"ליפול ברשת": מדוע: הבנה ומודעות ולא רק שינון של דרכי הונאה ברשת?

 

הדרכים לנסות לרמות אנשים ברשת משתנות כל הזמן. זו הפעם הראשונה שבה ניסו להונות אותי באמצעות שיתוף מסמכים באמצעות Google Drive.

הודעת הדוא"ל שקיבלתי

החלק העליון של ההודעה

מהחלק העליון אתם רואים שמשתמש בשם otano w61n שיתף איתי מסמך באמצעות Google Drive.

ההודעה הגיעה לתיבת הדואר הנכנס שלי ואני בחרתי לסמן אותה כ-Spam. בהמשך הפוסט תבינו מדוע עשיתי זאת.

המשתמש אינו מאפשר לי לענות להודעה שלו. תשאלו את עצמכם מדוע?

החלק התחתון של ההודעה

המשתמש מודיע לי שהוא שיתף איתי מסמך באמצעות Google Drive ומבקש שאלחץ על פתיחה.

זהו מבנה סטנדרטי של הודעה הנשלחת במקרה של שיתוף קבצים באמצעות Google Drive. 

יש רק שאלה אחת שצריכה להישאל: מה יקרה אם אלחץ על "פתיחה". אני לא יודע.

רמז: יקרו דברים רעים.

שיתוף קבצים באמצעות Google Drive

שיתוף קבצים באמצעות Google Drive היא טכניקה שיש לה שימושים מועילים.

השימושים שאני עשיתי בה:

1. שיתוף מסמכים שגם אני וגם אחרים מעדכנים אותם. 

השיתוף באמצעות ה-Public Cloud מאפשר לכולם לעדכן אותו ולאחרים לראות את העדכונים.

2. שיתוף מסמכים ותמונות

לא לצורך עריכה משותפת אלא לקריאה בלבד.

 מדוע זו הונאה?

בכל יתר המקרים שבהם מישהו שיתף איתי קבצים היו מאפיינים שאינם קיימים במקרה זה:

1. היכרתי את האנשים ששיתפו איתי קבצים.

2. ידעתי מדוע הם משתפים איתי את הקבצים.

במקרה זה אינני מכיר את המשתמש שזו כתובת הדוא"ל שלו וגם לא את כתובת הדוא"ל שלו. 

במקרה הזה לא עלה שום הקשר שבו נדרש שיתוף קבצים בין אותו משתמש אלמוני וביני.

 

ההיבט הכללי של "ליפול ברשת"

 כל הזמן משתנות שיטות ההונאה ומשתנים ההקשרים. היום קיבלתם מכתב דיוג כביכול בשם דואר ישראל. מחר תקבלו מכתב כזה מגורם אחר.

היום מבקשים להחזיר לכם כספים או שתשלמו מס מחר זה יהיה פרס ענק שזכיתם בו.

אדם ממוצע, ובמיוחד אזרח ותיק שאינו שולט היטב בעולם האינטרנטי והדיגיטלי לא מסוגל ללמוד ולזכור את כל שיטות ההונאה.

גם אם הוא מסוגל לעשות את זה, זה לא מספיק. יהיו דרכים חדשות להונאה. 

הדרך המועדפת להתמודד עם הונאות היא שמירה על מודעות גבוהה להונאות ברשת.

נגזרת מזה בדיקה של כל פעילות חשודה. 

השורה התחתונה  

הימנעו מפתיחת קישורים חשודים.

כיצד מתמודדים עם סיכוני AI?

 

שנת 2023 מסתמנת כשנת הפריצה של האינטליגנציה המלאכותית (AI). אין ספק שיהיו בתחום הזה שינויים והתפתחויות משמעותיות בעתיד, אבל כבר היום זהו נושא שבמרכז העניינים. 

לא מעט בגלל האפשרויות החדשות בתחום שמציעה תוכנת ChatGPT. גם תוכנות אחרות מציעות דברים דומים, אבל טרם זכו בפופולריות גדולה כל כך. 

בפוסט הרומן שלי עם AI תיארתי את נקודות המפגש שלי עם AI החל משנות ה-70 של המאה הקודמת. הצבעתי על ההתפתחות המהירה והעצמת היכולות של AI. 

במשפטים ספורים בסוף הפוסט הצבעתי גם על סיכונים. במקרה הקיצון התממשותם עלולה להשמיד את העולם בו אנו חיים. 

הפוסט המוזכר לעיל הוא פוסט הנוגע בתיאוריה של AI ובסיכונים העלולים להתרחש ברמה פילוסופית בלבד. 

פוסט זה הוא פוסט טכני מזווית ראייה של מומחים לניהול סיכונים.

תקן לניהול סיכונים

בסיס להתמודדות מסודרת עם ניהול סיכונים ברמה הארגונית ולפעמים גם ברמה משפחתית וברמה אישית הוא תקן. 

משפחת תקני ISO 31000 היא תקינה מובילה בתחום של ניהול סיכונים. 

העקרונות, ההנחיות ה-Framework והתהליכים הכלולים בתקן, שמשמשים בסיס לניהול סיכונים בכלל, עשויים להוות בסיס גם לניהול סיכוני AI. 

כמו כל שינוי תפיסתי ו/או טכנולוגי מהותי גם AI מחייב התאמה או הרחבה של התקנים על מנת לטפל באופן מתאים בסיכונים הנובעים ממנו.

אין בשלות

המקום המרכזי שתופס AI הוא תופעה חדשה. עדיין איננו מבינים את הנושא והמשמעויות שלו. בוודאי שעדיין איננו יודעים להתאים את התקנים ל-AI. עוד פחות אנחנו יודעים להתמודד בפועל עם הסיכונים. 

השורה התחתונה היא שאין עדיין בשלות. 

בהקשר של רגולציה לסיכוני AI מתחילה להיווצר רגולציה מקומית באירופה, ארצות הברית, יפן ומדינות נוספות. 

גם רגולציה זו רחוקה מלהיות בשלה. 

כמה נקודות שמעלים מומחים

יציאה מהתפיסה של מערכות AI כקופסה שחורה

תפיסת ה-Black Box אינה מאפשרת הבנה מלאה של רמת הסיכונים ומקשה על התמודדות עם אירועי סיכון.

התאמת רגולציה

גם הרגולציה בתחום ה-AI רחוקה מלהיות בשלה. צריך להתאים רגולציה קיימת גם ל-AI. 

דוגמה אחת היא צורך בקיצור הזמנים בין בחינה לבחינה של אפקטיביות הרגולציה.

בין השאר חשוב לעדכן רגולציה בתחום של Cyber Security.

גם סיכונים של טעויות לא מכוונות

נוטים להתמקד בסיכונים של AI הנובעים מכוונות זדון, אבל גם אירועי טעויות לא מכוונות עלולים להיות סיכונים ברמת חומרה גבוהה.

דברים נוספים

1. עירוב Stakeholders רלוונטיים בתהליך. בדיוק כפי שזה נעשה בסיכונים אחרים.

2. הגדרת מדדים להערכת הסיכונים.

ChatGPT

 

זוהי תוכנת ה-AI הפופולרית הנמצאת במרכז העניינים.

יש לה לא מעט בעיות.

באירופה בודקים את משמעות השימוש בה. באיטליה חסמו אותה.

עלולה לגרום נזק רב במקרה שיוזן אליה מידע לא נכון.

השורה התחתונה

פריצת הדרך במערכות AI מביאה אותן למקום מרכזי. בעתיד הן צפויות לתפוס מקום חשוב יותר. נדרשת היערכות לטיפול בהן בהיבט של ניהול סיכונים. 

כרגע נעשים צעדים ראשונים לתקינה המתאימה לסיכוני מערכות AI.

ליפול ברשת: דוגמה לפרופיל מזויף ומסוכן בפייסבוק

 

בפוסטים קודמים ובהרצאות שלי נגעתי גם בפרופילים מזויפים ברשתות שונות ואיך ניתן לזהות אותם ולהתמודד איתם.

אחד הפרופילים המסוכנים האלה הוא David McKay, קרוב לוודאי שם בדוי לחלוטין.

איש מעונב עם חזות מכובדת המציג את עצמו כ-CEO של בנק בקנדה.

הפרופיל שלו בפייסבוק

כשתבדקו מי החברים שלו תמצאו שאין לו בכלל חברים בפייסבוק.

זהו אחד הממצאים המחשידים שפירושו להיזהר מחברות עם אדם כזה.

סביר להניח שהוא יציע לכם חברות בפייסבוק. לי הוא הציע מספר רב של פעמים ולא בגלל מי שאני. 

אם תענו לבקשה, תקבלו ממנו הודעה על מישהו מלקוחותיו שנפטר ללא יורשים והשאיר הרבה כסף בחשבון. 

לפעמים יספר לכם ששם המשפחה של הנפטר זהה לשמכם ולכן קל להעביר את הכסף דווקא אליכם.

הוא רוצה להתחלק איתכם בכסף. 

תתבקשו לתת את פרטי חשבון הבנק שלכם ופרטים אישיים. 

אם תעשו את זה, בהחלט יעבור כסף.

לא לכיוון שחשבתם שהוא יעבור. 

הוא יעבור מהחשבון שלכם לחשבון שלו.

 לפרטים נוספים על תרמיות מסוג זה קראו בפוסט: 

ליפול ברשת: חברות בפייסבוק

האם יהיו בחירות בעוד כשלוש וחצי שנים?

 

פרופ' יובל נח הררי:

"אל תהיו תמימים, אם זה ממשיך אין דבר כזה "נשרוד 3.5 שנים, עד הבחירות הבאות".

לא יהיו בחירות הבאות.

הפסד בבחירות מבחינתם זה קטסטרופה, ולכן הם לא יאפשרו את זה."

אני לא לגמרי מסכים עם ההיסטוריון הנחשב פרופ' יובל נח הררי.

עם הרישא, אני ב-100% מסכים.

עם המשפט " לא יהיו בחירות הבאות" אני לא לגמרי מסכים.

יכול להיות שיהיו בחירות ויכול להיות שלא. אם נדייק מעט את דברי הפרופסור הנכבד, אוכל להסכים איתו גם עם המשפט הזה.

נוסיף את המילה דמוקרטיות אחרי המילה בחירות ואני מסכים ב-100% עם פרופ' הררי.

במשטרים שבהם אין דמוקרטיה יש שיטות שונות להימנע מבחירות דמוקרטיות.

שיטה 1: לא לערוך בחירות

בשיטה זו הדיקטטורה נמשכת ללא בחירות. על זה מדבר פרופ' יובל נח הררי.

שיטה 2: לדחות את הבחירות

בשיטה זו דוחים את הבחירות בשנה או שנתיים או יותר. תמיד אפשר לנסות לדחות שוב.

בפוסט: האם אנחנו בדרך לונצואלה 2? תוכלו לקרוא על דחיית בחירות בשנתיים על ידי הרודן הוגו צ'אווס. 

אגב, מישהו בקואליציה הנוכחית, אם זיכרוני אינו מטעה אותי זה היה מישהו מסיעת "עוצמה יהודית", כבר הציע לדחות את הבחירות בשנה. 

שיטה 3: עקיפה

הדיקטטור הבא בוונצואלה, ניקולאס מדורו, עקף את כישלונו בבחירות לפרלמנט באמצעות הקמת גוף ממשלתי חדש בשם "האספה המחוקקת החדשה" עם 545 מושבים, גוף שמחזיק בסמכויות בלתי מוגבלות. 

שיטה 4: בחירות לא דמוקרטיות

רואים בחירות כאלה בלא מעט דיקטטורות בעולם. עושים זאת באמצעות זיופי תוצאות.

עושים זאת באמצעות איומים וענישה. 

עושים זאת באמצעות שוחד.

עם הממשלה החורבנית הזו לא אתפלא אם ישללו זכות בחירה מאנשים המשתייכים לקבוצות שמצביעות "לא נכון" לטעמה של הממשלה: ערבים, נשים, להט"בים, שמאלנים, אנשי מרכז, אנשי ימין אידיאולוגי שונאי שחיתות, טייסים רופאים וכיו"ב. 

לא פעם ראשונה

ב-26 בדצמבר נערכו פריימריז בליכוד. בנימין נתניהו (72.5%) ניצח את גדעון סער (27.5%). 

לכאורה, בחירות דמוקרטיות בתוך מפלגה. הרושם שקיבלתי היה שונה.

אבהיר להערכתי, גם בבחירות פנימיות דמוקרטיות למהדרין בנימין נתניהו היה מנצח את גדעון סער בהפרש גדול. 

למרות זאת, קרו במהלך הבחירות הללו דברים שנועדו לפגוע במצביעים חשודים כתומכי גדעון סער. 

כך למשל, מאחד מחברי הכנסת שכיהנו בה מטעם הליכוד נמנעה בחירה בפריימריז בטענה טכנית. 

האיש הזדהה כתומך בגדעון סער. 

הערכה שלי מבוססת גם על מידע פנימי מהליכוד. 

לרוע מזלי, מישהו טעה בהקלדת מספר הטלפון של חבר מרכז ליכוד. הוקלד בטעות מספר הטלפון שלי במקום שלו (כנראה הבדל בספרה אחת).  

הוצפתי בהודעות SMS, הודעות וואטסאפ ושיחות טלפונים. 

ביניהן גם הודעה מהמטה של נתניהו עם איומים על תומכי סער. הם כונו משת"פים והובטח שיבואו איתם חשבון לאחר הבחירות הפנימיות.

אם זו ההתנהלות בבחירות בהן הזכייה מובטחת, מה יקרה בבחירות לכנסת שבהן קרוב לוודאי שהליכוד יפסיד?

השורה התחתונה

אם הממשלה הזו תמשיך עד סוף הקדנציה, כבר לא יהיו בחירות דמוקרטיות במדינת ישראל.

דיוג לא רק של אנשים פרטיים ולא רק למטרות של הונאות כספיות

 

מי שקורא פוסטים שלי ושל אחרים על דיוג (Phishing), נוטה לחשוב שזו הונאה פשוטה המכוונת לאזרחים תמימים על מנת להונות אותם כספית. 

זה נכון אבל רק באופן חלקי. סיכוני רשת הם סיכונים כמו סיכונים אחרים. טווח הסיכונים כולל אנשים פרטיים אבל גם ארגונים ומדינות. 

בדיוג אפשר להשתמש לא רק כדי לדוג מידע אישי. אפשר לדוג מידע עסקי ואפשר לדוג מידע על מדינות. 

מידע עסקי דגים לא רק כדי לבקש כופרה. יותר שכיח דיוג למטרות תחרות עסקית.

מידע על מדינות עלולים לדוג גם למטרות של תחרות כלכלית בין מדינות אבל גם על ידי גורמים עוינים לשימוש המיועד לפגוע במדינה ו/או באזרחיה.

פוטנציאל לדיוג מידע ביטחוני

לאחד מה-Connections שלי ב-Linkedin קוראים אבי וייסמן. 

שלא כמו חלק לא קטן מה-Connections שלי, אותו אני מכיר אישית. 

בשנת 1994 הייתי יועץ מחשוב של חברת הפניקס הישראלי. אבי וייסמן היה איש מכירות של אחד הספקים. ישבנו ביחד לא מעט שעות. 

כעצמאי בתחום המחשבים ניסיתי לבנות רשת גדולה של קשרים באמצעות Linkedin. 

אי אפשר לדעת אילו הזדמנויות יצמחו משם. צמחו לי כמה הזדמנויות כאלה שהתבטאו בעבודות. 

זוהי גם הסיבה שנעניתי לבקשתה של גברת ישראלית שהציגה את עצמה כבכירה בתחום המחשוב בארגון ביטחוני בישראל להיות Connection שלה.

לא הייתי היחיד. מצאתי הרבה אנשי הייטק ישראלים שהיכרתי אישית, שעשו את מה שאני עשיתי. 

בינתיים אבי וייסמן התקדם והפך למנכ"ל של בית ספר לאבטחת מידע. 

חלק מהאנשים שעבדו שם היו מומחים ברמה גבוהה בתחום זה.

יום אחד הוא שלח הודעה לכל ה-Connections שלו. בהודעה שלו נכתב שהפרופיל של הגברת הזו מזויף והיא שייכת לארגון עויין. מיד ניתקתי את הקשר שלי איתה בפלטפורמה. 

מדוע נזכרתי בזה דווקא עכשיו?

אתמול (31.7.2023) לפני שעה 7:00 בבוקר נסעתי במכונית שלי. שמעתי חלק מראיון בגלי צה"ל עם אדם שברור לי שהוא מבין על מה הוא מדבר. 

הוא רואיין בנושא ניסיונות של האירנים לאסוף מידע על ישראל. 

אחד האמצעים שלהם הוא Phishing. 

לטענתו, במקרים רבים זה מכוון כלפי מוסדות מחקר ישראלים. למידע שיש להם עשויה להיות תועלת גדולה למכונת המלחמה האירנית.

המושג הכללי הזה, "מוסדות מחקר ישראלים", נפרט לפרטים ומגיע לאנשים שיושבים ליד מסך ומקלדת. 

האיש אומר, בצדק, שעובדים של מוסדות כאלה צריכים להיזהר מללחוץ על קישורים חשודים. כמובן שלא רק הם. 

אני מעריך ומקווה, שלעובדים בארגונים ביטחוניים יש מודעות לסיכוני דיוג. 

זה הרבה פחות ברור ביחס לעובדי מוסדות מחקר. 

כמובן שגם אנשים פרטיים המחזיקים במידע כזה צריכים להיזהר. 

לא צריך להסתפק בכך שלא לוחצים על קישור. חשוב גם ליידע גורם מוסמך.

בסופו של יום החוליה החלשה באבטחת מידע היא בני אדם ומודעות היא אחד הגורמים הקריטיים.

סיכוני גניבת מידע עסקי

בתחילת המאה השתתפתי כ-Free Lancer ביעוץ באירופה. 

אחת המטלות שלי הייתה ביצוע Penetration Test. לא מבצעים Penetration Test בלי הכנה מוקדמת ותכנון.

במסגרת ההכנה קראתי Research Note של אחת מחברות האנליסטים. 

הובאה בו דוגמה של חברה שלא הבטיחה מספיק טוב את המידע שהיה לה בגיליונות ה-Excel. 

הגיליונות דלפו החוצה ואיכשהו הגיעו למתחרה של החברה. 

המידע המודלף כלל את כל התכנית העסקית והשיווקית של החברה. 

המתחרה היה יכול להסתיר את זה שהמידע הגיע אליו ולהשתמש בו על מנת לקדם את התחרות שלו מול אותה חברה.

הוא בחר באפשרות קטלנית יותר. 

הוא פירסם שמערכות המחשוב של המתחרה שלו נפרצו והמידע העסקי הקריטי שלו הגיע גם לידיו.

מה ניתן ללמוד מהדוגמה?

במועד שבו נחשפו נתונים עסקיים של אותה חברה אף לא אחד דיבר על Phishing. 

היום הרבה יותר קל לנצל לחיצות על קישורים והזנחות אחרות של בטיחות מידע על מנת לחשוף נתונים עסקיים. 

זה מחייב היערכות ומודעות של חברות עסקיות. 

זה מחייב גם מודעות של עובדים ושותפים של חברות. 

במיוחד היום כשרבים עובדים מהבית.

עוד הערה קטנה

לפעמים מידע קריטי עסקי של ארגון נחשף רק לפני הבכירים ביותר בארגון. גם אם מודעים לסכנות לא פעם המידע נחשף גם לכאלה שעובדים איתם צמוד. 

לרוב מדובר במזכירה או ראש לשכה. לא תמיד המזכירה מודעת באותה מידה לסיכונים.

השורה התחתונה

הגורם הקריטי ביותר במניעת דיוג הוא מודעות. חשוב לשמור על מודעות גבוהה לאורך זמן.