איך קרה שחברת סייבר גייסה עובד שהתברר כהאקר מצפון קוריאה?

תמונה: dreamstime

מאת חנן זכאי

האם ייתכן שדווקא חברת סייבר בעלת מוניטין העסיקה, שלא מדעת, האקר זדוני מצפון קוריאה? כן, זה בדיוק מה שקרה לחברת Knowbe4, חברה אמריקאית המספקת הכשרות לעובדים בתחום אבטחת מידע בארגון.

לפני מספר חודשים רצתה החברה להוסיף לשורות צוות ה-IT שלה מתכנת נוסף. היא פירסמה מודעת דרושים, קיבלה עשרות קורות חיים והחלה בתהליך המיון והסינון; ביצעה בדיקות רקע, אימתה המלצות, קיימה ראיונות אישיים ולבסוף בחרה במועמד המתאים ביותר.

כידוע, בתעשיית ההייטק מקובל להעסיק עובדים לעבודה מרחוק. לעיתים, החברה והעובד כלל לא נפגשים פנים אל פנים – לא בתהליך הקבלה לעבודה וגם לא במהלך העבודה. החברה שולחת אל העובד החדש מחשב ייעודי, אשר ישמש אותו אך ורק לעבודה, וממנו הוא יוכל לקבל גישה מאובטחת למערכות המידע של הארגון.

כך עשתה Knowbe4, ששלחה לעובד החדש תחנת עבודה אל הכתובת שביקש. כבר ביום הראשון שלו לעבודה אנשי אבטחת המידע של Knowbe4 קיבלו התראה כי זוהו ניסיונות להתקין נוזקות במחשב, שהיו עלולות לסכן את מערכות המידע הרגישות של הארגון. אנשי החברה ניסו לברר עם העובד החדש לפשר פעולותיו, אך תוך שעות ספורות הוא ניתק מגע ונעלם.

החברה מיד שיתפה את ה-FBI בפרטי המקרה, והתברר כי המתכנת שגייסה הוא בעצם האקר מצפון קוריאה שעובד בשירות המשטר הצפון קוריאני, וכי התמונות ששלח היו תוצר של מחולל AI.

הפכה את האירוניה ללימונדה

מדובר במקרה קלאסי של הסנדלר הולך יחף, שכן דווקא חברה שתחום מומחיותה הוא ללמד עובדים כיצד לזהות תמרורי אזהרה, נפלה קורבן לניסיונות של האקרים לחדור למערכות שלה. כמו אלאניס מוריסט, גם Knowbe4 הפכה את האירוניה להצלחה ובחרה לתת פומביות לאירוע המשונה. החברה פירסמה על אודותיו בבלוג שלה כתמרור אזהרה עבור חברות אחרות, והיא אף עורכת וובינרים שבהם היא מספרת את הסיפור. “אם זה קרה לנו, זה יכול לקרות לכל אחד”, סיכמו ב-Knowbe4.

אולם האירוע הזה אינו אירוע בודד. נראה שמאז שהבינה המלאכותית תפסה תאוצה, גדלה התופעה של המתכנתים המתחזים, גם אצלנו בישראל. אז איך החברות הישראליות יכולות להתמודד עם האתגר החדש?

תמונה: Pixabay

עד היום חברות שראיינו מועמדים למשרות תכנות העבירו אותם שורה של ריאיונות ומשימות בית, אך כלי ה-AI החדשים, ובראשם ChatGPT ו-Copilot, הפכו את תהליך המיון לטריקי בהרבה. לא פעם חברות תפסו מועמדים שעשו שימוש בכלי תכנות אוטומטיים במשימות הבית, מה שחייב אותן לשנות מעט את המתכונת של המשימות ולשלב בהן יותר שאלות פתוחות כמו “למה בחרת לכתוב את הקוד כך?”. כך ניתן להבין אם המועמד עשה את המבחן לפי החוקים וגם את צורת החשיבה שלו.

המקרה של Knowbe4 ממחיש כיצד כלי AI לא רק מסייעים למועמדים לקצר תהליכים ולעגל פינות, אלא משמשים האקרים בייצור זהויות בדויות שבאמצעותן הם חודרים לארגונים. כיום ניתן בקלות להפיק או לערוך תמונה באמצעות AI וגם לייצר סרטוני דיפ-פייק ברמה גבוהה.

זה לא יהיה קל יותר בעתיד

קפיצת המדרגה הבאה צפויה להגיע מעולם האוואטרים (Avatar) – דמות וירטואלית מלאכותית דמויית-אדם. כיום ישנן חברות, כמו חברת Synthesia ai האמריקאית, שמתמחות ביצירת אוואטרים לעולמות ההדרכה, השיווק ושירות לקוחות. האתגר המרכזי בתחום כיום הוא חיקוי הבעות הפנים. כשאנחנו משוחחים עם מישהו, אנחנו באופן כמעט בלתי מודע שמים לב לכל מיקרו-הבעה בפניו, וזהו מאפיין אנושי שקשה לחקות באוואטרים.

אך הטכנולוגיה מתקדמת במהירות – באמצעות GenAI החברות הללו מאמנות מודלים על בסיס צילום של שחקנים שמגלמים סיטואציות שונות כדי להביע את כל קשת הרגשות האנושיים. התוצרים כבר היום הם די מדהימים וסביר שבעתיד גם היא תשמש למטרות הונאה.

כיום אוואטרים מיוצרים רק בפלג הגוף העליון ועל כן כדי לחשוף אוואטר נוכל פשוט לבקש ממנו לעמוד, אך בעתיד הלא רחוק אנשי משאבי אנוש, ולמעשה גם אנשים מן השורה, יצטרכו ללמוד כיצד להבדיל בין אוואטר לאדם אמיתי. סביר שנצטרך לבצע כל מיני “מבחני אנושיות” קטנים במהלך תהליך הסינון, כמו לשאול הרבה יותר שאלות שמיועדות לעורר תגובה רגשית.

הבינה המלאכותית סוגרת בקצב מסחרר את הפער הקוגנטיבי מול בני האדם, ועל כן מבחנים כמו “מבחן טיורינג” כבר לא מספיקים כדי לזהות את המתחזה. בסרט הפולחן המד”בי “בלייד ראנר”, זיהו מיהו אנדרואיד באמצעות מבחן רגשי, שבו בדקו באמצעות מעקב אחר האישונים את תגובותיו הרגשיות לסדרה של משפטים ותמונות שאמורים לעורר רגש. כאשר האוואטרים יהיו אינטליגנטיים כמו בני אדם ובעלי חזות אנושית ללא דופי, הדקויות הרגשיות עשויות להיות תמרורי האזהרה האחרונים שיישארו לנו כדי לזהות אם דודי, המתכנת החדש, הוא סחבק תל-אביבי שיעשה צחוקים במשרד או אוואטר איראני זדוני.

 הכותב הוא סמנכ”ל לקוחות ב-CodeValue