התקפת פישינג ישירה ליומן שלכם. איך להתגונן?

מתקפת iCloud חדשה

הזמנה תמימה? לא ממש

בשבועות האחרונים נצפתה מתקפת פישינג חדשה ומתוחכמת. "פישינג" (דיוג) הוא ניסיון לגנוב מידע אישי על ידי התחזות לגורם אמין. במקרה זה, התוקפים משתמשים בטריק שמנצל את מנגנון הזמנות לוח השנה של iCloud (אפליקציית היומן של Apple).
איך זה נראה? ההזמנות נראות כאילו הן נשלחו ישירות משרתי הדואר של Apple. הן מגיעות מכתובת דוא"ל רשמית לכאורה: noreply@email.apple.com. הבעיה היא שהתוקפים משתמשים בשדה "הערות" של האירוע ביומן כדי להחדיר טקסט מתחזה.
שיטה זו מאפשרת להם לעקוף את מנגנוני הסינון הרגילים שנועדו לזהות דואר זבל או הונאות בתיבת הדואר הנכנס. כיוון שההודעה נראית אותנטית ומגיעה מכתובת שאינה מעוררת חשד, רבים פותחים אותה או מגיבים לה.

שיטת ההתחזות

איך התוקפים עוקפים את ההגנות?

איך התוקפים עושים את זה? שיטת הפעולה מנצלת את הדרך שבה Apple שולחת הזמנות לאירועי iCloud. התוקפים שולחים את האירועים הללו לרשימות תפוצה גדולות של כתובות דוא"ל, לרוב כאלו שמנוהלות באמצעות שירות Microsoft 365 (שירות הדוא"ל והאפליקציות המשרדיות של מיקרוסופט).
כאשר נוצר אירוע iCloud הכולל מוזמנים חיצוניים, Apple שולחת אוטומטית הזמנה בשם יוצר האירוע. התוקפים מנצלים את הלגיטימיות של מנגנון זה: ההזמנות, המכילות את הטקסט המפתה שלהם, מגיעות לכל חברי הרשימה דרך מנגנון שנחשב "אמין".
מה יש בהודעה? חלק מההודעות המתחזות טוענות שהן "קבלה" על חיוב PayPal בסכום גבוה ומכילות מספר טלפון "לתמיכה" או "לביטול". המסר כאן הוא: "חויבת בטעות, התקשר מייד כדי לבטל"!
המלכודת: מי שמתקשר למספר – מגיע למעשה לעבריין. מטרת העבריין היא אחת משלוש:
1. השגת פרטים אישיים: לקבל ממך סיסמאות, מספרי אשראי וכדומה.
2. גישה מרחוק: לשכנע אותך לאפשר לו להשתלט על המחשב שלך מרחוק.
3. התקנת תוכנה זדונית: לגרום לך להתקין תוכנת ריגול או וירוס.

הנמכת חשד והפעלת מניפולציה

למה אנשים נופלים בזה?

הנמכת חשד: מומחי אבטחת מידע מציינים כי אנשים נוטים לא לבדוק הזמנות לוח שנה באותה רמת חשד כמו קישורי אימייל רגילים. הזמנת יומן נתפסת כהודעה פחות "מסוכנת".
יצירת דחיפות: הזמנה הכוללת מסר על חיוב שגוי או מספר התקשרות "דחוף" מפעילה לחץ רגשי ("חייבים לטפל בזה עכשיו") וגורמת לאנשים לבצע פעולות חפוזות בלי לבדוק היטב.
הכלל של מומחי אבטחה: לפי Javvad Malik מחברת KnowBe4, יש לשים לב לא רק לשגיאות כתיב (סימן קלאסי לפישינג), אלא גם לכוונת ההודעה:
• האם ההודעה מפתיעה? (למשל, חיוב שלא ציפית לו).
• האם היא יוצרת דחיפות מלאכותית? (למשל, "יש לבטל בתוך שעתיים").
אם התשובה חיובית – חייבים לעצור ולבדוק את המידע מול מקור אמין (למשל, להיכנס לאתר של PayPal ישירות ולא דרך הקישור בהודעה).

המלצות מאת אנשי אבטחת מידע של IPV Security:

1. בדיקה זהירה: התייחסו להזמנות לוח שנה לא מוכרות כמו לכל אימייל חשוד – בזהירות מלאה.
2. אפס תגובה: אל תלחצו על קישורים או מספרי טלפון המופיעים בהודעה. אם אתם חוששים מחיוב, גשו ישירות לאתר השירות (כמו PayPal או הבנק, באופן עצמאי, על ידי הקלדת הכתובת בדפדפן).
3. אימות כפול (2FA): הפעילו אימות דו־שלבי (Two-Factor Authentication או 2FA) בכל חשבונות הענן והדוא"ל שלכם (כמו ג'ימייל, iCloud, פייסבוק).
4. אבטחת המחשב: ודאו שמותקנת תוכנת הגנה, כגון EDR, עדכנית במחשב. בדקו גם אם היא כוללת פיצ'רים מתקדמים כמו VPN או דפדפן מאובטח (שמסייע בהגנה בעת גלישה).
5. עצירה ונשימה: בכל תקשורת המעוררת דחיפות, לחץ או הפתעה – עצרו, נשמו, וודאו את המידע מול ערוץ מוכר ומאומת (אתר רשמי, מוקד שירות לקוחות רשמי).

לסיכום,

מתקפת הפישינג החדשה בלוח השנה של iCloud מנצלת חולשה: היא משתמשת במנגנון תקשורת אמיתי (הזמנות יומן) כדי להחדיר מסרים שמתחזים למידע חשוב ודחוף. קל ליפול למלכודת, בייחוד כשההודעה נראית רשמית ומגיעה ממקור שנראה מהימן.
המפתח להגנה הוא אימוץ הרגלים זהירים, אימות כפול של זהותכם (2FA) ואי־תגובה להודעות מלחיצות ובלתי צפויות.

למידע נוסף: These iCloud Calendar invites look legitimate but are tricky phishing attacks — here’s how to tell | Tom's Guide

Hackers Weaponizing Calendar Files as a New Attack Vector Bypassing Traditional Email Defenses

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.