הפישינג (הקולי) המוצלח: ארגון נפל בפח והעביר כספים למתחזים

דף הבית >> חדשות אבטחה ועולם הסייבר >> הפישינג (הקולי) המוצלח: ארגון נפל בפח והעביר כספים למתחזים
הפישינג (הקולי) המוצלח: ארגון נפל בפח והעביר כספים למתחזים
מאת: מערכת Telecom News, 4.9.19, 22:25CYBER FREE

באמצעות בינה מלאכותית, רמאים הצליחו לגרום לעובדים בארגון להעביר לידיהם כספים. לאחרונה הודיע מערך הסייבר הלאומי על סוג זה של מתקפת סייבר.

בשנה האחרונה דיברו לא מעט על בינה מלאכותית (AI), שבאמצעותה ניתן להתחזות קולית לבכירים בארגונים ואף הזהירו מהסכנות הכלכליות שבכך. עם התפתחות הטכנולוגיות גם התקיפות נעשות מתוחכמות יותר.

רק בחודש יולי האחרון מערך הסייבר הלאומי בישראל הודיע על סוג זה של מתקפת סייבר במסגרתה משתמשים בטכנולוגיית בינה מלאכותית כדי להתחזות קולית לבכירים בארגון, כפי שדיווחנו - כאן.

כעת מתברר, שמנכ"ל פירמת אנרגיה בבריטניה חשב, שהוא מציית להוראות הבוס שלו והעביר סכומים גדולים לגורם שלישי, שעשה שימוש בטכנולוגיות להתחזות קולית.

לפי הדיווחים של The Wall Street Journal, המנכ"ל חשב, שהוא מדבר עם מנכ"ל חברת האם הממוקמת בגרמניה. בשיחה התבקש לשלוח כ-243,000$ לגורם צד שלישי בהונגריה בתוך שעה, סכום אותו התחייבו להחזיר בהקדם האפשרי.

כמובן שהכסף לא הוחזר, ואפילו נעשה ניסיון נוסף לקבל עוד סכום כספי.

העקיצה בוצעה באמצעות תוכנת קול המבוססת על בינה מלאכותית כדי לרמות גורמים שונים.

התוקפים השתמשו בתוכנה הקולית וחיקו את קולו של מנכל חברת האם הגרמנית של פירמת האנרגיה. העובדים אותם רימו האמינו, שהם שוחחו עם המנכ"ל והקורבן אף ציין, שהאמין לקול, שדיבר איתו, משום ששמע בו מבטא גרמני.
 
ומה קרה לכסף?
תחילה הוא הועבר להונגריה ואז הועבר למקסיקו ומקומות נוספים. עדיין לא ידוע מי הגורמים האחראים למזימה המוצלחת.
 
אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע ESET ישראל: "לצערי, כלים טכנולוגיים רבים, שמשמשים חברות אבטחת מידע, עוברים לשימוש גם ע"י האקרים ותוקפים במרחב הקיברנטי, וכך גם המצב לגבי טכנולוגיות של בינה מלאכותית ולימוד מכונה.

כבר ב-2016 הועלו חששות לגבי התקפות של זיוף וחיקוי של קול כאשר שוחרר פרויקט בטא, שהוציאה חברת Adobe של מה שתואר כ"פוטושופ של קול" ונקרא Voco. התוכנה יודעת ללמוד הקלטות קוליות של אנשים ולחקות אותם בצורה משכנעת כאשר מקלידים טקסט ומשפטים בתוכנה.

למרות שהיא היתה אמורה לצאת השנה, בסופו של דבר התוכנה Adobe Voco לא שוחררה רשמית בגלל החששות שהועלו לגבי שימוש זדוני בה. מאז גם הופיעו תוכנות של חברות בינה מלאכותית כמו Dessa, שהדגימו זיוף של קולות של ידוענים.

זה בעצם ההבדל המשמעותי מהטכנולוגיה, שהיתה קיימת עד לא מזמן, שאיפשרה רק לחתוך ולערוך הקלטות קיימות של אדם, ולא ליצור מילים ותכנים חדשים לגמרי הנשמעים בדיוק כמוהו.

חשוב מאוד לדבר עם העובדים בארגון ולהציף בפניהם את הסיכונים הקיימים בהקשר של הנדסה חברתית והכלים הקיימים. במידה ומקבלים בקשה חריגה מגורם בכיר, כדאי לבדוק בערוץ נוסף, שאכן ההוראה התקבלה ממנו. פעולות של העברת כספים חשוב להתנות באישור גורם נוסף.

מומלץ גם להגדיר נוהל של סיסמה או משפט כלשהו, שידוע רק לבעלי התפקידים הרלוונטיים, שתידרש כאשר מתקבלות הוראות קוליות להעברת כספים או מידע רגיש".
 
NORDVPN



 
 
Bookmark and Share