בלאק פריידי 2025 צפוי להיות שיא עולמי חדש של קניות אונליין ושיא חדש של מתקפות סייבר. בכל שנה אנחנו רואים גידול במספר האיומים ובתחכום שלהם, אך השנה התוקפים מצוידים בארגז כלים שלא היה להם בעבר: אתרי קניות שנבנים באמצעות AI ונראים אמיתיים עד לרמת הפונט, הודעות פישינג שנוסחות בשפה טבעית לחלוטין, אפליקציות מזויפות שמתחזות למועדוני לקוחות ויודעות לאסוף נתונים בחוכמה, והתחזויות למשלוחים שמצליחים לבלבל גם משתמשים זהירים. זה כבר לא עולם של "לינק חשוד"; זו זירה שבה הכול נראה לגיטימי וזה מה שהופך את התקופה הזו למסוכנת במיוחד.
דווקא בגלל שהבלאק פריידי מושך כל כך הרבה צרכנים בו־זמנית, התוקפים מנצלים את העומס ואת המרוץ אחר הדיל הבא כדי להכניס את ההונאה במקום שבו אנחנו הכי פחות שמים לב.
רוב ההתקפות לא מתחילות בפריצה טכנית, אלא בפעולה קטנה שבוצעה מרצון: לחיצה על קישור, הזנת פרטים בדף שנראה “מוכר”, הורדת אפליקציה שנראית רשמית מדי.
בתקופה של מחירים מפתים ושעונים שסופרים לאחור, ההיגיון מתחלף במהירות בהרגל, וזה בדיוק הרגע שבו האיום הופך למפגש אמיתי עם כרטיס האשראי שלכם.
גם מערך הסייבר הלאומי מזהיר השנה מפני עלייה בהונאות לקראת ימי הקניות, ומדגיש עד כמה התחום הזה השתכלל.
האזהרות האלה מהוות חיזוק למה שאנחנו ב-ESET מנתחים כבר חודשים: הגידול בהתקפות אינו רק כמותי - הוא איכותי. מדובר בגל של מתקפות שמנצלות חולשות טבעיות של התנהגות אנושית, לא רק פרצות אבטחה. הצירוף בין עומס, מבצעים, הודעות משלוח ואפליקציות חדשות הוא סביבה מושלמת לתוקף. אבל החדשות הטובות הן שאם מבינים את הדפוס - אפשר למנוע את הנזק כמעט לחלוטין.
הסיכון המרכזי השנה נובע מהטשטוש בין אמיתי למזויף. אתרי קניות מזויפים כבר לא נראים כמו עמוד חובבני שהורכב בחמש דקות. הם נבנים באמצעות כלים אוטומטיים שמעתיקים במדויק מבצעים, צבעים, שפה גרפית ואפילו ביקורות.
המשתמש מרגיש שהוא נמצא באתר מוכר, ולמעשה נמצא במלכודת שנועדה לשאוב פרטי אשראי ונתוני זיהוי אישיים. גם הודעות ה-SMS עברו אבולוציה: הן אינן טקסט קצר עם שגיאות כתיב, אלא הודעות שמתחזות למערכות שילוח אמיתיות, כוללות נתוני הזמנה, ולעיתים אף מציגות פרטי משלוח שמופיעים כ"משויכים אליכם".
החולשה השנייה מתרחשת בדיוק במקום שבו לבלאק פריידי יש הכי הרבה כוח - בעומס הרגשי. משתמש נכנס לחנות אונליין מתוך מחשבה שהוא “תפס מבצע”, מקבל פתאום הודעה על משלוח בעייתי, ולחץ קטן הופך ללחיצה פזיזה. גם אפליקציות מזויפות משחקות על אותו מנגנון: הן מבטיחות “קופון לוותיקים”, “10% הנחה רק היום”, או “מועדון לקוחות VIP”. בפועל הן מקבלות הרשאות רחבות לגישה למכשיר ומצליחות לאסוף נתונים באופן שלא תמיד ניתן לזהות מיד.
אחת השיטות הנפוצות השנה היא התחזות לשירות לקוחות ברשתות החברתיות. התוקף מגיב לפוסט של משתמש שמספר על עיכוב במשלוח, מציג עצמו כ“נציג תמיכה”, ומבקש פרטים כדי “לאמת זהות”. השיח כולו נראה טבעי לחלוטין והמשתמש מוסר את כל מה שהתוקף צריך כדי לגשת לחשבון שלו.
גם גלישה דרך רשתות Wi-Fi ציבוריות בקניונים, בפינות עבודה או בבתי קפה הופכת לבעיה משמעותית בתקופה זו: חיבור לא מאובטח מאפשר לתוקף להציג אתר מזויף במקום האתר האמיתי, בלי שהמשתמש שם לב בכלל.
מה הפתרון?
דווקא בתקופה שבה הכול נראה אמיתי, האחריות היא לא “לחשוד בכל דבר”, אלא להחזיר לעצמכם שליטה. הקדמה הטכנולוגית של התוקפים מחייבת גם אותנו להסתמך על פתרונות הגנה שלא תלויים רק בעין האנושית. מערכות חכמות יודעות לזהות כשאתר לגיטימי “מתנהג” אחרת, כשהקישור מוביל לשרת לא מוכר, כשהאפליקציה מבקשת הרשאה שאינה תואמת את הפונקציונליות שלה, וכשהודעת פישינג נשלחת כחלק מקמפיין רחב. במקום לשאול “האם זה נראה אמיתי?” - ESET HOME SECURITY פשוט קוטעת את האיום רגע לפני שהוא הופך לנזק.
יחד עם זאת, גם ההרגלים הקטנים שלנו הופכים למשמעותיים: להיכנס לאתרים רק דרך חיפוש עצמאי ולא מקישור שקפץ בהודעה, להעדיף תשלום באמצעים שלא חושפים את פרטי האשראי, לא לבצע רכישות בזמן חיבור ל-Wi-Fi ציבורי, להימנע מהתקנת אפליקציות שאינן מהחנות הרשמית, ולוודא שאימות דו־שלבי פעיל בכל שירות שמחזיק נתוני תשלום.
אלו לא “כללי זהב של בלאק פריידי” - אלא ההבדל בין רכישה בטוחה לבין שיקום של נזק.
ובסופו של דבר, בלאק פריידי אמור להיות יום של מציאות טובות, לא יום של הפתעות רעות. התקופה הזו יכולה להיות בטוחה לחלוטין אם משלבים מודעות בסיסית עם שכבת הגנה חכמה שפועלת בזמן אמת. כשתוקפים עובדים מהר יותר, חכמים יותר ואוטומטיים יותר, האחריות שלנו כמשתמשים היא לא להסתמך על תחושת בטן - אלא על הגנה שמבינה את האיומים עוד לפני שאנחנו נתקלים בהם.
כך אפשר ליהנות מהמבצעים, להישאר בראש שקט, ולהבטיח שהדבר היחיד שמצטמצם בבלאק פריידי הוא המחיר ולא הביטחון הדיגיטלי שלכם.