× הורדה
בחדרי חרדים
האפליקציה
י"ז תמוז התשפ"ו
02.07.2026
זו תגובת מטא

בדקנו את הפיצ'ר החדש של וואטסאפ: זו הסכנה לחברות הישראליות

בדיקת זמינות שערכנו במערכת שמות המשתמש החדשה של וואטסאפ מעלה כי שמות הנושאים כתובות אתר של מותגים וחברות ישראליות מוכרות פתוחים לרישום, באופן שעלול לאפשר לגורמים זדוניים להשתלט על זהותם הדיגיטלית ולבצע ניסיונות התחזות והונאות פישינג

בדקנו את הפיצ'ר החדש של וואטסאפ: זו הסכנה לחברות הישראליות
אילוסטרציה צילום: unsplash

אחרי שנים של ציפייה, שמועות והדלפות, וואטסאפ השיקה רשמית את האפשרות לשריין שמות משתמש, טרם ההשקה של הפיצ'ר עצמו. מדובר במהלך שנועד לפשט את התקשורת ולהגביר את הפרטיות, כך שניתן יהיה להתכתב מבלי לחשוף את מספר הטלפון. אולם, מאחורי הנוחות המובטחת מסתתר פער מהותי באבטחה: הפיצ'ר החדש מותיר חברות ישראליות מוכרות חשופות לניסיונות התחזות ופישינג.

בדקנו והופתענו

בחינת נתוני זמינות השמות במערכת שביצענו חושפת תמונה מדאיגה במיוחד. במהלך הבדיקה התברר כי מותגים ישראלים מובילים חשופים בשלב זה לסיכוני התחזות. שמות משתמש הנושאים כתובות אתר של חברות גדולות ומוכרות שבדקנו, כולל של חברת כרטיסי אשראי מהגדולות בישראל - פתוחים לכל דורש. 

במהלך הבדיקה התברר כי בעוד שוואטסאפ חוסמת רישום של שמות משתמש המבוססים על דומיינים בינלאומיים המסתיימים ב-"‎.com", היא אינה מונעת רישום של שמות הכוללים את הסיומת הישראלית ".co.il". הפער הזה עשוי לאפשר לגורמים שונים לשריין שמות משתמש המזוהים עם מותגים ישראליים המשתמשים בדומיין המקומי.

הסכנה המרכזית נובעת מאופיה של וואטסאפ כצינור התקשורת אמין במיוחד. בניגוד לפלטפורמות אחרות, הציבור הישראלי מורגל לקבל דרך וואטסאפ הודעות רשמיות משירותי בנקאות, קופות חולים, רשויות מקומיות ומוקדי תמיכה. האמון הגבוה הזה הוא בדיוק מה שהופך את הפלטפורמה לכר פורה עבור תוקפים.

מעבר ל"תפיסת השם", הכלים העומדים לרשות המתחזים הם מתוחכמים ומדאיגים. תוקפים משתמשים בשיטות כמו "Homoglyphs" - החלפת אותיות בתווים הנראים זהים למקור - או בשיבושי כתיב מכוונים שקשה להבחין בהם במבט מהיר. הודעת פישינג שתישלח תחת שם כזה עשויה להיראות לגיטימית לחלוטין, מה שעלול להוביל להונאות בהיקפים נרחבים.

נכון לעכשיו, נראה שמנגנוני ההגנה של מטא אינם מספקים מענה הרמטי לחברות, לפחות בישראל. האחריות עברה בפועל לידי המותגים עצמם. חברות שלא יפעלו כבר עכשיו למיפוי ורישום של שם המותג שלהן, עלולות לגלות מהר מאוד שהשם המזוהה עימן נמצא בידי מישהו אחר.

ממטא נמסר בתגובה: "הכרזנו על האפשרות שתאפשר לאנשים לשריין את שם המשתמש המועדף עליהם בוואטסאפ. האפשרות להשתמש בשם משתמש עדיין אינה זמינה, והיא תושק בהדרגה בהמשך השנה. כאשר האפשרות תהיה זמינה ומישהו ישלח לכם הודעה לראשונה באמצעות שם המשתמש שלכם, נציג לכם האם מדובר בחשבון חדש, האם הוא איש קשר שלכם, האם יש לכם קבוצות משותפות והאם הוא נמצא במדינה אחרת - כך שתוכלו להחליט האם להשיב.

כדי להגן מפני התחזות, שמרנו מראש את שמות המשתמש הבולטים ביותר - בהם שמות של אנשי ציבור, גופים ממשלתיים, מפורסמים וחשבונות Meta מאומתים - כך שרק הבעלים החוקיים שלהם יוכלו לשריין אותם. בנוסף, שמרנו גם וריאציות דומות של שמות מוכרים.

גם לאחר השקת שמות המשתמש, השימוש בוואטסאפ עדיין ידרוש מספר טלפון. בנוסף, שילבנו מספר שכבות הגנה מפני הונאות במערכת שמות המשתמש: כדי ליצור איתכם קשר, אנשים יצטרכו לדעת את שם המשתמש המדויק שלכם; נגביל את מספר האנשים החדשים שכל חשבון יוכל לפנות אליהם; נחסום ניסיונות חוזרים לנחש את מפתח (Key) שם המשתמש של אחרים; ונפעיל מערכות שמזהות ומסירות פעילות המעידה על דפוסים נפוצים של התחזות וניצול לרעה".

וואטסאפ (WhatsApp) התחזות דומיין
להצטרפות לקבוצת הווטסאפ של 'בחדרי חרדים'
לחץ כאן

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}