מאת: ארז דסה, מומחה אבטחת מידע ומנהל ערוץ הטלגרם "חדשות סייבר"
השבוע דיווחה חברת KnowBe4 המספקת פתרונות וכלים להעלאת מודעות בתחום אבטחת המידע, כי היא גייסה לחברתה האקר מצפון קוריאה לאחר שזה הצליח להערים על החברה באמצעות AI.
בהודעה שפרסם מנכ"ל החברה הוא מדווח כי במסגרת תהליך הגיוס למפתח תוכנה חדש למחלקת ה-AI, קיבלה החברה קורות חיים של מועמדים וביצעה ראיונות, בדיקות רקע ובירורים נוספים ולבסוף החליטה לגייס את אחד המועמדים.
צוות הגיוס בחברה ביצע למועמד ארבעה ראיונות וידאו תוך שהם מאשרים כי המועמד אכן דומה לתמונה שנשלחה בקורות החיים. בנוסף ביצע צוות הגיוס למועמד בדיקות רקע מקיפות והכול היה נראה תקין הודות לזהות הגנובה בה השתמש המועמד (שבדיעבד התברר כתוקף), ולשינויים שביצע התוקף בתמונה שלו באמצעות AI.
תמונות מצ"ב, התמונה משמאל היא התמונה המקורית והתמונה מימין היא התמונה המעובדת שנשלחה לצוות הגיוס.
בתום תהליך הראיונות, החברה אכן גייסה את המועמד ושלחה לו מחשב ואת כל הציוד הנדרש להתחלת עבודה. אך מיד עם קבלת המחשב החל ההאקר הצפון קוריאני, לנסות ולהטמיע נוזקות (Malware) שונות ברשת של החברה. מוצר ה-EDR (זיהוי ותגובה בתחנות הקצה) שלח התראות לצוות ה-SOC (אבטחת מידע), ואלו יצרו קשר עם העובד כדי לנסות להבין מה קרה. העובד ענה שהוא רק ניסה לשנות הגדרות במחשב בשביל לשפר את מהירות האינטרנט….
אך התשובות המפוקפקות והמענה החלקי לא סיפקו את צוות ה-SOC (אבטחת המידע) ומידע שנאסף מהעמדה של העובד נשלח לחקירה אצל מנדיאנט.
תוך זמן קצר התברר גודל המחדל – מדובר היה בתוקף מצפון קוריאה שהצליח להערים על החברה בכל תהליך הגיוס והציג את עצמו כאילו הוא עובד המתגורר בארה"ב.
הכתובת שסיפק ל-KnowBe4 עבור שליחת הציוד הייתה למעשה חוות מחשבים ניידים אליה התחבר התוקף מצפון קוריאה באמצעות VPN תוך שהוא עובד בשעות הערב על מנת לדמות עבודה בזמן של ארצות הברית.
מה ניתן להסיק מהמקרה?
למרות בדיקות הרקע בחברה, שכל מהותה זה מודעות לאבטחת מידע, בדיקות אלה לא הספיקו בשביל לזהות את התרמית, אז סביר להניח שבמקומות אחרים המצב גרוע אף יותר.
בדיעבד, חברת KnowBe4 מציינת כי היו לה כמה סימנים מחשידים אך אלו לא קיבלו את תשומת הלב הראויה, כמו כן תהליך בדיקות הרקע לא היה מהודק מספיק.
מה ניתן ללמוד מהאירוע?
כמו בכל טכנולוגיה, הבינה המלאכותית נמצאת בשימוש של האקרים ותוקפים בדרכים שונות, ההאקרים מסביב לעולם רותמים את הטכנולוגיה לשימושם ומסתייעים בה כדי לבצע פעולות זדוניות. אמנם במקרה הנוכחי מדובר היה בתוקף זדוני אך השימוש בבינה מלאכותית בשוק העבודה מתרחב לאזורים נוספים בתחום חיפוש העבודה. כך לדוגמה, ממש לאחרונה הוצג סרטון בו נראה מועמד בריאיון זום עונה על כל השאלות של המראיין, תוך שבינה מלאכותית מספקת לו את כל התשובות בזמן אמת.
כיצד ניתן להתמודד עם הסיכון?
בכדי להימנע ממקרים דומים בעולם העבודה הדינמי שבו אנו נמצאים, עלינו לאמץ כמה כללים בסיסיים בתהליכי הגיוס בחברה:
– בדיקות הרקע לעובדים צריכות להיות מעמיקות יותר, תוך מתן תשומת לב לפרטים ולאי התאמות.
– ודאו כי הציוד נשלח לכתובת בה העובד הצהיר שהוא גר.
– לאמת את המיקום של המשתמש, בייחוד כשמדובר בעובד המיועד לעבוד מרחוק, ללא הגעה פיזית.
– לדבר עם ממליצים ולאמת עד כמה שאפשר גם את הזהות של הממליצים (חשבונות ברשתות חברתיות, חברים משותפים וכד')
– אם אתם מספקים לעובדים מחשבים ניידים עבור חיבור מרחוק לרשת החברה – הגבילו ונטרו את המחשב כך שלא ניתן יהיה להתחבר לאותו מחשב מרחוק.
הרשמה לניוזלטר השבועי
כל מה שחשוב לדעת – במייל אחד.
הישארו מעודכנים עם חדשות שניתן לסמוך עליהן.
• לעוד תכנים ועדכונים הרשמו לערוץ הטלגרם שלנו: לחצו כאן
• מצאתם טעות? יש לכם שאלה? תגובה? פנו אלינו דרך הטלגרם או דרך המייל
