כנס הסייבר
מיקי בודאי: "כדי לגנוב מידע בעשרות מיליוני דולרים אין צורך בתחכום יוצא דופן"
"כשאנחנו חושבים על התקפות סייבר, התמונה הראשונה שעולה היא של תחכום", אומר מיקי בודאי, המשקיע ויזם הסייבר הוותיק בכנס הסייבר 2020 של כלכליסט, "אבל בפועל, ההתקפות הרבה פחות מתוחכמות ממה שאנחנו מדמיינים"
בודאי ביקש להציג את אחת הפרקטיקות השכיחות לפריצה וגניבת מידע על ידי סיפור המבוסס על שני מקרים אמיתיים. "במקרה הראשון, המטרה הייתה לגנוב כמות גדולה של כסף מאדם פרטי ובמקרה השני המטרה הייתה לגנוב מידע מארגון גדול", תאר בודאי. "בשני המקרים התוקף בחר יעד, אדם ספציפי, והחל לאסוף מידע לגביו. אותו איסוף מידע לא התבצע באופן מתוחכם למדי, התוקף השתמש באמצעים לגיטימיים לכאורה, עקב אחרי הפרופילם של אותו אדם ברשתות החברתיות כמו לינקדין, פייסבוק ואינסטגרם ודרכם למד רבות אודותיו".
"כך, למד התוקף שהיעד שלו חובב מוזיקה ומתעניין בשירותי מוזיקה דיגיטלים. השלב הבא היה להרים טלפון לאותו אדם ולספר לו שפונים אליו מחברת סלולר מסויימת במטרה לשכנע אותו לעבוד להשתמש בשירותיה. 'לא רק שאני אתן לך הצעה הרבה יותר משתלמת מזו שיש לך כרגע, אני גם אתן לך מנוי חינם לספוטיפיי ולאפל מיוזיק למשך שנה ושני כרטיסי VIP למופע מוזיקלי שמעניין אותך' אמר התוקף לקורבן, שכמובן הסכים והחל לתת את הפרטים האישיים הדרושים לניוד החשבון מרשת סלולר אחת לאחרת".
בודאי תאר כיצד במקביל לשיחת הטלפון עם הקורבן, נכנס התוקף לאתר האינטרנט של אותה רשת סלולר שהוא התחזה לנציג שלה והחל בתהליך של ניוד חשבון. הוא הכניס את כל הפרטים הנכונים אותם מסר לו הקורבן מלבד הכתובת אליה יש לשלוח את כרטיס הסים. הוא בחר כתובת אחרת אליה יש לו גישה. "מאותו הרגע הניוד הושלם והתוקף היה הבעלים של מספר הטלפון של הקורבן. מהרגע הזה, במספר פעולות פשוטות ומהירות החל התוקף לשחזר שם משתמש וססמא של חשבון הבנק של הקורבן. הוא נכנס לחשבון הבנק, עשה מספר העברות כספים, השתמש בסכום כסף נכבד כדי לרכוש ביטקוין, מה שכמובן הקפיץ את מנגנוני ההגנה של חברת האשראי, שהתקשרה לאמת את הרכישה, אך כיוון שמספר הטלפון של הקורבן היה ברשות התוקף המחסום ההגנתי הזה נפל די בקלות".
במקרה של גניבת המידע מארגון, התוקף גילה שמערכת המייל הארגונית של הארגון היא גוגל, ביצע מהלכים דומים לאלו של המקרה הקודם רק שהפעם ביצע שחזור של ססמת גישה למייל דרך קוד בהודעת SMS. "כבר עם הפריצה לחשבון המייל התוקף קיבל גישה מלאה לכל הקבצים, אך הוא לא הסתפק בכך, הוא הוריד ווטסאפ והבין מתוך השיחות עם מי מהארגון עליו לדבר כדי להשיג חומרים נוספים, התכתב איתו באפליקציה וביקש קבצים ספציפיים שחסרים לו וכך הצליח לגנוב מהארגון מידע רגיש בשווי של מיליוני דולרים".
"אז מה המסקנה מכל זה? כדי לגנוב מיליון דולר או מידע ארגוני בשווי עשרות מיליוני דולרים אין צורך בידע ותחכום יוצאי דופן, כל מה שצריך זה יום עבודה ויכולות טכניות בסיסיות ביותר. צריך להבין שמסירת פרטים אישיים לצורך אבטחה ואימות - כמו מספר תעודת זהות, תאריך לידה, מספר אשראי וקודים שונים המתקבלים במיילים או בהודעות, שקולה למאבטח שעומד בכניסה לקניון ובודק תיקים. בסוף, זה שאין פיגוע זה לא בזכותו אלא בזכות תהליכים אחרים שקורים מסביב, אלא שבאינטרנט אין מנגנוני הגנה כאלה, התקפות כמו שתיארתי קורות ברמה היומיומית, זה יכול לקרות גם לכם מחר בבוקר".
"אני ממליץ לכולנו להסתכל על תחום ההזדהות ואימות הנתונים בארגונים שלו - בין אם זה מול הלקוחות, העובדים או השותפים. לראות מה התהליכים הנדרשים ממני לבצע כששכחתי סיסמא, או כשאני צריך לבצע שחזור שם משתמש, לעדכן מספר טלפון או פרטי הזדהות. צריך לראות עד כמה התהליכים האלה מורכבים, עד כמה יש בהם הגנה על המידע שלנו. אם מדובר בתהליך שדורש לא יותר משתי שיחות טלפון כנראה שיש לנו בעיה ומישהו יכול ממש בקלות להשתלט על מידע רגיש או חשבונות בתוך הארגון".