אוקיי, זה מהסוג שגורם לך להסתכל על הטלפון שלך ולשאול: “רגע, מי נותן לאנשים האלה רשות בכלל?” השבוע התברר שחשיפת אבטחה באינסטגרם אפשרה השתלטות על חשבונות של משתמשים שונים. הטריק לא היה פריצה “רגילה” לסיסמה דרך דפדפן או פריצה למייל. במקום זה, האקרים הצליחו לגרום לצ’אט תמיכה מבוסס AI של Meta לבצע פעולה שמסכנת חשבון: הוספת כתובת אימייל חדשה, ואז איפוס סיסמה דרך הקוד שהצ’אט שלח.

האירוע צף ברשת אחרי כמה אנשים שדיווחו שהחשבונות שלהם נלקחו. חלק מהמשתמשים בפלטפורמות שונות הזהירו גם על מקרי “חטיפה” דומים. בין החשבונות שנפגעו היו כמה שמסקרנים במיוחד: למשל, חשבון המזוהה עם הבית הלבן מתקופת אובמה, שלא היה פעיל מאז 2017, וגם חשבון של מפקד בכיר בחיל האוויר האמריקאי, ג’ון בנטינבגנה, שמשרת בכוחות Space Force. מעבר לכך, חוקרת אבטחה בשם ג’יין וונג סיפרה שגם החשבון שלה נפל לידיים של מישהו.

וונג תיארה שהסיסמה הוחלפה בלי ידיעתה, ובמהלך היום שקדם לגילוי היא קיבלה ניסיונות מרובים לאיפוס סיסמה. במילים פשוטות: מישהו פשוט ניסה “להיכנס לך לחשבון” שוב ושוב, כשהוא לא באמת צריך את הסיסמה המקורית שלך.

החלק המוזר: לא פרצו למייל, פרצו לתהליך
הסרטון שעלה ברשת תיעד תהליך לכאורה שמסביר איך זה עבד שלב אחרי שלב. לפי התיאור, ההאקר השתמש ב-VPN כדי “לזייף” את המיקום המשוער של הקורבן, כדי להקטין את הסיכוי שמערכות ההגנה האוטומטיות של אינסטגרם יפעילו נורות אדומות.

ואז מגיע הקטע שבאמת עושה את זה מסוכן: ההאקר פתח שיחה בצ’אט עם Meta AI Support Assistant וביקש להוסיף כתובת אימייל חדשה לחשבון של הקורבן. כלומר, במקום לשבור את החשבון בצורה ישירה, הוא גרם למערכת התמיכה לבצע פעולה שמטרתה הלגיטימית היא לאפשר התאוששות לחשבון. רק שהפעם, מי שביקש את זה היה… לא האדם הנכון.

איך מקבלים שליטה מהצ’אט?
בשלב הזה רואים שהצ’אט שולח קוד אימות לכתובת האימייל שההאקר הזין. אחר כך ההאקר מעביר את קוד האימות לצ’אט, והצ’אט בתגובה מציג כפתור שמאפשר “איפוס סיסמה”. מהרגע שיש כפתור, זה כבר משחק של החלפת סיסמה: ההאקר הזין סיסמה חדשה, והחשבון עבר לשליטתו.

הדבר הקריטי כאן: לא היה צורך שההאקר ייקח שליטה על כתובת המייל המקורית שמחוברת לחשבון. הוא פשוט “עקף” את מנגנון ההחלמה באמצעות הצ’אט. זה כמו לגשת לשירות לקוחות, לשכנע אותם לשנות כתובת שאליה שולחים קודים, ואז לקבל את הקודים על כתובת שבבעלותך. אין פריצה למייל, יש ניצול של התהליך.

אינסטגרם תיקנה, אבל השאלה הגדולה נשארת
ביום שני דובר של אינסטגרם אמר שהבעיה טופלה. כרגע לא ברור כמה משתמשים בדיוק נפגעו ומהיקף הפריצה בפועל. גם Meta לא חזרה מיד עם תגובה לפנייה לשאלות נוספות.

אז מה עושים מזה, חוץ מלהרגיש שמערכות AI הן עדיין לא “סבתא חביבה שמבינה הכל”? קודם כל לבדוק פעילות חריגה בחשבון: החלפת סיסמה, ניסיונות איפוס, והאם הוסיפו כתובת אימייל חדשה. כדאי גם להפעיל אימות דו-שלבי ולהקפיד להשתמש בסיסמאות ייחודיות. כי גם אם AI יכול להיות “עוזר”, האבטחה צריכה להיות עוזר על סטרואידים שמוודא זהות כמו שצריך.
ובקטנה, המלצה ישראלית: אם קיבלתם התראות מוזרות או ניסיונות איפוס שלא אתם התחלתם, זה לא “ספאם”. זה כנראה מישהו שמנסה להרים לכם את החשבון מהקרקע. תטפלו בזה מהר.