דוח חדש של החברה הישראלית GK8 חושף מגמה מטרידה של האקרים המציעים שירותי זיוף וידאו וקול בעלות של מאות דולרים בודדים ומבצעים הונאות ענק במטבעות דיגיטליים. המומחים מזהירים: "כבר אי אפשר להאמין למה שרואים ושומעים בשיחות וידאו שגרתיות"
דמיינו שאתם מקבלים שיחת וידאו דחופה ממנהל בכיר בחברה שבה אתם עובדים. הוא נראה ונשמע בדיוק כמו המנהל שאתם מכירים, ומבקש מכם לבצע העברה כספית דחופה. אתם פועלים לפי ההוראות, כמתבקש מכם, רק כדי לגלות מאוחר יותר שנפלתם קורבן להונאת "דיפ-פייק" (זיוף עמוק) מתוחכמת, ושהאדם ששוחחתם איתו היה למעשה מתחזה שנוצר על ידי בינה מלאכותית.
מה שנשמע עד לא מזמן כמו תסריט מסרט מדע בדיוני הוא כבר מציאות מסוכנת, במיוחד בתעשיית הקריפטו, כך עולה מהדוח החדש של חברת הפינטק הישראלית, המפתחת פלטפורמה לניהול ולהגנה על נכסים דיגיטליים עבור מוסדות פיננסיים.
הדוח, שחוקר את תופעת עלייתן של הונאות דיפ-פייק בזמן אמת, חושף כיצד עברייני סייבר מאמצים במהירות טכנולוגיות AI כדי לבצע הונאות חסרות תקדים. אם בעבר נדרשו מיומנויות טכניות גבוהות ליצירת זיופים, הרי שכיום הטכנולוגיה הפכה מתקדמת, נגישה וזולה מתמיד.
למעשה, ברשת ה-Darknet (הצד החבוי והאנונימי של האינטרנט שאינו נגיש למנועי חיפוש רגילים), ובקבוצות טלגרם סגורות, פועל שוק שחור שוקק של "דיפ-פייק כשירות" (DFaaS), המאפשר גם להאקרים חסרי ניסיון לבצע תקיפות התחזות מתוחכמות. המחירים בשוק זה נמוכים באופן מדאיג. כך, לדוגמה, ניתן להזמין סרטון דיפ-פייק קצר ומוכן מראש תמורת 15-10 דולרים בלבד, ושירותי זיוף פנים במהלך שיחת וידאו, בזמן אמת, המהווים את האיום המשמעותי ביותר, מתחילים במחירים של כמה מאות דולרים ויכולים להגיע לכמה אלפים.
התשלום מתבצע לרוב במטבעות קריפטוגרפיים כמובן, דבר שמקשה על איתור העבריינים.
השימוש בטכנולוגיה זו כבר הוביל לנזקים של מיליוני דולרים. בפברואר 2024, חברה בינלאומית בהונג קונג הפסידה 25.6 מיליון דולר לאחר שעובד שוכנע להעביר את הכספים במהלך שיחת וידאו קבוצתית. להפתעתו, כל המשתתפים בשיחה, מלבדו, היו למעשה דמויות "דיפ-פייק" של חבריו לעבודה ושל המנהל הפיננסי. מקרים דומים תועדו גם בחברות קריפטו מובילות שהותקפו באמצעות התחזות למייסדים ולעובדים בכירים בשיחות זום.
"אנו עדים לנקודת מפנה קריטית בהונאות סייבר", אומר ליאור לאמש, שותף-מייסד ומנכ"ל GK8. "האמרה הישנה 'להאמין למראה עיניך' כבר לא תופסת במרחב הדיגיטלי. האקרים יכולים כעת להיכנס לשיחות וידאו, להתחזות למנהלים, לתת הוראות, להשתמש בשיחה כדי להפיץ תוכנה זדונית ולגנוב כספים. אמצעי אימות וזיהוי מסורתיים, כמו זיהוי פנים או אימות קולי, הופכים במהירות למיושנים ולא רלוונטיים".
ההשלכות של התופעה המאיימת מורגשות היטב גם מחוץ לעולם הפיננסי. עבריינים משתמשים בטכנולוגיית דיפ-פייק למגוון רחב של מטרות זדוניות: יצירת סרטוני הונאה בהשתתפות ידוענים מזויפים, הונאות רומנטיות וסחיטה מינית, ואפילו התחזות למועמדים בראיונות עבודה כדי לחדור למערכות פנימיות של חברות.
הדוח מדגיש כי האקוסיסטם של פושעי הסייבר הפך למקצועי ומאורגן. האקרים מפרסמים את שירותיהם, מתמחרים אותם לפי איכות ומחיר בשוק, ואף מגייסים "עובדים" בעלי ידע בתחום הקריפטו וכישורי שיחה באנגלית רהוטה כדי להוציא לפועל את ההונאות.
אם כן, כיצד ניתן להתגונן? המומחים של GK8 ממליצים לארגונים, במיוחד במגזר הפיננסי, לפעול מתוך נקודת הנחה שאי אפשר לסמוך באופן אוטומטי על אף סוג של תקשורת דיגיטלית. יש להכשיר עובדים להניח שכל זהות המוצגת בווידאו או באודיו עלולה להיות מזויפת. כל בקשה רגישה, ובמיוחד העברת כספים, חייבת אימות בערוץ תקשורת נפרד ומוכר, למשל בשיחת טלפון למספר ידוע מראש. כמו כן, חובה להטמיע נהלים של אישור רב-משתתפים עבור כל פעולה קריטית, כך שאף אדם בודד לא יוכל לאשר לבדו עסקה משמעותית.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו