• White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.

סוג חדש של מתקפת סייבר- התחזות קולית לבכירים בארגון 

מאת: דנה קופר, יועצת אבטחת מידע (16 ליולי 2019)

התקיפה העסקית השגורה כיום בערוץ ההנדסה החברתית היא מסוג BEC (Business Email Compromise): הונאות המבוצעות באמצעות הדוא"ל. זאת פועלת כנגד ארגוניים מסחריים וממשלתיים ומטרתה להניע עובדים בארגון בשיטה של הנדסה חברתית. 
הנדסה חברתית כשמה כן היא, ניצול תכונות פסיכולוגיות של האדם אשר עשויות להביא אותו לציית לבקשותיו של מישהו אחר, במקרה הזה של הפורץ. שיטה זו מתבססת על העובדה שכל מערכות המידע נועדו לספק שירותים למשתמשים כלשהם, ולאותם המשתמשים יש אמצעים לגשת אל המידע שהפורץ רוצה להשיג. כך הפורץ יכול לקבל שמות משתמשים, סיסמאות, לבצע העברה בנקאית ואף לאפשר גישה לרשת אירגונית על פי בקשתו. 


אך לאחרונה החלו ההאקרים לשכלל את שיטות הפעולה בערוץ ההנדסה החברתית: שימוש בטכנולוגיית בינה מלאכותית שמטרתה התחזות לקולות של בכירים בארגון.


המנכ"ל התקשר וביקש מכם להעביר כספים? אל תמהרו להיענות. יכול להיות שמדובר בהונאה ואתם מקבלים הנחיות מתוכנת מחשב. 


אם אתם בטוחים שאתם יודעים לזהות היטב את הקול של המנכ"ל שלכם, תחשבו שוב. שיטת המתקפה עולה מדרגה ועושה שימוש בתוכנה ייעודית שבאמצעותה מבצעים התוקפים שיחות התחזות קוליות לבכירים בחברה. איש אינו מטיל ספק בחוש השמיעה ויכולת הזיהוי של העובדים, אבל שיטות בינה מלאכותית עולות על יכולותינו האנושיות עד לתעתוע. לאחר האזנה לקול מסוים במשך עשרים דקות בלבד, התוכנה מסוגלת לדובב בקול זה כל מלל שהמשתמש יקליד.


לביא שטוקהמר, מנהל המרכז הארצי לניהול אירועי סייבר, מסביר כי "עם התפתחות טכנולוגיות חדשות מבוססות בינה מלאכותית, תקיפות העושות שימוש בהתחזות הופכות להיות מתוחכמות יותר... ועבור ארגון שנופל קורבן להונאה מסוג זו, הנזק הכלכלי עשוי להיות גבוה". 


אמנם טרם דווח בארץ על שימוש בהתחזויות קוליות מסוג זה, אך ניתן להבחין בעלייה בהיקף הודעות הדיוג שמופצות במסרונים או בהודעות דוא"ל ומכילות קישורים זדוניים או קישורים לאתרים המתחזים לגופים פיננסיים. לכן, עולה החשש כי עד מהרה, גם שיטה זו תגיע אלינו (בתקווה שהדבר טרם ארע כבר).
ישנן מספר פעולות שניתן לנקוט על מנת להתמודד עם תקיפות הנדסה חברתית, על כל סוגיהן (לפי המלצות מערך הסייבר הלאומי):


החל מהעלאת המודעות של העובדים בארגון, בנושא ההנדסה החברתית ובנוגע ליכולת ניצול ערוצי התקשורת המגוונים לטובת התחזות לגורמים בכירים בארגון. 


הקדשת תשומת לב לחריגות בתהליכים הארגוניים, כמו קבלת הודעות דוא"ל משמות חדשים או קבלת הודעות ממספר לא מוכר באמצעות ממשק חדש. לדוגמה, אם בארגונכם נהוג לתקשר באמצעותWhatsApp  ומתקבלת הודעה באמצעות מסרון. במקרה זה יש להתייחס גם לניסוח הודעות דוא"ל (האם מנוסחות באופן קלוקל או בצורה שאינה אופיינית לשולח). 


אפיון ויישום נהלי עבודה למקרים דחופים או יוצאי דופן. זאת, בכדי לצמצם צורך בהפעלת שיקול דעת של העובדים שנתונים תחת לחץ של זמן ועלולים לקבל החלטות שגויות. לעיתים הפורץ משתמש בהודעות עם הופעת טיימר על מנת להפעיל לחץ על קורא ההודעה ולגרום לו לבצע פעולות במהירות ללא חשיבה מעמיקה. 


שימוש בהזדהות חזקה - אימות המשתמש בשני שלבים / רכיבים או יותר,  לצורך גישה לחשבונות דוא"ל של גורמים רגישים בארגון, בפרט אם חשבונות הדוא"ל מתנהלים במערכות ענן או נגישים מרחוק. 


מנגנון רב ערוצי. במידה וקיים צורך בביצוע פעולה או בחשיפת פרטים רגישים בגישה מרחוק, מומלץ לשקול לייצר מנגנון רב ערוצי לשם כך. לדוגמה, שליחת שם משתמש באמצעות SMS וסיסמה באמצעות הדוא"ל, או שליחת מידע מוצפן שהסיסמה לפתיחתו תועבר באמצעי אחר, וכו'. 


וידוא הוראה בערוץ נוסף.  בעת קבלת הוראה מבכיר בארגון להעברת כספים או ביצוע פעולה רגישה, מומלץ לוודא בערוץ נוסף בלתי תלוי כי ההוראה אכן התקבלה ממנו. לדוגמה, אם ההוראה התקבלה בדוא"ל, יש לאמת אותה טלפונית ולהפך. יש לחייב ביצוע שלב זה על בסיס תהליך שהוגדר מראש ולא לאפשר חריגה ממנו בשל שיקולי דחיפות או קשיי תקשורת, אלא באישור של גורם בכיר מוסמך בארגון. 


אישור גורם בלתי תלוי כתנאי בפעולות העברה של סכומים גדולים או בעדכון פרטי ספקים ולקוחות. 
מומלץ לבצע פעולות פיננסיות, בדגש על העברת כספים, אך ורק במערכות ייעודיות ותוך יישום מנגנון ריבוי חתימות. 


הטמעת טכנולוגיות ייעודיות, כגון מערכת למיפוי ספקי הארגון ואימות פרטיהם בעת העברת כספים. 
וכן אמצעים טכנולוגיים למניעת שימוש לרעה בדוא"ל, הגדרת DKIM ,SPF ו- DMARC (מנגנוני אימות בדוא"ל) כדי להקשות על משלוח דוא"ל מכתובות המתחזות לארגון ועוד.