חברת אבטחת המידע והסייבר ESET מזהירה מפני עלייה במספר ההונאות טלפוניות המבוססות על זיופי קול (Deep Fake) באמצעות בינה מלאכותית. לדברי חוקרי החברה, תוקפים יכולים כיום להתחזות למנכ"לים, לספקים או לבכירים אחרים בארגון, בניסיון לשכנע עובדים לבצע העברות כספים, לאפס סיסמאות או למסור פרטי גישה רגישים. החוקרים מדגישים כי האיום אינו מסתכם רק בהונאות כספיות, אלא עשוי לשמש גם כדרך חלופית לעקיפת תהליכי אימות לקוח ואימות חשבונות, ואף לאפשר לגורמים עוינים להתחזות למועמדים המבקשים להתקבל למשרה מסוימת.
לדברי אלכס שטיינברג, מנהל מוצרי ESET בקומסקיור, המפיצה הרשמית של ESET בישראל, "אחת הסיבות המרכזיות לעלייה בסיכון, היא הקלות היחסית שבה ניתן כיום להוציא לפועל מתקפה כזו. התוקף בוחר תחילה את הדמות שאותה יבקש לחקות, למשל מנכ"ל או סמנכ"ל כספים, מאתר ברשת דגימת קול קצרה מתוך פודקאסט, ריאיון, סרטון, שיחת ועידה או הופעה פומבית, ולאחר מכן בוחר יעד לתקיפה בתוך בארגון. ראינו שבחלק מהמקרים, התוקפים שולחים מייל מקדים כדי להגביר את תחושת האמינות והדחיפות, ורק לאחר מכן מבצעים את השיחה עצמה באמצעות קול מזויף שנשמע משכנע במיוחד, גם למי שמכיר היטב את הקול המקורי".
הסכנה אינה טמונה רק בטכנולוגיית הזיוף עצמה, אלא גם בשילוב שלה עם טכניקות מוכרות של הנדסה חברתית. תוקפים מפעילים לחץ, מייצרים תחושת דחיפות ולעיתים גם דורשים לשמור על סודיות, כדי למנוע מהקורבן לעצור ולבצע בדיקה נוספת. כאשר הבקשה נשמעת כאילו הגיעה מדמות בכירה או מגורם עסקי מוכר, הסיכון לטעות גדל משמעותית. חשוב לדעת כי ישנם כמה סימנים שעשויים לעורר חשד בכך שמדובר בזיוף קול של אדם, כמון למשל קצב דיבור לא טבעי, טון רגשי שטוח, חתך דיבור מלאכותי, נשימה חריגה בין משפטים או שהיא בכלל לא קיימת, צליל מעט רובוטי בסגנון סייענים קוליים, או רעשי רקע שנשמעים אחידים מדי. עם זאת, ככל שהכלים משתפרים, כך קשה יותר להסתמך רק על האוזן האנושית, במיוחד כאשר השיחה מתנהלת תחת לחץ.
ב-ESET מזכירים גם מקרה בולט משנת 2020, שבו עובד בחברה באיחוד האמירויות היה קורבן למתקפה כזו, וחשב שמנהל החברה ביקש ממנו להעביר 35 מיליון דולר לצורך עסקת מיזוג ורכישה. מן הסתם שבשנים האחרונות ומאז אותה תקרית, יכולות הזיוף הקולי רק השתפרו, ולכן הפוטנציאל לנזק כספי ותפעולי הפך למשמעותי אף יותר.
ה-AI שוב משנה את חוקי המשחק
שטיינברג מצביע על ה-AI ועל תרומתה גם במתקפות האלו: "זיופי קול מבוססי AI משנים את כללי המשחק בעולם ההונאות הארגוניות. עובדים רגילים לחשוב שאם הם שומעים קול מוכר בטלפון, אפשר לסמוך עליו, אבל היום גם המחשבה הזו כבר לא בטוחה. ברגע שתוקפים מצליחים לשלב בין קול שנשמע אמין לבין לחץ, דחיפות וסמכות, הסיכון לטעויות אנוש גדל משמעותית. מי ירצה לחלוק או לערער על סמכות בכירה בארגון? ארגונים צריכים להניח שגם שיחת טלפון שנשמעת לגיטימית עלולה להיות חלק מניסיון הונאה. לכן חשוב לארגונים לקבוע נהלים ברורים לאימות בקשות רגישות, במיוחד כשמדובר בהעברות כספים, שינוי פרטי תשלום, איפוס אמצעי הזדהות או מסירת מידע פנימי".
בחברת אבטחת המידע והסייבר ESET ממליצים לארגונים לאמץ גישה רב שכבתית להתמודדות עם האיום. בין היתר, מומלץ לבצע אימות בערוץ תקשורת נפרד לכל בקשה חריגה המתקבלת בטלפון, לדרוש אישור של יותר מגורם אחד להעברות כספיות משמעותיות או לשינוי פרטי ספק, ולהטמיע מנגנוני אימות פנימיים כמו שאלות קבועות, אימות דו שלבי בגישה לנכסים קריטיים או סיסמאות מוסכמות מראש, שרק בעלי התפקידים הרלוונטיים אמורים להכיר.
בנוסף, ממליצים בחברה לשלב תרחישי זיוף קולי בהדרכות מודעות ובתרגילי אבטחת מידע, ולשקול במידת האפשר גם צמצום של החשיפה הציבורית להקלטות קול של בכירים. ארגונים ועסקים גדולים וקטנים חייבים להתאים את עצמם למציאות החדשה, שבה כמעט כל מתקפת סייבר משלבת AI, כך שמדובר באיומים שטרם נראו בשנים האחרונות, והם משתנים ומתפתחים כל הזמן.
