אנחנו רגילים לחשוב על SEO ככלי לגיטימי לשיפור נראות אורגנית, להבאת טראפיק איכותי ולבניית אמון מול גולשים. אבל אותה מערכת אמון בדיוק, זו שגורמת למשתמשים להקליק על תוצאה שנראית להם רלוונטית, הופכת בשנים האחרונות לכלי תקיפה.
קמפיין חדש שנחשף על ידי חוקרי Check Point ממחיש זאת היטב: קבוצת Nimbus Manticore, המקושרת לאיראן ולמשמרות המהפכה, השתמשה לראשונה בטכניקת SEO Poisoning כחלק מקמפיין תקיפה נגד מגזרי תעופה, תוכנה וביטחון בארה"ב, באירופה ובמזרח התיכון. לפי Check Point, הפעילות התרחשה בין פברואר לאפריל 2026, במקביל למבצע הצבאי האמריקאי Operation Epic Fury נגד איראן. (Check Point Research)
מה זה בעצם SEO Poisoning?
SEO Poisoning היא טכניקה שבה תוקפים מנסים לקדם אתרים זדוניים בתוצאות החיפוש, כך שייראו לגולש כמו תוצאה אורגנית רגילה ואמינה. במקום לשלוח מייל פישינג ולחכות שמישהו ילחץ, התוקף בונה נכס אינטרנטי שנראה לגיטימי, מטמיע בו מילות מפתח, משתמש בדומיינים תומכים ולעיתים גם בקישורים, ומנסה לגרום למנועי חיפוש להציג אותו במקום גבוה. המרכז הקנדי לאבטחת סייבר מגדיר את התופעה כמניפולציה על תוצאות חיפוש כדי לגרום לאתרים זדוניים להופיע מעל אתרים לגיטימיים. (Canadian Centre for Cyber Security)
במקרה של Nimbus Manticore, התוקפים בנו אתר שהתחזה לדף הורדה של Oracle SQL Developer. זה לא מוצר צרכני אקראי, אלא כלי שמפתחים, אנשי דאטה ואנשי IT עשויים לחפש כחלק מעבודה שוטפת. לפי הדיווח, התוקפים רשמו עשרות דומיינים שקישרו לאתר המזויף, במטרה לחזק את הנראות שלו בתוצאות חיפוש, במיוחד ב-Bing וב-DuckDuckGo. (The Hacker News)
למה זה צריך לעניין אנשי SEO?
כי זה מראה שהאקרים מבינים היטב את הפסיכולוגיה של החיפוש.
הגולש הממוצע לא חושב: “אני עומד לבצע פעולה מסוכנת”. הוא חושב: “חיפשתי תוכנה, מצאתי תוצאה שנראית מתאימה, אני מוריד”. ככל שהתוצאה נראית קרובה יותר לכוונת החיפוש, ככל שהדומיין נראה סביר וככל שהעמוד נראה “נקי”, כך יורדת רמת החשד.
זו בדיוק הנקודה שבה SEO הופך ממנגנון גילוי למנגנון אמון. תוצאה אורגנית גבוהה נתפסת בעיני רבים כאישור סמכות, גם אם בפועל היא יכולה להיות תוצאה של מניפולציה.
עבור אנשי SEO, זה שיעור חשוב: מנועי חיפוש אינם רק זירה של תוכן, דירוגים וטראפיק. הם גם שכבת אמון ציבורית. ברגע שתוקפים מצליחים להיכנס לשכבה הזו, הם לא רק מנצלים אלגוריתם, הם מנצלים הרגל משתמשים.
מה היה חדש בקמפיין הזה?
Nimbus Manticore מוכרת בעיקר מקמפיינים של פישינג ממוקד, במיוחד סביב הצעות עבודה מזויפות, פורטלי גיוס מזויפים ופנייה לאנשי תוכנה, תעופה, ביטחון וטלקום. Unit 42 של Palo Alto פרסמה במאי 2026 מחקר מקביל על פעילות הקבוצה, אותה היא מכנה Screening Serpens, וציינה שהקבוצה משתמשת בלורינג מותאם אישית, בעיקר סביב גיוס עובדים והתחזות למותגים אמינים. (Unit 42)
החידוש כאן הוא המעבר מגישה אקטיבית לגישה פסיבית יותר: במקום לשלוח הודעה לקורבן, התוקפים מחכים שהקורבן יחפש משהו בעצמו. זו לא רק טקטיקה אחרת, זו תפיסה אחרת של משפך התקיפה.
במונחים שיווקיים, אפשר לומר שהם עברו מ-Outbound ל-Inbound.
במקום “לדחוף” פישינג, הם יצרו נכס חיפוש שמושך משתמשים בעלי כוונה גבוהה: מפתחים או אנשי IT שמחפשים כלי עבודה ספציפי. אלה משתמשים עם intent ברור מאוד, ולכן הסיכוי שיבצעו הורדה גבוה יותר.
הקשר בין כוונת חיפוש לסיכון
ב-SEO אנחנו מדברים הרבה על Search Intent: האם הגולש מחפש מידע, מוצר, שירות, השוואה או פעולה. במקרה הזה, התוקפים כיוונו כנראה לשאילתות בעלות כוונת פעולה ברורה: הורדת תוכנה.
שאילתות כאלה מסוכנות במיוחד:
| סוג שאילתה | למה היא רגישה |
|---|---|
| הורדת תוכנה | המשתמש מצפה להוריד קובץ ולהריץ אותו |
| כלי פיתוח | קהל היעד טכני, עם גישה למערכות ארגוניות |
| VPN / Zoom / SQL / Admin Tools | כלים שנתפסים כסטנדרטיים ולכן פחות מעוררי חשד |
| דרייברים ועדכונים | משתמשים רגילים לבצע התקנות בלי לבדוק לעומק |
זו אחת הסיבות לכך ש-SEO Poisoning נפוץ סביב חיפושי תוכנות, כלי עבודה, מסמכים מקצועיים ותבניות. מיקרוסופט דיווחה במרץ 2026 על קמפיין SEO Poisoning נוסף שבו תוקפים הפיצו לקוחות VPN מזויפים לצורך גניבת פרטי התחברות. (Microsoft)
מה קרה אחרי ההורדה?
לפי Check Point, האתר המזויף הוביל להורדת Installer זדוני שהתקין Backdoor חדש בשם MiniFast. מדובר בכלי שליטה מרחוק שמאפשר לתוקפים להריץ פקודות, להעביר קבצים, לשלוט בתהליכים ולשמר אחיזה במערכת באמצעות Scheduled Tasks. The Hacker News דיווח כי MiniFast מתקשר עם שרת C2 באמצעות HTTP ויכול לקבל משימות, להעלות תוצאות, להוריד Payloads נוספים ולשנות את זמני התקשורת שלו כדי להקשות על זיהוי. (The Hacker News)
נקודה מעניינת נוספת היא סימנים לפיתוח בעזרת AI. לפי Check Point, הקוד של MiniFast כלל דפוסים כמו טיפול מוגזם בשגיאות, שמות משתנים ארוכים וחזרתיים, הודעות Debug מפורטות ומבנה מודולרי יחסית לפשטות הכלי. זה לא מוכיח בוודאות שכל הקוד נכתב על ידי AI, אבל כן מעלה אפשרות שתוקפים משתמשים בכלים גנרטיביים כדי לפתח, לשנות ולפרוס כלים מהר יותר. (Check Point Research)
למה Bing ו-DuckDuckGo דווקא?
לפי הדיווחים, האתר המזויף הופיע בתוצאות ב-Bing וב-DuckDuckGo. זה מעניין כי הרבה אנשי SEO מתמקדים כמעט בלעדית בגוגל, אבל עבור תוקפים, כל מנוע חיפוש הוא ערוץ הפצה פוטנציאלי.
יש כאן תזכורת חשובה: מנועי חיפוש קטנים יותר, או כאלה שמקבלים חלק מהאינדקס שלהם ממקורות חיצוניים, עשויים להיות יעד נוח יותר למניפולציות מסוימות. עבור מותגים, זה אומר שלא מספיק לבדוק איך נראים החיפושים בגוגל בלבד. חשוב לבדוק מדי פעם גם Bing, DuckDuckGo ותוצאות חיפוש סביב שם המותג, שמות מוצרים, שמות תוכנות ומונחי “download”.
מה בעלי אתרים ואנשי SEO צריכים ללמוד מזה?
הלקח המרכזי הוא ש-SEO כבר לא נוגע רק לדירוגים. הוא נוגע לאמון, בטיחות מותג והגנה על משתמשים.
1. לעקוב אחרי תוצאות חיפוש ממותגות
אם יש לכם מותג, תוכנה, מדריך, כלי או מוצר שאנשים מחפשים, כדאי לבדוק מי מופיע סביבכם. לא רק מי מתחרה בכם, אלא מי עלול להתחזות אליכם.
חיפושים שכדאי לבדוק:
- שם המותג + download
- שם המותג + login
- שם המותג + support
- שם המותג + pricing
- שם המוצר + installer
- שם השירות + customer service
2. לחזק עמודים רשמיים סביב כוונות רגישות
אם אנשים מחפשים הורדה, כניסה לחשבון, תמיכה או מסמכים, אל תשאירו ואקום. צרו עמודים רשמיים וברורים שמכסים את הכוונות האלה.
לדוגמה:
- עמוד הורדה רשמי
- עמוד “איך לזהות את האתר הרשמי שלנו”
- עמוד תמיכה עם כתובת URL ברורה
- FAQ שמסביר מאיפה לא להוריד קבצים
- Schema מתאים לעמודי תוכנה, ארגון ותמיכה
3. לבדוק דומיינים דומים
תוקפים משתמשים לעיתים בדומיינים דומים, שגיאות כתיב, מקפים, סיומות שונות או שילובים שמחקים מותגים קיימים. ניטור דומיינים דומים הוא כבר לא רק עניין משפטי או מיתוגי, אלא חלק מהגנת SEO.
4. לחבר בין SEO לאבטחת מידע
בארגונים רבים צוות SEO וצוות אבטחת מידע כמעט לא מדברים. זה פספוס. אנשי SEO רואים אנומליות בתוצאות חיפוש, דומיינים חשודים, תנועה מוזרה, עמודים מועתקים ותוכן מתחזה. אנשי אבטחת מידע יודעים לבדוק סיכון, קבצים, דומיינים ותשתיות.
החיבור ביניהם יכול לזהות איומים מוקדם יותר.
5. להיזהר גם מתוכן שנראה “טוב מדי”
SEO Poisoning לא תמיד נראה כמו אתר גרוע. לעיתים מדובר בעמוד שנראה מקצועי, ממוקד, מהיר, עם כפתור הורדה ברור ותוכן שמותאם בדיוק לשאילתה. מבחינת חוויית משתמש, הוא יכול להיראות טוב. הבעיה היא הכוונה שמאחוריו.
ומה גוגל אומרת על זה?
מדיניות הספאם של Google Search מתייחסת במפורש להתנהגות זדונית, כולל תוכנות שמותקנות ללא הסכמת המשתמש או תוכנות שנועדו להזיק למכשיר או למשתמש. גוגל מציינת שגם בעלי אתרים לגיטימיים עלולים לפעמים לארח קבצים בעייתיים בלי להבין זאת, ולכן האחריות על ניקיון האתר, הקבצים וההורדות חשובה גם מבחינת SEO וגם מבחינת אבטחה. (Google for Developers)
המשמעות לאנשי SEO היא פשוטה: אתר שנפגע, מארח קבצים מסוכנים או משמש להפצת Malware עלול לאבד לא רק אמון משתמשים, אלא גם נראות אורגנית.
השורה התחתונה
הסיפור של Nimbus Manticore הוא לא רק סיפור סייבר. הוא סיפור על האמון שאנחנו נותנים בתוצאות חיפוש.
כאשר תוקפים משתמשים ב-SEO Poisoning, הם לא צריכים לפרוץ למנוע החיפוש. הם צריכים להבין איך אנשים מחפשים, על אילו תוצאות הם סומכים, ובאיזה רגע הם מוכנים ללחוץ על Download.
עבור אנשי SEO, זו תזכורת לכך שהעבודה שלנו משפיעה על הרבה יותר מטראפיק. היא משפיעה על הדרך שבה אנשים מזהים סמכות, בוחרים מקורות מידע ומקבלים החלטות.
בעידן שבו האקרים משתמשים באותם עקרונות של מילות מפתח, כוונת חיפוש, קישורים, עמודי נחיתה ואמון מותג, SEO הופך גם לחלק ממערך ההגנה הדיגיטלי של הארגון.
מי שמנהל נראות אורגנית צריך לשאול לא רק “איך אנחנו מדורגים?”, אלא גם “מי עוד מנסה להופיע לידנו, מעלינו או במקומנו?”
