המייל שקיבלתי לא היה חשוד בכלל. עניתי שאשמח לסייע - ומשם הכל הסתבך
חוויה מלחיצה של פישינג ממוקד היטב, הובילה את תהילה שוורץ אלטשולר למחשבות על המשמעות של אירוע כזה
לפני כחודש קיבלתי מייל מאדם מוכר, מנכ"ל משרד ממשלתי לשעבר שעוסק כיום בענייני יזמות עסקית וטכנולוגיה, ובו בקשה לסייע במיזם חדש שהוא מנסה להקים. זו היתה פנייה מנומסת ועניינית, באנגלית. המייל היה אישי לגמרי, ללא שגיאות ניסוח מביכות או בקשות להתחלק בירושה של נסיך ניגרי. לא התבקשתי למסור פרטים אישיים, לא היתה בו תחושת דחיפות מזויפת והוא התקבל בשעה הגיונית של היום. לא היה בו תוכן טוב מכדי להיות אמיתי, אף אחד לא הבטיח לי פרס גדול או ביקש תרומה. זאת אפילו לא היתה "הונאת בוס" (Whaling) שבה מישהו מתחזה לבכיר מהארגון שלכם ומבקש מכם משהו.
עניתי בנימוס שאשמח לסייע. כמה ימים אחר כך ביקש בן שיחי שנעבור להתכתבות בווטסאפ, וגם זה לא נראה לי מוזר, כי המספר היה בריטי ולפי הבנתי האיש מתגורר שם חלק מהזמן. כששלח אלי קובץ PDF עם התוכנית של המיזם – קראתי אותה והתרשמתי שהיא אמנם כללית אבל מתאימה למי שרואה דברים "מלמעלה". הקלטתי עבורו הודעה ברוח הזאת, ולא הקדשתי לכך מחשבה נוספת.
משם הדברים החלו להסתבך. לאחר כמה ימים נסעתי לכנס בניו דלהי, הודו. דווקא שם קיבלתי רצף של הודעות מן המנכ"ל־לשעבר, הפעם בעברית, ובהן הוא מבקש שנקבע שיחה. כתבתי שמאחר שאני בדלהי כל השבוע, אשמח לתאם לתחילת השבוע הבא. נעניתי שזה בסדר, אבל הפגישה תתקיים עם עוזר שלו בארצות הברית. ואז הגיעה "בקשת הגביע הקדוש": נשלח אלי לינק שהתבקשתי "מטעמי אבטחה" להעביר למחשב שלי ולפתוח אותו שם. באותו רגע הבנתי שכנראה נפלתי בפח. כמובן שלא לחצתי על הקישור.
אבל נבהלתי. הייתי מחוץ לגבולות הארץ, בכנס רב־לאומי, ללא ישראלים אחרים בטווח מגע מיידי. הבנתי שגם סיפרתי לאיזשהו שחקן־רשע איפה אני נמצאת ובכך חשפתי את עצמי עוד יותר. מצאתי את עצמי מתבוננת מדי פעם לבדוק שאיש אינו הולך אחרי. כששאלה אותי עובדת הודית במעלית המלון "הכל בסדר, מא'אם?", עניתי שכן, אבל כשהיא שאלה באיזה חדר אני מתארחת, לא ידעתי אם לענות. כשנזקקתי למי שתייה משירות החדרים, פחדתי לבקש. כל נהג מונית שהזמנתי נהפך לאיום פוטנציאלי.
התגברתי על הבושה וכתבתי לחברה טובה בארץ, שבמקרה היא גם חוקרת דיגיטל מצטיינת. היא ביקשה לראות צילומי מסך של ההתכתבויות וייעצה לי לחסום את המספר. אני מוכרחה להודות שלא חשבתי לעשות את הפעולה הפשוטה הזאת.
בדיעבד, נפלתי קורבן למתקפת פישינג מהסוג המכונה Spear Phishing – פישינג ממוקד מטרה. זה אפילו קצת מחמיא, כי מי שיצר אותה ביצע מחקר מעמיק על המטרה, כלומר עלי. השאלה הראשונה שלי היתה מי מחפש אותי. האם מדובר בהונאה פיננסית? מי מבקש לשתות את תכולת המחשב שלי? די מהר הבנתי שלזה לא תהיה לי תשובה. כשחיפשתי בגוגל "מתקפות פישינג ממוקדות" גיליתי שבחודשים האחרונים שב"כ פרסם שנחשפו תקיפות סייבר מצד איראן נגד בכירים במערכת הביטחון, גורמים פוליטיים, אנשי אקדמיה ועיתונאים, כשלכל אחד נבנה סיפור כיסוי מותאם לתחום העיסוק שלו. בכיר בשב"כ אמר אז: "תכלית האיום – פיגוע התנקשות". עוד נכתב כי שב"כ החל במבצע רחב לעדכון האזרחים הרלוונטיים ותדרוכם. ואולם, אני לא עודכנתי בנושא.
מה שהעסיק אותי הוא איך מצאו דווקא מה שיפעיל אותי. מחקר עדכני מראה שמתקפות Spear Phishing אחראיות ל־95% מפריצות הרשת המוצלחות, כלומר שכנראה קיים פער קריטי באמצעי אבטחת סייבר המתמקדים בהגנות טכניות בלבד, מבלי לטפל בפגיעויות פסיכולוגיות. התוקפים ממנפים טכניקות שמנצלות את חולשות הנפש האנושית ובכך עוקפים אפילו את ההגנות המאובטחות ביותר. עשיתי לעצמי "ניתוח סיבת שורש (RCA)" כדי לזהות מה גרם לי ליפול בפח. לא היתה כאן הטיית סמכות, כי לא קיבלתי את המייל מהבוס שלי, וגם לא תחושת דחיפות מלאכותית שגרמה לי לענות. אולי זה היה העומס הקוגניטיבי – אני עובדת בקצב מהיר עם נפחי תקשורת גבוהים. והנה אמת מצערת: אני לא מאמתת ביסודיות כל כתובת דוא"ל שמגיעה אלי, במיוחד כשאין דגלים אדומים בולטים.
בדיעבד, מצאתי את הסימן המחשיד: כתובת המייל המקורית כללה שם אמיתי, סימן @ ושם ארגון אמיתי, אבל אחר כך היה עוד סימן @ וסיומת של proton.me. מדובר בסיומת של שירות כתובות דואר אלקטרוני, ממש כמו ג'ימייל. אבל יש הבדל: ג'ימייל לא מאפשרת ליצור כתובות עם סימן @ כפול כדי למנוע הונאות כאלה, אבל proton – כן, ובכך היא הופכת למכשיר נוח ויעיל עבור תוקפים.
אבל, בעיקר, מישהו ניגן על הרצון שלי לתרום ולהשפיע. המייל כלל בקשת עצה וחוות דעת מקצועית. כשמישהו מבקש טובה, האינסטינקט הראשון הוא לרצות להגיד כן. הטיית ההדדיות הזו, בליווי סגנון כתיבה מנומס ובעיה מעורפלת שבה יכולתי "לעזור" בתחום המומחיות שלי, תאמה בדיוק את סגנון התקשורת שהייתי מצפה מאדם כזה.
למזלי לא קרה כלום בעולם האמיתי – לא מסרתי פרטים רגישים, לא שתו לי את הכסף ולא פגעו בי פיזית. אבל חוויתי שעות של חרדה ומתח. לא יכולתי שלא לחשוב על המשמעויות הציבוריות: ראשית, לא ידעתי לאן לפנות. האם יש מוקד תמיכה למקרים כאלה כשמדובר באדם פרטי? ואם אפנה, האם איחשד במגע עם סוכן זר? שנית, יש צורך בתמיכה פסיכולוגית, כדי למסגר מחדש את האירוע ולא לחוות אותו מתוך בושה. שלישית, מה עושים עם האדם האמיתי שאליו התחזו? התקשרתי אליו. שיחת הטלפון היתה מביכה, במיוחד כשהוא שאל, ואולי בצדק: "איך אדע שזו באמת את ושמה שאת מספרת נכון?".
אפשר לדבר על חינוך ואוריינות למניעת מתקפות כאלה, אבל הכלים בהם נעשה שימוש הולכים ומשתכללים והפרצה בתחושת הביטחון היא מכאיבה. בסיכומו של דבר, אני בונה הנחות יסוד על העולם, כמו אמונה בהגינות בסיסית של אנשים. האם זה פעל לרעתי? ואיך ממשיכים מכאן ומנהלים חיים שיש בהם אמון אבל גם סופר־חשדנות?
פורסם לראשונה ב"דה מרקר"
