מתקפות הסייבר הגוברות: האם הכסף שלנו שמור?

מגפת הקורונה והמשבר הכלכלי שנוצר בעקבותיה, הביאו לעלייה דרמטית במתקפות סייבר והונאות מקוונות. המעבר לעבודה מהבית והשימוש ההולך ומתעצם בענן, משמשים כר נרחב לפעילות של האקרים ונוכלים והמערכת הפיננסית תופסת "מקום של כבוד" בשורת המותקפים.

כתבות נוספות באתר מקור ראשון:
– שהחיינו: הטלטלה במשרד האוצר עברה בלי מילה אחת על מגדר
– שמתם לב שהכול קיצוני יותר? מישהו מנווט את זה, וזה לא נתניהו
– רווקים בחגים: גיהנום בימי קורונה

בכל יום מתבצעים עשרות אלפי ניסיונות הונאה ומתקפות סייבר על גופים פיננסיים בישראל ובעולם, ואלו התגברו מאוד בחודשים האחרונים. לא רק גניבת כספים, אלא גם נתונים רגישים, פרטי חשבונות של לקוחות ומידע פיננסי – מהווים מטרה לפצחנים.

"כשמנתחים את המצב, אנחנו רואים שבתחילת משבר הקורונה, בחודשים מרץ-אפריל, כשרוב מדינות העולם התעסקו עם הגל הראשון של הקורונה, גם האקרים וארגוני פשיעה נכנסו לסוג של סגר", אומר לנו בועז דולב מנכ"ל חברת "קליר-סקיי" המתמחה במודיעין סייבר וסיוע לחברות באירועי תקיפה בזמן אמת. "כולם היו במצב של עצירה, אז באופן כללי חלה ירידה יחסית בכמות התקיפות מול חברות ומוסדות פיננסיים. אלא שבמשך הזמן עם המעבר הגדול של עובדים לעבודה מרחוק, התקיפה מול החברות גדלה. ובעיקר ניסיונות התקיפה מול העובדים ברבעון השני והשלישי הלכו וצברו תאוצה".

דולב מציין את הגידול בתקופה האחרונה בתקיפות כופרה מול חברות, תוך ניסיונות לסחוט כסף. המתקפות הללו מתבססות על נוזקות (תוכנות זדוניות שמותקנות במחשב ללא ידיעת המשתמש), שמועברות דרך קישור בהודעות טקסט בצ'ט ובמייל. הקורבן מקליק על הקישור וכך הנוזקה "נכנסת" למחשב. באמצעות תוכנות השתלטות וניצול פרצות במערך האבטחה של החברה, משתלט התוקף על המחשב או השרת ומונע את השימוש בו.

"מדובר במהלך מאוד מחושב ומתוכנן", אומר דולב. "אותם האקרים אוספים קודם כול מידע על החברה, תהליך שיכול לקחת גם שבועות, זה ממש מבצע. צריך לדעת שכל מי שחושף שירות או אתרי מידע, אם הוא לא שומר על עדכון של כל טלאי אבטחה מהיר באינטרנט, הסיכוי שהוא ייפגע הוא כמעט ודאי כיום".

נציין כי רק לאחרונה עלתה לכותרות תקיפה כזו נגד חברת השבבים הישראלית טאואר, שנאלצה לשלם כופר כדי לשחרר את שרתי החברה שהושבתו.

במקביל לעלייה הכללית בתקיפות, חלה בשבועות האחרונים עלייה משמעותית בכמות התקיפות על המגזר הפיננסי. "אנחנו עדים לגל תקיפות של קבוצות תקיפה אירניות", אומר דולב. "חלק מתוך רצון לייצר תשתיות חדשות אחרי שבתחילת השנה נחשפו תשתיות שלהם, וגם סוג של נקמה בישראל על מה שקורה באיראן. יש גם עלייה ברמת התחכום של אותן קבוצות".

כמו בחברות אחרות, גם רבים מעובדי הגופים הפיננסיים עברו לעבודה מהבית. והתקפות הסייבר, כאמור, "התאימו את עצמן" והן לא מסתכמות רק בתקיפה חיצונית בניסיון לשבור את חומת האבטחה של הבנק.

אחד האיומים המרכזיים שהפך מאוד בולט בשנים האחרונות, וכעת מקבל משנה תוקף, הוא האיום מבפנים. עובד בבנק שיש לו גישה למערכת יכול לעשות המון נזק, ולא מדובר בהכרח בנזק שנעשה בזדון.

גורם המעורה בתחום מציין כי הבנקים בארץ מותקפים באופן קבוע על ידי קבוצת האקרים בניסיון לדוג הרשאות מעובדים, בין אם זה אינספור מיילים שנשלחים לעובדים, מסמכים ועוד. "הם מנסים למצוא חולשות כל הזמן כדי למצוא את הדרך פנימה. לטעויות הקטנות הללו יש מחיר מאוד גבוה".

סוג תקיפה נוסף, שמרימה ראש בשבועות האחרונים, מכונה "תקיפת מניעת שירות". זוהי תקיפה מאורגנת על אתר השירות של החברה, כגון אתר הבנק, מתוך רצון ליצור עומס גדול על אתר השירות. כתוצאה מכך, לקוחות לא יכולים להיכנס לאתר ולא ניתן לבצע פעולות. כך, ככל שהארגון יותר "דיגיטלי" ויותר פעולות מוצעות ומבוצעות אונליין באתר ובאפליקציה, אז הפגיעה קשה יותר. כפי שזה נראה, לנוחות יש גם מחיר.

שאלת השאלות היא האם המערכת הבנקאית ערוכה להגן על הכסף שלנו מפני שלל התקיפות. לדברי דולב, הבנקים וחברות האשראי פרשו בשנים האחרונות מערכות הגנה טובות. "לאחרונה ראינו תקיפות שירות נגד מרבית הבנקים בישראל, והם עמדו בזה מאוד יפה, אם כי זה יצר עיכובים בשירות לזמן מה. יש היום הרבה פתרונות להתקפות כאלו, אך זה מחייב השקעה כספית. ככלל, הבנקים מצליחים להדוף 99 אחוז מהתקיפות שנעשות נגדם".

ואמנם הבנקים הגדולים בישראל עומדים בסטנדרטים כמו מוסדות פיננסיים גדולים באירופה ובארה"ב והם משקיעים בכך הרבה משאבים. "הבנקים בארץ נערכים לתרחישים מגוונים מאוד, גם כאלו שידועים וגם כאלו שלא ידועים", אומר למקור ראשון בכיר במערכת הבנקאית המעורה בנושא.

"קיימות יחידות אבטחה ייעודיות שעוסקות בהגנה על הכסף, המידע והנכסים הן של הבנק והן של הלקוחות", הוא מבקש להרגיע. "יש הגנה משולבת בשכבות – טכנולוגית ותהליכית, וכוח אדם מאוד מיומן שמבטיח גם את שלמות המידע, זמינות המידע ואת חשאיות המידע".

אלא שבעוד הבנקים משקיעים משאבים ומחלקות שלמות למלחמה ב"מפגעים", הפצחנים והנוכלים למיניהם מנסים את מזלם בחולייה החלשה – ציבור הלקוחות. בעיקר באמצעות "פישינג" (דיוג) – ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט, אם בצורה ממוקדת הפונה כביכול באופן אישי (לעיתים תוך התחזות לקרוב או חבר), או פישינג לא ממוקד המנסה לדוג פרטי אשראי תוך הזדהות לבנקים, למשל. מדובר בעשרות אלפי תקיפות ומיליוני אנשים שפרטי ההזדהות שלהם נגנבו בפריצות אלה, בהם אלפי ישראלים. היקף הכספים שנגנבו בצורה זו ברחבי העולם הוערך בשנת 2018 בסכום של יותר ממיליארד דולר.

"המטרה שלהם לגנוב את ההרשאה שלך לבנק או לחברות האשראי ולגנוב ממך כסף", מציין דולב. "זה המעגל האחרון שהוא המעגל האישי. לא מנסים לתקוף את הבנק, אלא אותך. בדרך כלל זה נעשה על ידי קבוצות פשיעה קטנות, ברמה נמוכה יחסית כגון קבוצות מעזה ומטורקיה".

האם יש גבול שעובר בין האחריות של הלקוח לאחריות של הבנק?

"יש אחריות משותפת על הגנה בין חברה בכלל ללקוח שלה", אומר הגורם הבכיר מהמערכת הבנקאית. "החברה עושה את כל המאמץ להגן ועדיין יש גם אחריות ללקוח. הוא צריך להיות מודע לסיכון ולא להכניס פרטים אישיים ללינקים מתחזים או עם תוכן בשפה עילגת, או לאתר שהוא לא האתר הרשמי של הבנק. ככלל, הבנק אף פעם לא יפנה ללקוח ויבקש פרטים מזהים כמו סיסמה או קוד סודי".

ואמנם, הגבול הדק בין אחריות הבנק ונכונותו לכסות את הנזק שנגרם ללקוח, אל מול אחריות הלקוח באם קיימת כזו – מעט מטושטש. בעוד הבנקים עוטפים את עצמם בהגנות שונות תוך שימוש בשלל המשאבים העומדים לרשותם, החולייה החלשה כאמור היא ציבור הלקוחות ויש הטוענים כי לא ירחק היום שבו מוסדות פיננסיים יגלגלו את האחריות על הלקוחות עצמם, במקרים שייראו להם כ"רשלנות".

מעבר לחובת הזהירות שחלה על הלקוחות, איך מתמודדים עם זה ברמה המערכתית?

דולב: "במקרים הללו יש מאמץ מרוכז של חברות המתמחות בכך, לאתר אתרים מתחזים וברגע שמאתרים אותם, המשימה היא להוריד אותם מהאוויר. אם זה אתרים ואם זה הודעות ווטסאפ או אסמס, פשוט להוריד אותם. זה סוג של משחקי חתול ועכבר".

עד כמה המציאות הזו מטרידה את המערכת?

"כשאתה מסתכל על כמות הטרנסקציות (העסקאות הכלכליות, א"ר) והסכומים האדירים שמועברים בכל יום, אז המקרים הללו זעומים יחסית להיקף הפעילות", אומר דולב.  "אבל בגדול, כשמסתכלים על כלל הפשיעה המקוונת, מתקיפה ברמת המדינה, המשך בכופרה ובמניעת שירות וכלה בתקיפה אישית, זה בהחלט מעיק ומחייב השקעה גדולה גם בניטור וגם בעמידה על המשמר".

נציין כי למרות הפעולות השונות שנוקטים הגופים הפיננסיים, ולמרות היותם מפוקחים – אף אחד לא מחייב אותם לספק מידע על אירועי תקיפה לציבור הלקוחות ובכלל. גם אם ייגרם נזק, כנראה שהבנקים יוכלו להכיל את זה והבעיה הגדולה באמת שממנה הם חוששים היא תגובת הציבור.

דברים ברוח זו אמר גם מנכ"ל בנק ישראל הפורש, חזי כאלו, בריאיון שקיים לפני מספר ימים, לפיו הדבר שהוא הכי חושש ממנו זה איבוד אמון הציבור בבנקים בעקבות פריצה מקוונת לאחד הגופים הפיננסיים. בבנקים כאמור, טוענים כי הם עושים הכול כדי שזה לא יקרה.