התחזות קולית: זה רק נשמע כמו הבוס שלכם
זה עלול לקרות גם לכם: תקבלו הודעה קולית מהמנהל, שמבקש שתעבירו בדחיפות תשלום לחשבון בנק מסוים. אלא שמאחורי המסר הזה יעמדו גורמים זדוניים שזייפו את קולו בטכנולוגיית דיפ פייק אודיו. התופעה הזאת כבר גרמה לנזקי ענק בחו"ל, ובישראל חוששים שהיא תעשה עלייה בקרוב ותשמש גם נגד חיילי צה"ל. "ההיסטוריה מלמדת שאם משהו עבד בעולם, הוא יגיע גם אלינו"
טכנולוגיה חדשה של דיפ פייק אודיו משמשת פושעים למתקפות התחזות קולית, וכבר הביאה לנזקים בהיקף מיליוני דולרים בקרב חברות בארה"ב ובבריטניה. מערך הסייבר הלאומי הוציא לאחרונה התרעה על כך שהתקפות של התחזות קולית עלולות להתבצע גם בישראל, וקרא לחברות ולארגונים לנקוט אמצעי זהירות ולהעלות את המודעות בקרב העובדים. קיים גם חשש שהטכנולוגיה תשמש למתקפה נגד מפקדים וחיילים בצה"ל.
טכנולוגיית הדיפ-פייק אודיו מבוססת על בינה מלאכותית (AI), ויוצרת חיקוי מושלם של הקול המקורי על בסיס הקלטות של הדובר. השימוש בדיפ פייק אודיו הופך את ההתחזות הקולית לקשה מאוד לאיתור בעת שהיא מתבצעת. עובדים בחברה מקבלים הודעות קוליות בוואטסאפ, בקולו של המנכ"ל, המנחות אותם לבצע פעולה מסוימת שאינה נראית חריגה. באחד המקרים קיבל עובד הוראה להעביר תשלומים כנגד חשבוניות לגיטימיות בשינוי קל - מספר חדש של חשבון בנק להעברת התשלום, שהיה כמובן מספר חשבון הבנק של התוקפים. העובדה שההוראה ניתנה על ידי המנכ"ל בקולו לא עוררה ספק, והעברות התשלומים בוצעו.
"זה קצת מביך"
חברת אבטחת המידע סימנטק דיווחה על שלושה מקרים של התחזות קולית בבריטניה, שהובילו לאובדן של מיליוני ליש"ט. אריק וולובסקי, מנהל הנדסה בסימנטק ישראל, אומר שבישראל לא דווח על מקרים דומים, אך לדבריו מדובר באירועים שחברות לא ימהרו לדווח עליהם: "אלה התקפות שלא מפרסמים, זו לא רק פגיעה במוניטין, זה גם קצת מביך. גם אם זה קרה בארץ - אף אחד לא מדבר". הדרך להתמודד עם הבעיה, הוא אומר, היא להעלות את המודעות של העובדים ולהבהיר להם שיש להטיל ספק בהודעות קוליות. כמו כן, יש לייצר זיהוי ודאי של הודעות מייל שמגיעות ממנהלי החברה, שאינו מבוסס אך ורק על הכתובת.
טכנולוגיית הדיפ פייק בווידיאו זכתה לתשומת לב ציבורית רבה בתקופה האחרונה, ואילו הדיפ פייק באודיו כמעט שאינו מוכר למרות פוטנציאל הנזק המשמעותי שיש לו. מומחים מציינים כי האודיו המזויף קל לייצור (בחלק מהמקרים, בתוך שניות), והתוצאות משכנעות הרבה יותר מהיכולת הנוכחית בתחום הווידיאו. פייק אודיו עלול לשמש ליצירת פייק ניוז, לפעילות עבריינית ולניסיונות השפעה על המערכת הפוליטית. כמו כן, תפוצתן הרחבה של מערכות הפעלה קוליות מאפשרת לעבריינים לחקות את קולו של בעל המכשיר ולבצע מתקפה באמצעות עוזרות דיגיטליות כמו אלקסה וסירי.
אהרון זאבי-פרקש, ראש אמ"ן לשעבר ומי שהקים את חברת הזיהוי הביומטרי FST Biometrics, אומר שטכנולוגיית הדיפ פייק מהווה סכנה גדולה גם בהיבטי מדיניות וטרור, וגם למפקדים בשדה הקרב. לדבריו, עיקר הסכנה הוא בשילוב של חיקוי פני האדם עם חיקוי קולו, ולא בחיקוי הקול בלבד. זאבי פרקש אומר שההתמודדות צריכה לבוא באמצעות חינוך מגיל צעיר לחשוד ולזהות זיופים, יחד עם חברות סטארט-אפ שיפתחו טכנולוגיה שתוכל לזהות במהירות זיופים לפני שהם מופצים כידיעות אמת.
יכולות ההתחזות הקולית החדשות עלולות להגיע לשימוש גם כנגד יחידות צה"ליות, שכן כפי שפורסם בעבר מפקדים בצה"ל משוחחים ואף מעבירים פקודות באמצעות אפליקציות צ'אט כמו וואטסאפ. תוקף מתוחכם יכול להגיע לחיילים ולמפקדים ולתת להם פקודות בקולו של המפקד הבכיר, כולל חיקוי קולו של הרמטכ"ל.
כבר לא צריך חקיין
איתי בוכנר, טכנולוג סייבר במערך הסייבר הלאומי, אומר שהתחזות קולית היא חלק מתופעה רחבה יותר של הונאות תקשורת עסקית (BEC), שמופנות בעיקר למגזר הפיננסי. לדבריו, השיטה המכונה "וישינג" (Voice Phishing) נעשתה בעבר באמצעות חקיין שהתחזה להיות המנכ"ל, אבל כעת, בזכות הבינה המלאכותית, איכות החיקוי הופכת להיות זהה למקור ויכולה בקלות להוליך שולל את העובדים. בוכנר אומר שעד כה לא דווח על מתקפות כאלה בישראל, אך "ההיסטוריה שלנו מלמדת שאם משהו עבד בעולם, הוא יגיע גם אלינו".
לפי נתוני מערך הסייבר, יש עלייה של מאות אחוזים בהיקף המתקפות מסוג הודעות דיוג (פישינג) לבכירים, והן נחשבות לאיום העיקרי על חברות בארה"ב. דו"חות אמריקאיים מראים כי הנזקים ממתקפות כאלה הוכפלו, וב-2018 הם הוערכו ב-1.3 מיליארד דולר.
מה יכולים ארגונים וחברות לעשות כדי להתמודד עם הסיכון? מערך הסייבר פרסם מספר הנחיות בעניין:
העלאת מודעות: מומלץ להדריך עובדים בארגון בנוגע להנדסה חברתית, ובייחוד בנוגע ליכולת לנצל ערוצי תקשורת מגוונים לצורך התחזות לגורמים בכירים בארגון.
לשים לב לחריגות בתהליכים ארגוניים - קבלת הודעות מייל משמות מתחם חדשים, או קבלת הודעות ממספר לא מוכר או באמצעות ממשק חדש (לדוגמה אם נהוג בארגון לתקשר באמצעות וואטסאפ ומתקבלת הודעה באמצעות מסרון). כמו כן, לשים לב להודעות מייל המנוסחות באופן קלוקל או בצורה שאינה אופיינית לשולח.
אפיון ויישום נוהלי עבודה למקרים דחופים או יוצאי דופן - כדי לצמצם צורך בשיקול דעת של עובדים תחת לחץ של זמן.
שימוש בהזדהות חזקה - אימות דו-שלבי
- לצורך גישה לחשבונות מייל של גורמים רגישים בארגון, בפרט אם החשבונות מתנהלים במערכות ענן או נגישים מרחוק.
מנגנון רב-ערוצי: אם קיים צורך בביצוע פעולה או בחשיפת פרטים רגישים בגישה מרחוק, מומלץ לבחון ולייצר מנגנון רב-ערוצי לשם כך. לדוגמה: שליחת שם משתמש באמצעות SMS וסיסמה באמצעות המייל, או שליחת מידע מוצפן שהסיסמה לפתיחתו תועבר באמצעי אחר וכו'.
וידוא הוראה בערוץ נוסף: בעת קבלת הוראה מבכיר בארגון להעברת כספים או ביצוע פעולה רגישה, מומלץ לוודא בערוץ נוסף בלתי תלוי כי ההוראה אכן התקבלה ממנו. לדוגמה, אם ההוראה התקבלה במייל, יש לוודא אותה טלפונית מול מספר שנקבע מראש. יש לחייב ביצוע שלב זה בנוהל, ולא לאפשר חריגה ממנו בשל שיקולי דחיפות או קשיי תקשורת, אלא באישור של גורם בכיר מוסמך בארגון.
להתנות פעולות העברה של סכומים גדולים או עדכון פרטי ספקים ולקוחות באישור של גורם בלתי תלוי.
מנגנון ריבוי חתימות: מומלץ לבצע פעולות פיננסיות, בדגש על העברת כספים, אך ורק במערכות ייעודיות ותוך יישום מנגנון ריבוי חתימות.
הטמעת טכנולוגיות ייעודיות, כגון מערכת למיפוי ספקי הארגון ואימות פרטיהם בעת העברת כספים.
שימוש באמצעים טכנולוגיים למניעת שימוש לרעה במייל - להגדיר DKIM ,SPF ו-DMARC כדי להקשות על משלוח מיילים מכתובות המתחזות לארגון.
צרו קשר עם המרכז המבצעי של מערך הסייבר: אם נפלתם קורבן למתקפת סייבר או שאתם חושדים במתקפה שכזו, ניתן ליצור קשר למענה ראשוני בחיוג מקוצר חינם 119. המוקד פעיל לאורך כל שעות היממה.
