הבוס על הקו? כך תזהו הונאות קול AI ותגנו על כספי העסק

עברייני סייבר יכולים לשכפל את קולו של כל מנהל בעזרת AI ולגרום לעובדים להעביר כספים. המאמר הזה יסביר איך לזהות את האיום וכיצד להתגונן.
בקצרה: הונאות קול AI הן מתקפה בה תוקפים משכפלים קול של בכיר בארגון באמצעות בינה מלאכותית, ודורשים מעובדים לבצע העברות כספים דחופות. מספיקות דגימות קול קצרצרות, אפילו מתוכן ברשתות החברתיות, כדי ליצור שכפול משכנע ולהוציא לפועל הונאות הנדסה חברתית מתוחכמות.

הבוס על הקו? כך תזהו הונאות קול AI ותגנו על כספי העסק

דמיינו שאתם מקבלים שיחת טלפון דחופה מהמנכ"לית. היא נשמעת לחוצה ומבקשת מכם לבצע העברת כספים גדולה לספק חדש, באופן מיידי וללא דיחוי. הקול שלה, הטון, הכל נשמע מוכר. אבל האם זו באמת היא? ברוכים הבאים לעידן הונאות הקול מבוססות הבינה המלאכותית (AI), איום חדש ומתוחכם שמכוון ישירות לקופת העסק שלכם.

מהי הונאת קול (Vishing) באמצעות AI, ומדוע היא כל כך מסוכנת?

הונאת קול, המכונה גם Vishing (קיצור של Voice Phishing), היא מתקפת הנדסה חברתית שבה התוקף משתמש בטלפון כדי להערים על הקורבן. הגרסה החדשה והמטרידה של מתקפה זו רותמת כלי בינה מלאכותית כדי לשכפל את קולו של אדם ספציפי, מנהל, עמית לעבודה או אפילו בן משפחה.

הטכנולוגיה הזו הפכה לנגישה ומסוכנת במיוחד. לפי מחקר של McAfee, ניתן להשתמש בדגימת קול של 3 שניות בלבד כדי ליצור שכפול קול ראשוני, אם כי נדרשים נתונים נוספים כדי להגיע לרמת דיוק גבוהה. דגימות כאלו זמינות לכל דורש מתוך סרטוני יוטיוב, פודקאסטים, וובינרים או אפילו פוסטים תמימים ברשתות החברתיות. התוצאה היא מתקפה משכנעת במיוחד, שבה עובד תם לב משוכנע שהוא מדבר עם הבוס ומקבל הוראה לגיטימית להעביר כספים.

כמה גדול הנזק? המספרים מאחורי הונאות הקול

האיום אינו תיאורטי כלל. הונאות קול הן לרוב חלק ממסגרת רחבה יותר של הונאות התחזות עסקיות (Business Email Compromise – BEC), הגורמות לנזקים אדירים ברחבי העולם.

  • קרוב ל-2.8 מיליארד דולר: זהו סך ההפסדים המדווחים מהונאות BEC בארה"ב לבדה בשנת 2024, לפי נתוני ה-FBI.
  • 77%: מבין אלו שדיווחו כי נתקלו בהונאת קול מבוססת AI, 77% דיווחו על הפסד כספי, על פי סקר של McAfee.
  • 70%: מכלל המבוגרים שהשתתפו בסקר בינלאומי אינם בטוחים ביכולתם להבחין בין קול אנושי אמיתי לקול משוכפל על ידי AI. חוסר הביטחון הזה הוא כר פורה עבור התוקפים.

איך תזהו בזמן אמת שיחת טלפון מזויפת מ'הבוס'?

היכולת להבחין בין שיחה אמיתית לזיוף AI היא קריטית. בעוד שהטכנולוגיה משתפרת, עדיין קיימים סימנים מחשידים שהאזנה קשובה יכולה לחשוף. הטבלה הבאה מרכזת את ההבדלים העיקריים:

סימן זיהוי שיחת הונאה (Deepfake) שיחה אותנטית
טון הדיבור מונוטוני, שטוח או רגשני באופן מוגזם. עלול להשתנות בפתאומיות אם עובר מ-AI למפעיל אנושי. טבעי, עם ניואנסים ושינויים רגשיים התואמים את הסיטואציה.
לחץ ודחיפות דרישה לפעולה מיידית, תוך שימוש במילים כמו "דחוף", "סודי", "עכשיו". גם אם הנושא דחוף, ניתן לנהל שיחה, לשאול שאלות ולקבל הבהרות.
אופי הבקשה בקשה חריגה להעברת כספים, רכישת גיפט קארד, או מסירת פרטים רגישים. הבקשה תואמת את הנהלים המקובלים בחברה. אין דרישה לעקוף נהלים.
איכות השמע רעשי רקע מוזרים, שקט מוחלט ולא טבעי, או עיוותים קלים בקול. רעשי רקע רגילים (משרד, רחוב) ואיכות קול התואמת שיחת טלפון רגילה.
אינטראקציה השהיות קלות לפני מענה לשאלות, בזמן שה-AI מעבד את הנאמר. תגובות מיידיות וזורמות, יכולת לנהל שיחה ספונטנית.

הכלל החשוב ביותר: אם משהו מרגיש לא בסדר, הוא כנראה לא בסדר. סמכו על האינטואיציה שלכם.

ארבעה צעדים פשוטים להגנה על כספי החברה

הגנה אפקטיבית נגד הונאות קול לא דורשת טכנולוגיה מורכבת, אלא בעיקר נהלים ברורים ומודעות גבוהה.

  1. קבעו נוהל אימות רב-ערוצי: זהו הצעד החשוב ביותר. קבעו מדיניות ברורה לפיה כל בקשה להעברת כספים, במיוחד כזו החורגת מהשגרה, חייבת להיות מאומתת בערוץ תקשורת שני. אם קיבלתם בקשה טלפונית, נתקו את השיחה, המתינו דקה וחייגו חזרה למספר המקורי של המנהל השמור אצלכם באנשי הקשר. לעולם אין להשתמש במספר שהמתקשר סיפק או לחייג חזרה למספר שהופיע על הצג.
  2. הדריכו את העובדים: החוליה האנושית היא קו ההגנה הראשון והאחרון. קיימו הדרכות קבועות על איומי סייבר עדכניים, כולל הונאות קול. למדו את העובדים לזהות את הסימנים המחשידים ועודדו תרבות ארגונית שבה מותר ורצוי לשאול שאלות ולאמת הוראות, גם אם הן מגיעות מהדרג הבכיר ביותר.
  3. צמצמו חשיפה קולית פומבית: עודדו את המנהלים והעובדים הבכירים להיות מודעים לטביעת הרגל הקולית שלהם ברשת. אין צורך להפסיק להקליט פודקאסטים, אך יש להבין שכל קטע אודיו פומבי עלול לשמש דגימת קול.
  4. הטמיעו מדיניות אבטחת סייבר ברורה: הגדירו נהלים מחמירים לביצוע תשלומים, שינוי פרטי בנק של ספקים ואישור עסקאות חריגות. ודאו שהנהלים כוללים הפרדת סמכויות ודורשים אישור של יותר מאדם אחד עבור סכומים משמעותיים.

מה חשוב לזכור

המאבק בהונאות קול AI הוא מרוץ חימוש מתמיד. בעוד שהתוקפים משכללים את שיטותיהם, עקרונות ההגנה הבסיסיים נותרים בעינם. הנה סיכום הנקודות החשובות ביותר:

  • ספקנות היא כלי עבודה: כל בקשה חריגה, במיוחד כזו הכרוכה בכסף, לחץ זמן וסודיות, צריכה להדליק נורה אדומה ומחייבת אימות קפדני.
  • נתקו וחייגו חזרה: אם יש ספק, אין ספק. נתקו את השיחה וחייגו באופן יזום למספר המוכר והשמור אצלכם. זהו קו ההגנה היעיל ביותר.
  • הטכנולוגיה קיימת ונגישה: זיוף קול אינו מדע בדיוני. מספיקות 3 שניות של הקלטה כדי ליצור שכפול משכנע. אל תניחו ש"לי זה לא יקרה".
  • נהלים והדרכות מצילים כסף: ההשקעה הטובה ביותר היא בקביעת נהלים ברורים ובהדרכת העובדים. מודעות היא המפתח למניעת נזקים של מיליונים.

האיום של הונאות קול אינו תיאורטי, הוא כבר כאן. יישום הצעדים הללו אינו דורש משאבי ענק, אלא בעיקר מודעות ושינוי הרגלים.

שאלות נפוצות

כמה זמן הקלטה נדרש כדי לזייף קול באמצעות AI?

לפי מומחי אבטחת מידע, מספיקות דגימות קול קצרות של 3 עד 10 שניות בלבד כדי ליצור שכפול קול אמין באמצעות כלי AI. דגימות אלו יכולות להילקח בקלות מתוכן פומבי כמו סרטונים ברשתות חברתיות, הודעות קוליות או אפילו ממענה קולי.

מהם סימני האזהרה הנפוצים ביותר בהונאת קול מבוססת AI?

הסימנים הנפוצים כוללים תחושת דחיפות קיצונית, בקשה חריגה להעברת כספים תוך עקיפת נהלים, שינויים מוזרים בטון הדיבור, השהיות קלות לפני תשובות, וסירוב של הדובר לאמת את זהותו בדרך אחרת (למשל, שיחת וידאו).

מהו הצעד הראשון והחשוב ביותר שיש לעשות אם חושדים בשיחת הונאה?

הצעד החשוב ביותר הוא לנתק את השיחה ולחייג חזרה באופן עצמאי לאדם שאמור להיות על הקו, אך ורק למספר הטלפון המקורי השמור אצלכם באנשי הקשר. אין לסמוך על המספר שהופיע על הצג (שניתן לזייף) ואין להתקשר למספר שהדובר מסר לכם.

האם הונאות קול פוגעות רק באנשים פרטיים או גם בעסקים?

הונאות קול פוגעות גם באנשים פרטיים (למשל, התחזות לבן משפחה במצוקה) וגם בעסקים. בתרחיש העסקי, התוקפים מתחזים למנכ"ל או סמנכ"ל כספים ודורשים מעובדים לבצע העברות כספים דחופות לספקים פיקטיביים. הונאות אלו, המכונות Business Email Compromise (BEC), גורמות לנזקים של מיליארדי דולרים.

מקורות

רוצים לחבר אוטומציה או AI לעסק שלכם בלי כאב ראש? דברו איתנו.

תוכן עניינים

אולי יעניין אתכם גם:

קצת עליי

נעים מאד, אני ליאור,
נשוי ליעלי ואבא לעומר, אביב ונועה.

טכנולוג שמלמד כבר שנים רבות את עולמות השיווק, הטכנולוגיה וה-AI.

אני לוקח את הניסיון הטכני שלי והופך אותו לכלים פשוטים ופרקטיים, כדי לעזור לכם לשמור על הילדים שלנו בעולם המטורף הזה.

2T6A0230-Edit

תפריט נגישות