בשנים האחרונות, חלה עלייה משמעותית בשימוש בבינה מלאכותית בהונאות, במיוחד באמצעות יצירת תוכן מזויף ומשכנע, המוכר לכם כ-Deepfake. בשנת 2024, נרשמה עלייה של מעל 2,000%(!) בניסיונות הונאה באמצעות דיפ פייק, שהיוו כ-6.5% מכלל ניסיונות ההונאה.
פושעי סייבר מנצלים את היכולת של AI ליצור תוכן ויזואלי וקולי משכנע כדי להטעות קורבנות, בין אם באמצעות זיוף זהות של מנהלים בכירים לצורך הונאות פיננסיות או באמצעות יצירת סרטונים מזויפים לצרכי דיסאינפורמציה.
בכל הנוגע לפישינג המכוון באופן ממוקד לבעלי תפקידים בכירים בחברות, כלי בינה מלאכותית מנוצלים לרעה בשליחת מיילים מותאמים אישית. מיילים אלה כה מתוחכמים עד כי הקורבנות לא מצליחים לזהות שהם מזויפים.
על פי דיווח של ה-Financial Times, בוטים מבוססי בינה מלאכותית מנתחים את הפעילות של הקורבנות ברשתות החברתיות, כדי לזהות אילו נושאים ימשכו את תשומת לבם ויגרמו להם להגיב.
לאחר מכן נשלחים לקורבנות הפישינג מיילים שנראים כאילו נכתבו על ידי בני משפחה וחברים. בשל האופי האישי של המיילים, המקבלים מתקשים לזהות שמדובר בניסיון הונאה. מדובר במתקפות ממוקדות, שכוללות איסוף מידע באמצעות OSINT – מודיעין ממקורות גלויים.
בעוד שמשתמשי אינטרנט מנוסים מכירים כיום את הסימנים המזהים של הונאות מיילים מסורתיות, קשה בהרבה לזהות מיילים שנתפרו במיוחד עבור משתמש ספציפי.
שירותים כמו Gmail, Outlook, ו-Apple Mail עדיין לא פיתחו הגנות מתאימות כדי להתמודד עם האיום הזה. לדברי נדזדה דמידובה, חוקרת אבטחת סייבר ב-eBay, מעל 90% מהפריצות המוצלחות מתחילות עם מסרי פישינג.
הנדסה חברתית היא אחד הכלים החזקים ביותר שבהם משתמשים פושעי סייבר. במשך שנים, טכניקה זו מסייעת להאקרים לנצל את הפסיכולוגיה האנושית על מנת לשכנע אנשים לחשוף מידע רגיש או לבצע פעולות לא רצויות. בעבר, התקפות אלו היו מבוססות בעיקר על תצפיות ישירות או מניפולציות מילוליות פשוטות, אבל הבינה המלאכותית "שידרגה" את התחום לרמה חדשה של תחכום. באמצעות AI, אפשר לנתח כמויות עצומות של מידע אישי המשותף ברשתות החברתיות, פורומים ציבוריים ואף במיילים, כדי לבנות פרופילים מפורטים של מטרות פוטנציאליות.
תוך שימוש בטכניקות של עיבוד שפה טבעית (NLP), הבינה המלאכותית יכולה לחקות את סגנון התקשורת האישית של חברים, בני משפחה או קולגות לעבודה. מיילים מותאמים אישית אלה, המשלבים מידע מדויק על תחומי עניין, אירועים חיים או קשרים חברתיים, מקשים מאוד על הזיהוי שמדובר בהונאה. תופעה זו, המכונה "דיוג מתקדם" (Advanced Phishing), הופכת לאיום מהותי במרחב הדיגיטלי.
כאקט של הגנה עצמית, יש צורך במאמץ כפול. מצד אחד, על המשתמשים הפרטיים לפתח מודעות גבוהה יותר לחשיבות שמירת הפרטיות. מומלץ לשתף כמה שפחות מידע אישי ברשתות החברתיות, להימנע מפרסום פרטים כמו תאריכי ימי הולדת, מיקומים מדויקים או מידע על תוכניות עתידיות. מצד שני, ארגונים ומפתחים צריכים להשקיע בטכנולוגיות מתקדמות לזיהוי דפוסי הנדסה חברתית המבוססת על AI. מערכות אבטחה מבוססות AI עצמן יכולות להוות כלי חיוני לגילוי מתקפות אלו.
חברות יכולות למלא תפקיד מרכזי בהגנה על עובדיהן, בכירים וזוטרים כאחד, מפני איומים המבוססים על הנדסה חברתית ובינה מלאכותית. הנה כמה טיפים להתמודדות:
- הדרכות מודעות אבטחת מידע: קיום הדרכות סייבר שוטפות לכל עובדי החברה תמיד היה חשוב, אך כעת הוא הופך לקריטי מתמיד. ההדרכות צריכות לכלול סימולציות של התקפות פישינג ודוגמאות מעשיות למיילים מזויפים, כדי לעזור לעובדים לזהות ניסיונות הונאה. כמו כן, מומלץ להציע הדרכות ייעודיות לבכירים, שכן הם יעד מועדף עבור תוקפים (תופעה המכונה Whaling).
- יצירת מדיניות ברורה לשיתוף מידע: חברות צריכות להגדיר מדיניות נוקשה לשיתוף מידע, הן בתוך החברה והן מחוצה לה. לדוגמה, לעודד עובדים להימנע מפרסום מידע על פעילויות עסקיות ברשתות החברתיות, ולהשתמש בערוצים מאובטחים בלבד לתקשורת פנים-ארגונית.
- הטמעת כלי אבטחה מתקדמים: שימוש בטכנולוגיות AI לזיהוי מיילים חשודים או התנהגות חריגה ברשת הארגונית. כלים אלה יכולים לסייע בזיהוי מתקפות פישינג מתוחכמות עוד לפני שהן מגיעות לעובד.
- עידוד מודעות בקרב העובדים: יצירת תרבות ארגונית שמעודדת עובדים לדווח על מיילים חשודים או על כל פעילות חריגה שהם נתקלים בה. חשוב לשדר מסר של "עדיף לדווח מאשר להתעלם", ולבנות ערוצי דיווח נגישים ונוחים.
- הגנה על מידע אישי של בכירים: לבכירים יש פעמים רבות חשיפה ציבורית רחבה יותר. חשוב לספק להם ליווי מקצועי בניהול הפרופילים הדיגיטליים שלהם, כולל ייעוץ לשיתוף מידע אישי באופן בטוח יותר.
- שימוש בסיסמאות חזקות: מומלץ להקפיד על שימוש בסיסמאות חזקות ושימוש באימות דו-שלבי (2FA) בכל המערכות הארגוניות, מה שיכול למנוע גישה של תוקפים למידע רגיש גם במקרה של מתקפת הנדסה חברתית מושקעת.
