"צאו במהירות מתחנות הרכבת", כך קראו פתאום מסכי הפרסום באולם הנוסעים בתחנת הרכבת תל אביב השלום בערב יום רביעי שעבר. גם בקירות תחנת רכבת הרצליה ראו נוסעים בשילוט הפרסום הדיגיטלי סדרת הודעות לפינוי מיידי, כמו "הרכבת התחתית אינה בטוחה כרגע" ו-"חירום: שלום לתושבים, אזהרת טילים איראנים הופעלה עבור המטרו". המסר היה הונאת סייבר: לא רק שהוא הקדים בכעשור את פתיחת המטרו במרכז הארץ, אלא גם שלא הופעלה באותו זמן אף התרעה על ירי טילים או איום בתחנות הרכבת.

תקיפת הסייבר בשלטי פרסום היא חריגה יחסית, אך הלוחמה הפסיכולוגית מטעם איראן היא יומיומית, ומתבטאת גם בחדירה למכשירים הפרטיים באמצעות ניסיונות דיוג ('פישינג') והתחזות בווטסאפ ובטלגרם לארגונים וגורמים רשמיים. בימים האחרונים קיבלו תושבים הודעה מ"פיקוד העורף", עם קישור להורדת אפליקציה ל"שהייה במקלטים". פיקוד העורף מיהר להבהיר שההודעה היא מזויפת, ולהזהיר את הציבור מלחיצה על קישורים שנשלחים בהודעות. עוד קיבלו תושבים הודעות שאיימו כי "נתניהו מת, המוות מתקרב אליכם", או הזמינו את הציבור ללחוץ על הקישור ו"לעדכן גרסה" לאפליקציית ההתרעות של פיקוד העורף.

בשישי שעבר הופצה תמונה עם הודעת פינוי בשם משמרות המהפכה לתושבי רמת גן כולה, עם מפת העיר והוראה "לפנות את האזור רמת גן המסומן באדום מיידית ולהתפנות דרומה דרך הדרך מספר 4 בלבד". למרות הנופך הרשמי בעיצוב והתוספת "הממשלה שלכם משקרת לכם", להודעה עצמה לא היה ביסוס ולתושבי רמת גן לא נשקפה סכנה מעבר לאיום הטילים.

לא רק בישראל זוכים להודעות פינוי כוזבות בימי מבצע 'שאגת הארי'. מאז הצטרפותה של חיזבאללה לעימות, מוצפים גם תושבי לבנון בשיחות והודעות מוקלטות המורות להם להתפנות מבתיהם בטענה מפוברקת שהם שוהים בקרבת מתקני ארגון הטרור, תוך שימוש בטכנולוגיה שנקראת "spoofing", שדרכה תוקפים יכולים להעביר מסרונים ושיחות תחת שמות ומספרים שנראים מקומיים ואף רשמיים. מדובר בטקטיקה של לוחמה פסיכולוגית הכוללת התרעות שווא במוקדים רגישים, כמו שגרירויות ובתי משפט, וזורעת בלבול ובהלה בקרב האוכלוסייה. התוקפים מנצלים מאגרי מידע אישיים ונתוני אנטנות סלולריות כדי להגיע לקהלי יעד ממוקדים, מה שמקשה על האזרחים להבחין בין איומים אמיתיים למזויפים. בנוסף, "התרעות פינוי" הופצו לאחרונה מטעם המשטר האיראני גם לשכונות שלמות באיחוד האמירויות.

כך נראית 'שאגת הפייק', מבול דיגיטלי כנראה חסר תקדים של דיסאינפורמציה, הפחדה והונאה, המונע משילוב בין AI ופשע מאורגן להשקעה איראנית ארוכת שנים, ושוטף כעת את אזרחי המזרח התיכון, וישראל במיוחד. "מתחילת שאגת הארי אנחנו רואים עלייה של 250% בכמות מתקפות הסייבר בהשוואה ליום רגיל", כך דיווחה דנה תורן, ראש אגף המבצעים במערך הסייבר הלאומי, לערוץ 12 ביום חמישי האחרון. "קיבלנו בחמ"ל הלאומי של מערך הסייבר במוקד 119 יותר מ-1,600 דיווחים על תקיפות ועל ניסיונות לתקיפות. זה ממש תקיפות מסביב לשעון".

טל היגן, אנליסט ומרצה על לוחמת המידע, תיעד מלבד הודעות הפינוי יותר מ-200 דוגמאות ייחודיות של "פייק ניוז" בשבועיים בלבד מאז פרוץ המלחמה, קצב גבוה משמעותית מאשר במלחמה ביוני האחרון. תופעת הזיוף המבצעי מתפרסת על ספקטרום רחב של ערוצים – החל מ"זבל AI" וסרטונים מפוברקים ברשת X שזכו למיליוני צפיות, ועד להפצת נרטיבים אנטישמיים ותמונות הרס שנוצרו בבינה מלאכותית או נתלשו מאירועים קודמים במקומות אחרים והועברו כאקטואליה, לעיתים אף בכלי תקשורת מסורתיים.

ערב פתיחת המערכה, חברת אבטחת הסייבר ראדווייר זיהתה את ישראל כמדינה המטווחת ביותר בעולם בתקיפות סייבר פוליטיות. בסיכום השנה דיווח מערך הסייבר הלאומי על יותר מ-26 אלף אירועי סייבר ב-2025, עלייה של כ-55% בהשוואה ל-2024. מתוך אירועי הסייבר שדווחו למרכז המבצעי, כ-67% מהפניות הגיעו מהמגזר הכללי-אזרחי. רוב התקיפות נגד אזרחי ישראל מתבצעות דרך דיוג, הודעות ושיחות הפחדה ולוחמה פסיכולוגית, שבהן נרשמה עלייה חדה של מעל 170%.

"כל אזרח הוא יעד", אמר ראש מערך הסייבר הלאומי יוסי כראדי. המסר מהדהד עד לאיחוד האמירויות, שבה הצהיר היועץ הנשיאותי אנוור גרגאש כי "מלחמות לאורך ההיסטוריה נקשרו לשמועות ולניסיונות דיסאינפורמציה, מה שהופך את הערנות כנגדן לאחריות לאומית".

מי מייצר את הפייק?

ברכבת ישראל לא השיבו לשאלות לגבי אירוע הפריצה לשילוט הפרסום בתחנות. בעדכון לציבור פרסמו כי "מדובר על רשת חיצונית שאיננה קשורה לתשתיות הרכבת החיוניות", והוסיפו כי "צוותי רכבת ישראל פועלים אל מול הספקים הרלוונטיים לצורך בירור מקור התקלה".

ביוני 2018, במסגרת מהלך רחב של רכבת ישראל לכניסה לעולם הפרסום הדיגיטלי, חברת CTV Media Israel נבחרה להיות הגורם המקצועי האחראי על הקמה, תפעול ותחזוקה של תשתית מערכת הפרסום הדיגיטלית החדשה, כאשר חברת "הדיה" זכתה בזיכיון הבלעדי לשיווק, מכירה וניהול של מערך הפרסום, הכולל הן את המערכת הדיגיטלית והן את אמצעי הפרסום המסורתיים. בהנחה ששידור הודעות הפינוי הכוזבות בוצע על ידי האקרים, ככל הנראה הפריצה הייתה למערכת של אחד הספקים הללו.

מאז אותו אירוע אף קבוצת האקרים לא קיבלה אחריות לתקיפה, למרות שעשרות קבוצות 'האקטיביסטים' (Hacktivists) פועלות לתמוך במשטר, וטענו מאות פעמים שתקפו מגוון רחב של ארגונים ותשתיות בישראל ובמדינות באזור. הניסיון ההיסטורי מלמד שהיעדר קבלת אחריות מטעם קבוצה ספציפית מרמז על פעולתה של מדינה במקום גורם חיצוני.

ניצן לוי, מומחה סייבר וחוקר עמית במכון הבינלאומי למדיניות נגד טרור באוניברסיטת רייכמן, הסביר במאמר שפרסם בתחילת החודש כי "ברקע הנזק המשמעותי לתשתיות ההגנה האיראניות וחיסול בכירים צבאיים, הצטמצמו אפשרויותיה של טהרן לתגובה קונבנציונלית. בהקשר זה, הסייבר עולה ככלי הראשי לתשובה מבצעית באופן א-סימטרי, המתאפיין בעלות זולה יחסית ליישום, גמישות רבה, ועמימות ניתנת להכחשה".

מהבחינה הטקטית, טהרן משחקת בשיטות מוכרות. לדוגמה, עיצוב הודעת הפינוי לרמת גן תחת לוגו משמרות המהפכה הוא כמעט וזהה להודעת הפינוי לבני ברק שהופצה במהלך מלחמת 12 הימים. בימיו הראשונים של 'שאגת הארי', לוי העריך כי יחידות הסייבר הקשורות למודיעין האיראני ומשמרות המהפכה ימשיכו באותן טקטיקות ששימשו אותן ביוני שעבר, שבהן השקיע המשטר במשך שנים רבות. "צפוי שאיראן תפעיל מגוון יכולות סייבר הכולל מתקפות מניעת שירות, כופרה, מבצעי פריצה ודליפת מידע וניסיונות שיבוש למערכות בקרה תעשייתיות". דיווחים במהלך השבועיים האחרונים המחישו להפליא את תחזית זו. המרכיבים בחזית הדיגיטלית שתפקידם עוד מתפתח מהותית ומתגבר במרכזיותו הם הפשע המאורגן והבינה המלאכותית.

תמנון הפשע של המודיעין האיראני

השיחות המזויפות בלבנון מנוסחות בשם "הצבא הישראלי", אך הרשויות בלבנון ומומחי סייבר מגדירים רבות מהן כ"מעשה הונאה", ואף נעצרו חשודים מקומיים בהפצתן. רולאן אבי-נאג'ם, מנכ"ל חברת אבטחת סייבר לבנונית, מייחס חלק ניכר מהשיחות ל"נוכלים ושודדים" המנצלים את פקודות הפינוי הכוזבות כדי "לגרום לאנשים לעזוב את בתיהם, כך שיוכלו להיכנס ולשדוד אותם". בנוסף, לבנונים מדווחים על שיחות ממקורות בינלאומיים חשודים, הכוללים את "פורטוגל, בלגיה, ניגריה ואפילו איראן".

במחקר חדש מצ'קפוינט, חברת אבטחת הסייבר הישראלית, עולה כי המודיעין האיראני (MOIS) אימץ לאחרונה אסטרטגיה חדשה של שיתוף פעולה ישיר עם ארגוני פשע מאורגן, במטרה לשדרג את יכולותיו המבצעיות תוך סיפוק הסוואה לפעילותו הזדונית. "במשך זמן רב פעילים איראניים השתמשו בכלים, שירותים ושיטות פעולה פליליים למען מטרות המדינה… אך המגמה כעת מצביעה על מעורבות ישירה באקוסיסטם הפשע".

באוקטובר האחרון, לדוגמה, הותקף המרכז הרפואי שמיר (אסף הרופא) במבצע סייבר רחב היקף, שעליו קיבלה אחריות 'קילין' (Qilin), קבוצת פשע של האקרים, בעיקר דוברי רוסית, שמפעילה מתקפות כופרה ברחבי העולם. מערך הסייבר הלאומי חשף כעבור שלושה שבועות כי המוח האמיתי שעמד מאחורי הפריצה הוא המודיעין האיראני. אירוע זה ממחיש תפנית אסטרטגית שבה המודיעין האיראני פועל בשותפות עם הפשע המאורגן, תוך שימוש בתשתיות "כופרה כשירות" מסחריות, כדי להשיג יכולות תקיפה משודרגות במסווה של סחיטה פלילית רגילה.

הקשר המבצעי בין המשטר לפושעים איננו מוגבל למרחב הווירטואלי. המודיעין האיראני כבר הסתייע ברשתות סחר בסמים, כמו הרשת הבינלאומית "נאג'י זינדשתי", לביצוע חיסולים ומעשי אלימות פיזיים נגד מתנגדי המשטר ויעדים ישראליים באירופה, כך לפי גורמי אכיפה בארה"ב ושוודיה. בדוח צ'קפוינט מסכמים כי "הפעילות שניתחנו מהתקופה האחרונה מצביעה על כך שאותו הגיון מיושם כעת בתחום הסייבר".