מי משלם על המחיר הנפשי של פשעי הסייבר?

חטיפת חשבונות סושיאל - המכונה ATO - עלולה להסב למי שחווה אותה סבל רב, ולא רק במובן הטכני ● המתקפות הללו גם עלולות לגרום ללקוחות לעזוב שירותים וחברות ● מה ניתן לעשות נגד התופעה?

אביב ששוני, מנהל פעילות ממשלה, צבא וביטחון ב-F5.

"לוקח 20 שנה לבנות מוניטין ו-5 דקות להרוס אותו", וורן באפט.

הציטוט המפורסם של באפט נכון היום, יותר מתמיד, בעידן הדיגיטלי. אם בעבר הייתה לרובנו הפריבילגיה להיות אנונימיים, כיום אנחנו, המעשים שלנו והחיים שלנו מתועדים ללא הרף באופן דיגיטלי על ידי אינספור אפליקציות. הפרסונה הדיגיטלית שלנו גלויה, מעוצבת עם הרבה מחשבה ומנוהלת באופן הדוק. לכן, כאשר התקפות דוגמת credential stuffing מאפשרות לפושעי סייבר להשתלט על חשבונות, התוצאות יכולות להיות הרסניות ברמה האישית.

על פי מחקר הונאות הזהות לשנת 2021 של Javelin Strategy and Research, הונאות של השתלטות על חשבונות (ATO – ר"ת Account Takeover) הביאו להפסדים של יותר מ-6 מיליארד דולר בשנת 2020. ארגונים אמנם מיישמים אמצעי הגנה חדשים, אך האקרים מפתחים כלים לעקוף אותם והגלגל ממשיך להסתובב

פאניקה ומבוכה הם רגשות אמיתיים הנובעים מאירועים המתרחשים במרחב הדיגיטלי. ארגון ה-ITRC, המתמקד בצמצום סיכונים הנובעים מגניבת זהויות, מתייחס לתופעת ההשתלטות על חשבונות כ"מגיפה". על פי נתוני הארגון, בשנת 2021 פנו כ-15,000 נפגעי פשעי זהות לקבלת שירותי תמיכה. הארגון מדווח כי חלה עלייה של 1,044% בהשתלטות על חשבונות במדיה החברתית משנת 2020 עד 2021.

על פי סקר שערך ה-ITRC, כ-66% מקורבנות ההשתלטות על חשבונות במדיה החברתית דיווחו כי חוו תגובות רגשיות חזקות בשל אובדן השליטה בחשבון המדיה החברתית: 92% הרגישו מחוללים, 83% מודאגים וחרדים, 78% הרגישו כעס, 77% הרגישו פגיעים, ו-7% חשו אובדניים.

חלקנו עשויים לראות את גניבת הזהות במדיה החברתית כאי נוחות גרידא, אולם הנתונים הללו ממחישים עד כמה המוניטין המקוון של האדם משפיע על רווחתו הרגשית, ולכן יש לקחת זאת בחשבון בזירת אבטחת המידע.

במקרה שנחשפתי אליו לאחרונה, טרבור וסטייסי, זוג ממוצע לחלוטין, נפל קורבן לפריצה לחשבונות  האינסטגרם שלהם, ככל הנראה על ידי מתקפת credential stuffing. אף אחד מהם לא הגדיר אימות רב-שלבי (MFA) כדי להתחבר לחשבון. שני בני הזוג הם אנשי מקצוע מצליחים, פעילים במדיה החברתית, ואחד מהם במקרה היה חובב קריפטו. פושעי הסייבר פרסמו באינסטגרם שלהם הודעה לא מעודנת על הסתבכות בתרמית כריית ביטקוין. מדובר היה בצילום מסך של iPhone, שכלל תמונה מהפרופיל שלהם והציג הודעת טקסט מזויפת מבנק אוף אמריקה (BOFA), עם צילום מסך של חשבון הבנק לכאורה של אחד מבני הזוג.

עלולה לפגוע במשתמשים, גם בהיבט הרגשי. חטיפת חשבון מדיה חברתית.

עלולה לפגוע במשתמשים, גם בהיבט הרגשי. חטיפת חשבון מדיה חברתית. צילום: אילוסטרציה. Shutterstock

הצרכנים ינטשו את האתר או האפליקציה אם חשבונם ייפרץ

לא צריך מומחה לאבטחת מידע כדי לזהות שמדובר בהונאה. עבור שני בני הזוג זו הייתה מסכת ייסורים. טרבור הסתייע באמצעי זיהוי הפנים של אינסטגרם, הסורק את הפנים ומשווה זאת מול הספרייה האינסופית של הרשת החברתית לתמונות מתויגות. הוא הצליח להחזיר לעצמו את הגישה תוך 27 שעות ולהגדיר אימות דו-גורמי לגישה לחשבון. סטייסי, לעומת זאת, עזבה את המדיה החברתית לחלוטין.

פאניקה ומבוכה הן לא סוג הרגשות שאנחנו מאחלים ללקוחות שלנו כאשר הם משתמשים בשירותים הדיגיטליים שלנו. למרות שדוגמה זו ספציפית למדיה החברתית, הרגש הוא משהו שכולנו יכולים להיות שותפים לו והוא לא יוצא דופן כשמדובר בפריצה לשירותים דיגיטליים אחרים. צרכנים יפסיקו להשתמש באתר או באפליקציה שלכם אם חשבונם ייפרץ.

בין אם מדובר במדיה חברתית, פינטק, מסחר אלקטרוני או כל ארגון אחר עם בסיס משתמשים שניתן לנצל, התקפת credential stuffing היא משחק של חתול ועכבר, שנמצא כאן כדי להישאר, עם השפעה ניכרת.

על פי מחקר הונאות הזהות לשנת 2021 של Javelin Strategy and Research, הונאות של השתלטות על חשבונות הביאו להפסדים של יותר מ-6 מיליארד דולר בשנת 2020. ארגונים אמנם מיישמים אמצעי הגנה חדשים, אך האקרים מפתחים כלים לעקוף אותם והגלגל ממשיך להסתובב.

אז איך עסקים יכולים להילחם בחזרה?

בדו"ח שפורסם לאחרונה על ידי קבוצת Aite Group, התראיינו מנהלי סיכונים של מוסדות פיננסיים, חברות פינטק וחברות מסחר אלקטרוני, כדי ללמוד כיצד הם מגינים על עצמם מפני המספר ההולך וגדל של התקפות ATO. אלו התובנות העיקריות שעלו מהדו"ח:

  • מרבית הצרכנים משתמשים באותו קומץ של שמות משתמש וסיסמאות, ויוצרים חולשת אבטחה המנוצלת על ידי קבוצות פשע מאורגנות.
  • משטח ההתקפה הזמין ממשיך להתרחב, דבר שהופך את הזיהוי וההתמודדות למורכבים יותר.
  • ארגונים זקוקים לפתרון שממנף ניתוח נתונים בזמן אמת, המשלב Machine Learning (למידת מכונה), כדי לעמוד בנפח הנתונים ובקצב ההתקפות אוטומטיות ולחסום פעילות זדונית לפני שהיא משפיעה על העסק.
  • חברות עם הגנות חזקות יראו ירידה בהיקף ההתקפות ככל שעבריינים ממקדים את ההתקפות שלהם ביעדים קלים יותר.

כשמסתכלים על ההשפעות הכלכליות של התקפות ה-ATO, חשוב לזכור כי לפשעים אלה יש גם זווית אנושית והשפעה נפשית. מניעת הונאה לא רק נוגעת לחיסכון בכסף. לא פחות חשוב למנוע טראומה, שיכולה לשבש את בסיס האמון בעתיד דיגיטלי אידיאלי יותר. בזירה הדיגיטלית, כמו בעולם הפיזי, אנחנו רוצים בטיחות, ביטחון ואמון.

הכותב הוא מנהל פעילות ממשלה, צבא וביטחון ב-F5

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. תמיר

    כל מילה בסלע, אכן קריירות שלמות ועסקים קטנים שחיים בדיגיטל עשויים להעלם אם המוניטין יפגע או שהזהות נגנבת. מעבר לעוגמה של איבוד תוכן אישי וחשוב של האנשים.

אירועים קרובים