את מכת הפתיחה המשולבת במלחמה של ישראל וארה"ב נגד איראן ליוו טקטיקות לוחמת סייבר בסנכרון מבצעי הדוק. המרכיב המודיעיני המכריע בתקיפה, שאפשר בין היתר את חיסול המנהיג העליון עלי חמינאי, היה השליטה הישראלית במערך מצלמות האבטחה והתנועה בטהרן – כך לפי ה'פייננשל טיימס' הבריטי. עוד דווח שכוחות הסייבר של ישראל פעלו באופן אקטיבי מהרגעים הראשונים של המתקפה לנטרול יכולות ההבחנה והתגובה האיראניות בעת הגעת הפצצות. גם בפרק הזמן מיד לאחר חיסול הנהגת המשטר, פעולת הסייבר המשיכה במבצעי לוחמה פסיכולוגית, שנועדו למקסם את השפעת המתקפה בתודעתם של לוחמי המשטר כמו של כלל הציבור האיראני.
מאז חזית הסייבר של מבצע 'שאגת הארי' מתנהלת ללא הפסקה. בעוד מטוסי קרב וטילים חוצים את שמי המזרח התיכון, מתפתחת במקביל מערכה דיגיטלית שמטשטשת את הגבולות בין הלוחמה הפיזית לווירטואלית. מתחת לרעשי הפצצות, שדה הקרב המקוון מתפתח לזירה של לוחמה פסיכולוגית, ניסיונות לשיבוש תשתיות, הן צבאיות הן אזרחיות, וגיוס המוני של קבוצות 'האקטיביסטים' (האקרים אקטיביסטים) מכל רחבי העולם. גם המעט שידוע כרגע על המתרחש בזירת הסייבר, ממחיש את דבריו מלפני המלחמה של ראש מערך הסייבר הלאומי, תא"ל (מיל') יוסי כראדי, לפיהם ישראל ושכנותיה הגיעו למציאות של "לוחמה היברידית", המאופיינת ב"סינרגיה בין אמצעים קינטיים וסייבר בתיאום מבצעי".
חמינאי חוסל (גם) בזכות הסייבר
הכנת המתקפה שפתחה את מבצע 'שאגת הארי' התבססה על חדירה עמוקה וארוכת שנים, תוך שילוב של יכולות סייבר להעניק ראייה רחבה לכוחות ישראלים ואמריקנים במקביל לשיבוש של רשתות תקשורת בסביבת המתקפה כדי "לעוור" את ההנהגה האיראנית.
לפי הדיווח ב'פייננשל טיימס', המסתמך על גורמים ישראליים, הצלחת המבצע לחיסול רוב צמרת המשטר האיראני במכה אחת נשענה על פעולות סייבר שהחלו "מספר שנים קודם לכן", ומטרתן להשיג ולשמר "גישה חיה לכמעט כל מצלמות הטלוויזיה במעגל סגור (CCTV) בטהרן". חמיד קשפי, יליד איראן המתגורר בשוודיה ומומחה אבטחת סייבר בחברת DarkCell AB, ציין כי רשת המצלמות המדוברת מאוחסנת תחת "התשתית של עיריית טהרן". קשפי הוסיף כי היכולת לשמר גישה חיה למערך כה נרחב מעידה על "העומק והעמידות של מבצעי הסייבר של ארה"ב וישראל בתשתיות רגישות באיראן".
באותו בוקר שבת של המתקפה, במקביל לפיצוצים הפיזיים, בוצע מהלך סייבר נוסף שנטרל את יכולת הראייה והתיאום של הגורמים האיראניים שבשטח. הגנרל דן קיין, יו"ר המטות המשולבים האמריקאיים, ציין בתדרוך בפנטגון למחרת המתקפה כי פיקוד הסייבר ופיקוד החלל של ארה"ב היו ה"מניעים הראשונים" בשלבים המוקדמים של המלחמה. "מבצעי חלל וסייבר הצליחו לשבש את רשתות התקשורת והחיישנים במרחב פעילות רחב, והותירו את היריב ללא יכולת לראות, לתאם או להגיב ביעילות".
דיווח 'פייננשל טיימס' הוסיף כי ישראל הצליחה לשבש "בערך תריסר מגדלי תקשורת סלולרית בסמוך לרחוב פסטור", שם שכן מתחם המגורים של חמנאי. פעולה זו גרמה לטלפונים באזור להיראות כ"תפוסים" וכך "מנעה מצוות האבטחה של חמנאי לקבל אזהרות אפשריות" ברגעים המכריעים.
תקיפות הסייבר אפשרו להודיע לאיראנים על המתקפה בזמן אמת
בשעות מיד לאחר מתקפת הפתיחה, מערכה דיגיטלית מתואמת היטב פתחה חזית תודעתית בתוך מכשירי הטלפון ומסכי הטלוויזיה של מיליוני איראנים. יישומים דתיים וערוצי הטלוויזיה הרשמיים של המדינה הפכו לכלי נשק של לוחמה פסיכולוגית, שמטרתם ככל הנראה לפרק את לכידות כוחות הביטחון ולערער את שלטון האייתוללות.
כחצי שעה לאחר הפיצוצים הראשונים, מיליוני משתמשים באפליקציית התפילה הפופולרית BadeSaba Calendar קיבלו בבת אחת סדרת הודעות בפרסית תחת הכותרת "העזרה הגיעה", הקוראות ללוחמים להניח את נשקם ולהצטרף ל"כוחות השחרור". בין היתר נכתב: "הגיע זמן הנקמה… כוחות הדיכוי של המשטר ישלמו על מעשיהם האכזריים", ו"הניחו את הנשק – זו הדרך היחידה להציל את חייכם".
לפי נתונים מחברת גוגל, האפליקציה נוצרה על ידי מפתחת עצמאית אינדונזית, מה שמצביע על אפשרות ששרתיה נמצאים מחוץ לאיראן, שבה המשטר אוחז את הרשת האזרחית בנוקשות יוצאת מן הכלל. למרות זאת, האפליקציה הורדה ליותר מ-30 מיליוני מכשירים באיראן. אנליסטים ברחבי העולם ראו בבחירה באפליקציית התפילה מהלך אסטרטגי חכם, שכן קהל היעד שלה הוא דתי ושמרני – בדיוק הגורמים המרכיבים את בסיס התמיכה של המשטר ואת שורות הצבא. חמיד קשפי ציין כי הפריצה לשרתי האפליקציה עלולה הייתה לחשוף גם נתוני מיקום של המשתמשים, מכיוון שסביר להניח שרובם אפשרו לבקשת האפליקציה לגשת לנתונים הללו למען דיוק זמני התפילה לפי מקום, מה שיכול להוות נכס מודיעיני אדיר לכוחות הישראליים והאמריקאיים .
אז מי עומד מאחורי הפריצה לאפליקציה? בעוד שדיווחים ב'וול סטריט ג'ורנל' מייחסים את הפעולה להאקרים של צה"ל, ישראל הרשמית לא אישרה את הדברים. נרגס כשוורזניה, חוקרת זכויות דיגיטליות ב'קבוצת מיאן' (Miaan Group) ציינה מפורשות כי "בשלב זה אנחנו באמת לא יודעים מי עומד מאחורי הפריצה, בין אם זו ישראל או קבוצות איראניות אחרות המתנגדות למשטר". עם זאת, אנליסטים אחרים כמו מורי הבר, יועץ ביטחוני ראשי בחברת אבטחת הסייבר BeyondTrust בארה"ב, טוענים כי הדיוק והתזמון מעידים על יכולות של מדינה. לדבריו, "הפריצה לנכסים כנראה בוצעה לפני זמן מה, והודעות אלו היו מתוזמנות". מומחה הסייבר הפולני לוקאס אולייניק הוסיף לכך כי תוכן ההודעות שיקף כמעט מילה במילה את נאומו של דונלד טראמפ, מה שמעיד על "מבצע מידע מתואם ומסונכרן עם התקיפה הקינטית".
בשידור חי: פריצה לטלוויזיה האיראנית
במקביל לפריצה למכשירים ניידים דרך אפליקציית התפילה והודעותיה, גם גופי התקשורת המזוהים ביותר עם המשטר הופלו לטובת המבצע. אתרי החדשות הממשלתיים IRNA ו-ISNA נפרצו והושחתו. באתר IRNA הופיעה הכותרת: "שעת אימה לכוחות הביטחון של משטר האייתוללות; משמרות המהפכה והבסיג' ספגו מכה ניצחת", לצד תמונות של אתרים מפוצצים. באותו זמן, שידורי הטלוויזיה של המשטר נפרצו, והתחילו לשדר תמונות של תקיפות מוצלחות של ישראל וארה"ב, ונאומים של ראש הממשלה נתניהו והנשיא טראמפ.
שתי קבוצות ההאקרים, 'Troll Team' המזוהה עם האופוזיציה האיראנית ורשת ה'האקטיביסטים' הבינלאומית המבוזרת 'Anonymous' קיבלו על עצמן את האחריות לתקיפת ערוצי החדשות הממשלתיים. חוקר הסייבר קשפי מטיל ספק בטענה הזו, ומצביע על בחירת התוכן המשודר במהלך הפריצה כסימן למבצע של מדינה. הוא מצביע על היעדר 'מיתוג' של זהות הפורצים בתמונות ובמסרים שהופצו, ואומר כי "חוסר אינדיקציה זה בפני עצמו אינדיקציה … בזמנים שכאלו אתה, בתור מדינה זרה, לא רוצה להיתפס על חם". לדבריו, הדיוק, התיאום עם התקיפות הקינטיות והיכולת להשתלט על שידורים חיים למשך זמן ארוך (כ-10 דקות), מעידים על מעורבות של מדינה בעלת יכולות טכנולוגיות גבוהות.
מבחינה פסיכולוגית, הפריצה לערוצי הטלוויזיה היא משמעותית. לפי נתוני ניטור מחוץ למדינה, ניתוק האינטרנט האזרחי באיראן החל כבר בערך ב-11:00 שעון טהרן, כשעה לאחר מכת הפתיחה. בשעה שרוב המדינה מנותקת מהאינטרנט, השימוש בערוצי הטלוויזיה הוא הדרך היחידה להפצת מידע רחבה באיראן. במצב של 'חשכה דיגיטלית', האוכלוסייה והכוחות בשטח חוזרים להסתמך על שידורי הלוויין והטלוויזיה המסורתיים, ולכן השתלטות עליהם מאפשרת לעקוף את חומות הצנזורה של המשטר ולהגיע ישירות לסלון של מיליוני אזרחים.
בזמן שהמשטר ניסה להשתמש בהחשכת האינטרנט ככלי לשליטה והסתרת נזקי התקיפות, מהלך שהיה צפוי מכיוון שכך הוא פעל גם בהפגנות הענק בינואר, הפריצה לטלוויזיה הפכה את הקערה על פיה. האנליסטים מציינים כי בעוד שהמשטר מנסה למלא את החלל בנרטיב משלו, פריצה למדיום המזוהה ביותר עם המדינה והפיכתו לכלי להעברת מסרי ארה"ב וישראל היוותה מכה קשה ליכולת השליטה התודעתית של האייתוללות.
בניגוד לציפיות: דעיכה בפעילות מערך הסייבר של המשטר האיראני מתחילת המלחמה
בראשון שעבר קיבלו אלפי ישראלים לטלפונים הניידים שלהם הודעות המתחזות לפיקוד העורף, עם קישור שהפנה להורדת אפליקציית 'צבע אדום', והכיל תוכנה זדונית. זו הייתה התקפת 'פישינג'.
במשך שנים ארוכות השקיעו בטהרן במאמץ להפוך אותה למעצמת סייבר שפועלת בריבוי מוקדים ושיטות. בשנים, בחודשים ואף בשבועות שקדמו למבצע 'שאגת הארי' זיהו אנליסטים שמערך הסייבר המדינתי האיראני פועל באינטנסיביות רבה יותר נגד ישראל, ארה"ב ומדינות המזרח התיכון, לצד עלייה בתחכום שלו. אך בניגוד לציפיות ל'מבול' של תגובות סייבר מהקבוצות השונות שבחסות המשטר האיראני (ראו פירוט בסוף הכתבה), מומחים מזהים דווקא דעיכה משמעותית בפעילותן מפתיחת מבצע 'שאגת הארי'. לפי דיווח בסוכנות הידיעות בלומברג, רבות מקבוצות הסייבר של טהרן "הוחשכו כמעט לחלוטין", ואנליסט איומי הסייבר אלכסנדר לסלי ציין שמספרן של הקבוצות הפרו-איראניות הפעילות צנח מ-130 בשנת 2025, ל-17 בלבד כיום.
מנכ"ל חברת הגנת הסייבר Cloudflare, מתיו פרינס, חיזק טענה זו וקבע כי נרשמה "צניחה דרמטית" במבצעי הסייבר האיראניים, ככל הנראה משום שהמפעילים עסוקים ב"תפיסת מחסה" או מושפעים מהחשכת האינטרנט שהמשטר עצמו הטיל, המקשה על יכולתם לפעול מתוך המדינה. ברביעי שעבר הודיע צה"ל שתקף פיזית את המפקדה המרכזית של משמרות המהפכה במזרח טהרן, האחראית על לוחמת הסייבר והמודיעין. לא ידוע מה היקף לוחמי הסייבר שהיו במתחם ומה ההשפעה על יכולות הסייבר של המשטר.
בסייבר, איראן לא לבד: הקבוצות הזרות שנרתמו לסייע
את הוואקום המבצעי שנשאר ממלאות כעת קבוצות זרות ו"האקטיביסטים" הפועלים מחוץ לגבולות איראן. למרות תדמיתו כשחקן סייבר מתוחכם בעל יכולות אדירות בפני עצמו, בפעולתו במסגרת מבצע 'שאגת הארי' מערך הסייבר האיראני מגלה גישה של שיתוף פעולה נרחב. בזמן שכוחות הסייבר הישראלים והאמריקאים ככל הנראה פועלים במעגל סגור, ובניגוד לפריסת הקרב הקינטי שבה איראן עומדת לבד מול ארה"ב, ישראל וכמעט וכל מדינות המפרץ גם יחד – מאמץ הסייבר מהצד האיראני מתבסס על גיוס המוני.
בימים האחרונים הכריזו עשרות קבוצות ברחבי העולם על מעורבות בתקיפות לטובת המשטר בטהרן. המערכה הנוכחית מתאפיינת בהתגייסות של קבוצות פרו-רוסיות בולטות, לצד התאגדויות גג כמו "ההתנגדות האסלאמית בסייבר" המרכזת תאים ממדינות כמו בנגלדש ואינדונזיה. בפרסומים לגיוס משתתפים ולעידוד בריתות ושיתופי פעולה בין הקבוצות, ניכר שימוש בשפה ג'יהאדיסטית מובהקת – למשל "בשם אללה הרחום ביותר … אנו מכריזים על פתיחת הגיוס הכולל והפעלת משאבי הסייבר של העם למען הקרב הגדול האגדי" והתייחסויות ל"כלבים ציוניים" – מה שמעלה אפשרות שחלק מהמתגייסים לקרב המקוון לטובת המשטר האיראני מגיעים מאותן המדינות ששטחיהן וכוחותיהן הצבאיים הם בכוונת של המשטר.
בינתיים הקבוצות החיצוניות הללו טוענות בעיקר שביצעו תקיפות פשוטות יחסית, כגון מניעת שירות והשחתת אתרים, גניבת מידע והדלפתו, הונאות 'פישינג' ולוחמה פסיכולוגית. בתקיפת מניעת שירות, ההאקרים מציפים מבחוץ את השרתים של אתר מסוים, עד שהוא 'נופל' והופך ללא זמין. תקיפות השחתה וגניבת מידע מתבצעות בדרך כלל דרך פריצה למערכת, ועם זאת, ברוב המקרים מדובר רק באתר הציבורי של הארגון ולא במערכות הפנימיות שלו.
מומחים מצביעים על אפשרות של שיתוף פעולה ישיר בין כוחות הסייבר של טהרן לבין קבוצות ה'האקטיביסטים' המתגייסים מבחוץ. לפי דוחות מודיעין של ארה"ב ובריטניה, שחקני סייבר המזוהים עם טהרן משתפים פעולה ישירות עם קבוצות פשיעת סייבר, מה שמאפשר למשטר להסוות פעולות מדינתיות כאירועים פליליים למטרות רווח. חוקרי חברת SentinelOne מציינים כי שיטות הפעולה של קבוצות 'האקטיביסטים' מסוימות נהיו דומות להפליא לאלו של יחידות הריגול הממשלתיות, מה שמעיד על "שיתוף יכולות" ואולי גם על מערכות שליטה ובקרה פורמליות בהובלת המשטר.
לפי ניתוח של חברת הגנת הסייבר ESET, קבוצת 'מאדי-ווטר' של שירות המודיעין האיראני פועלת כ"מתווך גישה ראשונית" עבור קבוצות תקיפה אחרות, כדי להשיג דריסת רגל ראשונית ברשתות המטרה ולהעבירה הלאה. חוקרי חברת הגנת הסייבר הישראלית צ'קפוינט מגדירים את המצב כ"מערכת אקולוגית" שבה המשטר מספק את הגיבוי והתשתית למפעילי משנה.
מרשויות מקומיות ועד בנקים: המגזר האזרחי בישראל ובמזרח התיכון על הכוונת
מתחילת 'שאגת הארי' מצטברת רשימה ארוכה ומגוונת של אתרים שנטען שהותקפו, הנפרשת מרשויות מקומיות בישראל, דרך מפלגות הימין בכנסת ועד לבנקים, צבאות ומשרדי ממשלות במדינות המפרץ. קבוצות כמו 'צוות 313' ו-'DieNet' פתחו ב"ג'יהאד סייבר" נגד כווית, קטאר ובחריין, תוך השבתת אתרי ממשל מרכזיים, כמו הפורטל הממשלתי של כווית, בטענה שמדינות אלו מסייעות לארה"ב וישראל. עשרות קבוצות נוספות הצטרפו, כולל קבוצות ותיקות הקשורות לרוסיה. לפי בדיקת 'דבר', רוב טענותיהן של הקבוצות הללו כנראה מופרכות, או מתארות שיבושים רק לזמן קצר, אך האתרים של בנק אחלי בכווית וצבא כווית אכן לא מגיבים מאז יום רביעי האחרון.
מבין כל הקורבנות הנטענים בישראל הרשמית – כולל את אתרי משרד רה"מ, משרד החוץ, משרד האוצר, רשות המסים, רשות שדות התעופה ומערך הסייבר הלאומי – לא זוהה עד כה שיבוש משמעותי לאף אחד מהם. אתר האקדמיה ללשון העברית אמנם נפרץ הבוקר (רביעי), אך מדובר בתקיפה של יעד 'סמלי' שאינו כולל מידע רגיש. כמו כן, חלק מהקבוצות טענו שביצעו פריצות המניבות מידע רגיש משרתי רשות החירום הלאומית (רח"ל), משרד החינוך (כולל פרטי תלמידים ומורים) וצה"ל (כולל רשימות של סוכני מוסד ואנשי צבא ישראלים), אך נכון לעכשיו לא הושג לכך כל אימות.
לפי דיווחים מחוקרים ואנליסטים, חלק גדול מהתקיפות של קבוצות חיצוניות המיושרות עם טהרן מכוון למגזר האזרחי. בין היתר תועדו קמפיינים של הונאת "פישינג" והתחזות לדואר ישראל ולמשרד הפנים של איחוד האמירויות. נשלחו גם הודעות SMS המכילות מסרי שטנה, איומים וניסיונות גיוס לערוצי טלגרם עוינים, במטרה לזרוע פאניקה בציבור הישראלי.
חוקרי חברת אבטחת הסייבר Acronis השוודית חשפו קמפיין מתוחכם המפיץ גרסה מזויפת ו-"טרויאנית" של אפליקציית 'צבע אדום'. לצד זאת, כאמור, החל מראשון שעבר החלו אזרחים בישראל לקבל הודעות SMS שמתחזות לפיקוד העורף, תחת השם "Oref Alert", הטוענות כי "תקלה בקבלת ההתרעות נפתרה" ומפצירות להוריד "עדכון דחוף" דרך קישור מקוצר. קיצור קישורים הופך קישור אינטרנטי לנוח יותר להפצה, אך לעיתים גם משמש האקרים להסתיר יעד זדוני – במקרה הזה הורדת האפליקציה המזויפת.
בעוד 'צבע אדום' המזויף מציג למשתמש התרעות אמת, כדי לשמור על חזות לגיטימית, הוא מפעיל ברקע מנוע ריגול פולשני שגונב מידע רגיש הכולל מיקומי GPS מדויקים, רשימות אנשי קשר וגישה מלאה להודעות SMS, מה שמאפשר לתוקפים ליירט קודי אימות ולפרוץ לחשבונות אישיים. זהותו של מי שעומד מאחרוי המבצע הזה לא ידועה, אך בקרב החוקרים יש קונצנזוס שמדובר בקבוצת האקרים פלסטיניים, ככל הנראה מרצועת עזה.
קבוצות פרו-משטריות טוענות גם על פריצות לתשתיות קריטיות של ישראל ומדינות המפרץ. סוכנות רויטרס וגופי ניטור נוספים ציינו כי לא הצליחו לאמת באופן עצמאי את מרבית הטענות על פריצה לתשתיות קריטיות. לדוגמה, האקרים שמזוהים עם טהרן הכריזו על פריצה למערכת ניהול הקמח הירדנית, ואמנם משרד התקשורת הממשלתי של ירדן דיווח על ניסיון פריצה למערכות של החברה הכללית לסילוסים (מתקני אחסון קמח) ואספקה. יו"ר המרכז הלאומי לאבטחת סייבר בירדן, מוחמד אל-סמאדי, הדגיש כי הצוותים הטכניים הצליחו לסכל את הניסיון באופן מידי וכי לא הייתה לו כל השפעה על מערכת הניהול של הסילוסים. כמו כן, קבוצות רבות טענו כי הצליחו לחדור למערכות 'כיפת ברזל', לשתק מכ"מים בארץ ולשלוט ביירוטים בזמן אמת, אולם מומחים מעריכים כי מדובר בטענות כוזבות לצרכי לוחמה פסיכולוגית שלא השפיעו על הפעילות המבצעית.
למרות שרבות מהטענות של קבוצות האקרים פרו-איראניות התבררו ככוזבות או כבעלות השפעה נמוכה, היקף הגיוס הולך וגובר, והמומחים ממליצים לשמור על דריכות גבוהה, ומדגישים כי גם אם 'מבול' מתקפות הסייבר לא התממש, מדובר במערכה מתמשכת שבה האויב לומד, אוסף מידע וממתין להזדמנויות מבצעיות.
הצורך בדריכות
מסך כל הדיווחים והניתוחים על תמונת מצבה של ישראל בזירת הסייבר בעת 'שאגת הארי', עולה קונצנזוס כי נדרשת דריכות רבה. כבר בשנת 2024 שקדמה למערכה ניצבה ישראל בפני 'מבול' של מתקפות סייבר, שעלות ההתמודדות עמן נאמדה בכ-12 מיליארד שקלים. דו"חות מבקר המדינה ב-2024 ו-2025 חשפו 'בטן רכה' מדאיגה במערכות שלטוניות בארץ. המבקר מתניהו אנגלמן התריע על שימוש בציוד מחשוב מיושן בדואר ישראל ובמשרד הבריאות, ועל "פער רגולטורי משמעותי" שבו גופים המחזיקים במידע רגיש על כל תושב, כמו הביטוח הלאומי, אינם מוגדרים כתשתית קריטית, ופועלים ללא גוף מנחה או פיקוח הולם. המבקר אף מצא ליקויים חמורים בניהול הרשאות במשרדים ממשלתיים, במסגרתם עובדים שסיימו את תפקידם ממשיכים להחזיק בגישה למערכות רגישות.
נהלים בסיסיים מוכרים, כמו ניהול סיסמאות אבטחה וקפדנות בעדכוני תוכנה אינם טריוויאלים. בשלישי שעבר דווח ב'וול סטריט ג'ורנל' שבימים אלה גורמים איראנים ממשיכים לנסות לפרוץ למצלמות אבטחה בישראל ומדינות המפרץ. בדיווח צוין כי ההאקרים מנצלים תוכנה מיושנת שקיימת במצלמות, מה שמצביע על הצורך בתיקון פשוט, שדורש רק ערנות ומשמעת.
ברמה האינדיבידואלית, אזרחי ישראל חשופים במיוחד לתקיפות 'פישינג', המהוות 31% מכלל אירועי הסייבר המדווחים, ולניסיונות גיוס מתוחכמים המנצלים פלטפורמות כמו וואטסאפ ואינסטגרם כדי להפיל בפח אזרחים נורמטיביים, או לגנוב את זהותם הדיגיטלית באמצעות בינה מלאכותית ודיפ-פייק. רק בימים האחרונים דיווחו ישראלים רבים עם נוכחות גבוהה ברשתות החברתיות, בהם גם בכירים בהסתדרות, על קיומו של חשבון ש'מתחזה' להם ופנה למשתמשים אחרים בשמם עם קישורים שונים.
במערך הסייבר הלאומי קוראים לציבור הישראלי לגלות ערנות מרבית מול ניסיונות עוינים של התחזות והפצת מידע כוזב. המערך מפעיל 24 שעות ביממה את המוקד הטלפוני 119 ככתובת המרכזית לדיווח על כל פעילות חשודה, וכן במספר ווטסאפ ייעודי במספר 050-6251119.
למשטר האיראני ישנו מערך סייבר מדינתי משומן היטב, שמופעל ישירות על ידי משרד המודיעין ומשמרות המהפכה. הוא כולל מספר קבוצות משמעותיות:
גם אצלם הנחש הוא פיתיון – 'מאדי-ווטר' (MuddyWater)
קבוצת ההאקרים הבולטת ביותר שפעלה לצד המשטר בתקופה שלקראת המערכה. היא מופעלת על ידי משרד המודיעין, ומטרתה העיקרית היא ריגול וגניבת מידע מגופים ממשלתיים וביטחוניים ומתשתיות קריטיות בישראל. לפי חוקרי חברת אבטחת הסייבר ESET, הקבוצה עברה לאחרונה מהפך טקטי: אם בעבר פעלה בצורה "רועשת" וקלה לזיהוי, כעת היא משתמשת בכלים מתוחכמים כמו נוזקה בשם 'MuddyViper' שמוסווית כמשחק המחשב הקלאסי 'סנייק' כדי לחדור למחשבים ומערכות רגישות.
העיניים בשטח – 'אגריוס' (Agrius)
מזוהה עם המודיעין האיראני, וממלאת תפקיד של 'עיניים בשטח', כמעין תמונת מראה של המבצע הישראלי במצלמות טהרן. לפי דיווח של חברת אבטחת הסייבר הישראלית צ'קפוינט, חברי הקבוצה נצפו סורקים באופן אקטיבי מצלמות אבטחה ברחבי ישראל במהלך מלחמת 12 הימים. האנליסטים מעריכים כי המשימה היא "לתמוך בראייה שלאחר התקיפה ולבצע הערכת נזקי קרב" – כלומר, להשתמש במצלמות אזרחיות כדי לראות בשידור חי היכן פגעו הטילים מאיראן. לפי מחקר חדש של צ'קפוינט, במלחמה הנוכחית הניסיון לפרוץ למצלמות איננו מוגבל למטרות בארץ, אלא גם בקטאר, בחריין, כווית, איחוד האמירויות וקפריסין.
מבצעי השפעה ברחבי המזרח התיכון – קוטון סנדסטורם (Cotton Sandstorm)
הקבוצה קשורה בעיקר למבצעי השפעה מבוססי סייבר. לפי דו"ח של צ'קפוינט, הרחיבה את פעולתה בשנים האחרונות למטרות מעבר לישראל – לדוגמה, פריצה לערוץ טלוויזיה אמירתי כדי לשדר מסרים אנטי-ישראלים על המלחמה בעזה, ותקיפות חוזרות של גופים ותשתיות ממשלתיים בבחריין כדי להפיץ הודעות מחאה נגד נורמליזציה עם ישראל.
לפי הדוחות של צ'קפוינט ושל 'יוניט 42' (יחידת המחקר בחברת אבטחת הסייבר האמריקאית פאלו אלטו נטוורקס), קבוצה זו הרחיבה בימים האחרונים את התקיפות שלה לעבר מטרות חדשות בבחריין, שנחשבת אויב למשטר האיראני בגלל בסיסים אמריקאיים השוכנים במדינה. בצ'קפוינט אמרו על הקבוצה כי במהלך 'שאגת הארי' ישנו "סיכוי רב שיהיו מעורבים בפריצות עתידיות ברחבי המזרח התיכון".
תקיפת סייבר בתפירה אישית – 'אדוקייטד מנטיקור' (Educated Manticore)
הקבוצה מזוהה עם ארגון המודיעין של משמרות המהפכה. לפי דיווחים של נרימן גריב, מתנגד משטר איראני המתגורר בבריטניה, שאומתו על ידי TechCrunch, הקבוצה מואשמת בניהול קמפיין תקיפה נרחב בעת גל ההפגנות נגד המשטר בינואר האחרון, שכיוון נגד אקטיביסטים ואישים רמי דרג במזרח התיכון ובארה"ב, תוך פריצה לחשבונות ג'ימייל, וואטסאפ וטלגרם והשגת נתוני מיקום של היעדים.
הקורבנות קיבלו הודעות בוואטסאפ או טלגרם עם קישור זדוני תוך הזמנה לשיחת וידאו, ובקרבם עיתונאים, אנשי אקדמיה, חבר בכיר בקבינט הלבנוני ומנהל ישראלי של חברה לייצור רחפנים. בדו"ח צ'קפוינט לקבוצה זו "דפוס מובהק של התחזות באמון גבוה המיועדת לאינדיבידואלים ספציפיים" – כלומר תקיפות 'תפורות אישית', בהן גורמים לקורבן לחשוב שמולו קולגה או חבר. לדבריהם, על הכוונת "אנשים שיוכלו לאפשר פריצה רחבה יותר, כאלה שהם בעלי גישה מיוחדת למיילים או אחסון משותף, או קרבה למקבלי החלטות".
תוקפי התשתיות במזרח התיכון – 'CyberAv3ngers'
קבוצה המזוהה עם מפקדת הסייבר של משמרות המהפכה, החל מנובמבר 2023 היא תקפה בקרים תעשייתיים מתוצרת ישראל במתקני מים ואנרגיה בארה"ב, תוך השארת מסרים פוליטיים כגון "כל ציוד המיוצר בישראל הוא מטרה לגיטימית". חברי הקבוצה מבוקשים כעת על ידי רשויות האכיפה בארה"ב, שמציעות פרס של עד 10 מיליון דולר עבור מידע עליהם. הקבוצה הצהירה לאחר חיסול חמינאי כי היא "חוזרת למבצעים". בפרסומיה האחרונים טוענים על פריצות לתשתיות קריטיות בארץ שכנראה לא קרו או לא הצליחו, ועם זאת אנליסטים מעריכים כי הצהרות כאלו מאותתות על כוונה אותנטית.
