פרצת “טלגרם – תא קולי”: כששירות ותיק בטלפון פוגע באבטחה של אפליקציה מודרנית
- binyxisrael
- לפני 4 ימים
- זמן קריאה 5 דקות
עודכן: לפני יום 1
בשנים 2024–2025 דווח בישראל על גל ניסיונות השתלטות על חשבונות טלגרם, שבחלקם נעשה שימוש משולב בשירותי התא הקולי של חברות הסלולר. דפוס התקיפה, שקיבל את הכינוי הלא רשמי “טלגרם – תא קולי”, מדגים כיצד חולשה בתשתית טלפוניה ותיקה יכולה להפוך לנקודת כניסה למערכת מסרים מודרנית.
הכתבה הזו מסכמת באופן אינפורמטיבי את עקרון הפעולה של הפרצה, את תיעודה בשטח, ואת הלקחים העיקריים עבור משתמשים ואנשי מקצוע.
עקרון הפרצה: קוד אימות שנוחת בתא הקולי
טלגרם מאמתת משתמשים באמצעות קוד חד־פעמי שנשלח למספר הטלפון:
כברירת מחדל – ב־SMS.
אך לעיתים – גם באמצעות שיחת טלפון אוטומטית המקריאה את הקוד.
כאשר המשתמש אינו עונה לשיחה, ההודעה הקולית נשמרת לעיתים בתא הקולי של הקו. כאן מתחברת חולשה ותיקה:
אצל משתמשים רבים התא הקולי פעיל למרות שאינם משתמשים בו בפועל.
סיסמת התא הקולי נשארת לעיתים סיסמת ברירת המחדל שסיפקה חברת הסלולר, או סיסמה חלשה.
במצב כזה, תוקף שמצליח לגשת לתא הקולי (למשל באמצעות קוד ברירת מחדל, ניחוש סיסמה או שימוש בשירותי גישה מרחוק) יכול, בתנאים מסוימים:
להאזין להודעת טלגרם האוטומטית,
לקבל את קוד האימות,
ולהשלים השתלטות על חשבון טלגרם הרשום על אותו מספר.
לאחר כניסה לחשבון, ניתן לנתק את בעליו החוקי מהגישה אליו, להשתמש בזהותו לצורכי התחזות, פישינג, הפצת תכנים, איסוף מידע ועוד.
מטעמי אחריות, כתבות מקצועיות בנושא זה נמנעות בדרך כלל מתיאור מלא של כל שלבי התקיפה, ומתמקדות ברמת העיקרון ובאמצעי ההגנה.
זיהוי הדפוס בשטח: מקרה לקוח שהפך לסימן אזהרה
אחד המקרים המתועדים, שהאיר את הדפוס הזה, התרחש בחודש אוקטובר 2024 במסגרת עבודה של איש סיסטם ומנהל מערכות מידע בחברת דיביאי שירותי מחשוב.
באותו מקרה התקבלה פנייה מלקוחה, שלטענתה נפתח על מספר הטלפון שלה חשבון טלגרם – אף שמעולם לא התקינה את האפליקציה ולא ביקשה להשתמש בה. חשבון הטלגרם שוחזר, אך זמן קצר לאחר מכן אירעה פריצה נוספת לאותו מספר.
שילוב נסיבות זה, יחד עם בחינה טכנית של אופן האימות בטלגרם ושל התנהגות התא הקולי בקווים סלולריים בישראל, העלה את החשד שמדובר בדפוס תקיפה מערכתי ולא בכשל נקודתי.
האירוע תועד בדו”ח אבטחת מידע פנימי, שבו הוסבר הדפוס המשוער: שימוש בקוד אימות המגיע לשיחת טלפון, שנשמרת בתא קולי בעל הגנה חלשה.
התלונה הרשמית: “ביטחון לאומי”
על בסיס הדו”ח המקצועי והחשש מהשלכות רחבות, הוגשה תלונה רשמית באמצעות מערכת הדיווח המקוונת של גורמי האכיפה והסייבר בישראל.
התלונה, שהוגשה ב14.10.2024 בדחיפות על ידי איש הסיסטם בנימין ברנדשטטר, נוסחה כמתארת דפוס תקיפה ברמה לאומית, ולא אירוע לקוח בודד
הקשר לביטחון לאומי
בתלונה פורט ההיגיון הטכני של ההתקפה והודגש הפוטנציאל לשימוש בפרצה לצרכים פליליים או עוינים, במיוחד על רקע רגישות ההקשר הישראלי והאפשרות לפתיחת חשבונות טלגרם על גבי מספרי טלפון “כשרים” או מספרים של משתמשים שאינם מודעים כלל לשיוכם לאפליקציה.
לפי התיעוד, בתוך כרבע שעה מהגשת התלונה התקבלה שיחת טלפון מחוקר משטרה, שביקש לאמת את הפרטים, לשאול שאלות הבהרה, והבהיר שהנושא יועבר לטיפול בגורמים המתאימים. מהירות התגובה והאופן הענייני שבו התנהלה השיחה חיזקו את ההערכה שמדובר בדפוס בעל משמעות רחבה.
תושייה מקצועית בשטח – כמשלים לעבודת גופי הסייבר
המקרה מדגים כיצד תצפית נקודתית של איש מקצוע “בשדה” יכולה להשלים את עבודתם של גופי סייבר רשמיים:
איש סיסטם הנמצא בקשר יומיומי עם משתמשי קצה נחשף לעיתים ראשון לדפוסים מוזרים.
כשהוא מתעד את האירוע, מנתח אותו כשל מערכת ולא כתקלה מקומית, ומגיש תלונה מסודרת – המידע הזה יכול להתגלגל במהירות לגורמי אכיפה וסייבר.
במובן זה, פרשת “טלגרם – תא קולי” מדגישה לא רק את החולשה הטכנית, אלא גם את חשיבותה של יוזמה ואחריות מקצועית מצד אנשי IT וטכנאים, כחלק מהגנת הסייבר הכוללת.
תגובת המערכת: אזהרות רשמיות והסברה לציבור
לאחר שהצטבר מידע על גל ניסיונות השתלטות על חשבונות טלגרם, פרסמו גופי סייבר רשמיים בישראל אזהרות לציבור. באזהרות אלו הוסבר בקצרה דפוס התקיפה והומלצו מספר צעדי הגנה, בהם:
ביטול התא הקולי למי שאינו זקוק לו.
שינוי סיסמת ברירת המחדל של התא הקולי.
הפעלת אימות דו־שלבי בחשבון טלגרם.
בהמשך הצטרפו אתרי חדשות וארגוני אינטרנט, שסיפקו מדריכי הגנה מפורטים ועסקו בהשלכות על אוכלוסיות שונות, כולל משתמשי “טלפונים כשרים” והקשרי ביטחון מידע.
הקשר רחב יותר: שילוב בין טכנולוגיות ישנות וחדשות
הפרצה המכונה “טלגרם – תא קולי” אינה מקרה יחיד בקנה מידה עולמי. בשנים קודמות תועדו פרצות דומות באפליקציות מסרים אחרות, שהתבססו על אותו עיקרון:
שירות מסרים מודרני,
מנגנון אימות טלפוני,
ותא קולי עם הגנה חלשה.
השילוב בין מערכת חדשה הנסמכת על תשתית ותיקה, שחלק מהגדרות ברירת המחדל שלה אינן מותאמות לאיומי סייבר עדכניים, מייצר “חוליה חלשה” שניתנת לעיתים לניצול.
מצב עדכני ואחריות המשתמשים
נכון למועד סיקור האירועים, נטען כי עדיין לא הוטמע טיפול מלא בכל הרמות – הן בצד האפליקציה והן בצד תשתיות הטלפוניה – וכי חלק משמעותי מהפחתת הסיכון תלוי בהתנהלות המשתמשים עצמם.
ההמלצות העיקריות לציבור הן:
תא קולי
מי שאינו זקוק לו – מומלץ שיבטל את השירות מול חברת הסלולר.
מי שמשתמש בו – חשוב לוודא שסיסמת ברירת המחדל הוחלפה לסיסמה חזקה.
אימות דו־שלבי בטלגרם
הפעלת סיסמה נוספת מעבר לקוד החד־פעמי, כך שגם אם קוד האימות נחשף, לא ניתן יהיה להיכנס לחשבון בקלות.
בדיקת מכשירים מחוברים
מעת לעת מומלץ לבדוק ברשימת המכשירים המחוברים לטלגרם ולנתק מכשירים שאינם מזוהים.
חשדנות לקודים שלא ביקשתם
קבלת SMS או שיחת טלפון עם קוד אימות, כאשר המשתמש לא ניסה להתחבר, היא נורת אזהרה המחייבת בדיקה.
סיכום
פרצת “טלגרם – תא קולי” מדגימה היטב כיצד:
שירות טלפוני ותיק,
אפליקציית מסרים מודרנית,
והגדרות ברירת מחדל חלשות,
יכולים יחד לייצר סיכון ממשי לחשבונות אישיים ולמידע רגיש.
הפרשה גם מדגישה את העובדה שהגנת סייבר אינה רק נחלתם של גופי מדינה וחברות אבטחה גדולות: לעיתים, דו”ח אירוע מדויק ותלונה אחת מסווגת היטב, שמגיש איש סיסטם מן השורה, יכולים להיות החוליה שמחברת בין אירוע מקומי לבין מודעות ציבורית ופעולה מערכתית.
קריאה נוספת: הדיווחים והאזהרות מישראל
אזהרת איגוד האינטרנט הישראלי על גל פריצות טלגרם דרך תא קולי (מאקו)
ידיעה על קמפיין הסייבר נגד ישראלים – השתלטות על חשבונות טלגרם דרך תא קולי (ynet בעברית)
הגרסה האנגלית לגל ההתקפות – השתלטות על חשבונות טלגרם באמצעות תא קולי (Ynetnews באנגלית)
אזהרת איגוד האינטרנט וניתוח ההונאה – איך עובדת פריצת טלגרם דרך תא קולי (IsraelDefense מסכם)
המלצות רשמיות להגנה על חשבון הטלגרם – אתר gov.il של מערך הסייבר הלאומי
פוסט רשמי של מערך הסייבר: “שומרים על חשבון הטלגרם שלכם – כך תמנעו מניצול תא קולי לפריצה” (טלגרם/פייסבוק)
קריאה נוספת – הסברה לציבור והקשר רחב יותר
מאמר הסבר לקהל הרחב: מתקפות בזמן מלחמה ופריצות טלגרם דרך תא קולי (Cybertis)
קו הסיוע לאינטרנט בטוח – עזרה, דיווח וסיוע נפשי/טכני אחרי הונאות ופריצות (איגוד האינטרנט הישראלי)
ניתוח רחב יותר של השתלטות על חשבונות וואטסאפ וטלגרם ומדריך הגנה (Kaspersky)
מהעולם – התקפות דומות דרך תא קולי (WhatsApp / Telegram)
מאמר טכני: Taking over WhatsApp accounts by reading voicemails (Medium)
סופוס: התקפות וואטסאפ דרך תא קולי – שימוש בסיסמאות ברירת מחדל לתא קולי
דיווח בטיימס אוף ישראל על פרצות וואטסאפ דרך תא קולי (קוד אימות שנקלט בהודעה קולית)
סופוס: Hackers target Telegram accounts through voicemail backdoor – מקרה ישן יותר של טלגרם ותא קולי
ניתוח עדכני: Hackers Hijack Telegram Accounts via Default Voicemail Passwords (GBHackers)
Telegram accounts hijacked – סקירה על חטיפת חשבונות טלגרם (Cyberpress)
בלוג אבטחה: Hacking into WhatsApp accounts via voicemail – הסבר על השיטה (Infologo)
סקירת NCSC שווייץ – דוגמאות להשתלטות על חשבונות דרך תא קולי (כולל וואטסאפ/טלגרם)
תגובות