האדם במרכז ההונאה: מתקפות הסייבר עולות שלב

תמונה: pixabay

ככל שהטכנולוגיות מתפתחות ומשתלבות בחיי היומיום, איומי הסייבר הופכים למתוחכמים ומסוכנים יותר. ההתפתחות המואצת של בינה מלאכותית ויישומי Generative AI מאפשרת לתוקפים להפעיל מניפולציות חכמות ויעילות יותר, תוך ניצול החולשות האנושיות כמרכיב מרכזי במתקפה. האיום המרכזי טמון ביכולת לנצל את האופן שבו בני אדם קולטים, מפרשים ומגיבים למידע.

זיופים קוליים וחזותיים מערערים את הגבולות בין מציאות לבדיה, בעוד שמניפולציות רגשיות מאפשרות לתוקפים להשפיע ישירות על קבלת ההחלטות של הקורבן. כך, ההנדסה החברתית ממשיכה להיות אחד הכלים העוצמתיים ביותר בידי גורמי תקיפה, שכן המטרה אינה רק לפרוץ למערכות ברמה הטכנולוגית – אלא לגרום לאדם שבצד השני לאפשר את החדירה בעצמו.

סוגי מתקפות ומה ניתן לעשות כדי להתמודד עמן?

מתקפות Deepfake: מתקפה במהלכה מתבצע ערעור המציאות על ידי זיוף קולי וחזותי, בעיקר באמצעות כלים מבוססי AI שמאפשרים יצירת תכנים מזויפים באיכות גבוהה, הן בהקלטות קוליות והן בתמונות וסרטוני וידאו, באופן המקשה מאוד על זיהויים. אלגוריתמים מתקדמים מסוגלים לחקות אינטונציה, קצב דיבור, תווי פנים, הבעות פנים ותנועות גוף, ובכך לייצר תוכן הקרוב למציאות.

תוקפים עשויים לנצל טכנולוגיה זו כדי להוציא לפועל מתקפות מתוחכמות, הכוללות התחזות לדמויות מפתח בארגונים – כגון מנהלים בכירים, נציגי רשויות או שותפים עסקיים – במטרה להונות עובדים ולגרום להם למסור מידע רגיש, לאשר ולבצע עסקאות פיננסיות, לשנות הרשאות גישה או לבצע פעולות נוספות שעלולות לפגוע בארגון.

בשנת 2024 התרחשו מספר מתקפות Deepfake מתוחכמות. מתקפה בולטת כוונה נגד חברת Arup, כאשר עובד שוכנע במהלך שיחת ועידה להעביר 25 מיליון דולר לחשבונות התוקפים. במסגרת ההונאה, העובד השתתף בשיחת וידאו עם אנשים שהאמין כי הם מנהלים בכירים בארגון, אך למעשה היו כולם דמויות שנוצרו בטכנולוגיית Deepfake.

מתקפה נוספת כוונה כלפי חברת Wiz, כאשר עשרות עובדים קיבלו הודעה קולית מזויפת, שנשמעה כאילו נשלחה על ידי מנכ"ל החברה, אסף רפפורט, ובה התבקשו לספק פרטי גישה למערכות הארגון. ערנות העובדים והבחנה בניואנסים קוליים חריגים סייעו בזיהוי ההונאה ובסיכולה.

מתקפות פישינג: באמצעות כלי Generativ AI, היכולת לפגוע באמצעות מתקפת פישינג שודרגה באופן משמעותי. כלים אלו מאפשרים ביצוע מתקפות מתוחכמות ואמינות יותר, המתאפיינות ברמת דיוק גבוהה ובהתאמה אישית לקורבן, תוך תמיכה במגוון שפות והפחתה משמעותית של שגיאות לשוניות.

באמצעות איסוף מידע אישי מהרשתות החברתיות של הקורבן והזנתו למערכות Generative AI, תוקפים עשויים ליצור מסרים ממוקדים ואמינים, המבוססים על פרטים שהקורבן מסר ביוזמתו – כגון מקום מגוריו, תחומי עניין, פעילויות בהן השתתף, מקומות בהם ביקר, ואף עמדותיו הפוליטיות. מסרים אלו, המותאמים אליו באופן מדויק, עשויים להגביר את אמינות ההונאה ולשכנעו לבצע פעולות מסוכנות, כגון לחיצה על קישור זדוני, מסירת פרטי גישה רגישים או ביצוע פעולות נוספות העלולות לחשוף מידע רגיש.

תמונה: pexels

יתרה מזאת, תוקפים עשויים להשתמש ב-Generative AI על מנת לנהל אינטראקציות דינמיות עם קורבנותיהם, תוך חיקוי של דפוסי שיחה אנושיים. יכולת זו עשויה להעצים את אפקטיביות המניפולציה, להקשות על זיהוי ההונאה ולאפשר ביצוע מתקפות רחבות היקף ללא צורך במעורבות ישירה של התוקף.

חדירה פיזית לארגונים כמנוף לתקיפה: חדירה פיזית לארגונים באמצעות הנדסה חברתית מהווה איום משמעותי, המאפשר לתוקפים לעקוף מנגנוני אבטחה טכנולוגיים ופיזיים על ידי ניצול גורמים אנושיים. שיטות נפוצות כוללות התחזות לאנשי תחזוקה, שליחים או ספקים חיצוניים כדי לקבל גישה לאזורים רגישים, כמו גם Tailgating – ניצול כניסתו של עובד לגיטימי כדי להסתנן לאזורים מוגבלים.

בנוסף, תוקפים עשויים להפעיל לחץ פסיכולוגי ולשדר סמכות מדומה כדי לעורר ציות מיידי, למשל באמצעות התחזות לנציגי הנהלה, שותפים עסקיים או צוות טכני בכיר. ברגע שהתוקף משיג גישה פיזית, הוא עלול לחבר מכשירים זדוניים לרשת הארגונית, להתקין התקני ריגול, או לאסוף מידע רגיש לשימוש עתידי.

אסטרטגיות הגנה והיערכות

על מנת להיערך לאיומים המתפתחים ולהתמודד עימם ביעילות, ארגונים חייבים לאמץ גישות מתקדמות לזיהוי וסיכול מתקפות. כדי לשפר את רמת האבטחה בארגון, מומלץ לשקול הטמעת פתרונות אבטחה מתקדמים, כגון שילוב טכנולוגיות AI לזיהוי דפוסי תקיפה, איתור אנומליות וזיהוי מתקדם של תכני Deepfake. כמו כן, ייתכן שיהיה כדאי להחמיר את אימות הזהות, באמצעות אימות רב-שלבי (MFA), בקרת גישה פיזית קפדנית לאזורים רגישים, וכן אימות קפדני יותר של ספקים, שליחים ומבקרים.

בנוסף, מומלץ להשקיע בהדרכות ובמודעות בקרב העובדים, למשל באמצעות סימולציות תקופתיות של מתקפות הנדסה חברתית, לצד הקניית כלים לזיהוי והתמודדות עם איומים מבוססי Generative AI. לצד זאת, עשויה להיות חשיבות רבה להגדרת נהלי תגובה ודיווח ברורים, הכוללים פרוטוקולים לזיהוי ודיווח על חשדות לזיוף או ניסיונות תקיפה, וכן מנגנונים לאימות זהות לפני ביצוע פעולות רגישות.

לבסוף, מומלץ לשקול ביצוע בדיקות חדירה יזומות ומבדקי אבטחה תקופתיים, אשר עשויים לתרום להערכת רמת החוסן הארגוני, זיהוי חולשות ושיפור מתמיד של נהלי ההגנה. שילוב מהלכים אלה יכול לסייע בהיערכות טובה יותר לאיומי סייבר מתקדמים ולשיפור אבטחת המידע בארגון

בעידן שבו המציאות ניתנת לזיוף והפסיכולוגיה האנושית משמשת ככלי תקיפה, ארגונים חייבים לאמץ שילוב של טכנולוגיה מתקדמת ומודעות אנושית כדי להגן על עצמם מפני האיום האולטימטיבי – ניצול הטבע האנושי עצמו.

הכותבת היא Professional Sales בחטיבת הסייבר, בינת תקשורת מחשבים