יועץ אבטחת מידע   |   ינואר 28, 2026

על התקפות Vishing שממוקדות ב־Single-Sign-On (SSO) שלכם

מתקפות פישינג קוליות עוקפות את ההגנות החזקות ביותר ומשתלטות על חשבונות ארגוניים בזמן אמת – גם ללא פרצות אבטחה. כך תזהו ותעצרו את גל ההונאות החדש.

מתקפות ה־Vishing עולות שלב

הונאה קולית בזמן אמת כנתיב חדירה למערכות הארגוניות

גל חדש של מתקפות פישינג קוליות (Voice Phishing) ממוקד במערכות ה"כניסה האחידה" (SSO), המאפשרות לעובדים גישה לכל שירותי הארגון בסיסמה אחת. התוקפים מצליחים להשתלט על חשבונות בזמן אמת, לגנוב מידע רגיש ולדרוש דמי כופר.
לפי חוקרי איומים, קבוצות פשיעה משלבות שיחות טלפון אנושיות עם אתרי אינטרנט מזויפים כדי להונות עובדים. המטרה היא לגרום להם למסור פרטי גישה או לאשר בקשות אימות שנשלחות לנייד. הקמפיין כבר הוביל לדליפות מידע משמעותיות, כאשר לאחר החדירה הראשונית, התוקפים נעים בחופשיות בתוך רשת הארגון ושולפים נתונים רגישים.

לא פרצת אבטחה – אלא ניצול של הגורם האנושי

כשמנגנוני ההגנה נכשלים בגלל מניפולציה פסיכולוגית

לא מדובר בתקלה טכנית במערכות האבטחה, אלא בניצול של החולייה החלשה ביותר – האדם.
התוקפים מקימים אתרים שנראים בדיוק כמו דפי ההתחברות המוכרים (כמו של Google או Microsoft) ומתקשרים לעובדים. בזמן השיחה, הם מנחים את העובד ומתאימים את האתר המזויף לבקשות המופיעות לו על המסך בזמן אמת. השילוב בין קול אנושי משכנע לבין אתר שנראה לגיטימי מעלה דרמטית את סיכויי ההצלחה – גם מול עובדים מנוסים.

היקף הפגיעה עדיין מתברר

אתרים זדוניים, דליפות נתונים וניסיונות סחיטה

היקף המתקפה עדיין נבדק, אך כבר זוהו מאות אתרים מזויפים המתחזים לשירותי התחברות במגוון מגזרים: פיננסים, אנרגיה, קמעונאות ונדל"ן.
ארגונים שונים כבר דיווחו על פגיעה וגניבת מידע של לקוחות. החוקרים מדגישים כי יש להתמקד בשיטות הפעולה (איך הם תוקפים) ולא רק בזהות הקבוצה, מפני שפושעי סייבר נוטים להחליף שמות וזהויות לעיתים קרובות. המשותף לכל האירועים: ניצול של אמון אנושי במקום פריצה טכנית לקוד.

המלצות מאת אנשי אבטחת המידע של IPV Security

  1. הדרכת עובדים ייעודית: תרגול עובדים בהתמודדות עם שיחות טלפון חשודות, ולא רק עם מיילים מזויפים.
  2. אימות רב־שלבי חזק: מעבר לאמצעי זיהוי שקשה לעקוף, כמו מפתחות אבטחה פיזיים.
  3. ניטור אתרים מתחזים: זיהוי מוקדם של כתובות אינטרנט שדומות לשם הארגון או למערכות שלו.
  4. נוהל דיווח פשוט: הגדרת דרך מהירה לעובדים לדווח על שיחות חריגות, גם אם הן נראות דחופות.
  5. בדיקות הקשר: שימוש במערכות שבודקות מאיזה מכשיר ומאיזו מדינה העובד מנסה להתחבר.

לסיכום,

גל המתקפות הנוכחי מוכיח שגם מערכות האבטחה המתקדמות ביותר פגיעות כשהתוקף מצליח להפעיל לחץ פסיכולוגי. הגנה אפקטיבית חייבת לשלב טכנולוגיה חכמה עם עובדים ערניים – שאם לא כן, גם מנגנון האימות החזק ביותר עלול להפוך למפתח עבור הפורץ הבא.

למידע נוסף: Real-Time phishing kits target Okta, Microsoft, Google

מעוניינים במבדקי פישינג ובמגוון הרצאות להעלאת מודעות הארגון לאירועי סייבר? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 21 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה