הונאת Deep fake מתוחכמת: התחזות מושלמת שעלתה 3 מיליון דולר!
שימוש מתקדם בטכנולוגיות Deep Fake כבר אינו נחלת סרטי מדע בדיוני – אלא איום ממשי ומוחשי על ארגונים בעולם האמיתי. בימים האחרונים נחשף מקרה חמור במיוחד של הונאת סייבר מתוחכמת, במסגרתו הצליחו תוקפים לא רק להשתלט על תיבת דוא"ל ארגונית, אלא גם לזייף שיחת וידאו עם מנהלים בכירים תוך שימוש בטכנולוגיית זיוף פנים וקול ברמה גבוהה במיוחד, ולברוח עם 3 מיליון דולר!
תוכן העניינים
משימה בלתי אפשרית – גרסת המציאות
במקרה שנשמע כאילו נלקח מסרט ריגול הוליוודי, סמנכ"ל כספים בארגון גדול במדינה מתפתחת מקבל מייל שנראה אמיתי לחלוטין מהמנכ"ל – אשר שהה אותה עת בחופשה – ובו בקשה בהולה להעברת 3 מיליון דולר לצד שלישי.
המייל נכתב באנגלית רהוטה, בניסוח שמזכיר באופן מדויק את סגנונו המוכר של המנכ"ל, והגיע מהתיבה הארגונית האמיתית שלו. כל פרט נראה לגיטימי.
למרות זאת, ולפי נהלי החברה, סמנכ"ל הכספים דרש אישור נוסף מהיועץ המשפטי – והזמין אותו לשיחת Teams. הם שוחחו בקצרה, קיבלו החלטה, וההעברה בוצעה.
רק שלושה ימים לאחר מכן התבררה התמונה המלאה: לא המנכ"ל ולא היועץ המשפטי ידעו דבר על הבקשה. המיילים – מזויפים. שיחת הווידאו – Deep fake טהור. על המסך הופיעו דמויות שנראו בדיוק כמו קולגות מוכרות, אך מאחוריהן עמדו תוקפים מתוחכמים שעשו שימוש בטכנולוגיות Deep fake מתקדמות.
אך זו כמובן לא הפעם הראשונה.
תקריות נוספות שקרו לאחרונה מצביעות על שיטה סדורה
בינואר 2024 בסניף הונג קונג של חברת Arun, הוטעה להעביר סכום של כ-25 מיליון דולר בעקבות שיחת וידאו מזויפת עם דמות שהתחזתה לסמנכ"ל הכספים של החברה. ההונאה כללה שימוש בטכנולוגיית Deep fake מתקדמת ליצירת שיחת וידאו שנראתה אמיתית, שבה הופיעו גם עובדים נוספים שנראו אמיתיים אך היו זיופים שנוצרו באמצעות בינה מלאכותית. העובד, שחשד בתחילה במייל שקיבל, שוכנע לאחר שיחת הווידאו כי הבקשה אמיתית, וביצע את ההעברה הכספית, כ-25 מיליון דולר, ל-15 חשבונות שונים.
מקרה נוסף התרחש באחת מהבנקים הגדולים בהודו, שם תוקפים השתמשו בבינה מלאכותית ליצירת מיילים מזויפים שנראו כאילו נשלחו על ידי מנהלים בכירים בבנק. המיילים כללו פורמט רשמי, שפה פנימית ספציפית, ואפילו חיקו את סגנון הכתיבה של המנכ"ל, מה שגרם לעובדים להאמין שמדובר בתקשורת אמיתית. התוקפים הצליחו להשיג גישה לרשת הבנק ולגרום להשבתת שירותים פיננסיים למשך מספר ימים.
היכן ומדוע זה קורה?
באופן כללי, אזור אסיה, ובפרט דרום-מזרח אסיה, חווה עלייה חדה בהתקפות סייבר מתוחכמות המשתמשות בבינה מלאכותית, כולל Deep fake, לצורך הונאות פיננסיות והנדסה חברתית. התקפות אלו כוללות שימוש במיילים מזויפים, שיחות וידאו מזויפות, ואפילו אפליקציות מזויפות, כדי להטעות עובדים ולהשיג גישה למידע רגיש או לבצע העברות כספיות לא חוקיות.
האירוע הזה מדגיש את הסכנות הגוברות של התקפות סייבר מתוחכמות המשתמשות ב-AI וב-Deep fake כדי להונות עובדים ולהשיג גישה לכספים או למידע רגיש. העובדה שהתוקפים הצליחו לשחזר באופן משכנע את מראה וקול המנהלים הבכירים מצביעה על רמת התחכום הגבוהה של ההתקפה.
למרות שהאירוע התרחש לפני יותר משנה, הוא מהווה דוגמה מובהקת לסוג התקפות שפחות נתנו עליו את הדגש, ולכן כאן חובה על הארגון להתכונן מראש לאפשרות כזו שכן היא הרת אסון.
המלצות למניעת תקיפות מסוג Deep fake
תקיפות Deep fake והונאות מבוססות AI הופכות להיות שכיחות ומתוחכמות יותר, במיוחד כשמשלבים אותן עם הנדסה חברתית והיכרות עמוקה עם מבנה הארגון. כדי להגן על הארגון מפני תרחישים כאלה, הנה סט של המלצות פרקטיות, גם טכנולוגיות וגם תהליכיות:
נוהלי אימות וזהות (Human Verification First)
- נוהל להעברות כספים: כל בקשה להעברה מעל סכום מסוים דורשת וידוא טלפוני או פיזי עם שני בעלי תפקיד בכירים, ללא יוצא מהכלל—even אם זה "המנכ"ל עצמו".
- "קוד אימות" פנימי: שימוש במילת קוד או סימן מוסכם מראש, שלא ניתן לאתר במיילים או בצ'אטים, כדי לוודא שהשיחה אמיתית.
העלאת מודעות ואימונים
- סימולציות Deep fake: להדגים לעובדים איך נראית תקיפה כזו, כולל מיילים ושיחות וידאו מזויפות.
- קורסים ייעודיים: לעובדים בחשבונאות, משפטים, רכש ומנהלים – במיוחד מי שיכול "לאשר כסף".
הקשחת מערכות טכנולוגיות
- הגנה על תיבות דואר:
- אימות דו-שלבי (MFA) בכל מערכות המייל, לכולם, ללא יוצא מן הכלל. כולל מנכ"ל יו"ר וכו'.
- ZTNA / Conditional Access למיילים – גישה רק ממכשירים מאובטחים.
- ניטור למיילים חשודים היוצאים מכתובות פנימיות.
- הקשחת אפליקציות שיחות וידאו (כמו Teams / Zoom):
- חסימת יצירת פגישות מצד גורמים חיצוניים לא מורשים.
- הפעלת זיהוי ביומטרי/קולי לזיהוי משתתפים בפגישות רגישות (או אימות נוסף).
איך אימות דו-שלבי (2FA) היה יכול למנוע את שיחת ה-Teams המזויפת?
במקרה שלנו, התוקפים הצליחו להשתלט על חשבונות דואר אלקטרוני של בעלי תפקידים בכירים וליזום שיחת Teams שנראתה לגיטימית לחלוטין. שליטה בתיבת המייל הארגונית מאפשרת גישה לא רק לתכתובות, אלא גם לפגישות, הזמנות שיחה, קבצים, והרשאות נלוות.
אם היה מופעל אימות דו-שלבי (Two-Factor Authentication) על כל חשבונות המייל בארגון, הסיכוי לפריצה מסוג זה היה יורד באופן דרמטי. אפילו אם סיסמה נגנבה, ללא הקוד השני (שנשלח לאפליקציה או מכשיר מאומת), לתוקף לא הייתה אפשרות להיכנס לחשבון.
למה זה חשוב במיוחד?
- הגישה לתיבת המייל של המנכ"ל היא שהקנתה לתוקף את היכולת להיראות לגיטימי – לשלוח מיילים, להזמין לשיחת Teams, ולבנות אמינות.
- שיחת ה-Teams נוצרה מתוך חשבון פנימי לגיטימי, ולכן לא עוררה חשד.
- ללא אימות נוסף בעת ההתחברות, התוקף פועל מתוך התשתית של הארגון כאילו היה עובד לגיטימי.
ולכן אימות דו-שלבי הוא שכבת הגנה קריטית שמונעת בדיוק את המצב הזה – שבו כתובת מייל לגיטימית הופכת לכלי בידי התוקף.
זיהוי ודיווח חשד – Incident Response
- כפתור דיווח מהיר במייל לכל חשד לפישינג או Deep fake.
- SOC או MSSP שיזהה חריגות בהתנהגות הדואר, הפגישות והגישה למסמכים.
- לוגים של שיחות Teams ופעולות חשבוניות – לוודא שמאופשרים בטננט מפוקחים ומתוחקרים.
כלים מיוחדים לזיהוי אנומליות בשיחות וידאו- מבוססי AI נגד AI
- פתרונות כמו Deep fake Detection Platforms או AI Behavior Anomaly Detection:
- עובדים עם מצלמות או פלטפורמות שיחות וידאו כדי לזהות זיוף בזמן אמת (למשל זיוף מבנה פנים או תזוזת שפתיים לא תואמת קול).
- ניטור שפה/סגנון כתיבה בתכתובות אימייל (NLP anomaly detectors).
ניהול זהויות והרשאות
- Least Privilege Access – הגבלת גישה לפי צורך תפקיד.
- ניהול זהויות ברמת granular access control, כולל איפה, מתי ואיך משתמשים נכנסים למערכות.
ניתוח מקרים והפקת לקחים
- לנתח אירועים מסוג זה (ודומים) כחלק מפגישות שולחן עגול עם הנהלה, כדי לעדכן תהליכים בזמן אמת.
- לשתף לקחים עם ארגונים אחרים דרך פורומים מקצועיים או CERT ישראל.
סיכום
האירועים תואמים לדפוסי התקפות סייבר מתקדמות שדווחו באסיה, במיוחד בהונג קונג ובהודו, שבהן נעשה שימוש בטכנולוגיות בינה מלאכותית ודיפ-פייק להונאות פיננסיות מתוחכמות.
