This post is also available in:
English (אנגלית)
שיטת הנדסה חברתית מתקדמת המתמקדת בתעשיית הקריפטו נחשפה לאחרונה, בה נעשה שימוש בחקיינים קוליים מקצועיים כדי להונות מנהלים בכירים. חוקרי אבטחה זיהו מאמץ מתואם מצד פושעי סייבר לגייס דוברי אנגלית המסוגלים לחקות דמויות מהימנות בשיחות טלפון בזמן אמת.
על פי ממצאים שפורסמו על ידי ספקית שירותי השמירה על נכסי קריפטו GK8, תוקף מתוחכם ומיומן החל בתחילת השנה לנסות לגייס מפעילים לביצוע מתקפות הנדסה חברתית קוליות. ניסיונות הגיוס נצפו בפורום מחתרתי סגור, שם טען התוקף כי ברשותו מידע אישי מפורט – כולל מספרי טלפון, כתובות אימייל וכתובות מגורים – של בכירים במספר חברות קריפטו אמריקאיות.
מטרת הקמפיין היא לבצע מתקפות "וישינג" (Voice Phishing) – כלומר התחזות קולית טלפונית שמטרתה לפרוץ מערכי הגנה ארגוניים. באמצעות התחזות לעובדי פנים או לספקי שירות חיצוניים, התוקפים שואפים לחלץ מידע רגיש, להשיג גישה לכלים פנימיים, ואף לגרום לבכירים – מבלי לדעת – לחשוף מפתחות פרטיים או לגשת לארנקים דיגיטליים.
מה שמייחד את המתקפה הזו הוא רמת התכנון וההתאמה האישית הגבוהה. לפי הדיווחים, התוקף חלק רשימת מטרות הכוללת בעלי הון של מעל 500,000 דולר, והעניק הנחיות להתאמת השיחה לפי תפקיד הקורבן. בגיוס המחקים הקוליים הוגדרו פרטים כמו מגדר, מבטא ושטף לשוני – דבר המעיד על גישה שיטתית וממוקדת במיוחד.
לפי GK8, התגמול הכספי למשתתפים במתקפה משתנה במידה רבה – החל מ-15 דולר לשיחה קצרה אחת, ועד לעשרות אלפי דולרים בחודש עבור חקיינים מנוסים. הכלים בהם נעשה שימוש כוללים מערכות VOIP, מספרים מזויפים (spoofed numbers) ושירותי SMS אוטומטיים, המשמשים ליצירת אמינות מול הקורבן עוד לפני שהשיחה מתחילה.
התפתחות זו ממחישה את המיזוג ההולך וגובר בין שיטות הונאה מסורתיות לבין טקטיקות סייבר מודרניות. ככל שהתוקפים עוברים מהונאות דוא"ל כלליות לשיטות רמאות מותאמות אישית, ארגונים נדרשים לעדכן את נהלי האימות שלהם ולהכשיר עובדים בזיהוי ניסיונות מניפולציה קולית.
מומחים ממליצים לארגונים לפעול מתוך הנחת יסוד שהמידע האישי של אנשי מפתח כבר נחשף, ולהתאים את מערכי האבטחה הפנימיים בהתאם. אימות זהות משופר לבקשות טלפוניות, מדיניות אישור רב-ערוצית, והדרכות מודעות מעודכנות לעובדים – נחשבים לאמצעי הגנה קריטיים מול האיום המתפתח הזה.
