דור חדש של מתקפת סייבר: התחזות קולית לבכירים בארגון

דור חדש של מתקפת סייבר: התחזות קולית לבכירים בארגון
מאת: מערכת Telecom News, 9.7.19, 17:43

באחרונה הגיעו למרכז המבצעי של מערך הסייבר הלאומי דיווחים אודות סוג חדש של מתקפת סייבר המופצת בעולם: שימוש בטכנולוגיית בינה מלאכותית כדי להתחזות קולית לבכירים בארגון. מערך הסייבר הלאומי הוציא התרעה בנושא הכוללות 10 הצעות לנקיטת אמצעי זהירות והעלאת מודעות בקרב ארגונים. 

ההתחזות הקולית נעשית למטרת הנעת עובד לביצוע פעולות לטובת התוקף, כגון העברה כספית או ביצוע פעילות זדונית ברשת הארגון.  בשיטת התקיפה החדשה נעשה כבר שימוש נגד מספר חברות בעולם, אך טרם נצפו מקרים בישראל. מערך הסייבר הלאומי הוציא התרעה בנושא הכוללות הצעות לנקיטת אמצעי זהירות והעלאת מודעות בקרב ארגונים. 
 
המתקפה החדשה היא מסוג Business Email Compromise) BEC) - הונאות המבוצעות באמצעות הדוא"ל נגד ארגונים מסחריים וממשלתיים, כדי להניע עובדים בארגון בשיטות של הנדסה חברתית לבצע פעולות לטובת התוקף. הסוגים הנפוצים הם הודעות דיוג - Phishing Spear, הונאות חשבוניות - scams Invoice, שבהן התוקף מתחזה לספק, מגיש חשבונית לארגון ומנסה להניע עובד תחת לחץ זמן לבצע העברה בנקאית, וכן "הונאות מנכ"ל" fraud CEO -, שבהן התוקף מתחזה למנכ"ל או לאישיות בכירה אחרת בחברה ומנסה להניע עובד הנמצא תחת לחץ של זמן לספק מידע פרטי אודות החברה או לאפשר לתוקף גישה לרשת הארגונית.

כעת, שיטת המתקפה עולה מדרגה: באחרונה מזהים בעולם תוקפים, שעושים שימוש בתוכנה ייעודית מבוססת בינה מלאכותית, שבאמצעותה מבצעים שיחות התחזות קוליות לבכירים בחברה, ונותנים פקודות לעובדי החברה לבצע פעולות עבורם, כגון העברת כסף.

החידוש העיקרי הוא הכלי: התוקף משתמש בתוכנה הלומדת לחקות קול של אדם, שהוגדר עבורה, ומבצע באמצעותה שיחה עם עובד בשם המנכ"ל. כיום כבר קיימות בשוק תוכנות, שלאחר האזנה של 20 דקות לקול מסוים, מדובבות בקול זה כל דבר, שהמשתמש יקליד.

במהלך 2019 פורסמו באינטרנט מספר כתבות המצביעות על תופעה חדשה של ביצוע הונאות BEC באמצעות מסרונים - הודעות SMS. שיטה זו מאפשרת לתוקפים לצמצם את הסיכון, שהעובד יבחין כי מדובר בהתחזות, שכן קל יותר להתחזות למספר טלפון מאשר לכתובת דוא"ל, וכן יוצרת תחושת קרבה או ציפייה למענה מהיר יותר מאשר אם הבקשה הייתה מתקבלת בדוא"ל.
 
כאמור, לאחרונה התקבלו ב-CERT הלאומי דיווחים אודות שיטת BEC חדשה, נעשה בה שימוש נגד מספר חברות בעולם. שיטה זו מאפשרת באמצעות תוכנה ייעודית לבצע התחזות קולית לבכירים בחברה, וכך לגרום לעובדי הארגון לבצע פעולות לטובת התוקף.

הונאות BEC הן, כאמור, אינן תופעה חדשה. הגרסה המוכרת והוותיקה ביותר של הונאות אלו, היא, כאמור, באמצעות התחזות לכתובת דוא"ל לגיטימית בארגון כלשהו ושליחת הודעות ממנה לעובדים באותו ארגון, או לשותפים עסקיים ספקים או לקוחות, בבקשה להעברת כספים תוך שימוש בחשבוניות מזויפות או במידע עסקי אודות החברה.

על-פי הדו"ח השנתי של מרכז IC3, המרכז לתלונות על פשעי אינטרנט של ה-FBI, הונאות BEC מהוות את האיום העיקרי על חברות בארה"ב. הסיבה לכך היא, שהן דורשות כישורים טכנולוגיים מעטים מצד אחד, וקשות לזיהוי ומניעה מצד שני.

על-פי הדו"ח, הנזק מהונאות אלו הכפיל עצמו ב-2018 בהשוואה ל-2017 והסתכם בלמעלה מ-3.1 מיליארד דולרים. כ"כ, הדו"ח מצביע על מגמת עלייה משמעותית בין השנים 2014 -2018 הן בכמות התלונות בנוגע להונאות BEC, והן בנוגע לנזקים הכלכליים, שנגרמו לחברות בארה"ב כתוצאה מהן.

ב-2019 פרסומים בארה"ב החלו להצביע על גרסה חדשה של הונאות BEC, שהחידוש בהן, כאמור, הוא שימוש במסרונים - הודעות SMS כחלק ממתווה התקיפה. הפרסומים הללו עוסקים רובם ב"הונאות מנכ"ל", שבמהלכן התוקף שולח לעובד בארגון הודעת דוא"ל תוך התחזות לאחד מהגורמים הבכירים בארגון, ובה הוא מבקש את מספר הטלפון האישי שלו לטובת העברת משימה דחופה. שיטה זו מאפשרת לתוקפים לצמצם את הסיכון, שהעובד יבחין, שמדובר בכתובת דוא"ל מתחזה, וכן יוצרת תחושת קרבה או ציפייה למענה מהיר יותר מאשר אם הבקשה הייתה מתקבלת בדוא"ל.

כ"כ, כדי ליצור אמון ולהקשות על התחקות אחריהם, התוקפים משתמשים לרוב במספרי טלפון זמניים ובשירותים לגיטימיים, שבאמצעותם ניתן לקבל מספרי טלפון המקושרים לכל מדינה שיבחרו.

לצד אלו, ה-CERT הלאומי זיהה לאחרונה גם עלייה בקמפייני דיוג העושים שימוש במסרונים Smishing לטובת שליחת קישורים זדוניים או קישורים לאתרי דיוג המתחזים לגופים פיננסיים.

דיווחים, שהתקבלו, כאמור, ב-CERT הלאומי לאחרונה, מצביעים על חידוש נוסף במסגרת הונאות BEC והונאות מנכ"ל בפרט. החידוש בא לידי ביטוי בכך שהתוקף משתמש בתוכנה מבוססת בינה מלאכותית,שלומדת לחקות קול של אדם, שהוגדר עבורה. יכולת זו מאפשרת לתוקף לבקש מעובד לבצע פעולות מסוימות בקולו של גורם בכיר בארגון, מבלי שלעובד תהיה כל יכולת לזהות זאת. דוגמה לכך היא תוכנת VoCo של חברת Adobe, שהוצגה לראשונה ב-2016 ואשר מסוגלת לאחר האזנה של 20 דקות לקול מסוים, להשמיע כל דבר שהמשתמש יקליד באותו קול.
 
לביא שטוקהמר, מנהל המרכז הארצי לניהול אירועי סייבר של מערך הסייבר הלאומי: "עם התפתחות טכנולוגיות חדשות מבוססות בינה מלאכותית, תקיפות, שעושות שימוש בהתחזות, הופכות להיות מתוחכמות יותר, והפעם אנו עדים לשימוש, שנעשה בטכנולוגיות התחזות קולית.

עבור ארגון, שנופל קורבן להונאה מסוג זו, הנזק הכלכלי עלול להיות גבוה. עם זאת, תקיפות מסוג זה לרוב אינן מהוות סיכון להמשכיות העסקית".
 
תקיפות שעושות שימוש בהתחזות קולית טרם נצפו בישראל, אך המרכז המבצעי של מערך הסייבר הלאומי זיהה לאחרונה, כאמור, עלייה בהיקף הודעות הדיוג שמופצות במסרונים ומכילות קישורים זדוניים או קישורים לאתרים המתחזים לגופים פיננסיים. 

מה ניתן לעשות? דרכי התמודדות:
1. מומלץ לבצע הדרכות בארגון להעלאת מודעות העובדים בארגון בנוגע להנדסה חברתית, ובייחוד בנוגע ליכולת ניצול ערוצי תקשורת מגוונים לטובת התחזות לגורמים בכירים בארגון.
2. כחלק מהעלאת המודעות, מומלץ להדריך את העובדים לשים לב לחריגות בהליכים הארגוניים: קבלת הודעות דוא"ל משמות מתחם חדשים, או קבלת הודעות ממספר לא מוכר או באמצעות ממשק חדש. לדוגמה: אם נהוג לתקשר באמצעות ה-WhatsApp ומתקבלת הודעה מבכיר בארגון באמצעות מסרון. כ"כ, לשים לב להודעות דוא"ל המנוסחות באופן קלוקל או בצורה שאינה אופיינית לשולח.
3 .מומלץ לאפיין וליישם נהלי עבודה למקרים דחופים או יוצאי דופן, כדי לצמצם צורך בשיקולדעת של עובדים תחת לחץ של זמן.
4. כדי למנוע גניבת פרטי הזדהות של בכירים לצורך התחזות להם, מומלץ לחייב שימוש בהזדהות חזקה 2FA לצורך גישה לחשבונות דוא"ל של גורמים רגישים בארגון, בפרט אם חשבונות הדוא"ל מתנהלים במערכות ענן או נגישים מרחוק על גבי רשת האינטרנט.
5. במידה וקיים צורך בביצוע פעולה או חשיפת פרטים רגישים בגישה מרחוק, מומלץ לבחון ולייצר מנגנון רב ערוצי לשם כך. לדוגמה: שליחת שם משתמש באמצעות SMS וסיסמה באמצעות הדוא"ל, או שליחת מידע מוצפן, שהסיסמה לפתיחתו תועבר באמצעי אחר, וכד'.
6 .בעת קבלת הוראה מבכיר בארגון להעברת כספים או ביצוע פעולה רגישה, מומלץ לוודא בערוץ נוסף בלתי תלוי ,שההוראה אכן התקבלה ממנו. לדוגמה, אם ההוראה התקבלה בדוא"ל, יש לוודא אותה טלפונית מול מספר, שנקבע מראש. יש לחייב ביצוע שלב זה בנוהל, ולא לאפשר חריגה ממנו בשל שיקולי דחיפות או קשיי תקשורת, אלא באישור של גורם בכיר מוסמך בארגון.
7. מומלץ להתנות פעולות העברה של סכומים גדולים או עדכון פרטי ספקים ולקוחות באישור של גורם בלתי תלוי .
.8 מומלץ לבצע פעולות פיננסיות, בדגש על העברת כספים, אך ורק במערכות ייעודיות ותוך יישום מנגנון ריבוי חתימות. 
9. מומלץ להטמיע טכנולוגיות ייעודיות למניעת BEC. לדוגמה, מערכת למיפוי ספקי הארגון ואימות פרטיהם בעת העברת כספים. 
10. מומלץ להגדיר SPF ,DKIM ו- DMARCכדי להקשות על משלוח דוא"ל מכתובות המתחזות לארגון.

ראו מדריך, שפורסם ע"י מערך הסייבר, אודות אמצעים טכנולוגיים למניעת שימוש לרעה בדוא"ל.