אבטחת דוא״ל ארגוני: איך מונעים התחזות וגניבת חשבונות – לפני שמישהו אחר כותב בשמכם
אבטחת דוא״ל ארגוני נשמעת לפעמים כמו ״עוד משימה לרשימה״.
אבל בפועל?
זה המפתח לזה שהארגון שלכם יישאר אתם – ולא גרסה מפוברקת שמישהו המציא במייל אחד משכנע.
במאמר הזה נצלול עמוק, בלי דרמה ובלי שפה כבדה.
נפרק התחזות, נבין איך גונבים חשבונות, ונבנה הגנה שבאמת עובדת – גם כשיש לחץ, עומס, ועובדים שמעדיפים ללחוץ מהר ולהמשיך הלאה.
למה כולם רודפים דווקא אחרי תיבת הדוא״ל שלכם?
כי דוא״ל הוא המפתח לכל השאר.
איפוס סיסמה למערכות.
אישורי תשלום.
מסמכים רגישים.
והדובדבן: אמון.
אם מישהו מצליח לשלוח מייל שנראה כאילו יצא מהחשב של סמנכ״ל הכספים, זה לא ״רק״ מייל.
זה כרטיס כניסה לתוך תהליכים ארגוניים, לתוך קשרים עם ספקים, ולפעמים גם לתוך החלטות מהירות שמישהו לוקח בלי לחשוב פעמיים.
ואם זה נשמע מוגזם – זה רק כי עד היום לא קיבלתם את המייל הנכון ביום הלא נכון.
3 סוגי התקפות שמתחפשות ל״מייל רגיל״ (והן לא)
בואו נשים שמות על הדברים.
כי כשנותנים שם לאויב – קל יותר לעצור אותו.
1) פישינג קלאסי – ״רק תתחבר רגע״
מייל שמוביל לדף התחברות מזויף.
העיצוב דומה.
הדומיין כמעט אותו דבר.
והלחץ? תמיד דחוף.
ברגע שמישהו הקליד סיסמה, התוקף לא ״מנסה״ – הוא נכנס.
2) התחזות למנהל או לספק – ה-BEC המפורסם
כאן לא תמיד יש לינק.
לפעמים זו רק בקשה מנומסת:
״תעבירו תשלום, החלפנו חשבון בנק״.
או:
״שלחי לי את קובץ השכר, זה דחוף״.
זה עובד כי זה משחק על סמכות, על לחץ, ועל זה שאנשים רוצים להיות יעילים.
3) השתלטות על חשבון אמיתי – ואז הכל נראה ״לגיטימי״
זה החלק המסוכן באמת.
כי אם מישהו גנב חשבון אמיתי, הוא שולח מתוך תיבה אמיתית.
השרשורים קיימים.
החתימה נכונה.
הטון מתאים.
ואז אפילו אנשים זהירים נופלים.
רגע, איך בכלל מזהים התחזות אם הכל נראה נכון?
בדיוק בגלל זה לא מסתמכים רק על ״האינטואיציה של העובד״.
אינטואיציה זה אחלה.
אבל היא לא יכולה לנצח תוקפים שמשקיעים שעות על ניסוח, חיקוי, ותזמון.
הגישה המנצחת היא שילוב:
- אימות טכני חזק ברמת הדומיין והשרתים.
- בקרות זהות בחשבונות עצמם.
- תהליכים עסקיים שלא נשברים בגלל מייל אחד.
- חינוך קצר וקולע שמחזיק לאורך זמן.
כן, זה נשמע כמו הרבה.
בפועל, כשבונים נכון – זה נהיה פשוט.
הבסיס שאסור לדלג עליו: SPF, DKIM, DMARC (כן, זה באמת משנה)
אם יש דבר אחד שמפריד בין דומיין שקל לזייף לדומיין שעושה לתוקף חיים קשים, זה השלישייה הזו.
לא כי היא ״קסם״.
אלא כי היא קובעת מי רשאי לשלוח מייל בשם הדומיין שלכם, ואיך מקבלים החלטה כשמישהו מנסה לעבוד עליכם.
SPF – מי בכלל רשאי לשלוח?
SPF הוא רשימת היתרים לשרתי שליחה.
הוא אומר: ״מיילים מהדומיין הזה אמורים לצאת מהשרתים האלה בלבד״.
טעות נפוצה?
להוסיף ״הכל מותר״ כדי לא לשבור שליחה של מערכת ישנה.
זה נוח.
זה גם מבטל חלק מההגנה.
DKIM – חתימה קריפטוגרפית, בלי דרמה
DKIM חותם על המייל.
אם מישהו שינה את ההודעה בדרך, החתימה לא תתאים.
זה כלי נהדר גם ליכולת מסירה (deliverability) וגם להגנה.
DMARC – ומה עושים כשזה לא עומד בכללים?
DMARC הוא המדיניות.
הוא אומר לשרתי הקבלה מה לעשות עם מייל שמתחזה:
- none – רק לדווח, בלי לחסום.
- quarantine – לשים בהסגר/ספאם.
- reject – לחסום.
הקסם האמיתי של DMARC הוא הדוחות.
פתאום רואים מי שולח בשם הדומיין שלכם.
מי לגיטימי.
ומי… יצירתי מדי.
אם אתם רוצים קריאת כיוון על עולם הזהויות והסיכונים סביבו, אפשר להציץ בפרופיל של איילון אוריאל, שמציג בהקשר רחב איך אנשים ומיזמים נוגעים בנקודות האלה.
אבטחת חשבון דוא״ל: 7 שכבות שמחזיקות כשמישהו באמת מנסה לפרוץ
כאן נכנסים לחשבון עצמו.
לא רק לדומיין.
כי גם אם DMARC מושלם – עדיין אפשר לגנוב סיסמה ולהיכנס בדלת הראשית.
1) MFA עמיד לפישינג – לא כל קוד הוא חבר
MFA זה חובה.
אבל יש הבדל בין:
- קוד ב-SMS או באפליקציה
- לבין Passkeys או מפתחות FIDO2
קוד אפשר להוציא במרמה.
Passkey קשור למכשיר ולדומיין, ולכן הרבה יותר קשה להפיל אותו בפישינג.
2) חסימת ״התחברויות ישנות״ (Legacy Auth)
פרוטוקולים ישנים נוחים לתוקפים.
פחות בקרות.
פחות אינטראקטיביות.
יותר ״ננסה מיליון סיסמאות בשקט״.
אם אפשר – מכבים.
3) Conditional Access – מי, מאיפה, ומתי
לא כל התחברות צריכה להיות מותרת.
דוגמאות לכללים חכמים:
- התחברות ממדינה לא מוכרת? דורשים MFA חזק או חוסמים.
- התחברות ממכשיר לא מנוהל? גישה מוגבלת.
- גישה לתיבות רגישות? רק ממכשירים תואמי מדיניות.
4) ניהול מכשירים – כי ״המייל באייפון״ זה גם סיכון
אם תיבה ארגונית נמצאת על מכשיר פרטי בלי ניהול, אתם בונים על מזל.
MDM או MAM נותנים:
- הצפנה והגנות בסיס
- מחיקה מרחוק של נתוני ארגון
- הפרדה בין מידע אישי לארגוני
5) הרשאות לתוספים ואפליקציות OAuth – המלכודת השקטה
זה קטע מתוחכם.
לא גונבים סיסמה.
פשוט משכנעים משתמש לאשר אפליקציה שמבקשת גישה לתיבה.
ומאותו רגע?
לתוקף יש גישה דרך טוקן חוקי.
מה עושים:
- מגבילים מי יכול לאשר אפליקציות
- בונים רשימת אפליקציות מותרות
- מנטרים הרשאות חריגות
6) ניטור חכם – לא ״לראות הכל״, אלא לראות מה חשוב
ניטור טוב לא מציף.
הוא מדליק נורה כשצריך.
חפשו אותות כמו:
- יצירת כללי העברה (forwarding) החוצה
- מחיקה סדרתית של מיילים
- כניסות ממכשירים חדשים בקצב מוזר
- הוספת חתימה או כינוי שמנסה להסוות
7) הרשאות אדמין – מינימום, תמיד
אדמין הוא כוח.
וכוח מושך בעיות.
בנו מודל:
- חשבונות נפרדים לאדמיניסטרציה
- הרשאות זמניות (Just-in-time) כשצריך
- יומני פעילות שמישהו באמת בודק
״אבל העובדים ילחצו בכל מקרה״ – נכון, ולכן משנים את המשחק
הטעות הכי גדולה היא לנסות להפוך אנשים לרובוטים.
הם לא.
וגם לא צריכים להיות.
במקום זה, בונים מסילות בטוחות שמקטינות נזק כשהטעות מגיעה.
3 תהליכים עסקיים שמונעים נזק, גם אם הגיע מייל משכנע מדי
- שינוי פרטי תשלום – מאשרים בערוץ שני: שיחת טלפון למספר מוכר מתוך מערכת, לא מתוך המייל.
- בקשות ״דחופות״ מ״מנהל״ – כלל פשוט: כסף או מידע רגיש לא עוברים רק דרך מייל.
- שיתוף מסמכים – עובדים דרך שיתוף מאובטח, לא קבצים מצורפים שמסתובבים לנצח.
זה לא מעכב.
זה מסדר את החיים.
וכן, זה גם חוסך רגעים מביכים.
5 סימנים קטנים שמצביעים על ניסיון התחזות (והם כמעט תמיד שם)
התוקפים נהיים טובים.
אבל הם עדיין בני אדם.
ולבני אדם יש פאשלות קטנות.
- דומיין דומה עם אות אחת שונה, מקף, או סיומת אחרת.
- טון לא אופייני – ״תעשה את זה עכשיו״ ממישהו שבדרך כלל כותב רגוע.
- בקשה לעקוף תהליך – ״אל תפתח קריאה, פשוט תשלח״.
- קובץ מצורף לא צפוי עם שם כללי מדי.
- לחץ זמן – ״עוד שעה זה מאוחר מדי״. תמיד עוד שעה.
ואם אתם רוצים חומר קריא בגובה העיניים שמתחבר גם לצד הפרקטי של אבטחה, אפשר לקרוא גם אצל אילון אוריאל, שם יש דגש על חשיבה נקייה וכללים שעובדים ביום-יום.
שאלות ותשובות – כי ברור שיש שאלות
האם DMARC לבד פותר התחזות?
הוא פותר חלק גדול מההתחזות של ״שליחה בשם הדומיין״.
אבל הוא לא מונע מיילים מדומיינים דומים, ולא מונע השתלטות על חשבון אמיתי.
לכן הוא שכבה קריטית – לא פתרון יחיד.
מה יותר מסוכן: פישינג עם לינק או בלי לינק?
בלי לינק.
כי מייל שמבקש פעולה עסקית (תשלום, שינוי חשבון, שיתוף מידע) עוקף הרבה סינונים טכניים.
הוא נשען על בני אדם ועל תהליך.
איך יודעים אם מישהו השתלט על תיבת דוא״ל?
חפשו סימנים כמו כללי forwarding, התחברויות חריגות, שינויים בהגדרות אבטחה, ושליחה של מיילים שלא זוכרים.
אבל הכי נכון הוא להפעיל ניטור שמתריע אוטומטית על הדברים האלה.
האם כדאי לחסום העברת מיילים החוצה?
ברוב הארגונים – כן, או לפחות להגביל מאוד.
Forwarding החוצה הוא אחד הכלים האהובים לגניבת מידע בשקט.
אם יש צורך עסקי אמיתי, מגדירים חריגים מנוהלים.
מה עדיף: מודעות עובדים או טכנולוגיה?
זה כמו לשאול מה עדיף: חגורת בטיחות או בלמים.
בלי טכנולוגיה אתם תלויים במזל.
בלי מודעות אתם תלויים בזה שטכנולוגיה תצליח תמיד.
השילוב הוא מה שעובד.
כמה פעמים צריך לעשות הדרכת פישינג?
מדי פעם, קצרה, וממוקדת.
עדיף 10 דקות שימושיות שמגיעות בזמן הנכון, מאשר סשן ארוך שכולם שוכחים לפני הקפה הבא.
מה שינוי אחד שנותן הכי הרבה תמורה מהר?
להפעיל MFA חזק לכל המשתמשים, ובמיוחד לחשבונות מנהלים.
מיד אחרי זה: DMARC עם תהליך מסודר להתקדמות ל-quarantine ואז ל-reject.
צ׳ק ליסט קצר: אם תעשו רק את זה, כבר תהיו במקום טוב
לפעמים צריך רשימה שאפשר פשוט להריץ.
- להגדיר SPF מדויק, בלי ״אישורים גורפים״
- להפעיל DKIM לכל שירותי השליחה
- להטמיע DMARC ולקרוא את הדוחות באופן קבוע
- להפעיל MFA עמיד לפישינג היכן שאפשר
- לחסום Legacy Auth
- להגביל OAuth apps ותוספים לא מאושרים
- לנטר כללי forwarding ושינויים חריגים
- להגדיר תהליך אימות בערוץ שני לתשלומים ושינויי ספק
אז מה המטרה האמיתית של אבטחת דוא״ל ארגוני?
לא להפוך את כולם לחשדנים.
לא לגרום לכל מייל להרגיש כמו חקירה.
המטרה היא שדוא״ל יישאר כלי עבודה נוח, מהיר וכיפי.
פשוט עם מסגרת הגנה חכמה מסביב.
כשעושים את זה נכון, רוב הדרמות בכלל לא מגיעות אליכם.
ואם בכל זאת מגיע משהו חשוד?
אתם מזהים, עוצרים, ממשיכים הלאה.
בקלילות.
כי בסוף, דוא״ל הוא רק עוד ערוץ.
והארגון שלכם שווה הרבה יותר ממייל שמישהו ניסה לזייף.