ההאקר החובב שהקים חברה למניעת הונאות פיננסיות

מדוח ה-FBI וה-JPM עולה כי היקף ההונאות המדווחות בשנת 2022 הוא בסך של 32 מיליארד דולר. ההערכה של ה-FBI הייתה שאלה רק המקרים המדווחים, ושסכום ההונאות האמיתי של גדול פי עשרה, זאת מכיוון שרובן לא דווחו.

נתונים אלה מצביעים על כך שגופים פיננסיים וארגונים לרוב מעדיפים לפתור בדיסקרטיות בעיות הנוגעות לאבטחה מפני פשיעת סייבר בתחום הפיננסים. החשש לדווח על מקרים כאלה נובע לעתים מחשש לפגיעה במוניטין, אובדן אמון הלקוחות או חשש מתקיפות נוספות. לאחרונה משתנה הגישה לגבי הגנת סייבר בפיננסים בדגש על העברות כספים, תחום הנחשב לפרוץ במיוחד.  

● זרועות התמנון של מיקרוסופט מגיעות לעוד שווקים: מה היא רוצה? 
● מדוע האקזיט של אימפרבה מסמן עתיד קודר להייטק הישראלי? | ניתוח

שי גבאי, מנכ"ל ומייסד Trustmi, חברה שפיתחה מוצר שמסייע למנוע הונאות פיננסיות בארגונים, שמספקת את הפתרון הראשון בעולם שבוחן את כלל תהליך העברת הכספים, מסביר כי "תהליך התשלום הוא תהליך מאוד מורכב עבור חברות וארגונים".

לדבריו, בתהליך מעורבים אנשים מתוך הארגון ומחוצה לו, יש מגוון מערכות שונות המעורבות בו, ערוצי התקשורת לרוב לא מאובטחים, וכן יש שימוש רב באחד מערוצי התקשורת הפגיעים ביותר - מיילים. "המערכות מנותקות אחת מהשנייה, כל אחד הוא בורג בשרשרת, ואף אחד לא מחבר את התמונה המלאה. תוקפים יכולים להתערב כמעט בכל נקודה בתהליך ולבצע שינוי בלי שאף אחד ישים לב", הוא אומר.

תהליך מורכב  

גבאי, שבילדותו היה האקר חובב, החליט לאחר שירות צבאי ב-8200 לחזור להיות האקר בצד האזרחי ושימש כמנהל אבטחת המידע של בנק דיסקונט. במסגרת תפקידו הוא הבין לעומק את בעיית אבטחת התשלומים ונאלץ להתמודד עם פריצות בזמן אמת. בזכות הידע שצבר, גבאי הקים את החברה Trustmi יחד עם שותפו אלי בן נון, אותו הכיר במהלך עבודה משותפת בעבר.

תהליך התשלום לספקים, כפי שמסביר גבאי, הוא נקודת תורפה משמעותית עבור ארגונים.

"ראינו תהליך מאוד מורכב, מלא מערכות שונות, מקורות מידע מגוונים, ומלא דאטה", הוא אומר. לדבריו, תהליך תשלום טיפוסי לספקים כולל אלפי חשבוניות שעוברות עיבוד ידני. "פיתחנו שירות ענן שיודע לנטר את תהליך התשלום ומוודא שבסוף הכסף עובר למקום הנכון. אנשי פייננס הם מאוד תהליכיים, עובדים בווליום מאוד גבוה של משימות, רובן בצורה ידנית. לכן הבאנו שכבה של אבטחה שלא הייתה קיימת לפני, אנחנו מייצרים חתימה דיגיטלית על בסיס ההיסטוריה של הארגון".

המוצר שפיתחה Trustmi משקף לארגון האם ההעברה שביצע בטוחה, מתריע מפני חשד להונאה, מגנה מפני הונאות בזמן אמת, ומזהה פגמים בתהליך שיכולים לנבוע מטעויות אנוש. המערכת מבוססת על חוכמת ההמון, לומדת מהתנהלות הלקוחות בעבר ובהווה, ומפתחת כלים נוספים שיתרמו לתהליך זיהוי ההונאות והטעויות בתהליכי העברת כספים.

גבאי מסביר כי שורש הבעיה בכך שאין דרך לוודא שהעברת הכסף אכן הועברה ליעד הנכון, אף אחד לא מסתכל על התהליך מתחילתו עד סופו, ולכן התוקף יכול להתערב בכל שלב ללא הבחנה. "זה כמו וייז לתשלומים. בעולם התשלומים יש את אותו עיקרון. אם אני אדע להגיד שאת רוצה לשלם למישהו, ואחרים כבר שילמו לו, מאוד קל להגיד אם זה לגיטימי או לא לגיטימי. אבל במקרה הזה לוקח זמן עד שיש לך את כל הדאטה הזה. אז בעצם אמרנו שוב, איך אני נותן ערך ללקוח כבר מהיום הראשון? הבנו שאפשר לנצל את ההיסטוריה שלך בארגון, ויש הרבה היסטוריה, כדי לייצר חתימה דיגיטלית למה לגיטימי ומה לא".

המוצר שפיתחו יחד בן נון וגבאי הצליח לחסוך לחברות מיליוני דולרים, גייס 21 מיליון דולר ממשקיעים מובילים, וכיום הם עובדים עם גופי ענק.

איך נראית הונאה? 

"בעיית ההגנה על תשלומים היא אחת מהסוגיות הכואבות והמורכבות ביותר עבור כל ארגון מודרני", אומר גילי רענן מקרן סייברסטארטס, שהשקיעה בחברה. על-פי סקר הונאת התשלומים ובקרת התשלומים משנת 2022 של JPM, כ-80% מהארגונים היו קורבנות של התקפות/ניסיונות של הונאה בתשלומים בשנת 2021. אך רק 38% מהחברות שחוו הונאה הגישו דוח על האירוע למשטרה, וכ-36% יידעו את רשויות אכיפת החוק.

לדברי גבאי, יש מגוון סוגי תקיפות, כאשר אחת הנפוצות שבהן היא חטיפת תקשורת אימייל. הקמת תשתית ההתקפה כוללת פעמים רבות התחזות, שימוש בפרטים והתכתבויות קודמות, פתיחת חשבונות בנק עם אותו שם מוטב וכדומה. לאחר בניית התשתית, תוקפים יכולים לחטוף התכתבויות קודמות ולהשתמש בהן, עד כדי מצב שהתוקף מתקשר עם החברה, ומותיר את הספק מחוץ לתמונה.

בינה מלאכותית מסייעת הרבה יותר לצד התוקף 

מעבר לטעויות אנוש שמובילות לאובדן הון לחברות רבות, בינה מלאכותית ודיגיטציה של התחום הפכו את התהליך לקרקע פורייה עבור האקרים.

"באמצעות generative AI, ChatGPT ניתן לזייף בצורה בלתי ניתנת לזיהוי שיחות טלפון ולעוות קול, ראינו כבר הרבה מקרים של הונאות עמוקות בדרך הזאת". אומר גבאי. "הרבה פעמים קורה שמי שצריך לאשר את ההעברה, במקום שיחכו שהחברה תתקשר, התוקפים התקשרו וזייפו שהם מהחברה, וכך אתה חושב שאתה מדבר עם הבן אדם הנכון.

"בנוסף, אם פעם היו תופסים כל מיני שטויות שהתפספסו לתוקפים במיילים בגלל תרגום קלוקל, היום ניתן לייצר בקלות רבה מיילים איכותיים. הכול הופך להיות הרבה יותר קל לצד התוקף והרבה הרבה יותר קשה לצד המגן".

איך ניתן לזהות הונאה?

לדברי גבאי, העדות הראשונה להונאה היא שינוי בפרטי קשר, כתובות או מספרי חשבונות. "הונאה יכולה לקרות גם עם ספק חדש, אבל מה שיותר נפוץ בהרבה זה הונאה באמצעות ספק קיים, מכיוון שהתוקפים מבינים שהם נכנסים לשטח שבו יש יחסי אמון.

"חשוב לבדוק כיצד מוודאים שינויים, ובסיום התהליך לוודא שכל ההעברות והחשבוניות תקינות. יש להקפיד על נהלים של בקרות, עדיף להשתמש בטכנולוגיה ולא רק על בסיס אנשים. אין להסתמך על מיילים או כל דבר שנכנס אליך לארגון אלא רק על פעולות שאתה יוזם בעצמך".

לדבריו, "בסוף זה קרב של AI ב-AI. לתוקפים יש יכולות בינה מלאכותית מאוד מתקדמות היום, וגם הארגונים צריכים את היכולות האלה".