לאזור
המשווקים

אבטחת דפדפן: ההאקרים כבר עובדים בטאב שלכם

אם אתם עדיין בונים את ההגנה סביב הרשת, אתם מגנים על החלק הלא נכון. היום רוב העבודה מתרחשת בתוך הדפדפן: מייל, קבצים, CRM, הנהלת חשבונות, מערכות HR, כלים של בינה מלאכותית, אפילו ניהול שרתים בענן. זה אומר דבר פשוט: הדפדפן הוא מערכת ההפעלה החדשה, והוא גם נקודת הכניסה הכי נוחה לתוקפים.הבעיה היא לא שאין לכם פתרונות. ברוב הארגונים יש EDR, יש MFA, יש חומת אש, יש ענן, יש הכל. הבעיה היא שברגע שהתקיפה מתרחשת בתוך סשן דפדפן לגיטימי, הרבה מהשכבות האלה נשארות עיוורות. Verizon מדגישים בדוח DBIR האחרון שהאיום זז מהר, כולל עלייה חדה בשימוש ב Shadow AI ועומס סיכונים חדש סביב נתיבי עבודה יומיומיים. אפשר לקרוא את הסיכום הרשמי כאן: Vulnerability exploitation top breach entry point, 2026 DBIR.

למה הדפדפן הפך לשטח ציד

במודל הישן התוקף היה צריך לפרוץ שרת או לעקוף חומת אש. במודל החדש הוא צריך דבר אחד: לגרום למישהו לעבוד כרגיל בדפדפן, בזמן שהוא מנצל את מה שהדפדפן כבר מחזיק.

  • זהויות וסשנים נשמרים בעוגיות ובטוקנים. אם גונבים סשן, לא תמיד צריך סיסמה.
  • הרחבות מקבלות הרשאות שמזכירות אפליקציה. חלקן קוראות דפים, מקליטות הקלדה, או ניגשות להיסטוריה.
  • ענן ו SaaS הם בפועל רשת פנימית חדשה. מי שנמצא בתוך הדפדפן שלכם, נמצא ליד כל הנתונים שלכם.
  • כלי GenAI הם לרוב אתרי אינטרנט. נתון שמודבק לצאט הוא נתון שעוזב את הארגון.

כאן בדיוק נוצרת אשליה מסוכנת: העובד מרגיש שהוא רק גלש. בפועל הוא פתח שער עם הרשאות של מנהל מערכת, מנהל כספים או מנהלת משאבי אנוש, והכל דרך דפדפן.

שש תקיפות נפוצות שחיות בתוך הדפדפן

1) הרחבה זדונית שנראית לגיטימית

זה לא חייב להיות תוסף שמגיע מאתר מפוקפק. לפעמים זו הרחבה בחנות הרשמית שמתחילה נקייה, מקבלת דירוגים, ואז מתעדכנת לשגרה זדונית או נמכרת לגורם אחר. התוצאה: קריאה של תוכן דפים, גניבת טוקנים, הזרקת פרסומות, או איסוף מידע רגיש.

במקום לנסות לנחש אילו הרחבות מסוכנות, יוצרים מדיניות שמגבילה מה מותר. ב Chrome אפשר ליישם זאת דרך מדיניות Allowlist. נקודת התחלה טובה היא התיעוד הרשמי: Chrome Enterprise Extension Install Allowlist. ב Microsoft Edge יש מדיניות מקבילה: ExtensionInstallAllowlist.

2) גניבת סשן שמדלגת על MFA

כאן מגיעה האמת הלא נעימה: MFA מצוין נגד גניבת סיסמה, אבל הוא לא פתרון קסם נגד גניבת סשן. אם התוקף מצליח להשיג את עוגיית הסשן או טוקן הגישה, הוא עלול להיכנס כאילו הוא המשתמש, בלי לבצע התחברות בכלל.

ב OWASP מסבירים למה זה קורה ומה אפשר לעשות ברמת היישום והניטור: Cookie Theft Mitigation Cheat Sheet. בארגון, התרגום הפרקטי הוא שילוב של הקשחת דפדפן, ניהול התקני קצה, ומדיניות זהות שמזהה חריגות בזמן אמת.

3) פישינג מודרני שנראה כמו עבודה

ב 2026 הפישינג כבר לא מגיע רק כמייל עם קישור. הוא מגיע כבקשה לשיתוף מסמך, כניסה לקישור Teams, הודעה ב WhatsApp, או חלון כניסה שנראה אמיתי לגמרי. מי שרוצה להבין את השינוי הזה לעומק מוזמן לקרוא אצלנו: הפישינג החדש של 2026.

הטעות הנפוצה היא לטפל בזה רק בהדרכה. הדרכה חשובה, אבל צריך גם שכבות טכנולוגיות. כאן נכנסים סינון דוא״ל מתקדם סינון דוא״ל וניטור התנהגות משתמשים, כי הפישינג של היום לא תמיד מכיל נוזקה. לפעמים הוא רק משנה החלטה אנושית.

4) OAuth והסכמת הרשאות שמכניסה תוקף דרך הדלת הראשית

אחת המתקפות הכי מתסכלות: העובד לוחץ על התחבר עם Microsoft או התחבר עם Google, מאשר הרשאות, ומאותו רגע לתוקף יש גישה דרך אפליקציה מאושרת. זה נראה לגיטימי בלוגים של התחברות, כי זו באמת אפליקציה עם הרשאות.

הגנה אמיתית כאן דורשת תהליך: מי רשאי לאשר אפליקציות, איך מאשרים, ואיך מנטרים הרשאות חריגות. בלי זה, הדפדפן הופך לממשק שמחלק טוקנים לתוקף.

5) Shadow AI שמוציא נתונים בלחיצת הדבק

הדליפה הכי נפוצה היום לא מתחילה בפריצה. היא מתחילה מטאב. עובד מעתיק קטע קוד, הצעת מחיר, פרטי לקוח, או מסמך פנימי, מדביק לכלי AI ציבורי ומקבל תשובה. מבחינת אבטחת מידע זו העברת נתונים לצד שלישי בלי שליטה.

כדי להבין את זה כמו שזה, ולא כמו שאנחנו רוצים שזה יהיה, קראו: שיחת AI אחת והמידע בחוץ.

ופה נכנסת שכבת שליטה על מידע, לא שכבת נזיפה. DLP מאפשר לזהות מידע רגיש ולמנוע יציאה שלו מערוצים כמו דוא״ל, שיתוף ענן, או הדבקה לשירות חיצוני.

6) מכשיר לא מנוהל שנכנס לכל הענן

הרבה אירועים מתחילים מהמקום הכי בנאלי: עובד מתחבר לחשבון הארגוני מהמחשב הפרטי. אין הקשחה, אין שליטה על הרחבות, אין עדכונים בזמן, ובמקרים רבים גם אין הגנה לעמדת קצה. התוקף לא צריך לפרוץ את הרשת שלכם. הוא צריך לפרוץ את השגרה.

אז מה זה אבטחת דפדפן בפועל

אבטחת דפדפן היא לא מוצר אחד. זו שליטה על שלושה דברים:

  • מה מותר לדפדפן לעשות הרחבות, הורדות, סיסמאות שמורות, גישה לקבצים מקומיים, סנכרון לחשבונות פרטיים.
  • מי מותר לו לגשת זהות, מכשיר, מיקום, סיכון התחברות, והאם הסשן עומד במדיניות.
  • מה מותר למידע לעשות האם מסמך רגיש יכול לצאת במייל, בשיתוף ענן, בהדפסה, בהעתקה, או בהדבקה לכלי AI.

כדי להפוך את זה למשהו שאפשר לנהל, צריך גם מדדים וגם ניטור. אחרת זה נשאר מסמך מדיניות שמישהו כתב ואז שכח.

צקליסט: מה עושים כבר השבוע

שלב ראשון: 72 שעות של שליטה מהירה

  • מיפוי דפדפנים פעילים מי משתמש ב Chrome, Edge, Firefox, ומה מנוהל מול מה פרטי.
  • מיפוי הרחבות רשימת תוספים בפועל, לא רשימת תוספים שמותר לפי נוהל.
  • חסימת התקנת הרחבות חופשית מעבר למדיניות Allowlist והגדרה של חריגים מאושרים בלבד.
  • עצירת סנכרון לחשבונות פרטיים כי שם מתחילות הדליפות הכי יומיומיות.
  • קיצור חלון סשן במערכות קריטיות חשבונות פיננסיים, מערכות ניהול קבצים, מערכות אדמין בענן.

שלב שני: 30 יום של הקשחה ונראות

  • עדכוני דפדפן ואבטחה בקצב קבוע דפדפן לא מעודכן הוא דלת פתוחה, בדיוק כמו שתיארנו במאמר הפרצה שכבר פרסמתם להאקרים בלי לשים לב. מי שרוצה להפוך את זה לשגרה יכול להיעזר בשירות עדכוני תוכנה ועדכוני אבטחה שוטפים.
  • הקשחה לפי Benchmark מוכר למשל, יש ב NIST מאגר תצורות ודגשים לדפדפנים, כולל Chrome: Google Chrome Browser STIG.
  • מדיניות הורדות זיהוי והגבלה של הורדות מאסיביות ממערכות ענן.
  • הקשחת סשנים מול גניבת עוגיות התאמת מדיניות זהות וניטור חריגות לפי עקרונות OWASP.

שלב שלישי: 90 יום של הגנה מערכתית

  • חיבור לוגים לניטור רציף סשנים חשודים, OAuth חריג, הורדות מאסיביות, ושינויים בהרשאות צריכים להיכנס למערך SIEM SOC שמסוגל גם להגיב, לא רק להתריע. זה בדיוק התפקיד של SIEM SOC.
  • יישום DLP על נתיבי עבודה דוא״ל, ענן, הדפסה, העלאה לאתרים, וכל שימוש בכלי GenAI שלא עבר אישור.
  • חיזוק מודעות עובדים לא בתור הרצאה חד פעמית, אלא כחלק משגרה. אפשר להתחיל כאן: הדרכות מודעות לסייבר.
  • סקר סיכונים שמסתכל על הדפדפן אם הסקר שלכם מסתיים בשרתים וברשת, הוא מפספס את מרכז העבודה. נקודת פתיחה: סקר סיכונים.

דוגמה אמיתית מהשטח: איך דלף קטן הופך לאירוע

בואו ניקח תרחיש שאנחנו רואים שוב ושוב. עובד נכנס ל SharePoint או Google Drive, פותח קובץ רגיש, ואז מתקבל מייל שנראה כמו המשך שיחה אמיתי. הוא מאשר הרשאה לאפליקציה שנראית שגרתית, או מתקין הרחבה שנראית כמו כלי פרודוקטיביות. לא נופלת נוזקה. לא קופץ אנטי וירוס. אבל בתוך שעה יש הורדה מאסיבית של תיקיות, וקישור שיתוף נפתח החוצה.

בנקודה הזאת, מי שיש לו רק אנטי וירוס יגלה את זה בדיעבד. מי שיש לו שליטה בדפדפן, DLP וניטור SOC, יראה את זה בזמן אמת: התנהגות הורדה חריגה, שינוי הרשאות, והקשר ברור לאותו משתמש ואותו סשן.

השורה התחתונה שלנו ב 010

הדפדפן הוא המקום שבו הארגון שלכם עובד. ולכן הוא גם המקום שבו הארגון שלכם נופל. אבטחת דפדפן היא לא טרנד ולא עוד מוצר. היא תיקון של עיוורון מבני.

אם אתם רוצים לצמצם סיכון באמת, לא מספיק להגיד לעובדים להיות זהירים. צריך לבנות מעטפת: הקשחה, שליטה על הרחבות, מדיניות זהות, DLP, ועדכונים רציפים. ורק אז להוסיף מודעות.

ואם אתם לא בטוחים מאיפה להתחיל, ההמלצה שלנו היא לא לנחש. להתחיל עם תמונת מצב שמסתכלת גם על העבודה בדפדפן, דרך סקר סיכונים, ואז לתעדף פעולות שמקטינות סיכון כבר החודש.

דילוג לתוכן