ועידות ניו יורק 2022 ועידת ישראל-יוון לונדון 2023 ניו יורק 2024 כלכלה ירוקה כנס מיליון להייטק Power in Diversity הוועידה הלאומית לאנרגיה פינטק 2022 עתיד הרפואה ועידת הנדל"ן 2021 פינטק 2023 כנס המסים BDO TECH TLV שבוע הסטארטאפים 2023 HealthTech משפיעות על הכלכלה The next big thing כנס כלכלת הקנאביס ועידת האנרגיה 2022 פינטק דיסקונט פריפריה טק חדשנות באשראי שבוע הסטארטאפים 2024 Banking AI Mentor Class מקומי.קום 2024 פורום היוניקורנס 2022 ארכיון הוועידות The Hi-Tech Effect Meet&Tech ועידה לאומית לתשתיות אי-קומרס 2021 Agrifood Tech כנס הגיוון הכלכלית הלאומית 23 כנס יזמים ותעשיינים פורום היוניקורנס שבוע הסטארטאפים 22 כנס האיקומרס IPM SUMMIT Expanding Horizons FoodTech2023 שוק ההון 2024 AISRAEL 2024 כנס התחדשות עירונית Israeli Climate Awards המוח האוטיסטי איקומרס 2022 השקעות גלובליות כנס הענן והדאטה שוק ההון 22 TechTLV2022 Innovation Cocktail Work after Work הפורום הכלכלי ערבי כנס ביטחון המזון מיאמי 2024 ניו יורק 2021 כנס השירות 2022 גיימינג 2022 טוקיו 2023 כנס אחריות סביבתית כלכלת הנדל"ן כנס האנרגיה 2024 Roadshow Event כנס סייבר 2022 ClimateTech תחזיות 2024 מובילות את ישראל שבוע החדשנות 2022 גיימינג 2023 אקדמיה שעובדת כנס מוסדיים FOODTECH 2022 GeoInt360 שבוע החדשנות Tech@Work לוגיסטיטק Open Banking שש אחרי המלחמה כנס בילינסון לחדשנות טק עצמאות גיימינג 2024 PropTech ecommerce 360 Tech on the Beach ועידת החוסן הישראלי Tech TLV 2025 הייטק 2022 כנס המטרו 2023 ועידת האנרגיה 2021 צמיחה בעולמות האשראי RoadShow Event 23 כנס AI לונדון 2024 ביטחון אנרגטי תחזיות 2025 Let's Talk Cyber כנס כלכלת המחר הכלכלית הלאומית 22 נגישות בטוחה Early on the spot משלחת העסקים לפריז TechTLV2024 הכלכלית הלאומית 24 Future of Higher Education לונדון 2022 Work Tech השקעות בראי גלובלי כנס הצמיחה שוק ההון 2023 מפתחים בחזית 2023 +Startup בטיחות במקומות עבודה +Startup Let's Talk Fintech ליברליות אונליין ניהול פיננסי השקעות ופיננסים כנס החלל 2024

כנס הסייבר

מיקי בודאי: "כדי לגנוב מידע בעשרות מיליוני דולרים אין צורך בתחכום יוצא דופן"

"כשאנחנו חושבים על התקפות סייבר, התמונה הראשונה שעולה היא של תחכום", אומר מיקי בודאי, המשקיע ויזם הסייבר הוותיק בכנס הסייבר 2020 של כלכליסט, "אבל בפועל, ההתקפות הרבה פחות מתוחכמות ממה שאנחנו מדמיינים"

נעמי צורף 12:0116.12.19
"כשאנחנו חושבים על התקפות סייבר, פריצות לרשתות והשתלטות על חשבונות דרך האינטרנט - התמונה הראשונה שעולה לנגד עינינו היא תמונה של תחכום, טכנולוגיה של 8200 או NSO אבל בפועל, אלא אם אתם מטרה של אחת מהממשלות - ההתקפות הרבה פחות מתוחכמות ממה שאנחנו מדמיינים", אמר מיקי בודאי, משקיע ויזם סדרתי בתחום הסייבר בכנס הסייבר 2020 של כלכליסט. "אפשר להשוות את זה למתרחש בעולם הפיזי, בסוף בדרך כלל כדי לפרוץ לבית לא צריך לעבור דרך קרני לייזר או לנסר סורגים, אלא להרים את השטיח הכניסה ולקחת את המפתח שנמצא תחתיו".

 

בודאי ביקש להציג את אחת הפרקטיקות השכיחות לפריצה וגניבת מידע על ידי סיפור המבוסס על שני מקרים אמיתיים. "במקרה הראשון, המטרה הייתה לגנוב כמות גדולה של כסף מאדם פרטי ובמקרה השני המטרה הייתה לגנוב מידע מארגון גדול", תאר בודאי. "בשני המקרים התוקף בחר יעד, אדם ספציפי, והחל לאסוף מידע לגביו. אותו איסוף מידע לא התבצע באופן מתוחכם למדי, התוקף השתמש באמצעים לגיטימיים לכאורה, עקב אחרי הפרופילם של אותו אדם ברשתות החברתיות כמו לינקדין, פייסבוק ואינסטגרם ודרכם למד רבות אודותיו".

 

 

מיקי בודאי מיקי בודאי צילום: אוראל כהן

 

"כך, למד התוקף שהיעד שלו חובב מוזיקה ומתעניין בשירותי מוזיקה דיגיטלים. השלב הבא היה להרים טלפון לאותו אדם ולספר לו שפונים אליו מחברת סלולר מסויימת במטרה לשכנע אותו לעבוד להשתמש בשירותיה. 'לא רק שאני אתן לך הצעה הרבה יותר משתלמת מזו שיש לך כרגע, אני גם אתן לך מנוי חינם לספוטיפיי ולאפל מיוזיק למשך שנה ושני כרטיסי VIP למופע מוזיקלי שמעניין אותך' אמר התוקף לקורבן, שכמובן הסכים והחל לתת את הפרטים האישיים הדרושים לניוד החשבון מרשת סלולר אחת לאחרת".

 

בודאי תאר כיצד במקביל לשיחת הטלפון עם הקורבן, נכנס התוקף לאתר האינטרנט של אותה רשת סלולר שהוא התחזה לנציג שלה והחל בתהליך של ניוד חשבון. הוא הכניס את כל הפרטים הנכונים אותם מסר לו הקורבן מלבד הכתובת אליה יש לשלוח את כרטיס הסים. הוא בחר כתובת אחרת אליה יש לו גישה. "מאותו הרגע הניוד הושלם והתוקף היה הבעלים של מספר הטלפון של הקורבן. מהרגע הזה, במספר פעולות פשוטות ומהירות החל התוקף לשחזר שם משתמש וססמא של חשבון הבנק של הקורבן. הוא נכנס לחשבון הבנק, עשה מספר העברות כספים, השתמש בסכום כסף נכבד כדי לרכוש ביטקוין, מה שכמובן הקפיץ את מנגנוני ההגנה של חברת האשראי, שהתקשרה לאמת את הרכישה, אך כיוון שמספר הטלפון של הקורבן היה ברשות התוקף המחסום ההגנתי הזה נפל די בקלות".

 

במקרה של גניבת המידע מארגון, התוקף גילה שמערכת המייל הארגונית של הארגון היא גוגל, ביצע מהלכים דומים לאלו של המקרה הקודם רק שהפעם ביצע שחזור של ססמת גישה למייל דרך קוד בהודעת SMS. "כבר עם הפריצה לחשבון המייל התוקף קיבל גישה מלאה לכל הקבצים, אך הוא לא הסתפק בכך, הוא הוריד ווטסאפ והבין מתוך השיחות עם מי מהארגון עליו לדבר כדי להשיג חומרים נוספים, התכתב איתו באפליקציה וביקש קבצים ספציפיים שחסרים לו וכך הצליח לגנוב מהארגון מידע רגיש בשווי של מיליוני דולרים".

 

"אז מה המסקנה מכל זה? כדי לגנוב מיליון דולר או מידע ארגוני בשווי עשרות מיליוני דולרים אין צורך בידע ותחכום יוצאי דופן, כל מה שצריך זה יום עבודה ויכולות טכניות בסיסיות ביותר. צריך להבין שמסירת פרטים אישיים לצורך אבטחה ואימות - כמו מספר תעודת זהות, תאריך לידה, מספר אשראי וקודים שונים המתקבלים במיילים או בהודעות, שקולה למאבטח שעומד בכניסה לקניון ובודק תיקים. בסוף, זה שאין פיגוע זה לא בזכותו אלא בזכות תהליכים אחרים שקורים מסביב, אלא שבאינטרנט אין מנגנוני הגנה כאלה, התקפות כמו שתיארתי קורות ברמה היומיומית, זה יכול לקרות גם לכם מחר בבוקר".

 

"אני ממליץ לכולנו להסתכל על תחום ההזדהות ואימות הנתונים בארגונים שלו - בין אם זה מול הלקוחות, העובדים או השותפים. לראות מה התהליכים הנדרשים ממני לבצע כששכחתי סיסמא, או כשאני צריך לבצע שחזור שם משתמש, לעדכן מספר טלפון או פרטי הזדהות. צריך לראות עד כמה התהליכים האלה מורכבים, עד כמה יש בהם הגנה על המידע שלנו. אם מדובר בתהליך שדורש לא יותר משתי שיחות טלפון כנראה שיש לנו בעיה ומישהו יכול ממש בקלות להשתלט על מידע רגיש או חשבונות בתוך הארגון".
x