גם ב-2025 פרצת האבטחה הגדולה ביותר היא אנחנו
בשנה החולפת חל זינוק במתקפות הנדסה חברתית, בהן תוקפים עוקפים את שיקול הדעת של הקורבן. GenAI הפכה את פשיעת הסייבר לזולה ומושכת, וההגנות האפקטיביות ביותר הן לא תמיד טכנולוגיות
נוצר באמצעות AI
בשנת 2024 נרשמה עלייה דרמטית בהיקף המתקפות מסוג הנדסה החברתית, כלומר תוקפים שמנצלים פסיכולוגיה אנושית כדי לגרום לאנשים לחשוף מידע רגיש, ללחוץ על קישורים זדוניים או להעביר כספים לחשבונות מזויפים. בניגוד לפריצות טכנולוגיות קלאסיות, המיקוד במתקפות אלה הוא באדם, ולא במחשב: ההאקר אינו עוקף את מערכת האבטחה, אלא את שיקול הדעת של הקורבן.
למה זה קרה בשנה החולפת? הבינה המלאכותית הגנרטיבית העניקה לתוקפים מרחב חדש עם פוטנציאל עשיר לפעילות. היא מאפשרת לתוקפים להרחיב את מעגלי התקיפה ולעלות את מידת התחכום של התקיפות. על פי מחקר של חברת SlashNext מאז 2022 ועד סוף 2024, אז פלטפורמות GenAI הפכו לפופולריות, חלה עלייה של 1,265% בהתקפות פישינג זדוניות באמצעות דוא"ל ועלייה של 967% בניסיונות פישינג לגניבת אישורי כניסה בפרט.
בנוסף, דוח של הפורום הכלכלי העולמי בשיתוף Accenture שפורסם בינואר 2025 מראה שכ-72% מהארגונים מדווחים על עלייה בסיכוני הסייבר, ותוכנות כופר ממשיכות להוות דאגה מרכזית. כמעט 47% מהארגונים מציינים את ההתקדמות מצד גורמים עוינים, המונעת על ידי בינה מלאכותית גנרטיבית, כחשש העיקרי שלהם.
פשיעת הסייבר מושכת יותר מאי פעם
כשחושבים כמה קל היום לנסח אימיילים רהוטים, ללא שגיאות כתיב ובשפות שונות, ואף לשלב בהם פרטי מידע אישיים המבוססים על עמודים של המטרות ברשתות החברתיות קל להבין זאת. באמצעות ChatGPT למשל לא רק שיותר אנשים יכולים ליצור אימיילים כאלה, ניתן גם לשכפל אותם באינסוף גרסאות, וכאמור לחבר אותם לעקבות ברשת של היעדים למתקפה.
חשוב להגיד: הבינה המלאכותית לא בהכרח יוצרת פושעים חדשים, אבל היא מאפשרת לאנשים שכבר מעורבים בפשעים מסוגים אחרים לעבור לפשיעת סייבר. למשל כנופיות פשיעה קטנות, שבעבר נרתעו מהמורכבות הטכנית, מאמצות כעת טקטיקות מבוססות בינה מלאכותית; אנשים בעלי ידע טכנולוגי מוגבל מקימים קמפיינים משכנעים של דיוג או יוצרים קוד זדוני במאמץ מינימלי. הבינה המלאכותית הפכה את פשיעת הסייבר לנגישה ומושכת יותר מאי פעם בשל הסיכון והעלות הנמוכים יחסית לעומת עבירות פליליות מסורתיות. ועל הכוונת – כולנו, אנשים פרטיים וארגונים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
זה לא ה-IT הנכון
דוגמה טובה לירידת המחירים אפשר לראות בטכנולוגיית דיפ פייק, שמאפשרת לשנות תוכן של סאונד, תמונות וסרטונים, וכך להתחזות לאדם אחר. בעבר היא הייתה מורכבת ויקרה, אבל כיום נגישה הרבה יותר, ופושעים יכולים לשכפל קולות באמצעות שעה אחת בלבד של הקלטות מיוטיוב ומנוי של 11 דולר לא במקרה רואים זינוק בהונאות טלפוניות. לדוגמה, במחצית השנייה של 2024 חל זינוק של 442% במתקפות פישינג קולי (vishing), כאשר נעשה שימוש בבינה מלאכותית כדי לשכפל קולות אמיתיים ולחקות קולות של מנהלים, בני משפחה או אנשי תמיכה טכנית, וכך לרמות קורבנות.
תמונה: dreamstime
אבל למה ללכת רחוק? צוות ה-DFIR של חברת 2BSecure מבית מטריקס הוזמן לחקור מקרה שבו הופל בפח עובד של גוף פיננסי גדול. הכול התחיל במבול של הודעות ספאם שהציפו את תיבת האימייל של איש מכירות בארגון. באופן טבעי הוא פנה למחלקת ה-IT וביקש עזרה בטיפול בבעיה. יום לאחר מכן, הוט קיבל טלפון מאדם שהציג את עצמו כאיש IT והציע לו לתקן את בעיית הספאם. מאוחר יותר, כאשר איש צוות ה-IT האמיתי יצר אתו קשר, העובד ענה לו: "הכול כבר מסודר, תודה בכל מקרה". החקירה העלתה כי המשתמש הוריד קובץ בשם spam_filter.txt שקיבל מהתוקף והפעיל אותו דרךPowerShell . פעולה זו אפשרה לתוקפים להשתלט על המחשב, מה שבקלות יכול היה להתגלגל למתקפת כופר כפולה ולגרום לנזק חמור לארגון. אפשר לקרוא עוד על המקרה פה.
בנוסף, התפשט השימוש בסרטוני "דיפ פייק" – קטעי וידאו מזויפים שמציגים דמויות מוכרות (כגון אילון מאסק או נשיאים לשעבר) מדקלמים טקסטים שמעולם לא אמרו. סרטונים כאלה שימשו להונאות השקעה, גיוס תרומות פיקטיביות והפצת מידע כוזב בעל השלכות פוליטיות וחברתיות. במקרה חמור שנחשף בפברואר השנה, תוקפים זייפו פגישת וידאו שלמה, בהשתתפות ה-CFO ועובדים נוספים של חברת פיננסים בהונג קונג, וכך שכנעו את עובד החברה לבצע העברה בנקאית דחופה של 25.5 מיליון דולר.
השילוב בין טכנולוגיה מתקדמת לבין מניפולציות רגשיות הופך את ההגנה לאתגר מורכב. ככל שהבינה המלאכותית משתפרת, כך גדלה היכולת לייצר תקשורת מזויפת אך משכנעת להפליא – מיילים, שיחות טלפון, הודעות טקסט וסרטונים שנראים אמיתיים לחלוטין. מומחי סייבר מדגישים את הצורך בהעלאת מודעות, פיתוח כלי זיהוי חדשים והכשרה ייעודית לעובדים כדי לבלום את הגל הבא של מתקפות ההנדסה החברתית.
אז מה עושים?
חשוב לשלב בין אמצעים טכנולוגיים לבין מודעות ונהלים ארגוניים ברורים. ראשית, יש להטמיע תהליכי אימות מרובה שלבים (Multi-Factor Authentication) ולוודא שכל בקשה חריגה להעברת כספים, גם אם היא מגיעה ממקור בכיר, נבדקת באפיק תקשורת נפרד ומאומת, כמו שיחת טלפון או פגישה פנים אל פנים. חשוב להבין שבעידן שבו ניתן לזייף פנים וקול באופן משכנע, גם שיחת וידאו אינה בהכרח הוכחה לזהות הדובר.
בנוסף, חשוב מאוד להשקיע בהכשרת עובדים לזיהוי סימנים מחשידים: שפה שאינה אופיינית לשולח, לחץ לזירוז תהליך או בקשות סודיות שאינן תואמות נהלים מוכרים. לצד זאת, יש לאמץ פתרונות טכנולוגיים שמסייעים בזיהוי תוכן מזויף כגון כלים לאיתור דיפ פייק, ניתוח התנהגות חריגה, ומערכות לזיהוי אנומליות בתקשורת הארגונית.
בסופו של דבר, הכלים הטכנולוגיים הם רק חצי מהתמונה, החצי השני הוא אנחנו. כדי לעמוד מול מתקפות ההנדסה החברתית של העידן החדש ארגונים צריכים לפעול בשני מישורים: לחזק את מערך ההגנה הטכנולוגי ולהשקיע ללא פשרות במודעות ובכשירות של האנשים. גם כשהתוקפים חכמים יותר, אפשר להיות חכמים מהם.
נעמי בורנשטיין היא מנהלת תוכן במטריקס
