החולשה האנושית כמטרה למתקפות סייבר: כיצד התוקפים מנצלים את האמון שלנו נגדנו
בעידן המודרני, המהפכה הטכנולוגית מביאה עימה לא רק הזדמנויות גדולות אלא גם אתגרים משמעותיים, כאשר אחד מהם הוא העלייה המשמעותית במתקפות סייבר מתוחכמות שמנצלות את החולשות האנושיות. יותר ויותר אנחנו נתקלים בהונאות שמבוססות על מניפולציות פסיכולוגיות שמטרתן לנצל את האמון שלנו, ולעיתים אף להטעות אותנו במובנים שהיו נראים בלתי אפשריים לפני עשור.
בין השיטות המתוחכמות ביותר כיום נמצאת התחזות לבכירים בארגון – מנכ"לים, סמנכ"לים, יועצים ואף בעלי תפקידים בכירים אחרים. המתקפות מתחילות לרוב בהודעת פישינג מתוחכמת שמטרתה ליצור מערכת יחסים עם הקורבן, ולאחר מכן להוביל אותו לבצע פעולות שעלולות להסב נזק כלכלי או לארגון עצמו. תוקפים למדו לנצל את הזמן שבו העובדים פחות מרוכזים בתקופות של הפסקות צהרים או בשעות הערב, כדי להקשות על תגובת המערכת או על החשש לעיכוב בעבודה.
ההתקפות האלה מתפתחות ומתעדכנות כל הזמן, והשימוש בטכנולוגיות כמו Deepfake – יצירת תכנים ויזואליים או קוליים מזויפים מאפשר לתוקפים להחיות דמויות מוכרות מתוך הארגון ולהשתמש בקולותיהם ובסגנונם על מנת לשדר אמינות. דמיינו מצב שבו עובדי חברה מקבלים שיחת וידאו או הודעת דוא"ל ממנכ"ל או סמנכ"ל, שדורש פעולה מיידית לא תמיד קל יהיה לזהות שמדובר בזיוף מתוחכם שנוצר באמצעות אלגוריתמים של אינטליגנציה מלאכותית.
ההונאות הללו לא פוסקות בחברות גדולות, וכוללות גם מתקפות שמכוונות אל עובדים מן השורה, בהם נפגעים עובדים שנפלים למלכודות שמבוססות על תחושת חשיבות ואמינות. בחלק מהמקרים מדובר בהודעות שכביכול נשלחות ממחלקת משאבי אנוש של חברות מתחרות, שמציעות "הזדמנויות עבודה" מפתות. כל מה שצריך על מנת להיכנס למלכודת הוא לפתוח קובץ מצורף ולעיתים כל קובץ כזה מכיל תוכנה זדונית שתחשוף את הארגון למתקפה חמורה.
לפי סטטיסטיקות שפורסמו לאחרונה, מתקפות פישינג עלו ב-1,300% בעשור האחרון, והמגמה הזאת נמשכת. מספר ההתקפות בעולם כולו מתקרב לכ-34 מיליארד ביום – מספר מדהים שמעיד על כמות הגידול המטורף בתחום. מאחורי כל התקפה כזו עומדים תוקפים שמבינים לא רק את הטכנולוגיה, אלא גם את הפסיכולוגיה האנושית, ומניחים את ידיהם על אותם "חוליות חלשות" בארגון: עובדים שמאמינים לאימייל המתחזה, שמגיבים במהירות ומבלי לבדוק את מקור ההודעה.
המשמעות עבור חברות היא ברורה, השמירה על הארגון ועל המידע קריטי לא פחות מהגנה טכנולוגית. מדובר בצורך מהותי לבנות מודעות גבוהה לכל עובד בארגון, לספק להם כלים לזיהוי התרמיות, ולהקפיד על עדכון שוטף של מערכות האבטחה. אי לכך, חייבים להקים מנגנונים שמגנים על העובדים, מזהירים אותם על הסכנות ומספקים אמצעי זיהוי ברורים שמסייעים למנוע את הנפילה בפח הדיגיטלי.
במציאות בה קשה להבדיל בין המובן האמיתי והמזויף, חשוב להשקיע בפיתוח טכנולוגיות חדשות שמסייעות להילחם בהונאות האלו. אם בעבר היו תוקפים מתמקדים אך ורק בניצול חולשות טכנולוגיות היום אנחנו עדים לשילוב מסוכן בין טכנולוגיה מתקדמת לבין חוסר זהירות אנושי. לכן, כל השקעה בתחום אבטחת המידע חייבת לכלול לא רק אמצעי סינון טכנולוגיים, אלא גם הכשרה של העובדים ושיפור ההבנה שלהם בנוגע לאיומים הפתאומיים והמניפולטיביים שעשויים להיתקל בהם.
העתיד שלנו בעולם הסייבר יהיה תלוי במידה רבה ביכולת שלנו לשלב בין חדשנות טכנולוגית למודעות אנושית. עלינו לזכור כי האמון האנושי, שהוא אחד מהכוחות החזקים ביותר שלנו, יכול גם להיות עקב האכילס כאשר מדובר בהתקפות סייבר.
אורי סגל הוא מנכ"ל cyvore
