הצלחת מתקפות Social Engineering הכפילה עצמה בין 2022 ל-2024. לא בגלל שהתוקפים השתפרו בקידוד – אלא בגלל כלים חדשים: AI לכתיבת מיילים מושלמת, Deepfake Audio לשיחות טלפון, ו-OSINT ממידע פומבי ב-LinkedIn ו-Instagram.
הטכניקות החדשות ב-2024-2025
- Deepfake Voice Phishing (Vishing) – שיחת טלפון עם קול מזויף של המנכ"ל. דוגמה אמיתית: $25M הועבר בהונג קונג אחרי Video Call מזויף.
- AI-Powered Spear Phishing – GPT-4 שיודע מי אתה, מה תפקידך, ומי הבוס שלך. מייל מותאם אישית ב-Scale.
- LinkedIn OSINT → Pretexting – האקרים ממפים את מבנה הארגון שלכם מ-LinkedIn לפני שמתקשרים.
- SMS Smishing עם אתרים משכנעים – דפי התחברות מזויפים שנראים מושלמים על מסך Mobile.
- QR Code Phishing (Quishing) – QR Codes בדוא"ל שעוקפים סינוני URL רגילים.
אירוע אמיתי: $25 מיליון אבדו
ב-2024, עובד בחברה פיננסית בהונג קונג השתתף ב-Video Conference עם CFO שנראה ונשמע אמיתי. כל המשתתפים היו Deepfakes. בסוף ה-Call, הוא העביר $25 מיליון. זהו המקרה הגדול המתועד הראשון של Deepfake Video Conference Fraud.
כיצד להגן על הארגון
- 1Out-of-Band Verification – כל בקשה לפעולה פיננסית או שינוי הרשאה מאומתת בערוץ נפרד (שיחת טלפון ישירה, לא תגובה לאותו מייל).
- 2Code Words – הסכם פנימי עם מילת קוד סודית לבקשות Emergency. "מה מילת הבטחה?" יעצור הרבה מתקפות.
- 3Least Privilege for Finance – לא יותר מ-1 אדם מאשר העברות גדולות. 4 Eyes Principle.
- 4LinkedIn Privacy – הגבילו מה גלוי לכולם: מספר טלפון, כתובת Email, ומבנה ארגוני מפורט.
- 5Deepfake Awareness Drill – הדרכה עם דוגמאות אמיתיות. אנשים שצפו ב-Demo של Deepfake הרבה יותר סקפטיים.
המגן הטוב ביותר מ-Social Engineering הוא ספקנות מאומנת + תהליכים ברורים. עובד שמאמין ש"מותר לשאול" ולא מפחד להגיד "אבדוק ואחזור אליך" – שווה יותר מכל כלי אבטחה.
Social EngineeringPhishingVishingDeepfakeOSINT