התקפות הסייבר המדווחות בתקשורת הן ברוב המקרים על חברות ועסקים גדולים וידועים ומדווחים בהן סכומי עתק המשאירים רושם רב על הקוראים. המציאות אכן כוללת התקפות כאלה, שמספרן ונזקיהן עולים משנה לשנה, אולם היא כוללת גם מיליוני התקפות שאינן מדווחות בתקשורת והיקף כל אחת מהן הוא קטן - ממאות עד עשרות אלפי דולרים של נזק- אולם היקפן המצטבר הוא עצום והוא עולה בעשרות אחוזים משנה לשנה. בעוד שחברות גדולות וממשלות יכולים להשקיע סכומי עתק, שגם הם עולים משנה לשנה, בפיתוח יכולות הגנה מתקדמות המורכבות מצוותי הגנת סייבר מומחים ומוצרים ותשתיות טכנולוגיות יקרות ומתוחכמות, עסקים קטנים ואנשים פרטיים חשופים כמעט לחלוטין להתקפות סייבר.
בשנת 2000 הקים ה-FBI את יחידתIC3 המפעילה אתר דיווח על פשיעת סייבר שבו יכולים אזרחים ועסקים אמריקאים להתלונן על פשע שבוצע נגדם באמצעות מחשב או באינטרנט. בעוד שפעילות סייבר התקפית המבוצעת על-ידי מדינות מטרתה היא איסוף מידע או פגיעה בתשתיות הרי שרובן המוחלט של התקפות הסייבר המבוצעת ע״י פושעים "אזרחיים" מונעות ממניעים כלכליים. לפי הדו״ח שפורסם על-ידי ה- FBI בשנת 2020 נרשמה עלייה של 100% בנזק הכספי יחסית לשנת 2017.
ההיקף העצום של תקיפות הסייבר נגד עסקים ואזרחים משאיר ברוב המקרים את רשויות אכיפת החוק עם יכולת חלקית מאוד לסייע לנפגעים. ה-FBI הקים בשנת 2018 צוות מיוחד המתמחה בהשבת נכסים שנגנבו בצורה דיגיטלית. צוות זה, בשיתוף פעולה עם הבנקים, הצליח בשנת 2019 להחזיר לקורבנות סכום של כ-300 מיליון דולר שהן סכום קטן מאוד, פחות מ- 10%, ביחס להיקף הנכסים שנגנבו בהתקפות סייבר באותה שנה העומד, לפי התלונות שהוגשו, על כ-3.5 מיליארד דולר. אולם בהתחשב בעובדה שרוב פשיעת הסייבר אינה מדווחת לרשויות הרי שסביר להניח שהסכום שהושב מהווה אחוזים בודדים מהסכומים שנגנבו כתוצאה מתקיפות אלו - כלומר במקרה של פשיעת סייבר, הפשע בהחלט משתלם.
דרכי התקפה חדשות
ההיקף הכספי העצום של הכספים הנשארים ברשות התוקפים מסביר את העלייה המתמדת בהיקף הפשיעה. לפי הנתונים המדווחים, בין שנת 2017 לשנת 2020 חלה עלייה של כ-200% בהיקף הנזק שנגרם כתוצאה מהתקיפות. ארגוני הפשע העומדים מאחורי התקיפות בימינו יכולים להשקיע כסף רב בפיתוח ושכלול מתמידים של יכולות התקיפה שלהם והרווחים ההולכים ועולים מקשים על רשויות אכיפת החוק להתמודד, שכן היקף התקציבים המוקצה להם אינו עולה בקצב כזה. התוקפים מתאימים את עצמם לכל התפתחות בעולם הדיגיטלי ומנצלים זאת למציאת דרכי התקפה חדשות. לדוגמא, בשנת 2020 דווח על גניבה של מטבעות וירטואליים בשווי 250 מיליון דולר, פשע שלפני מספר שנים לא היה קיים. גם מספרן של התקפות סייבר הקורות באמצעות חשבונות מזויפים ברשתות החברתיות עולה משנה לשנה.
לפי נתוני ה-FBI סוג ההתקפה הנפוץ ביותר הם התקפות הפישינג (דיוג) המתבצעות באמצעות אימייל, באמצעות מסרים בטלפון הנייד (סמישינג), גניבת פרטי גישה לחשבונות דיגיטליים באמצעות שיחת טלפון (וישינג) או באמצעות אתר מזויף המתחזה לאתר אמיתי (פארמינג). מטרתן של התקפות אלה היא גניבת פרטי גישה לחשבונות דיגיטליים, או התקנת נוזקה על מחשבו של הקורבן. כ-40% מהתקפות הסייבר בשנת 2020 היו התקפות מסוג זה. נקודה מעניינת הקשורה בהתקפות הפישינג היא ההתמקדות של התוקפים באוכלוסייה מבוגרת, מעל גיל 60, וזאת עקב ההנחה שאוכלוסייה זו עשירה יותר מצד אחד וזהירה פחות מהצעירים ממנה.
שיטות התקפה נוספות כוללות התקפות סחיטה בהן התוקף גונב מהקורבן מידע או קבצים רגישים ומבקש תשלום תמורת אי פרסומן וגניבת מידע אישי וסחר בו.
התוקפים לומדים את המבנה הארגוני של העסק
מרכז הדיווח מפרט גם את היקף הנזק הכספי הנגרם מסוגי התקפות שונים וההיבט המעניין בדו״ח ה-FBI , הניתן גם לתרגום מעשי, הוא ההיקף המשמעותי של הנזק שנגרם כתוצאה מפריצה אל חשבונות אימייל עסקיים או פרטיים. לפי הדו״ח, כ-30% מהנזק הכספי נובע מפריצות אלו. בהתחשב בכך שברוב העסקים הקטנים התקשורת העסקית מבוצעת רובה ככולה באמצעות אימייל, עובדה זו לא מפתיעה. התקפות אלו כוללות התקפות פשוטות יחסית המבוססות על זיוף כתובות ואתרים וכוללות גם התקפות מורכבות ומתוחכמות בהרבה הכוללות מספר שלבים וזהויות בדויות: הנתקף ואת נוהלי אישור והעברת הכספים ודואג ליצור מראית עין של עסקה לגיטימית, שלא תעורר את חשדן של אנשי החברה. מטרתן של רוב ההתקפות האלה היא העברת כספים לחשבונות בנק של התוקפים הממהרים להעבירם הלאה ולהיעלם במהירות עם שללם.
התקפות נוספות שהיקפן עולה משנה לשנה הוא התקפות הכופרה, בהן מתקין התוקף, כתוצאה מהתקפת פישינג/סמישינג מוצלחת, תוכנה המצפינה את המידע במחשב או בטלפון הנייד של הקורבן, שאינו יכול לגשת יותר למידע שלו. לאחר ההתקפה נדרש הקורבן לשלם לתוקף, לרוב באמצעות מטבע דיגיטלי, כדי לקבל את המפתח שיאפשר שוב גישה למידע. התקפות אלו דורשות יותר תחכום מצד התוקף אולם היקפן הולך ועולה.
העלאת המודעות
מה צופן בחובו העתיד? הבשורות הטובות הן, גם לאור המציאות העגומה הזו, שניתן, באמצעים פשוטים יחסית, לצמצם את הסיכון של עסק קטן לפגיעה, אך לא לחלוטין. אמצעים אלה יכולים לכלול תכניות הדרכה והעלאת מודעות אצל המנהלים והעובדים לסוגי הפישינג וההתקפות השונות. מכיוון שרוב התקפות הפישינג מתבססות על שיתוף פעולה של עובד או משתמש, העלאת המודעות - הן באמצעות הדרכות שוטפות והן באמצעות ביקורות שוטפות - יכולה לצמצם את הסיכוי שעובד יתפתה. דרך נוספת היא שימוש במוצרים טכנולוגיים נפוצים יחסית המגינים על האימייל הארגוני. מוצרים אלה, שלרוב מסופקים באמצעות הענן, ניתנים להתקנה מהירה ושימוש פשוט יחסית. העובדה שחלק גדל והולך של העסקים הקטנים משתמש בתוכנה המותקנת בענן יכולה לסייע. עם זאת, הנחת העבודה צריכה להיות שלאורך זמן ההסתברות של עסק קטן להיות קורבן לתקיפה אינה נמוכה ויש להיערך לכך באמצעות כלים אחרים, הכוללים, למשל, ביטוח בפני התקפות סייבר והתקשרות עם חברות היודעות לטפל במשברי סייבר על היבטיהן השונים.
הכותב הוא שותף-מייסד ומנהל בקרן גלילות קפיטל
