בשנים האחרונות האיומים בעולם הדיגיטלי, שכולנו מבלים בו חלק גדול מזמננו, מגיעים אלינו בדרכים מגוונות. אמנם השכם וערב כלי התקשורת מדווחים על מתקפות נגד חברות גדולות או על מלחמת סייבר של ממש בין מדינות אויבות כמו ישראל ואיראן, אבל את האיום המתגבר נגד כל אחד מאיתנו, כולנו מרגישים בכמות העולה של ניסיונות הפישינג וההונאות האחרות המגיעות אל תיבות המייל, ברשתות החברתיות ולמכשירי הסלולר שלנו.
מהודעה על מתנת יום הולדת לכבוד 100 שנים לאדידס, דרך מייל על קבלת חבילה שלא הזמנו מדואר ישראל ועד הודעה בפייסבוק מיפייפיה שמזמינה אותנו לדייט- האקרים לא בוחלים באמצעים וזהויות בכדי לפתות אותנו לבצע פעולות פשוטות שיסבכו אותנו בצרות גדולות. לא מעט נפלו בפח, ולשמחתי, רובנו כבר יודעים שלא מחלקים מתנות חינם, לא לוחצים על קישורים ממקורות לא ברורים ולא מאמינים לכל פנייה שמגיעה אלינו באינטרנט. אבל מה תעשו כאשר אם תקבלו הודעה מהבוסית שלכם? או לחלופין מספק מוכר איתו אתם עובדים שנים?! כי הנסיונות הללו לא מתרחשות רק בעולם האישי, אלא גם בעיקר איפה שיש יותר כסף- בעולם העסקי.
לאחרונה פרסם ה FBI דו"ח על ההפסדים הכספיים ממתקפות והונאות סייבר בארה"ב בשנת 2020 עם סיווג השיטות השונות. למרות שכופרה היא אולי מהמתקפות המדוברות ביותר בעולם הסייבר, השיטה המובילה, ובפער ניכר, היא שיטה שנקראת (BEC (Business Email Compromise עם כ-20 אלף ניסיונות ונזק כולל של כ-2 מיליארד דולר לעולם העסקי, רק בשנה שעברה ורק בארה"ב. השיטה שנקראת גם CEO Fraud (הונאת מנכ"ל), לא מתבססת על יכולות סייבר מתקדמות, אלא על החולשות הבסיסיות שלנו כבני אדם ועובדים המעוניינים לרצות את הבוס/ית ולעשות עבורה עבודה יעילה ומהירה. כל תקיפה כזו עשויה לעלות לארגון בין עשרות עד מאות אלפי דולרים.
במתקפות היותר מתוחכמות ההאקרים לומדים את הארגון ואנשיו, בדרך כלל באמצעות לינקדאין, מתחזים לאישיות בכירה בארגון- בין אם זה המנכ"לית או סמנכ"ל הכספים, מזייפים את הכתובת האימייל שלהם ושולחים באמצעותה, בדר"כ לגורם זוטר יותר בחברה, דרישה בהולה להעברת כספים בטוענות מקצועיות. טקטיקה אחרת לגניבת כספים היא להתחזות לספקים של הארגון ולצרף חשבונית מזויפת ש"עדיין לא שולמה" או לחלופין לבקש לשנות את אמצעי התשלום ברגע האחרון לפני מועד העברת הכספים הקבוע.
השיטה הזו כאמור מאד פשוטה, ולפעמיים גם שינוי מינורי, כמו הוספת תו או אות בכתובת האימייל של הבכיר יספיקו. לצד זאת, היא גם מאד יעילה כי היא "משחקת" על מאפיינים שכל אחד מאיתנו מכיר- הרצון להיות טוב במה שאתה עושה והשאיפה שהבוסית יעריך את התגובה המהירה מצדך והעבודה היעילה שלך. יחד עם זאת, יש דרכים פשוטות להתגונן ארגונית מבעוד מועד, לזהות את המתקפה בזמן אמת, וגם אם כבר נפלתם בפח, תוכלו לפנות לחברות סייבר שיודעות לעקוב אחר העברת הכספים ולהחזיר אותם.
הנה כמה דברים שתוכלו לעשות בכדי למנוע מראש ולזהות את הונאת BEC
- חשדו בכל פנייה דחופה הנוגעת לבקשות תשלום, כן, גם אם היא מגיעה באופן אישי מהמנכ"ל.
- קבעו נהלים רשמיים בארגון שבמסגרתם העברות כספים נבחנות ומאושרות בשני מסלולים שונים לפחות - לא לסמוך על אישור במייל בלבד.
- אמתו כל בקשה לשינוי אמצעי תשלום מצד ספק באופן אישי באמצעות הטלפון. במיוחד כאשר הבקשה לשינוי מגיעה ברגע האחרון.
- שימו לב לשגיאות כתיב, איות, שימוש בשפה ומונחים מוזרים הקיימים בתכתובות האימייל- אלו יכולים להצביע שמי שעומד מאחורי המייל הוא לא מי שאתם חושבים שהוא.
- בתכתובות הנוגעות לתשלומי כספים, וודאו את כתובת האימייל, חפשו אחר שינויים קלים ביותר.
- אם כבר ביצעתם העברה כספית, וזיהיתם שאתם קורבן להונאה, קיים זמן קריטי בו תוכלו לפנות לחברת סייבר שתעקוב אחר העברת הכספים, תמנע מהם לעבור להאקרים ותסייע לגם להחזיר את הכספים שנגנבו.
- הכותב הוא ה CTO של חברת משברי הסייבר Profero