מערך הסייבר הלאומי מפרסם סוג חדש של מתקפת סייבר: התחזות קולית לבכירים בארגון • התוקפים עושים שימוש בטכנולוגית בינה מלאכותית כדי להתחזות קולית לבכירים בארגון • מטרת התקיפה היא לשם הנעת עובד לביצוע פעולות לטובת התוקף, כגון העברה כספית או ביצוע פעילות זדונית ברשת הארגון
דוד שלומוביץ 09.07.2019
מתקפת סייבר, אילוסטרציה | צילום: Pete Linforth, Pixabayמערך הסייבר הלאומי מפרסם סוג חדש של מתקפת סייבר: התחזות קולית לבכירים בארגון.
בתקופה האחרונה, הגיעו למרכז המבצעי של מערך הסייבר הלאומי דיווחים אודות סוג חדש של מתקפת סייבר שמופצת בעולם: שימוש בטכנולוגית בינה מלאכותית כדי להתחזות קולית לבכירים בארגון.
ההתחזות הקולית נעשית למטרת הנעת עובד לביצוע פעולות לטובת התוקף, כגון העברה כספית או ביצוע פעילות זדונית ברשת הארגון. בשיטת התקיפה החדשה נעשה כבר שימוש נגד מספר חברות בעולם, אך טרם נצפו מקרים בישראל.
מערך הסייבר הלאומי, האמון על נושא הסייבר בארץ ואינו שוקט לרגע על שמריו בעולם מטורף זה, הוציא התרעה בנושא הכוללת הצעות לנקיטת אמצעי זהירות והעלאת מודעות בקרב ארגונים.
במערך הסייבר מסבירים, כי המתקפה החדשה היא מסוג Business Email Compromise) BEC) – הונאות המבוצעות באמצעות הדוא"ל נגד ארגונים מסחריים וממשלתיים, במטרה להניע עובדים בארגון בשיטות של הנדסה חברתית לבצע פעולות לטובת התוקף.
הסוגים הנפוצים הם הודעות דיוג, וכן הונאה חשבונית – שבה התוקף מתחזה לספק, מגיש חשבונית לארגון ומנסה להניע עובד תחת לחץ זמן לבצע העברה בנקאית, לספק מידע או לאפשר גישה לרשת ארגונית.
מתברר, שכעת שיטת המתקפה עולה מדרגה, כשלאחרונה מזהים בעולם תוקפים שעושים שימוש בתוכנה ייעודית מבוססת בינה מלאכותית, שבאמצעותה מבצעים שיחות התחזות קוליות לבכירים בחברה, ונותנים פקודות לעובדי החברה לבצע פעולות עבורם, כגון העברת כסף. החידוש העיקרי הוא הכלי: התוקף משתמש בתוכנה שלומדת לחקות קול של אדם שהוגדר עבורה ומבצע באמצעותה שיחה עם עובד בשם המנכ"ל. כיום כבר קיימות בשוק תוכנות שלאחר האזנה של עשרים דקות לקול מסוים, מדובבות בקול זה כל דבר שהמשתמש יקליד.
לביא שטוקהמר, מנהל המרכז הארצי לניהול אירועי סייבר של מערך הסייבר הלאומי, מסביר כי "עם התפתחות טכנולוגיות חדשות מבוססות בינה מלאכותית, תקיפות העושות שימוש בהתחזות הופכות להיות מתוחכמות יותר, והפעם אנו עדים לשימוש שנעשה בטכנולוגיות התחזות קולית. עבור ארגון שנופל קורבן להונאה מסוג זו, הנזק הכלכלי עשוי להיות גבוה. עם זאת, תקיפות מסוג זה לרוב אינן מהוות סיכון להמשכיות העסקית".
תקיפות שעושות שימוש בהתחזות קולית טרם נצפו בישראל, אך המרכז המבצעי של מערך הסייבר הלאומי זיהה לאחרונה עלייה בהיקף הודעות הדיוג שמופצות במסרונים ומכילות קישורים זדוניים או קישורים לאתרים המתחזים לגופים פיננסיים.
מערך הסייבר הלאומי אינו מוציא רק הודעה על המתקפה אלא מפרסם גם רשימה של 'מה ניתן לעשות' כדי להתגונן מהמתקפות הצפויות, כדלהלן:
העלאת מודעות – להדריך עובדים בארגון בנוגע להנדסה חברתית, ובייחוד בנוגע ליכולת ניצול ערוצי תקשורת מגוונים לטובת התחזות לגורמים בכירים בארגון.
שימת לב לחריגות בתהליכים ארגוניים – קבלת הודעות דוא"ל משמות מתחם חדשים, או קבלת הודעות ממספר לא מוכר או באמצעות ממשק חדש (לדוגמה אם נהוג לתקשר בארגון באמצעות WhatsApp ומתקבלת הודעה באמצעות מסרון). כמו כן, לשים לב להודעות דוא"ל המנוסחות באופן קלוקל או בצורה שאינה אופיינית לשולח.
אפיון ויישום נהלי עבודה למקרים דחופים או יוצאי דופן – כדי לצמצם צורך בשיקול דעת של עובדים תחת לחץ של זמן.
שימוש בהזדהות חזקה – אימות דו שלבי, לצורך גישה לחשבונות דוא"ל של גורמים רגישים בארגון, בפרט אם חשבונות הדוא"ל מתנהלים במערכות ענן או נגישים מרחוק.
מנגנון רב ערוצי – במידה וקיים צורך בביצוע פעולה או בחשיפת פרטים רגישים בגישה מרחוק, מומלץ לבחון ולייצר מנגנון רב ערוצי לשם כך. לדוגמה: שליחת שם משתמש באמצעות SMS וסיסמה באמצעות הדוא"ל, או שליחת מידע מוצפן שהסיסמה לפתיחתו תועבר באמצעי אחר, וכדו'.
וידוא הוראה בערוץ נוסף – בעת קבלת הוראה מבכיר בארגון להעברת כספים או ביצוע פעולה רגישה, מומלץ לוודא בערוץ נוסף בלתי תלוי כי ההוראה אכן התקבלה ממנו. לדוגמה, אם ההוראה התקבלה בדוא"ל, יש לוודא אותה טלפונית מול מספר שנקבע מראש. יש לחייב ביצוע שלב זה בנוהל, ולא לאפשר חריגה ממנו בשל שיקולי דחיפות או קשיי תקשורת, אלא באישור של גורם בכיר מוסמך בארגון.
אישור גורם בלתי תלוי – להתנות פעולות העברה של סכומים גדולים או עדכון פרטי ספקים ולקוחות באישור של גורם בלתי תלוי.
מנגנון ריבוי חתימות – מומלץ לבצע פעולות פיננסיות, בדגש על העברת כספים, אך ורק במערכות ייעודיות ותוך יישום מנגנון ריבוי חתימות.
הטמעת טכנולוגיות ייעודיות – כגון מערכת למיפוי ספקי הארגון ואימות פרטיהם בעת העברת כספים.
שימוש באמצעים טכנולוגיים למניעת שימוש לרעה בדוא"ל – להגדיר DKIM ,SPF ו-DMARC כדי להקשות על משלוח דוא"ל מכתובות המתחזות לארגון. לשירותכם ישנו הסבר מפורט באתר מערך הסייבר כיצד מטמיעים מנגנון אבטחה לאימות זהות השולח.
במערך הסייבר הלאומי אומרים, שאם כבר נפלתם קורבן למתקפת סייבר או אם אתם חושדים במתקפה שכזו, צרו קשר עם המרכז המבצעי של מערך הסייבר. ניתן ליצור קשר למענה ראשוני עם המרכז המבצעי של מערך הסייבר בחיוג מקוצר חינם 119 הפעיל לאורך כל שעות היממה, בדומה לכל שירותי ההצלה הפועלים בארץ.
