• White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.

שינוי כיוון - גניבת מידע פיננסי ועסקי באמצעות התחזות

מאת: אלון הומינר, יועץ אבטחת מידע (27 לינואר 2019)

כאשר אנשים שומעים על גניבת זהות, הם נזכרים במה ששמעו או קראו פעם על ניסיון ה'פישינג' האחרון שניסה לגנוב את פרטיהם האישיים לצרכי ביצוע עסקאות, בקשת אשראי או אף קבלת החזר מס בשמם.

בשנים האחרונות תופעת גניבת הזהות התקדמה צעד אחד קדימה. האקרים מתבססים על אותה שיטה של גניבת זהות, אך הפעם לא במטרה לגנוב זהות מהאדם הפרטי אלא במטרה לגנוב מידע עסקי על החברה או את נתוני האשראי של החברה.

ניתן לראות את שינוי מטרות פשעי הסייבר מתוך נתוני חברת האנליסטים Dun & Bradstreet המראה כי קיים גידול של 46% בשנת 2018 בביצוע פשעי סייבר לטובת הונאה וגניבת מידע עסקי לעומת שנת 2017.

פגיעה במידע עסקי של החברה משפיע ישירות על המיתוג, המוניטין והסודות המסחריים שלה. כמובן, שלבסוף פגיעות אלה מגיעות לכדי פגיעה כלכלית משמעותית לחברה. התוקפים מעדיפים להפנות את עיקר מאמציהם לגופים העסקיים מאשר לאנשים הפרטיים בעיקר בגלל יכולתם הכלכלית הגבוהה של העסקים, אשר מגבירה את התמורה מהצלחת התקיפה.

אחד מסוגי מתקפות ה'פישינג' הממוקדות לארגונים, כבר זכה לשם ייעודי עקב היקפי תפוצתן - "הונאות מנכ"ל" (BEC). מתקפות אלו עושות שימוש בדואר האלקטרוני, באמצעותו נשלח מייל ממנכ"ל החברה, כביכול, למנהל הכספים. זאת, לאחר איסוף מידע מודיעיני פשוט אודות פרטי ההתקשרות של גורם הכספים הרלוונטי בארגון. המייל משלב "סיפור מעשה" המפרט את הסיבה לצורך הדחוף בהעברה הכספית ומנחה את מנהל הכספים אודות מספר החשבון שבו יש להפקיד את סכום הכסף המוגדר. לאחרונה, נחשף מקרה בו האקרים סינים גנבו 18.6 מיליון דולר מהשלוחה ההודית של חברת ההנדסה האיטלקית Tecnimont באמצעות הונאה שכללה התחזות למנכ"ל החברה.

תהליך איסוף המידע לפני גניבת זהות פשוט יותר כאשר מדובר על חברות ולא על האדם הפרטי. עסקים וחברות מציגים מידע עסקי רב באתרי האינטרנט, הרשתות החברתיות, עלונים ועוד. מידע זה מכיל לרוב שמות בעלי תפקידים בחברה, כתובות מייל ומספרי טלפון, כך שכבר ברשת הציבורית יש לתוקף כר פורה לזיהוי ה-'DNA' הארגוני, והכנת הזהות המושלמת עבורו, תוך שימוש במידע "ציבורי" וגלוי שיסייע רבות בגיבוש סיפור כיסוי משכנע ומוצלח.

האיום שבפנים הוא נדבך משמעותי נוסף הקיים בארגון העסקי. קיימים בארגון עובדים רבים אשר לא מן הנמנע שעקב טעות בזיהוי, חוסר מודעות לאיומים הקיימים או אף רצון לחבלה, יביאו לדלף ופגיעה בסודיות המידע של החברה, שיכולה אף היא לסייע לתוקף.

מה ניתן לעשות?

מתוך הבנה שלא נסתיר מאתר החברה ומפרסומיה את פרטי ההנהלה ואת דרכי ההתקשרות עמה, נדרש לשמור על רמת מודעות גבוהה בקרב עובדי הארגון, מהזוטר ועד לבכיר ביותר, שכן ניסיון ההתחזות עלול להיות מופנה לכל אחד ואחד. עלינו להיות חשדניים לכל מייל, לבקר ולפקח אחר העובדים והמנהלנים בחברה ולתדרך את העובדים החדשים והוותיקים כאחד, לאיומים העכשוויים ביותר. מומלץ גם לתרגל מול העובדים ניסיונות הונאה כגון אלו, על-מנת להעלות את המודעות ולחדד לקחים.

נשמח לסייע בשלל פעילויות בתחום אבטחת המידע, שיסייעו להגברת מודעות בתחום.