מתקפת הסייבר ששיבשה את המשק: כמה קל להשבית שירותי תשלום, ומהו הנזק?

מתקפת סייבר שיבשה את שירותי התשלום והסליקה של חברת התשלומים HYP בבוקר יום ראשון, מה שהביא לשעות ארוכות של שיבושים נרחבים בתשלומי אשראי, כמו גם באפליקציית ביט.

זו לא הפעם הראשונה שמתקפה בסגנון מתרחשת בזמן האחרון. לפני כשבועיים דיווחה חברת שב"א, המספקת את התקשורת בין גופי הסליקה השונים בעת ביצוע חיובים בכרטיסי אשראי, כי חוותה שיבושים ומנעה סליקה של עסקאות בשל מתקפת סייבר. גם אז התקלה תוקנה בתוך שעות אחדות. 

● בלעדי | בעיכוב של שנתיים: מחשב־העל של ישראל יוצא לדרך
● בלעדי | גיבוש תוכנית פעולה והצעת תקציב: מי צפוי להיות יועץ ה-AI של נתניהו

מה המשמעות של תקיפה כזו עבור הצרכנים ובעלי העסקים, כמה היא מורכבת, ואיך מתמגנים ממנה? גלובס עושה סדר.

מה קרה במסגרת התקיפה?

לפי הודעת החברה, מדובר במתקפת מניעת שירות (DDoS). זו למעשה "מתקפת עומס": פקודות רבות נשלחות לשרתים ומובילות לקריסתם ולמניעת השירות. "אלה היקפים אדירים של תעבורת רשת", מסביר לגלובס גיל מסינג, ראש המטה ומנהל מערך התקשורת הגלובלית של צ'ק פוינט. "גם אם חוסמים את כתובת ה־IP ששולחת את הפקודות, אחרת יכולה להופיע".

במקרה הנוכחי, המתקפה נגד HYP השפיעה גם על פעילות חברת הסליקה קרדיט גארד, שחקנית מרכזית בשוק הסליקה בישראל, שמספקת שירותי סליקה לעסקים רבים. על־פי הערכות בשוק, קרדיט קארד אחראית על כ־30% מהעסקאות במדינה, ולכן נמנעה האפשרות לקיים שירותי סליקה בעסקים רבים במשק. המתקפה נמשכה כשש שעות.

מה היקף הנזק?

תקלות וקשיים לשלם באשראי התגלו בחנויות רבות, אך קשה להעריך מהו הנזק, שכן נזק משמעו שלא התקיימו עסקאות כלל, אולם בתקיפה חלו שיבושים בחלקים מהזמן, כשבחלק מהמקומות הקושי נפתר, מכיוון שהיה מדובר בעומס נקודתי, ולאחר מספר ניסיונות התשלום עבר. במקרים אחרים לקוחות בחרו לשלם במזומן, וחלק מהמקומות עברו לסליקה אופליין של האשראי.

האם זו מגמה הולכת וגוברת?

"יש עלייה במתקפות נגד חברות ישראליות, לרבות בתחום התשלומים והסליקה, מתוך מטרה לשבש את הכלכלה", אומר אביעד הסניס, CTO בחברת הסייבר סיינט. "סוג התקיפות האלה הוא סוג יחסית נמוך של יכולות, וזה שונה ממתקפה מתוחכמת של תוקף שנכנס לתוך המערכות. אין ספק שככל שהזמן יעבור, נראה יותר תקיפות במגזר הפיננסי. זו מגמה הולכת וגוברת, שכן השבתה בסקטור שכזה תפגע במשק ובהתנהלות הכלכלית של השוק".

רון מירן, סמנכ"ל מודיעין סייבר בחברת Radware המתמחה בפיתוח מערכות לניהול וניתוב תעבורה באינטרנט, מספר כי בחברה עוקבים אחרי מתקפות DDoS מקרוב. "ישראל הפכה להיות המדינה המותקפת ביותר במתקפות DDoS בעולם בשנתיים האחרונות, כאשר נרשמה עלייה חדה מ־7 באוקטובר. בכל פעם שיש אירוע ביטחוני משמעותי - ישר רואים עלייה במספר התקיפות".

לפי נתוני Radware, מתחילת השנה ועד תחילת נובמבר, מספר מתקפות DDoS נגד גופים ישראליים עומד על 1,534. זאת בהשוואה לשנה שעברה, אז המספר עמד על 1,212. "בהתחלה ראינו תוקפים אסלאמיים - בחודשים האחרונים גילינו גם גופים פרו־רוסיים שמשתפים איתם פעולה. הכלים שלהם כל־כך מתקדמים, או שטכניקות התקיפה נהיו מתוחכמות, שכלי הגנה סטנדרטיים לא מצליחים לזהות את תבניות התקיפה, והמתקפה אינה נחסמת", מסביר מירן.

שלושת הסקטורים המותקפים ביותר השנה בישראל במתקפות מניעת שירות הם השכלה גבוהה, בנקאות, פיננסיים וביטוח וסוכנויות ממשל. עוד עולה מנתוני החברה כי בשנים ב־2023 ישראל תפסה את המקום הראשון במתקפות DDoS, ואילו השנה אוקראינה תפסה את המקום הראשון וישראל במקום השני.

האם נגנבו פרטים אישיים?

לא, וזו צפירת הרגעה חשובה: לא מדובר בפריצה לשירותי הסליקה. התוקף לא נכנס למערכות, ובהחלט לא נפרצו כרטיסי אשראי אישיים. המקרה הוא של קריסת מערכות שבגללה רבים לא הצליחו לרכוש באשראי או להעביר תשלומים באמצעות אפליקציית ביט. מערך הסייבר הלאומי אף הבהיר ביום ראשון כי "מדובר במתקפה חיצונית למערכות שמייצרת עומס על השירות, אך לא משפיעה על פרטי האשראי ולא מהווה סכנה למידע של אזרחים".

מי עומד מאחורי המתקפה?

קבוצה בשם Anonymous For Justice, שמיוחסת למודיעין האיראני, לקחה אחריות על המתקפה. בימים האחרונים הקבוצה משמיעה איומים על רקע כלכלי ומזהירה כי "אזרחי ישראל צריכים לשמור על כספם". בין ישראל לאיראן קיימת מלחמת סייבר פעילה, ומומחים אומרים כי איראן הייתה החשודה המיידית והמרכזית, וכי ברור שמדובר בכלי תקיפה בהיקף מדיני.

איך מונעים מתקפה כזו?

"המתקפות האלה הן לא גזירת גורל, ואפשר למנוע אותן", מסביר מסינג מצ'ק פוינט. "ניתן להרחיב את רוחב הפס שמקבל את תעבורת הנתונים במערכת. ואז גם אם יש מתקפה, וגם אם היא משפיעה, אפשר להתמודד איתה או לוודא שהיא תהיה לאורך זמן קצר יותר".

מסינג אומר כי ארגונים שיש להם שירותים משמעותיים או שהם מחזיקים במידע רב, "צריכים להבין שהם על הכוונת". לדבריו, "האויבים שלנו אוהבים מתקפות מניעת שירות. אם אותם ארגונים יתכוננו מראש, המערכות לא יקרסו. ואנחנו רואים ניסיונות תקיפה של מערכות פיננסיות נוספות, אבל הן הצליחו למנוע את התקיפות. כשחברות מנהלות את תקציבי ה־IT שלהן, הן לא חושבות על תרחישים כאלה. לתפעל אירועים כאלה יכול לעלות הרבה כסף, אבל יש מה לעשות".

הסניס מוסיף כי "במקרה של מתקפות מסוג DDoS, הפתרון מתמקד בהגנה על תשתיות הרשת ובצמצום הפגיעה בשירותים ללקוחות. יש להיערך באמצעות מערכות לניהול עומסים ושימוש בטכנולוגיות ניתוב מתקדם, המפזרות את תעבורת הרשת במטרה למנוע עומסים חריגים. בנוסף, חיוני לשלב פתרונות הגנה שיכולים לזהות ולחסום תעבורה זדונית, וכן להשתמש בשירותים ייעודיים לסינון תעבורה חיצונית שמסייעים לשמור על תפקוד המערכת גם תחת מתקפה". 

ניר יהושע, מנהל מחקר בחברת אבטחת המידע CYFOX, יותר פסימי: "כמנהלי אבטחה, אין לנו את היכולת להגן על דברים שאנחנו לא מכירים או לא יודעים. ונכון שיש כלים שיודעים להתמודד עם תעבורת נתונים בצורה חכמה או כלים מונעי DDoS. אבל צריך לומר - לא משנה אילו הגנות יהיו, אם יש לתוקף מספיק יכולת, קשה מאוד לעצור מתקפה כזו".

מה כן אפשר לעשות? יהושע מסביר כי "מנהלי אבטחת מידע צריכים להקים גוף מסודר שיתחיל למפות את הנכסים החשובים בישראל. במובן הזה, צריך שהמדינה תגדיר רגולציה כבדה, מיפוי של נכסים. זו מלחמה שלא טוב לנו להיות בה בצד ההגנתי, כי לתוקף תמיד יש יתרון ברור".

המתקפה הייתה משמעותית?

לדברי מסינג, "זו מתקפה לא מתוחכמת אבל אפקטיבית. השביתו שירות חשוב שהרבה אנשים משתמשים בו, ולאורך זמן. התוקפים שלנו מחפשים גופים שהם לא בהכרח ממשלתיים או הכי חשובים או קריטיים, אלא גופים שאם יפגעו בהם, ייווצרו פאניקה ונזק לאורך זמן. הגופים האלה לרוב לא מוגנים, ולכן אפשר לראות למה מכוונים לשם. הנזק הוא נזק אמיתי, הוא לא שולי, גם אם ביחס לחיי אדם הוא שולי".

לטענת יהושע, "זו אזהרה. איראן מאותתת שאם ישראל תתקוף רכיב חיוני באיראן, אז הם גם יכולים להפעיל עלינו את המכבש שלהם. אפשר לשתק כאן מערכת חיונית תוך לחיצת כפתור. כדי להשתיק את האינטרנט, לא צריך לשלוח מטוס ולפוצץ משהו פיזי, אלא לנצל חולשה או לבטל רכיב ספציפי. אפשר למנוע ככה משוק לפעול, וזה מטורף".