מונדיאל 2026 על הכוונת: פאלו אלטו מזהירה ממתקפות סייבר בהיקף חסר תקדים

סייבר איש עם מסכה קרדיט FREEPIC מחקר של Unit 42 מזהיר כי מונדיאל 2026, שייערך בארה"ב, קנדה ומקסיקו, יהיה יעד גדול במיוחד למתקפות סייבר. הטורניר יכלול 104 משחקים ב־16 ערים ומיליוני אוהדים, ויישען על מערכות כרטוס, תחבורה, מלונות, תשלומים ותשתיות עירוניות. לפי החוקרים, הסיכונים המרכזיים הם הונאות כרטיסים, מתקפות כופרה על בתי מלון, מתקפות DDoS וניסיונות תקיפה מצד גורמים המזוהים עם איראן ורוסיה מונדיאל 2026 לא יהיה רק אירוע הספורט הגדול ביותר שנערך עד היום, אלא גם מבחן סייבר חריג בהיקפו. מחקר חדש של Unit 42, צוות המחקר של פאלו אלטו נטוורקס, מזהיר כי הטורניר הקרוב יחשוף את פיפ"א, הערים המארחות, מערכות התחבורה, המלונות, ספקי התקשורת ומיליוני האוהדים למתקפות סייבר כמעט בלתי נמנעות. החוקרים לא מדברים רק על ניסיונות פישינג נגד אוהדים או אתרי כרטיסים מזויפים, אלא גם על תרחישים חמורים יותר: מתקפות כופרה נגד מלונות, מתקפות מניעת שירות נגד אתרי כרטוס ורשויות מקומיות, פגיעה במערכות עירוניות, ואפילו מתקפות הרסניות נגד ספקים או תשתיות הקשורות לאירוע. מונדיאל 2026 ייפתח ב-11 ביוני באצטדיון האצטקה במקסיקו סיטי ויסתיים ב-19 ביולי באצטדיון מטלייף בניו ג'רזי. במשך 39 ימים יתקיימו 104 משחקים ב-16 ערים בשלוש מדינות - ארה"ב, קנדה ומקסיקו - בהשתתפות 48 נבחרות. לפי המחקר, האירוע צפוי למשוך בין חמישה לשישה מיליון צופים באצטדיונים, לצד קהל שידור עולמי שמתקרב למחצית מאוכלוסיית העולם. המונדיאל מתפרס על 16 ערים - וגם הסיכונים מתפזרים הסיכון המרכזי במונדיאל הקרוב נובע מהמבנה שלו. זה לא טורניר במדינה אחת או בעיר מרכזית אחת, אלא אירוע רב-מדינתי ורב-עירוני שנשען על עשרות מערכות שונות. כל משחק פועל על רשת זמנית שמתחברת לאצטדיונים קיימים: אצטדיוני NFL, MLS, CFL וליגה מקסיקנית - ולצידה מערכות עירוניות כמו תחבורה ציבורית, רמזורים, מים וביוב, חשמל, נמלי תעופה ושירותי חירום. החוקרים מדגישים כי כל אחת מהנקודות האלה יכולה להפוך ליעד לתוקפים. לכן מודל אבטחה שמסתכל רק על שערי האצטדיון, מצלמות, כרטיסים ובידוק פיזי כבר לא מספיק. המרחב הדיגיטלי של האירוע כולל אפליקציות רשמיות, אתרי מכירת כרטיסים, מערכות תשלום, רשתות Wi-Fi, ספקי ענן, מלונות, חברות הסעות, רשויות מקומיות, ספקי מזון, חברות אבטחה, גופי שידור וספקים חיצוניים. פגיעה באחד מהם עלולה לא בהכרח לעצור משחק, אבל היא יכולה לשבש הגעה של אוהדים, ליצור עומסים, לחשוף מידע אישי או לפגוע באמון הציבור. Unit 42 מציינת כי על בסיס מתקפות שנראו באירועי ספורט גדולים מאז 2016, הסבירות למתקפות משבשות, הונאות רחבות היקף או הדלפות ממניעים פוליטיים היא גבוהה. לפי המחקר, השאלה אינה אם יהיו מתקפות, אלא מי יתקוף, את מי, ובאיזו עוצמה. הונאות כרטיסים, אפליקציות מזויפות וכופרה בבתי מלון האיום הסביר ביותר מבחינת היקף הוא פשיעה פיננסית נגד אוהדים. במונדיאל 2022 בקטאר זיהתה Group-IB יותר מ-16 אלף דומיינים מזויפים, יותר מ-40 אפליקציות מזויפות, יותר מ-50 חשבונות רשתות חברתיות מזויפים ו-90 חשבונות Hayya (מערכת הזיהוי והאישור הרשמית של ממשלת קטר) שנפרצו. אלה לא מתקפות מתוחכמות בהכרח, אבל באירוע עם מיליוני אוהדים הן יכולות להפוך למכונת הונאה רחבה מאוד. לפי המחקר, במונדיאל הקרוב צפויות חמש קטגוריות מרכזיות של הונאות כרטיסים: אתרי מכירה חוזרת שמחקים אתרים רשמיים, חשבונות מזויפים ברשתות החברתיות, הודעות פישינג על הגרלות ומתנות, אפליקציות מזויפות בחנויות האפליקציות וניסיונות השתלטות על חשבונות אוהדים באמצעות סיסמאות שדלפו. סיכון נוסף נמצא בענף המלונאות והאירוח. החוקרים מזהירים מפני מתקפות כופרה על רשתות מלונות, מערכות הזמנות, מפתחות דיגיטליים, קופות, מועדוני לקוחות וספקי זהות. תרחיש כזה יכול לשתק מלון דווקא בימים שלפני משחקים מרכזיים, לפגוע בכניסה לחדרים, בעמדות תשלום ובניהול הזמנות. מחקר מזכיר את קמפיין Muddled Libra נגד גופי בידור ב-2023 כדוגמה לכך שמפעילי כופרה כבר רואים בתחום האירוח יעד רלוונטי. גם קודי QR צפויים להפוך למוקד תקיפה. לפי Unit 42, הונאות QR בתחבורה, חניה ושאטלים הן מהווריאנטים שצומחים במהירות. במונדיאל שמתפרס על פני 16 ערים, האפשרויות להונאות סביב הסעות, חניונים, אזורי אוהדים וכרטיסי מעבר גדלות משמעותית. קבוצות המזוהות עם איראן ורוסיה עלולות לכוון לתשתיות סביב המשחקים החלק הרגיש יותר במחקר עוסק באיומים גיאופוליטיים. לפי Unit 42, מונדיאל 2026 מתקיים בסביבה שונה מכל טורניר קודם: שלוש המדינות המארחות קשורות למערב ולנאט"ו בדרכים שונות, וברקע מתקיימים עימותים מתמשכים בין רוסיה למערב ובין איראן לארה"ב וישראל. המחקר מצביע על פעילות של גורמים המזוהים עם איראן ועל האקרים פרו־רוסיים כאיומים משמעותיים סביב הטורניר. בזירה האיראנית מזכיר המחקר את Handala Hack Team, שמזוהה על ידי גורמים אמריקאיים וחברות מודיעין סייבר כחזית של משרד המודיעין האיראני, ואת CyberAv3ngers, זרוע המזוהה עם פעילות סייבר תעשייתית של משמרות המהפכה. לפי המחקר, הסיכון אינו מוגבל לאתרי אינטרנט או מערכות כרטוס, אלא כולל גם תשתיות עירוניות כמו מים, אנרגיה ותחבורה - מערכות שכל עיר מארחת תפעיל בעומס גבוה בתקופת המשחקים. החוקרים מציינים כי בכל עיר מארחת בארה"ב פועלות מערכות מים, ביוב ואנרגיה שנמצאות בתוך מעטפת האיום שתוארה באזהרות סוכנות אבטחת הסייבר ותשתיות של ממשלת ארה"ב (CISA). עוד מצוין כי הערכת CISA מ-2024 מצאה שיעור גבוה של אי-עמידה בדרישות בטיחות קיימות בקרב תשתיות מים בארה"ב. מתקפה על מערכת עירונית קטנה יחסית עלולה לייצר השפעה רחבה יותר ביום משחק – גם אם אינה מכוונת ישירות לאצטדיון.קיראו עוד ב"גלובל" בזירה הרוסית מצביע המחקר על NoName057(16), אחת מקבוצות ההאקטיביסטים הפרו-רוסיות הפעילות ביותר מאז 2022. לפי הנתונים, הקבוצה ביצעה יותר מ-3,700 מתקפות DDoS מאומתות (מתקפת סייבר להפלת אתר אינטרנט או שירות מקוון ולהפוך אותו לבלתי זמין) נגד ממשלות וסקטורים קריטיים במדינות נאט"ו. החוקרים מזהירים כי פעילות הקבוצה נוטה להתגבר סביב אירועים פוליטיים וסמליים, ומונדיאל בארה"ב, קנדה ומקסיקו הוא יעד בעל נראות עולמית גבוהה במיוחד. הלקח מפריז: הכנה מוקדמת מנעה שיבוש המחקר מזכיר את אולימפיאדת פריז 2024 כדוגמה לאירוע שבו נרשם לחץ סייבר משמעותי, אך התחרויות עצמן לא שובשו. לפי ANSSI, רשות הסייבר הצרפתית, במהלך המשחקים נרשמו לפחות 140 אירועי סייבר, בהם 22 חדירות מאומתות ומתקפת כופרה נגד אתר הגראן פאלה. למרות זאת, התחרויות לא נפגעו, בעיקר בזכות היערכות שהחלה שנים לפני האירוע, תרגולים מול מאות מתקנים ותיאום בין הממשלה לתעשייה. Unit 42 מציגה גם את ההיסטוריה של מתקפות קודמות באירועי ספורט: באולימפיאדת פיונגצ'אנג 2018 שובשו Wi-Fi, אתר המשחקים, מערכות כרטוס ורחפני שידור; בטוקיו דווח על מאות מיליוני ניסיונות תקיפה שנחסמו; בגביע העולם בקטאר נרשמה פעילות רחבה של אתרי הונאה ואפליקציות מזויפות; ובפריז 2024 נרשמו מתקפות DDoS וחדירות, אך ללא שיבוש התחרויות. לפי החוקרים, הלקח ברור: ההגנה על מונדיאל 2026 צריכה להתחיל הרבה לפני שריקת הפתיחה. ההמלצות כוללות הקמת מרכז סייבר משותף לשלוש המדינות המארחות, שילוב של CISA, ה-FBI, מרכז הסייבר הקנדי ו־CERT-MX במקסיקו, מיפוי מלא של ספקים, בדיקות סיסמאות והרשאות, איסור שימוש בכלי גישה מרחוק צרכניים בתשתיות ייצור, והיערכות מראש למתקפות DDoS בהיקף גדול. לרשויות המקומיות ולמפעילי תשתיות ממליץ המחקר לבדוק כל רכיב PLC, HMI ו-SCADA שמחובר לאינטרנט, להחליף סיסמאות ברירת מחדל, לבודד מערכות תעשייתיות מאינטרנט פתוח ולהפעיל כוננות תגובה 24/7 לאורך כל תקופת הטורניר. לבתי המלון ולמפעילי אתרים הוא ממליץ לחזק את מוקדי התמיכה, למנוע איפוס סיסמאות טלפוני ללא אימות נוסף, ולהחזיק נהלים ידניים למקרה שמערכות הזמנות, תשלום או מפתחות דיגיטליים יושבתו. גם לאוהדים עצמם יש חלק בהגנה אם הם יפעלו בהתאם להמלצות פשוטות: לקנות כרטיסים רק דרך פיפ"א או שותף רשמי, לא להעביר כסף דרך טלגרם, וואטסאפ או רשתות חברתיות, לוודא שמקומות לינה מופיעים בפלטפורמות אמינות, להיזהר מקודי QR בחניונים ובתחבורה ציבורית, לא להתחבר לחשבונות רגישים דרך Wi-Fi ציבורי בלי הגנה, ולא להוריד אפליקציות שאינן מופיעות ברשימה הרשמית של פיפ"א