מתקפות פישינג מזויפות מעבירות תוכנת More_eggs המסוכנת לאנשי משאבי אנוש

הפיתיון מגיע לתיבת המייל: כך More_eggs מכוונת עכשיו לאנשי משאבי אנוש

זה מתחיל כמו עוד בוקר רגיל במחלקת משאבי אנוש. קורות חיים חדשים נכנסים למייל, לינקדאין קופץ עם התראות, והיומן מלא בראיונות, סינון מועמדים ושיחות עם מנהלים. בתוך העומס הזה, מספיק קליק אחד על קובץ שנראה תמים כדי לפתוח דלת לתוכנה זדונית מתוחכמת במיוחד: More_eggs.

השם אולי נשמע כמעט תמים, אבל בפועל מדובר בכלי תקיפה ותיק ומסוכן, שמופץ פעמים רבות דרך קמפייני פישינג ממוקדים. בשנים האחרונות, ובעיקר על רקע המעבר לעבודה היברידית והסתמכות גוברת על דוא"ל, מערכות גיוס ושיתוף קבצים, אנשי משאבי אנוש הפכו ליעד מועדף. הסיבה פשוטה: יש להם גישה למידע רגיש, והם רגילים לפתוח קבצים והודעות מגורמים חיצוניים.

למה דווקא משאבי אנוש?

מחלקות HR יושבות על צומת מידע קריטי. קורות חיים, פרטי זיהוי, נתוני שכר, חוזים, מסמכי קליטה, לפעמים גם מסמכים פיננסיים או מידע על לקוחות וספקים. מבחינת תוקף, זו נקודת כניסה מצוינת לארגון.

יותר מזה, אנשי משאבי אנוש עובדים מטבעם מול אנשים לא מוכרים. מועמדים שולחים מסמכים, קבלני גיוס משתפים קבצים, וספקים מעבירים עדכונים. הדפוס הזה יוצר סביבת עבודה שבה קובץ מצורף או לינק חיצוני נראים לגיטימיים. זה בדיוק המרווח שבו פישינג עובד.

ההיגיון התפעולי של התוקפים חד: במקום לנסות לפרוץ בכוח למערכת, הם משכנעים מישהו מבפנים לפתוח להם את הדלת. לעיתים זה קובץ שנראה כמו קורות חיים. לעיתים זו הזמנה למלא סקר גיוס. במקרים אחרים, זו הצעת עבודה נוצצת מדי, שנשלחת למחפשי עבודה או למגייסים עצמם.

מהו בכלל פישינג, ולמה הוא עדיין עובד?

פישינג הוא ניסיון הונאה דיגיטלי שמטרתו לגרום לאדם למסור מידע רגיש, להקליד סיסמה, ללחוץ על קישור מזיק או להוריד קובץ נגוע. המעטפת כמעט תמיד נראית אמינה: לוגו מוכר, שפה עסקית, ניסוח דחוף, ולעיתים גם התחזות לגורם פנימי בארגון.

למרות מודעות גוברת, פישינג עדיין מצליח כי הוא לא תוקף רק טכנולוגיה. הוא תוקף שגרה, לחץ וזמן. כשעובד מקבל הודעה שנראית דחופה, או מועמד מקבל הצעת עבודה אטרקטיבית במיוחד, שיקול הדעת עלול להיחלש לשניות קריטיות.

לפי דוחות עדכניים של גופי אבטחה בינלאומיים, דוא"ל ממשיך להיות אחד הווקטורים המרכזיים לחדירה ראשונית לארגונים. גם ב-2024 וב-2025, אחוז ניכר מהאירועים מתחיל בדיוק שם: הודעה אחת שמצליחה לעקוף את החשדנות האנושית.

More_eggs: לא עוד נוזקה אקראית

More_eggs היא תוכנה זדונית שמזוהה לאורך השנים עם פעילות פשיעת סייבר מאורגנת. היא מוכרת ככלי גמיש שמופעל לעיתים במודל של Malware-as-a-Service, כלומר נוזקה שנמכרת או מושכרת לגורמי תקיפה שונים. זה הופך אותה לנגישה יותר עבור תוקפים, ומגדיל את היקף השימוש בה.

מבחינה טכנית, מדובר לרוב ברכיב שמסוגל לשמש כדלת אחורית למערכת שנפרצה. ברגע שהוא מותקן, הוא עשוי לאפשר הורדה של נוזקות נוספות, איסוף מידע, גניבת פרטי גישה, ולעיתים גם תנועה רוחבית בתוך הארגון. במילים פשוטות: מה שמתחיל בהודעת מייל אחת יכול להפוך לאירוע רוחבי עם פגיעה עסקית של ממש.

הסכנה הגדולה ב-More_eggs אינה רק בהדבקה עצמה, אלא במה שמגיע אחריה. במקרים מסוימים, היא משמשת שלב ראשון בשרשרת תקיפה רחבה יותר. התוקף נכנס בשקט, בודק מה יש לו ביד, ורק אז מתקדם למטרות רווחיות יותר.

איך נראית מתקפה בפועל?

התרחיש הקלאסי די פשוט. עובד או עובדת במחלקת משאבי אנוש מקבלים מייל שנראה שגרתי. הכותרת יכולה להיות “CV for Senior Sales Role”, “סקר גיוס פנימי” או “עדכון מסמכי מועמדות”. השולח נראה אמין. לפעמים גם החתימה נראית מקצועית לגמרי.

אלא שהקישור מוביל לדף מזויף שמחקה אתר חברה, פורטל כניסה או טופס פנימי. במקרים אחרים, הקובץ המצורף מפעיל שרשרת הדבקה. ברגע שהמשתמש מזין פרטי גישה או מריץ קובץ זדוני, מתחיל שלב החדירה.

דוגמה שכבר נצפתה בקמפיינים מסוג זה היא הודעה שמתחזה למחלקת HR עצמה, עם בקשה למלא סקר גיוס. הלינק מפנה לדף שנראה זהה כמעט לחלוטין לאתר הרשמי של הארגון. משם, הדרך לגניבת אישורים או להפצת נוזקה קצרה מאוד.

יש גם גרסה חיצונית של אותו רעיון: הצעות עבודה מזויפות שנשלחות למחפשי עבודה, עם תנאים אטרקטיביים במיוחד. הקורבן מתבקש לפתוח מסמך, להיכנס לפורטל מועמדים או לאשר פרטים. מאחורי ההצעה מסתתר לעיתים קמפיין זדוני שנועד להדביק תחנה או לאסוף סיסמאות.

המספרים מאותתים: זו כבר לא בעיה שולית

הטקסט המקורי מצביע על זינוק בפישינג, במיוחד בתקופת הסגרים של מגפת הקורונה, אז 75% מהחברות דיווחו על מתקפות פישינג. גם אם הדינמיקה השתנתה מאז, המגמה הרחבה נשארה: עבודה מבוזרת, שימוש גובר בשירותי ענן ותהליכי גיוס דיגיטליים ממשיכים להרחיב את שטח התקיפה.

דוחות עדכניים מהשנים האחרונות מצביעים באופן עקבי על כך שפישינג והתחזות מבוססת דוא"ל הם עדיין מהאיומים העסקיים הנפוצים ביותר. ארגונים ברחבי העולם ממשיכים לדווח על אירועים שבהם חשבונות נפרצו, מידע רגיש נגנב או תהליכים עסקיים שובשו כתוצאה מהודעה אחת שנפתחה בזמן הלא נכון.

גם הנתון שלפיו כ-90% מההתקפות כוללות ניסיון לזלוג למידע אישי או ארגוני משתלב עם תמונת האיום הנוכחית. המוטיבציה של התוקפים ברורה: כסף, גישה, וסחיטה פוטנציאלית. מידע ארגוני שווה כסף, ופרטי עובדים הם סחורה מבוקשת.

באותו הקשר, נתון של 65% מהחברות שדיווחו כי מידע פנימי נגנב או נוצל על ידי קמפיינים המתמקדים בפישינג מדגיש נקודה חשובה: הבעיה איננה רק חדירה תיאורטית. הנזק כבר מתממש בפועל.

למה דווקא עכשיו האיום מרגיש חריף יותר?

כי הסביבה הארגונית השתנתה. תהליכי גיוס עברו לדיגיטל, מערכות HR מחוברות לענן, ומועמדים מתקשרים דרך כמה ערוצים במקביל. מה שפעם עבר דרך מזכירות או פגישה פיזית, נכנס היום ישירות למייל, לצ'אט או למערכת ATS.

זה יוצר עומס קוגניטיבי אמיתי. עובדים צריכים לקבל החלטות מהירות על עשרות הודעות ביום. תוקפים יודעים את זה, ולכן הם בונים הודעות שנראות “בדיוק כמו משהו שהיית מצפה לקבל”. לא דרמטי מדי, לא חשוד מדי, פשוט מספיק משכנע.

בנוסף, קמפיינים מודרניים נוטים להיות ממוקדים יותר. במקום הודעת ספאם גנרית, התוקף עשוי להשתמש בשם תפקיד, בפרטי משרה אמיתיים, בניסוח של מחלקת גיוס או אפילו במיתוג של חברה מוכרת. זו כבר לא רשת רחבה בלבד. זו פגיעה כירורגית.

מה עלול להיגנב במקרה של הדבקה?

בשלב הראשון, התוקף עשוי לחפש פרטי גישה: סיסמאות, עוגיות התחברות, חשבונות דוא"ל או גישה למערכות ארגוניות. משם, הדרך פתוחה למידע רגיש בהרבה.

מחלקת HR מחזיקה לעיתים במסמכים עם מספרי זהות, כתובות, נתוני שכר, פרטי בנק, חוזי העסקה, הערכות עובדים, מסמכים רפואיים או נתוני קליטה. גם אם לא כל המידע מאוחסן באותה מערכת, די בחשבון דוא"ל שנפרץ כדי להתחיל לאסוף פיסות מידע ולהרכיב תמונה מלאה.

מעבר לפגיעה בפרטיות, יש כאן גם סיכון משפטי ורגולטורי. דליפת מידע אישי של עובדים עלולה לגרור פגיעה במוניטין, חובת דיווח, הוצאות תגובה, ולעיתים גם השלכות מול לקוחות, שותפים ורגולטורים.

הסימנים הקטנים שצריכים להדליק נורה אדומה

ברוב המקרים, הפישינג לא מגיע עם שלט ניאון. הוא מגיע עם פרטים קטנים שלא מסתדרים עד הסוף. כתובת מייל דומה אבל לא זהה. נוסח לחוץ מדי. בקשה חריגה להזין סיסמה. קובץ עם סיומת לא צפויה. לינק שמוביל לדומיין משונה.

במחלקות משאבי אנוש יש עוד סימן חשוב: כל מסמך “מועמדות” שלא תואם את תהליך הגיוס המקובל צריך לעורר חשד. אם מועמד שולח קובץ בלתי צפוי, או אם ספק מבקש להיכנס דרך טופס חיצוני חדש, שווה לעצור לרגע.

גם הצעות שנשמעות טובות מדי צריכות להיבדק. זה נכון למועמדים, וזה נכון גם לעובדים פנימיים. תוקפים משתמשים לא פעם בפיתוי רך: משרה נוצצת, הטבה חריגה, או בקשה “דחופה” מטעם הנהלה.

איך מצמצמים את הסיכון בלי לשתק את העבודה?

החדשות הטובות הן שלא חייבים לבחור בין אבטחה לפרודוקטיביות. אפשר לבנות שכבות הגנה חכמות, שמקטינות משמעותית את הסיכון בלי להפוך כל פעולה ביומיום למסורבלת.

1. הדרכה ממוקדת לצוותי HR

הדרכת מודעות כללית כבר לא מספיקה. אנשי משאבי אנוש צריכים תרחישים שמדברים בשפה שלהם: קורות חיים מזויפים, לינקים לפורטלי מועמדים, בקשות לעדכון פרטי עובד, וסקרים פנימיים שנראים אמינים.

הכשרה טובה לא רק מסבירה מהו פישינג. היא גם מתרגלת זיהוי בזמן אמת. איך בודקים דומיין, איך עוברים עם העכבר על קישור, איך מזהים מסמך חשוד, ומתי נכון לעצור ולהתייעץ.

2. אימות דו-שלבי לכל מערכת רגישה

אימות דו-שלבי הוא אחד הצעדים האפקטיביים ביותר לצמצום נזק. גם אם סיסמה נגנבה, שכבת אימות נוספת יכולה לחסום את ההשתלטות על החשבון.

בפועל, מדובר בקוד חד-פעמי, אפליקציית אימות או מפתח אבטחה. עבור מערכות HR, דוא"ל ארגוני, שירותי ענן ופורטלי גיוס, זה כבר לא Nice to have. זו דרישת בסיס.

3. עדכוני תוכנה שוטפים

תוקפים מחפשים חולשות, ולעיתים הם מנצלים מערכות או יישומים שלא עודכנו. לכן חשוב שכל רכיבי התוכנה, כולל מערכות הפעלה, דפדפנים, תוכנות Office וכלי אבטחה, יהיו בגרסאות עדכניות.

המשמעות הארגונית ברורה: לא להסתמך על “נעדכן כשנזכור”. צריך תהליך קבוע, מנוהל ומפוקח. כל עיכוב בעדכון הוא חלון הזדמנויות עבור תוקף.

4. מנגנון דיווח פשוט ומהיר

עובדים צריכים לדעת בדיוק מה לעשות כשהם נתקלים בהודעה חשודה. אם תהליך הדיווח מסורבל, הם פשוט ימשיכו הלאה. אם יש כפתור ייעודי במייל או כתובת ברורה לצוות אבטחה, הסיכוי לדיווח מיידי עולה משמעותית.

דיווח מוקדם שווה זמן תגובה. זמן תגובה שווה הקטנת נזק. לפעמים זה כל ההבדל בין אירוע שנבלם בזמן לבין התפשטות רוחבית בארגון.

5. תוכנית תגובה לאירוע

כשהתקפה כבר מתרחשת, לא בונים תהליך מאפס. ארגון צריך לדעת מי מקבל החלטות, מי מנתק גישה, מי בודק תחנות, מי מעדכן הנהלה, ומה המסלול מול ייעוץ משפטי, תקשורת וגורמי אבטחה.

גם כאן יש חשיבות לתרגול. בדיוק כפי שמתרגלים תרחישי חירום פיזיים, צריך לתרגל גם אירועי פישינג והדבקה. זה מקצר זמני תגובה ומפחית טעויות תחת לחץ.

מה הקוראים הטכנולוגיים צריכים לקחת מכאן?

הסיפור של More_eggs הוא לא רק עוד אייטם על נוזקה. הוא תזכורת לכך ששרשרת תקיפה מודרנית מתחילה לעיתים קרובות בהנדסה חברתית, לא בפריצה “הוליוודית”. התוקפים לא תמיד שוברים את הדלת. הם פשוט גורמים למישהו לפתוח אותה.

לכן, ההגנה חייבת להיות משולבת. מצד אחד, טכנולוגיה: הגנה על דוא"ל, סינון קבצים, EDR, MFA, ניטור גישה ועדכונים. מצד שני, תהליך: נהלים, דיווח, חלוקת אחריות והדרכה. ומעל הכל, תרבות ארגונית שמאפשרת לעובד לעצור ולשאול בלי לחשוש שהוא “מעכב עבודה”.

סיכום: האיום אמיתי, והתגובה חייבת להיות בוגרת

מתקפות פישינג שמפיצות את More_eggs ממחישות עד כמה מחלקות משאבי אנוש יושבות היום בקו האש הדיגיטלי. הן מחזיקות מידע רגיש, הן בקשר רציף עם גורמים חיצוניים, והן פועלות בסביבה מהירה שבה קל להסוות הודעה זדונית כפעולה יומיומית.

המסר המרכזי נשאר ברור: אי אפשר להסתפק בתקווה שהעובדים “ישימו לב”. צריך לבנות סביבם מעטפת. הדרכה, אימות דו-שלבי, תחזוקת מערכות, דיווח מהיר ותוכנית תגובה הם לא סעיפים ברשימה. הם קו ההגנה האמיתי.

השקעה באבטחת מידע היא כבר לא רק החלטת IT. זו החלטה ניהולית, תפעולית ועסקית. ארגון שמגן על צוותי ה-HR שלו, מגן בפועל על הלב האדמיניסטרטיבי והאנושי של החברה כולה.

לקריאה נוספת בנושא, אפשר לעיין גם בפתרונות וכלים בתחום אבטחת מידע.

טבלה מסכמת: עיקרי המאמר

נושא מה חשוב לדעת המשמעות לארגון
פישינג הונאה דיגיטלית שמטרתה לגרום לקורבן ללחוץ, להוריד קובץ או למסור פרטי גישה נקודת כניסה נפוצה למתקפות סייבר ולדליפת מידע
More_eggs נוזקה מסוכנת שיכולה לשמש כדלת אחורית, לגנוב מידע ולאפשר הורדת רכיבים זדוניים נוספים חדירה ראשונית שעלולה להתפתח לאירוע רחב ויקר
למה HR על הכוונת אנשי משאבי אנוש עובדים מול גורמים חיצוניים ומחזיקים מידע אישי ועסקי רגיש יעד נוח במיוחד לתוקפים שמחפשים גישה מהירה לארגון
שיטות תקיפה נפוצות מיילים שמתחזים ל-HR, סקרי גיוס, קורות חיים נגועים והצעות עבודה מזויפות העובדים עלולים לראות בהודעות כאלה חלק טבעי מהעבודה
היקף התופעה התקפות פישינג ממשיכות להיות מהאיומים הנפוצים ביותר גם בשנים האחרונות לא מדובר באירוע נקודתי אלא בסיכון מתמשך
סוגי מידע בסיכון פרטי עובדים, נתוני שכר, מסמכי העסקה, סיסמאות, מסמכים עסקיים ונתוני לקוחות פגיעה בפרטיות, במוניטין ובציות לרגולציה
אימות דו-שלבי שכבת הגנה נוספת מעבר לסיסמה מפחיתה משמעותית סיכון להשתלטות על חשבונות
הדרכת עובדים הכשרה ממוקדת לזיהוי הודעות וקבצים חשודים מקטינה טעויות אנוש ומשפרת תגובה מוקדמת
עדכוני תוכנה סגירת חולשות אבטחה במערכות וביישומים מצמצמת אפשרות לניצול פרצות ידועות
דיווח ותגובה מסלול ברור לדיווח על חשד ונהלים מוכנים לטיפול באירוע מקצר זמני תגובה ומפחית נזק

5 שאלות שהקורא צריך לשאול את עצמו

  • האם צוותי משאבי האנוש בארגון שלי יודעים לזהות מייל, קישור או קובץ שנראים אמינים אך בפועל זדוניים?
  • האם כל המערכות הרגישות, ובעיקר דוא"ל, מערכות גיוס ושירותי ענן, מוגנות באימות דו-שלבי?
  • האם יש בארגון תהליך פשוט וברור לדיווח מיידי על הודעות חשודות או דפי התחזות?
  • האם תוכנית התגובה שלנו לאירוע פישינג כוללת גם תרחישים שמתחילים ממחלקת HR או מקובץ קורות חיים נגוע?
  • האם אנחנו מעדכנים ומתרגלים את העובדים לפי שיטות ההונאה העדכניות, או מסתמכים על הדרכה ישנה שכבר לא משקפת את המציאות?

אם אתה מעוניין במידע נוסף בנושא אבטחת מידע Mail Thumb

צור קשר ונוכל להמליץ לך בחינם על ספקים מובילים בתחום