדובר בכלל וכאן היא הבינה שיש פה משהו קצת חשוד. היא פנתה אלינו והתחלנו לחקור את זה. העניין של המודעות זה מה שאפשר את המעקב פה, את החקירה, ולהביא לגילוי התשתית הזאת שעד לפני שבוע היא הייתה פעילה".
כזכור, לפני כשבועיים פורסם אודות מקרה דומה של פריצת האקרים איראנים. מסינג הבהיר כי מדובר בשני מקרים נפרדים: "הם מעידים על מוטיבציה איראנית מאוד גבוה לנסות להגיע לאנשים מכל מיני תחומים, כולם בפרופיל גבוה, ובעצם להונות אותם לעשות משהו שבסופו של דבר זה גניבת מידע. במקרה הקודם הם התחזו לחוקר זר, ובמקרה הזה שלדעתי הוא חמור יותר הם ממש פרצו לתיבות מייל אמיתיות של אנשים אמיתיים והתחזו אליהם. כשאנחנו מקבלים בקשה ממישהו שאנחנו מכירים כנראה ניטה יותר לבוא ולהסכים לה ולעשות את מה שהם רוצים, ולכן לצערי חלק מאותם גורמים בכירים נפלו בפח, הקישו את הפרטים ולפחות במקרה אחד גם ממש צילום דרכון של אותו גורם הועבר לאותה קבוצה איראנית שזה כמובן דבר חמור".
"כשהמידע נמצא בצד השני הוא יכול לעשות איתו ככל שהוא רוצה", אמר, והוסיף: "אם הוא נמצא בתיבת המייל שלנו הוא יכול לראות את המיילים, אנשי הקשר, לוחות הזמנים שלנו ואיפה אנחנו נמצאים. כשיש לו את הדרכון שלנו הוא יכול להשיג פרטים אישים שלנו שכתובים שם ואפילו לעקוב אחרי טיסות. כשתופסים את זה בזמן, ואני חושב שתפסנו את זה פה בזמן, אפשר לעשות פעולות לעצור את זה. למשל למנוע מאותו בן אדם לטוס לכנס בחול, וזה מה שקרה, הוא לא טס לכנס הזה כי הוא הבין שזה לא אמיתי, ואפשר להחליף דרכון. יש פעולות שאפשר לעשות שעוצרות את זה".
לדבריו, "הדבר הכי חשוב שקרה זה שבעצם יחד עם חברת גוגל הצלחנו לסגור את החשבונות האלו בהם האיראנים השתמשו. כרגע זה נבלם, גם מאמץ הקודם שהשב"כ פרסם נבלם. אנחנו צריכים לצאת מנקודת הנחה שמאמצים אחרים קורים במקביל. הם מנסים לבוא ולהגיע לאנשים עם פרופיל גבוה בישראל, לכל הפחות לעקוב אחריהם".
בתגובה לאמירותיו, תהתה ענת דוידוב באילו אמצעי הגנה אפשר להשתמש על מנת למנוע פריצות מסוג זה, ומסינג השיב: "הדבר הכי חשוב, ובמיוחד בעת הזאת, זה בעצם להסתכל בשבע עיניים על מי שולח לנו דברים במיוחד שמדובר בדברים שכוללים הזמנות לנסיעות לחו"ל או קבצים שמבקשים מאיתנו להקליד איזה שהיא סוג של סיסמה, שהם מוצפנים. זה צריך לדליק לנו נורות אזהרה והדבר שאני מציע לכל מי שמקבל את זה זה להסתכל מי שלח את זה, ואפילו לפנות לאותו גורם להגיד 'האם זה באמת אתה והאם זה באמת נכון'".
"כשאנחנו מקבלים מייל או בקשה, לפתוח משהו מגורם שאנחנו לא מכירים, אנחנו צריכים להיות מאוד חשדניים ופשוט לא ללחוץ על זה. זה העולם שאנחנו חיים בו. כשזה מגיע מאדם שאנחנו כן מכירים צריך לקחת בחשבון שיש קבוצות שזה מה שהן עושות – פורצות לחשבונות האישיים ומזדהות כאילו הם אנחנו ואז מנצלות את ההיכרות המוקדמת ואת הידע האישי", הדגיש, "מודעות זה הדבר הכי חשוב וזה גם מה שעוצר את זה. להסתכל טוב טוב מאיפה אנחנו מקבלים את הדברים ולהיזהר מלפתוח קבצים או ללחוץ על לינקים שמבקשים מאיתנו משהו שהוא חשוד".
בהמשך, הבהיר מסינג כי מיילים מסוג זה יכולים להגיע גם מכתובות ישראליות ולא בהכרח רק מחו"ל. "הם נכנסים לכתובות קיימות ומתחזים לאנשים קיימים כאן. כל ההתכתבות שהייתה עם ליבני הייתה בעברית, חשוב להגיד את זה. היא הייתה בעברית, פה ושם היו שגיאות אבל עברית יחסית טובה. זאת גם נקודה יחסית חדשה. הם מתחכמים והם נהיים יותר מתוחכמים ויותר טובים במה שהם עושים. אני מקווה שנצליח להמשיך לבוא ולעצור אותם. צריך לצאת מנקודת הנחה שזה חלק מהחיים שלנו".
עוד התייחס מסינג לאופן זיהוי הקבוצות האיראניות: "בלי להיות טכני מדי, כשאנחנו מגיעים ועושים הנדסה לאחור ומגיעים לקבצים שהם שולחים אותם ולקוד שנמצא בתוך אותם קבצים ולתשתית שהם הקימו אנחנו רואים שני דברים - שימוש באותה פיסת קוד שהשתמשו בה בתקיפה 2020 כנד משתתפי כנס הביטחון במינכן, גם שם איראן הייתה בלב הדיון שם והם ניסו לתקוף דרך המייל כל מיני אנשים שהשתתפו שם, אותה פיסת קוד. הם גם הקימו פלטפורמה לנהל בה את כל התכתובות והפלטפורמה הזאת בכתובת האינטרנט שלה הייתה עם סיומת IR, סיומת של איראן".
"אנחנו עושים את כל הדברים האלו ביחד ובעצם יכולים לייחס את זה לאותה קבוצה מוכרת שקשורה למשמרות המהפכה. היא באמת מנסה להגיע לבכירים בכל מיני מקומות בעולם בדרך הזאת", טען.
בסיום השיחה, ייעץ מסינג לשנות בהגדרות האימייל לאימות דו שלבי. זאת על מנת למנוע מקרים נוספים בעתיד או לתפוס ניסיון פריצה ברגעיו הראשונים. "אני לא חושב שצריך להחליף את המיילים אני חושב שצריך להיות מאוד זהירים. אם פתחתם מייל שאתם לא בטוחים שהוא היה אמיתי, אם לחצתם על לינק שאתם חושבים שהוא חשוד - מיד להחליף סיסמה ולעשות את האימות הדו שלבי", סיכם.
עריכה: שני רומנו