מה השתנה בפישינג ולמה פילטר יחיד כבר לא מספיק
- URLs חכמים מחליפים קבצים מצורפים ומנצלים דפדפן/נייד כדי לעקוף מסננים פשוטים.
- Adversary‑in‑the‑Middle עוקף MFA באמצעות לכידת Cookie והקשר התחברות.
- OAuth Consent- משתמש מאשר אפליקציה “תמימה” ומעניק לה גישה מבלי להקליד סיסמה.
- QR‑ishing- קודי QR שמשנים את זירת ההתחברות לנייד, שם הזיהוי קשה יותר.
שכבה 1- אימות דואר: DMARC/DKIM/SPF שמחסל התחזות בדומיין
בלי DMARC ב‑p=reject הדומיין שלכם פתוח להונאות BEC והתחזות. יישום נכון של DMARC, יחד עם DKIM ו‑SPF, מאפשר לשרתי קצה לסרב להודעות שלא עומדות באימות ומוריד משמעותית הונאות התחזות לשם הדומיין. מדריך קצר וענייני נמצא ב‑dmarc.org.
שכבה 2- נטרול קישורים בזמן‑לחיצה
הגנה מודרנית לדוא״ל חייבת לשכתב קישורים ולבדוק אותם בזמן לחיצה, לא רק בעת הקבלה. ב‑Microsoft 365 זהו Safe Links: מנגנון שמגן גם על Teams וקבצי Office, לא רק על מייל. כך עוצרים Redirect מתוחכם או דומיינים ש”מתחלפים” לאחר המסירה. מדריך רשמי: Safe Links.
שכבה 3- זהויות עמידות לפישינג: Passkeys, Number Matching ו‑Conditional Access
פישינג תופס טרמפ על MFA חלש (פוש עיוור). אנחנו מחייבים Passkeys (FIDO2) ומפעילים Number‑Matching כדי לנטרל הפצצות אישור. זה מדיניות זהויות שמונעת מהתוקף להפוך לחץ אחד להשתלטות. מסמך ההנחיה של CISA ל‑Number Matching ממליץ בפירוש על יישום זה לארגונים שאינם יכולים לעבור מיד ל‑MFA עמיד לפישינג. מסמך CISA.
ללקוחות Microsoft 365- הרחבה מעשית בצ׳ק‑ליסט שאנחנו פרסמנו: האמת על אבטחת Microsoft 365.
שכבה 4- מודעות עובדים שמייצרת תוצאות
אי‑אפשר לעצור פישינג מודרני בלי אנשים שמכירים את הטריקים החדשים. אנחנו מנהלים קמפיינים רציפים, מודדים שיעורי דיווח/לחיצה, ומשפרים תסריטי מודעות על בסיס אירועים אמיתיים. להתחלה מצוינת: פישינג 2025: כך עוצרים את ההונאות החדשות ו‑איך לזהות ולחסום ניסיונות פישינג.
שכבה 5- נראות ותגובה: חיבור הדוא״ל ל‑SIEM/SOC
מסננים חכמים מפספסים לפעמים. לכן אנחנו משדרגים את ההגנה עם SIEM/SOC מנוהל: איסוף לוגים ממייל, זהויות, NDR/EDR וענן; איתור אנומליות (OAuth חריג, Cookie גנוב, התחברויות “בלתי‑אפשריות”); ו‑Playbooks שמסוגלים לנתק חיבורים, לנעול חשבון ולהרים חקירת דיוג בתוך דקות. להעמקה: שלוש רמות של איסוף לוגים.
שכבה 6- עמידות עסקית: גיבוי בלתי ניתן למחיקה
גם אם מייל זדוני חודר- לא נותנים לו להפוך למשבר. גיבויים Immutable, בדיקות שחזור חודשיות ונהלי BCP יוציאו אתכם מהבוץ מהר. מדריך פרקטי: גיבוי מנוהל והמשכיות עסקית.
צ׳ק‑ליסט 90 יום- ליישם ולהראות תוצאות
- שבוע 1–2: פריסת DMARC/DKIM/SPF (מצב
p=reject) + חסימת אימותים ישנים (Legacy). - שבוע 2–4: הפעלת Safe Links/Attachments לכל הערוצים (כולל Teams) והקשחת מדיניות קבצים.
- שבוע 3–6: מעבר ל‑Passkeys, הפעלת Number‑Matching, הטמעת Conditional Access “Strict”.
- שבוע 4–8: השקה של קמפיין מודעות, סימולציות פישינג ומדדי דיווח/לחיצה.
- שבוע 6–10: חיבור מייל/זהויות/ענן ל‑SIEM/SOC, הגדרת Playbooks וקריאות מבחן.
- שבוע 8–12: בדיקת שחזור מלאה (Table‑Top + שחזור אמיתי), תיקוף BCP.
רגולציה? אל תרדפו אחרי החוק- הובילו אותו
תיקון 13 דורש לוגים, תיעוד ונראות. ארכיטקטורת דוא״ל רב‑שכבתית שמחוברת ל‑SIEM/SOC תעזור לכם לעמוד בדרישות ולדווח מהר, בלי “מבצע חירום”. קראו: איך להיערך לתיקון 13.
שורה תחתונה
רוצים לעצור AI‑Phishing באמת? זה לא טריק אחד, זו מעטפת: אימות דואר, Time‑of‑Click, זהויות עמידות לפישינג, מודעות, SIEM/SOC וגיבוי. אנחנו ב‑010 ממפים, מטמיעים ומודדים וב‑90 ימים תראו גרף ירוק במקום אדום. דברו איתנו ונבנה לכם את ההגנה שמגיעה לארגון שלכם.
מקורות להעמקה
- Verizon DBIR 2025 תמונת מצב עולמית על פריצות ונתיבי חדירה.
- ENISA Threat Landscape 2025.
- Microsoft Defender for Office 365 — Safe Links.
- CISA — Number Matching ב‑MFA.
- DMARC — הסבר ותכלס.
קריאה משלימה מהאתר שלנו
רוצים שנעשה זאת עבורכם?
נבנה לכם שכבת דוא״ל מודרנית שמתחברת לזהויות, ל‑SOC ולגיבוי. צרו קשר.
