מתקפת Password Spray איראנית פגעה ב-300+ ארגונים ישראלים ב-Microsoft 365 במרץ 2026. במאמר: למה ההגנות לא מופעלות כברירת מחדל, איך פועלת המתקפה, ו-5 צעדים מיידיים לחיזוק אבטחת M365 בעסק שלכם.
⚡ TL;DR, תקציר מהיר
האירוע: 3 גלים ממוקדות במרץ 2026 (3/13/23), 300+ ארגונים ישראלים נפגעו (Check Point Research).
למה זה עובד: MFA, Conditional Access וחסימת Legacy Auth לא מופעלים כברירת מחדל ב-M365 Business Standard.
5 צעדי הגנה: MFA לכולם, Conditional Access, ניטור Sign-in Logs, חסימת Legacy Auth, Entra Password Protection.
הסטטיסטיקה: MFA לבדו מונע 99.9% ממתקפות פריצה לחשבון (Microsoft).
Password Spray: איך תגנו על סביבת ה-Microsoft 365 בעסק שלכם
במרץ 2026 ביצעו האקרים בעלי קשרים לאיראן שלוש גלים ממוקדות של מתקפות על חשבונות Microsoft 365 של ארגונים ישראלים, ב-3, 13 ו-23 בחודש, בדיוק עשרה ימים בין גל לגל. הם לא פרצו חומת אש מסובכת. הם פשוט ניסו סיסמאות נפוצות על כל חשבון שמצאו, עד שאחד נפתח.
מה קרה, ולמה זה צריך לעניין אתכם
לפי מחקר של Check Point Research שפורסם באפריל 2026, מדובר בקמפיין Password Spray שמקורו בגורם המזוהה עם פעילות איראנית, ככל הנראה הקבוצה המכונה Gray Sandstorm. הקמפיין פגע ביותר מ-300 ארגונים ישראלים ויותר מ-25 ארגונים באיחוד האמירויות, תוך מיקוד בגופי ממשל, עיריות, חברות טכנולוגיה, תחבורה, אנרגיה וסקטור פרטי.
ראש הרשות הלאומית לסייבר (רמ"א) אמר לירושלים פוסט בתחילת 2026 כי בשנים האחרונות נגנבו מישראלים שני פטה-בייט של מידע. במקביל, מתקפות פישינג עלו ב-35% ב-2025 לפי נתוני ענף הסייבר. המגמה ברורה: עסקים ישראלים הם מטרה ממשית, לא רק תאגידים גדולים, אלא גם חברות עם 20 או 50 עובדים.
הסיבה שמתקפות מסוג זה מצליחות לא קשורה לחולשות טכניות מסובכות. הן מצליחות כי אבטחת Microsoft 365 ברוב הארגונים הקטנים לא מוגדרת נכון, לא כי מישהו טעה, אלא כי מיקרוסופט לא מפעילה את ההגנות הקריטיות כברירת מחדל.
Password Spray, למה קשה לזהות אותה לפני שמאוחר
מתקפת Brute Force קלאסית מנסה אלפי סיסמאות על חשבון אחד. מנהלי IT מזהים אותה בקלות: עשרות כניסות כושלות על אותו חשבון מדליקות אזעקה, והחשבון ננעל.
Password Spray עובד הפוך לגמרי. התוקף לוקח רשימה של מאות חשבונות ומנסה על כולם סיסמה אחת שכיחה, "Aa123456", "Welcome1", "Summer2024". אחרי שניים-שלושה ניסיונות הוא עובר לסיסמה הבאה. כך הוא לא מפעיל את מנגנון הנעילה, ולוגי הכניסה נראים לחלוטין רגילים.
בארגון של 40 עד 60 עובדים, הסיכוי שלפחות עובד אחד משתמש בסיסמה שכיחה הוא גבוה מאוד. זה כל מה שהתוקף צריך. חשבון אחד שנפרץ, ומשם הוא יכול לקרוא את כל תיבת הדואר, לגשת לקבצים ב-SharePoint, לשלוח מיילים בשם אותו עובד, לזייף בקשות תשלום מול ספקים, ולנוע לרוחב לחשבונות נוספים.
הבעיה המרכזית להגנה על סיסמאות בארגון קטן היא ש-MFA, האימות רב-שלבי, לא מופעל כברירת מחדל ב-Microsoft 365 Business Standard. בלי MFA, חשבון עם סיסמה נכונה פתוח לגמרי. אין שכבה שנייה שתעצור את הפורץ.
5 צעדים לחיזוק אבטחת Microsoft 365 בעסק שלכם
1. הפעילו MFA לכולם, ללא יוצאים מן הכלל
אימות רב-שלבי (MFA) הוא ההגנה היחידה שעוצרת Password Spray גם כשהסיסמה נכונה. מיקרוסופט עצמה מדווחת שהפעלת MFA מונעת 99.9% ממתקפות פריצה לחשבון. הגדירו אותו דרך Microsoft Entra ID, לכל המשתמשים, כולל המנכ"ל, הרואה חשבון החיצוני, וכל חשבון שירות שמחובר ל-M365.
2. הגדירו Conditional Access לחסום כניסות ממיקומים חשודים
Conditional Access מאפשר לאסור כניסה לחשבונות מגיאוגרפיות שלא אמורות להיות רלוונטיות לארגון שלכם. גורם איראני שמנסה להתחבר דרך Tor exit node ייחסם אוטומטית, לפני שמשהו קורה. תכונה זו זמינה ב-Microsoft 365 Business Premium ומעלה, שווה לבדוק אם אתם עליה.
3. בדקו את לוגי הכניסה ב-Entra ID שבועית
ב-Microsoft Entra ID (admin.microsoft.com) יש דוח Sign-in Logs שמציג ניסיונות כניסה כושלים, מיקומים חריגים ושעות לא שגרתיות. כניסה מוצלחת מגרמניה בשעה 03:00 בלילה, סימן שמשהו לא בסדר. הכניסה להגנה על המידע מתחילה במעקב אחרי הלוגים.
4. חסמו פרוטוקולי Legacy Authentication
פרוטוקולים כמו IMAP, POP3 ו-Basic Authentication ל-SMTP לא תומכים ב-MFA כלל, ולכן תוקפים מנסים להתחבר דרכם בכוונה. אם העסק שלכם לא משתמש בלקוחות מייל ישנים, סגרו אותם. ב-Entra ID אפשר לחסום אותם תוך כמה דקות עם Conditional Access Policy פשוטה.
5. הפעילו Microsoft Entra Password Protection
שירות זה חוסם ניסיונות הגנה על סיסמאות שכיחות וברשימות ה-Spray הידועות, כולל וריאציות כמו "P@ssw0rd1" או "Aa123456!". הוא זמין בחינם לחלק מהתוכניות ובמחיר נמוך לאחרות. בדקו עם מנהל ה-IT שלכם אם הוא פעיל, לרוב הוא לא.
איך SouliTek מטפלת בזה
ב-SouliTek אנחנו מנהלים סביבות Microsoft 365 לעסקים קטנים ובינוניים ברחבי ישראל, כולל הגדרות MFA, Conditional Access ומדיניות סיסמאות, עוד לפני שמתחילים לעבוד, לא אחרי אירוע. כחלק מהניהול השוטף אנחנו מנטרים לוגי כניסה חשודים ומתריעים בזמן אמת, כך שאתם יודעים שמישהו מנסה לפרוץ לפני שהוא הצליח. זה חלק מהשירות הניהולי שלנו, לא תוסף יקר.
רוצים לדעת איך זה עובד אצלכם? השאירו פרטים וניצור קשר
שאלות נפוצות
מה זה Password Spray ולמה זה מסוכן יותר מסתם ניחוש סיסמה?
Password Spray היא מתקפה שבה התוקף מנסה סיסמה אחת נפוצה על מאות חשבונות בארגון, במקום לנסות הרבה סיסמאות על חשבון אחד. כך הוא לא מדליק התראות נעילה ולא נראה חשוד בלוגים. שיטה זו מצליחה כל עוד יש עובד אחד עם סיסמה שכיחה, ובארגון עם יותר מ-10 עובדים, הסיכוי לכך גבוה מאוד. פריצה לחשבון עסקי אחד מאפשרת לתוקף גישה לתיבת מייל, לקבצים, ולעיתים גם להעברות כסף מזויפות בשם אותו עובד.אם יש לנו Microsoft 365 Business Standard, אנחנו מוגנים אוטומטית?
לא. ל-Microsoft 365 Business Standard יש כלי אבטחה, אבל MFA, Conditional Access וחסימת Legacy Authentication לא מופעלים כברירת מחדל, הם דורשים הגדרה אקטיבית. בלי הגדרה נכונה, חשבון עם סיסמה חלשה פתוח לגמרי. אבטחת Microsoft 365 אפקטיבית מחייבת תצורה מכוונת, לא רק רכישת הרישיון הנכון.כמה זמן לוקח להפעיל MFA לכל הארגון?
בארגון של עד 50 עובדים, הגדרת אימות רב-שלבי דרך Microsoft Entra ID לוקחת בין שעה לשלוש שעות לטכנאי מנוסה, כולל הגדרות, הודעה לעובדים ותמיכה בהגדרת האפליקציה על הטלפון. ההשפעה על שגרת העבודה היומית מינימלית: קוד נוסף בכניסה ראשונה מכל מכשיר חדש. שלוש שעות חד-פעמיות לעומת חשיפה מתמדת, זה חישוב פשוט.איך אני יודע אם כבר פרצו לחשבון של מישהו אצלנו?
היכנסו ל-admin.microsoft.com ← Microsoft Entra ID ← Sign-in logs ובדקו כניסות מוצלחות ממדינות זרות, שעות לא שגרתיות, וניסיונות כניסה כושלים בנפח גבוה. כניסה מוצלחת ממדינה שלא נסעתם אליה, הדגל האדום הבסיסי ביותר. Microsoft Defender for Office 365 מציע גם התראות אוטומטיות על פעילות חשודה, ואם אתם לא בטוחים מה אתם מחפשים, זה בדיוק הזמן לפנות למישהו שיבדוק.300 ארגונים חיכו שמישהו יגיד להם שזה קורה, אל תהיו הבאים בתור.
רוצים לדעת אם ה-Microsoft 365 שלכם מוגדר נכון?
המומחים שלנו ב-SouliTEK ישמחו לבצע סקירה מקצועית ולהתאים עבורכם תוכנית פעולה.
יוצא עולם הסייבר ההתקפי עם למעלה מ-10 שנות ניסיון בשירותי IT לארגונים. מוביל את SouliTek במתן שירותי מחשוב מנוהלים ואבטחת מידע לעסקים קטנים ובינוניים בישראל.
LinkedIn