איך חשבון פייסבוק נפרץ: ניתוח עומק מתוך מקרים אמיתיים

פריצות לחשבונות פייסבוק הן כבר מזמן לא סיפור נדיר שמתרחש למישהו אחר. במציאות הדיגיטלית של היום, כמעט כל אחד ואחת עלולים למצוא את עצמם מתמודדים יום אחד עם הודעה מלחיצה: "החשבון שלך נפרץ" או "החשבון שלך הושבת". במאמר הזה נתאר צעד-אחר-צעד כיצד פריצה לחשבון פייסבוק מתבצעת בפועל, מה עושים האקרים, כיצד פועלים מנגנוני האבטחה של פייסבוק ומה האפשרויות לשיקום ושחזור החשבון. כל התוכן מבוסס על מקרי אמת ודוגמאות שקרו בפועל לישראלים – מתוך המידע שסופק במסמכים בלבד.

למה בכלל פורצים לחשבונות פייסבוק?

ראשית, חשוב להבין שהמוטיבציה לפרוץ לחשבון פייסבוק היא כלכלית ברובה, ולא נובעת ממניעים אישיים או שנאה למדינה זו או אחרת. הפריצות לפייסבוק הן עניין שבשגרה, תופעה עולמית שמבוצעת לרוב על ידי האקרים מקצועיים ממדינות כמו וייטנאם ומדינות נוספות, לאו דווקא נגד ישראלים. האקרים אלו שולחים מיליוני הודעות פישינג בתקווה שמישהו ייפול בפח. ברגע שמצליחים, הם משתלטים על נכסים דיגיטליים של הקורבן – דפי פייסבוק עסקיים, חשבונות מודעות, קבוצות, ולפעמים אפילו חשבון הפייסבוק האישי. את הנכסים האלו אפשר למכור ברשת במחיר למרבה במחיר, או להריץ עליהם קמפיינים לא חוקיים ומפוקפקים.

אחת השיטות העיקריות בהן משתמשים האקרים היא לנצל את האפשרות להפריד בין הנכסים השונים – הם מעבירים דפים עסקיים, חשבונות מודעות, קבוצות ועוד, מהחשבון האישי של הקורבן לחשבון עסקי חדש שבשליטתם. אחרי שהם מסיימים להבטיח את השליטה שלהם, הם לרוב משביתים בכוונה את החשבון האישי של הקורבן ומקשרים אליו חשבון אינסטגרם פיקטיבי. כך, החשבון מושבת אוטומטית, והנכסים נשארים בשליטתם. הנזק לקורבן עלול להיות עצום – איבוד גישה לכסף, לנכסים הדיגיטליים, לפעילות העסקית ולמוניטין שצבר במשך שנים.

שלב ראשון: איך הפריצה מתחילה – מתקפת פישינג

הצעד הראשון בפריצה כמעט תמיד מתבצע באמצעות מתקפת פישינג (Phishing), או בעברית – דיוג. זוהי הודעה שנשלחת, לרוב לדף עסקי, ונראית אמינה מאוד. לפעמים היא מגיעה בשפה העברית התקנית, תחת הכותרת "הודעה מצוות התמיכה של Meta", ומתריעה כי החשבון עומד להיחסם עקב פעילות חריגה או הפרה של כללי הקהילה. להודעה מצורף קישור שנראה לכאורה לגיטימי – לעיתים מדובר בקישור שמתחזה לעמוד של Meta Ads או אפילו עמוד כניסה רשמי של פייסבוק.

הקורבן, שהוא במקרה הזה מנהל עמוד עסקי, מקבל את ההודעה, מתלבט אם ללחוץ על הקישור, ומוטרד מהאפשרות שאולי באמת עבר על הכללים. מתוך לחץ, או מחוסר תשומת לב, הוא לוחץ על הקישור, מגיע לעמוד כניסה שנראה בדיוק כמו האתר הרשמי של פייסבוק, מזין את כתובת המייל והסיסמה שלו – ומוסר אותם ישירות להאקר, מבלי לדעת על כך. ברגע זה, כל פרטי הגישה מועברים לידי התוקף.

שלב שני: איך האקר מקבל שליטה – גניבת עוגיית Session או Access Token

לאחר שהקורבן הזין את פרטיו, התוקף לא רק מקבל את הסיסמה – לעיתים קרובות הוא מצליח להשיג גם את "עוגיית הגישה" (Session Cookie) או את אסימון הגישה (Access Token), שמאפשרים לו להיכנס לחשבון הפייסבוק של הקורבן באופן מיידי, בלי להזין שוב סיסמה או לעבור אימות נוסף.

התוקפים משתמשים בשיטה שנקראת Session Hijacking – חטיפת סשן. באמצעותה הם עוקפים גם מנגנוני הגנה כמו אימות דו-שלבי (2FA), משום שהגישה נעשית דרך עוגיה פעילה שנלקחה מהמחשב או מהטלפון של הקורבן, והמערכת של פייסבוק מזהה את הגישה כאילו היא לגיטימית. במקרים רבים המשתמש אינו מפעיל כלל אימות דו-שלבי, ואז הדרך לפריצה הופכת קלה עוד יותר.

שלב שלישי: חדירה שקטה – התוקף נכנס לחשבון

לאחר קבלת העוגיה, ההאקר מבצע את הכניסה הראשונה לחשבון. לרוב, הוא עושה זאת ממדינה זרה – הרבה פעמים מווייטנאם או ממדינות אחרות במזרח אסיה, אך לעיתים תוך שימוש ב-VPN או Botnet המאפשרים לו לשנות את מיקומו במהירות בין מדינות. בלוגים שנבדקו מקרים אמיתיים הצביעו על התחברויות מחשודות שבוצעו תוך שניות ממקומות כמו נפאל ואל-סלוודור – מה שאינו אפשרי פיזית לאדם אחד, אבל אפשרי טכנולוגית כאשר משתמשים בכלים מתקדמים.

פייסבוק מפעילה מנגנוני אבטחה שמזהים נסיונות התחברות ממדינות ומכשירים לא שגרתיים ומפעילים "Preauthentication Flow" – זרימת אימות מוקדמת, שדורשת אימות נוסף מהמשתמש לפני שמאשרים את הכניסה. במקביל, כל נסיונות החיבור הלא מורשים נחתכים באמצעות API Session Termination, והמערכת חוסמת ניסיונות כניסה שנראים חשודים. לפעמים התוקף נאלץ לבצע ניסיונות רבים לאיפוס סיסמה, אך אם המייל או מספר הטלפון של הקורבן עדיין בשליטתו – הוא נכשל בשחזור הסיסמה. לעיתים, במזל, אף אחד מהניסיונות לא מצליח והחשבון נשאר מוגן.

אבל אם התוקף מצליח, הוא עוקף את מנגנוני ההגנה ומבצע כניסה לחשבון ממיקום חדש – לדוג' מווייטנאם – בלי להזין סיסמה נוספת. פייסבוק מזהה את הכניסה כחשודה, אבל אם לא הופעל אימות דו-שלבי, האקר מצליח להיכנס ישירות ולשלוט בחשבון.

שלב רביעי: השתלטות וביסוס שליטה – שינוי פרטי חשבון וניצול נכסים

מיד לאחר הכניסה, ההאקר מתחיל לפעול לביסוס שליטה מוחלטת. הוא מבצע מגוון פעולות:

• שינוי פרטי גישה: שינוי הסיסמה, המייל, מספר הטלפון וכל פרט מזהה אחר כדי לנתק את הקורבן מהחשבון.
• הוספת מכשירים מהימנים: ברגע שמכשיר כלשהו נכנס לרשימת המכשירים המהימנים (Trusted Devices), התוקף מבטיח לעצמו גישה עתידית גם אם תתבצע החלפת סיסמה.
• העברת נכסים: העברת דפים עסקיים, קבוצות, וחשבונות מודעות לחשבונות בשליטתו. כך, גם אם החשבון ייחסם, הנכסים האלו נשארים אצלו.
• קישור לחשבון אינסטגרם פקטיבי: אחת השיטות הנפוצות היא לקשר את חשבון הפייסבוק שנפרץ לחשבון אינסטגרם מזויף, שמפרסם תכנים אסורים או פוגעניים. המטרה כאן היא לגרום לפייסבוק להשהות את החשבון לצמיתות, ובמקביל לאפשר להאקר להמשיך ולנצל את הנכסים הדיגיטליים.

לאחר סיום ההשתלטות, פעמים רבות ההאקר גורם לכך שהחשבון יושבת – בין אם ע"י הפרה מכוונת של כללי הקהילה, העלאת תכנים לא חוקיים, או שימוש במערכות הפרסום של פייסבוק למטרות אסורות.

שלב חמישי: חסימת הגישה לבעלים המקורי

אחרי שכל הנכסים בשליטת ההאקר, הוא לרוב משבית בכוונה את החשבון – או פועל כך שפייסבוק תשבית אותו אוטומטית בעקבות פעילות חשודה או אסורה. כתוצאה מכך, הקורבן מאבד לחלוטין את הגישה, ולא יכול אפילו להגיש ערעור רגיל, כי החשבון כבר לא נמצא ברשותו או מקושר אליו אימייל עדכני. כל ניסיון להתחבר – נתקל בהודעה "החשבון שלך מושבת".

כך נראית הפריצה בשלבים – דוגמה אמיתית

1. בשעה 7:14 בערב נרשמו שני ניסיונות התחברות מחשודים: הראשון מנפאל ממכשיר Samsung SM-T720 עם Android 13, והשני מאל-סלוודור ממכשיר Samsung SM-M515 עם Android 9. ההתחברויות התרחשו בהפרש של 3 שניות בלבד – ככל הנראה דרך VPN או Botnet.
2. פייסבוק זיהתה את הניסיונות כחשודים, הפעילה Preauthentication Flow ומנעה את הכניסה.
3. מספר ימים לאחר מכן, ב-18 בפברואר, בוצע ניסיון כניסה נוסף מישראל, מקריית טבעון, דרך מחשב Windows 10 עם Google Chrome, ולאחר מכן בוצעה פתיחת session חדשה מהאנוי, וייטנאם.
4. כאן הייתה כבר פריצה משמעותית: ההאקר קיבל גישה לחשבון באמצעות session cookie גנובה, מבלי להזין סיסמה.
5. פייסבוק שוב זיהתה את ההתחברות כחשודה, סגרה את ה-session, אך כעבור זמן קצר התבצעו ניסיונות כניסה נוספים, עד שהחשבון הושבת לחלוטין.
6. הפעולה האחרונה הייתה קישור החשבון לאינסטגרם פקטיבי, מה שגרם לחשבון להיחסם לצמיתות.

איך פועלות מערכות האבטחה של פייסבוק?

• Preauthentication Flow Enrolled – מחייבת אימות נוסף בכל ניסיון התחברות חריג לפני מתן גישה לחשבון, גם אם הסיסמה נכונה.
• API Session Termination – סיום יזום של כל session חשוד או לא מורשה.
• Login Checks Failed – חסימת ניסיונות כניסה מרובים שמצביעים על סיכון.
• Password Reset Attempts – אם ההאקר מנסה להפעיל שחזור סיסמה באמצעי שאינו בשליטתו, הבקשה נכשלת.

עם זאת, במקרים שבהם ההאקר משיג גישה ל-Session Cookie או Access Token, הוא עוקף בקלות את רוב המערכות האלו. זו אחת הסיבות לכך שהפריצה עלולה להתרחש גם בלי שהמשתמש מבין מה קורה, וללא התראה מראש.

דלת אחורית – איך בכל זאת אפשר להחזיר גישה לחשבון?

אחד האלמנטים החשובים ביותר בפריצה לחשבון פייסבוק הוא המידע שמאוחסן במכשיר של הקורבן – בין אם זה עוגיית session, רשימת מכשירים מהימנים (Trusted Devices), או Cookies אחרות ששמורות בדפדפן או בטלפון. לעיתים, גם לאחר שהסיסמה שונתה והאימייל הוחלף, במידה והמכשיר המהימן של הקורבן עדיין מחובר, אפשר לנסות ולהשתמש בו כדי להשיב את השליטה לחשבון.

מסיבה זו, כאשר מזהים פריצה יש לפעול במהירות: לנתק את כל המכשירים המהימנים, למחוק Cookies, ולהסיר הרשאות מגישה שאינה מוכרת. עיכוב עלול לאפשר להאקר להמשיך ולשלוט בנכסים קריטיים ולמחוק מידע חשוב, ולכן מרוץ הזמן כאן קריטי.

מה עושים כשהחשבון כבר מושבת?

אם החשבון כבר מושבת על ידי פייסבוק – כלומר, החברה עצמה חסמה אותו לחלוטין – המשימה הופכת למורכבת בהרבה. בשלב הזה, גם אם האקר כבר לא מחזיק בגישה לחשבון, ההחלטה על השבתה בוצעה ע"י פייסבוק על סמך הפרת כללי הקהילה, ואין יותר למי לערער בקלות.

כדי להתמודד עם מצב כזה, נדרש לאסוף את כל המידע הרלוונטי שמוכיח שהחשבון הושבת כתוצאה מפריצה, ולא בעקבות פעולה יזומה של בעל החשבון. המידע שחשוב לאסוף:

• תיעוד של הודעות חשודות או פישינג שהתקבלו לפני ההשבתה.
• בדיקת שינויים בפרטי החשבון (אימייל, סיסמה, חיבור לאינסטגרם וכו').
• תיעוד פעולות חריגות או לא שגרתיות שבוצעו בזמן הפריצה, כמו העלאת תכנים אסורים, שינוי גישה לנכסים עסקיים, וכדומה.
• ניתוח פעילות חשודה תוך השוואה לשימוש הרגיל של בעל החשבון.

לאחר איסוף כל המידע, יש לבנות קייס ברור, מגובה ומסודר שמוכיח לפייסבוק שההשבתה נגרמה עקב פריצה, ולא ביוזמת בעל החשבון. יש לצרף מסמכים ותיעודים שמוכיחים את זהות הקורבן, היסטוריית שימוש רגילה של החשבון לפני האירועים החריגים, והסבר מקצועי לגבי דפוסי הפעולה של ההאקרים והקשר הישיר בין הפריצה להשבתה.

הסכנות שבשימוש לא נכון במכשירים ובמערכת "מכשירים מהימנים"

פייסבוק שומרת לכל חשבון רשימת "מכשירים מהימנים" – כלומר, כל טלפון או מחשב שקיבלו בעבר הרשאה להיכנס לחשבון ללא אימות נוסף. לכל מכשיר כזה יש קובץ מיוחד המאוחסן במערכת של פייסבוק, שמאפשר להתחבר שוב לחשבון בלי להזין סיסמה. אם שוכחים להסיר מכשירים ישנים, ההאקר עשוי להמשיך ולהשתמש בהם כדי להתחבר גם לאחר החלפת סיסמה או מייל.

מעבר לכך, קיימות "עוגיות" (Cookies) שמקלות על חוויית המשתמש בכך ששומרות את פרטי ההתחברות לדפדפן, במיוחד במכשירים האישיים והביתיים. עם זאת, השארת פרטי התחברות שמורים במחשבים ציבוריים או במכשירים לא אישיים חושפת את החשבון לסיכונים מיותרים.

פייסבוק מציעה לכל משתמש אפשרות לנטר את כל ההתחברויות שבוצעו לחשבון – כולל סוג המכשיר, האפליקציה או הדפדפן, כתובת ה-IP, המיקום ותאריך ושעת הכניסה. מומלץ להיכנס לרשימה זו לעיתים קרובות ולוודא שאין כניסות ממכשירים או ממיקומים לא מוכרים. במקרה של זיהוי פעילות חריגה, יש להפעיל מיד את הכלים שמציעה פייסבוק כדי להגן על החשבון ולנתק כל התחברות חשודה.

מאבק בשחזור – למה זה תהליך ארוך, מסובך והכרחי

התהליך של שחזור חשבון שנפרץ או הושבת הוא מורכב, ודורש הבנה עמוקה של דפוסי הפעולה של ההאקרים ושל מנגנוני פייסבוק. יש צורך באיסוף שיטתי של כל המידע, בניתוח כל פעולה שבוצעה בחשבון ובבניית קייס מקצועי, ברור ומגובש להצגה לפייסבוק.

רק שילוב של איסוף מידע יסודי, ניתוח פעילות חריגה ``` , בניית טיעונים מסודרים והגשתם לפייסבוק – תוך שיתוף פעולה מלא עם הקורבן – יכולים להוביל להצלחת התהליך ולהשבת הגישה לחשבון. במקרים רבים, גם לאחר ההשבה, חשוב לפעול כדי להגן על החשבון ולמנוע פריצה חוזרת: להפעיל אימות דו-שלבי, להחליף סיסמאות, להסיר מכשירים ישנים ולהיות עם אצבע על הדופק לגבי כל פעילות לא רגילה.

סיכום

פריצה לחשבון פייסבוק היא לא סתם אירוע טכנולוגי – אלא פגיעה משמעותית באדם, בעסק ובנכסים הדיגיטליים שצבר. האקרים פועלים במיומנות ובשיטות מתוחכמות, מנצלים חולשות באבטחת המשתמש ובמערכת עצמה, ומשתמשים בטכניקות כמו פישינג, גניבת עוגיות גישה, והעברת נכסים עסקיים. חשוב לדעת לזהות את הסימנים המוקדמים, לפעול במהירות ולנצל כל אפשרות לשחזור – בין אם החשבון עדיין פעיל או שכבר הושבת.

המאמר נכתב ע"י עמותת סושיאל סייבר ישראל, במטרה להעניק פתרונות מעשיים ומבוססים לכל מי שחשבונו נפרץ או הושבת.