This post is also available in:
English (אנגלית)
מערכות לשחזור חשבונות נועדו לסייע למשתמשים לקבל מחדש גישה לחשבונם כאשר הם מאבדים סיסמה או פרטי התחברות. יותר ויותר מהתהליכים הללו נשענים כיום על אוטומציה ואימות זהות מבוסס בינה מלאכותית, במטרה להפחית את העומס על צוותי התמיכה ולהאיץ את תהליך השחזור. אך ככל שהמערכות הללו הופכות מתקדמות יותר, הן גם יוצרות משטחי תקיפה חדשים עבור עברייני סייבר.
קמפיין שנחשף לאחרונה ממחיש את הסיכון הזה. לפי הדיווחים, תוקפים ניצלו חולשות בתהליכי שחזור חשבונות אוטומטיים כדי להשתלט על חשבונות אינסטגרם, כולל חשבונות בעלי שמות משתמש נדירים ופרופילים בעלי ערך גבוה. במקום לפרוץ ישירות לפלטפורמה, נראה כי הפעילות כוונה נגד מנגנוני השחזור שנועדו לאמת את זהות בעלי החשבון החוקיים.
על פי דיווח של Cyber News, המתקפה שילבה מספר טכניקות. בשלב הראשון אספו התוקפים מידע זמין לציבור מפרופילי היעד, כולל פרטי מיקום ותמונות פרופיל. לאחר מכן הם יצרו סרטוני סלפי מזויפים באמצעות בינה מלאכותית, שהתבססו על התמונות הפומביות, והשתמשו בהם כדי לעבור בהצלחה את בדיקות אימות הזהות האוטומטיות.
המתקפה ניצלה כלי שחזור חשבונות שנועדו לסייע למשתמשים שאיבדו גישה לחשבון. לאחר שמערכת האימות קיבלה את חומרי הזיהוי המזויפים, הצליחו התוקפים לשנות את כתובת הדוא"ל המשויכת לחשבון. השליטה בכתובת הדוא"ל העניקה להם בפועל שליטה מלאה בפרופיל, משום שבקשות לאיפוס סיסמה הופנו מעתה אליהם במקום לבעל החשבון המקורי.
החוקרים תיארו את האירוע גם כדוגמה למתקפת "שליח מבולבל" (Confused Deputy Attack). בתרחיש כזה, מערכת השחזור עצמה אינה נפרצת ישירות. במקום זאת, התוקפים גורמים לשירות אמין לבצע פעולות בשמם. ההבחנה חשובה משום שהחולשה אינה נובעת משבירת מנגנוני האבטחה, אלא משכנוע המערכת להשתמש בהרשאותיה בצורה שגויה.
מנקודת מבט סייברית, האירוע ממחיש את האתגר ההולך וגובר עם שילוב בינה מלאכותית במערכות אימות זהות ותמיכת לקוחות. מערכות המבוססות על זיהוי פנים, בינה מלאכותית שיחתית או תהליכי שחזור אוטומטיים עלולות להפוך ליעד אטרקטיבי עבור תוקפים המשתמשים בתוכן מזויף שהופך מציאותי יותר ויותר.
המקרה מדגיש גם את מגבלותיהן של מערכות שחזור אוטומטיות לחלוטין. על פי הדיווחים, חלק מהקורבנות התקשו להשיב לעצמם את הגישה לחשבונות משום שגם ערוצי השחזור עצמם נשענו במידה רבה על צ'אטבוטים, עם גישה מוגבלת לבדיקה אנושית.
למרות שהפלטפורמה מסרה כי החולשה תוקנה, האירוע מדגיש מגמה רחבה יותר: ככל שבינה מלאכותית משפרת את יכולות אימות הזהות, היא יוצרת במקביל הזדמנויות חדשות למתקפות התחזות המבוססות גם הן על בינה מלאכותית.
