קול מוכר בטלפון כבר לא מספיק כדי להוכיח שמדובר באדם האמיתי. חברת אבטחת המידע והסייבר ESET מזהירה מפני התחזקות גל הונאות טלפוניות המבוססות על זיופי קול באמצעות בינה מלאכותית, שבהן תוקפים מחקים בכירים, ספקים או גורמים עסקיים מוכרים. המטרה פשוטה ומסוכנת: לגרום לעובד לפעול במהירות, בלי לבדוק, ולהעביר כסף, לאפס סיסמה או למסור מידע רגיש.
על פי אזהרת החברה, היכולת לזייף קול אנושי הפכה זמינה, זולה ומשכנעת בהרבה לעומת העבר. תוקף כבר לא חייב להחזיק גישה למערכות הארגון או לפרוץ לתיבת הדואר של המנכ”ל. במקרים רבים מספיקים לו קטעי קול קצרים מהרשת, מתוך פודקאסט, ריאיון, סרטון ברשתות החברתיות, שיחת ועידה מוקלטת או הופעה פומבית. לאחר מכן הוא מזין את דגימת הקול לכלי בינה מלאכותית, בונה תסריט שיחה, ובוחר עובד שנמצא בעמדה רגישה בארגון.
לדברי אלכס שטיינברג, מנהל מוצרי ESET בקומסקיור, המפיצה הרשמית של ESET בישראל, “אחת הסיבות המרכזיות לעלייה בסיכון, היא הקלות היחסית שבה ניתן כיום להוציא לפועל מתקפה כזו. התוקף בוחר תחילה את הדמות שאותה יבקש לחקות, למשל מנכ”ל או סמנכ”ל כספים, מאתר ברשת דגימת קול קצרה מתוך פודקאסט, ריאיון, סרטון, שיחת ועידה או הופעה פומבית, ולאחר מכן בוחר יעד לתקיפה בתוך הארגון. ראינו שבחלק מהמקרים, התוקפים שולחים מייל מקדים כדי להגביר את תחושת האמינות והדחיפות, ורק לאחר מכן מבצעים את השיחה עצמה באמצעות קול מזויף שנשמע משכנע במיוחד, גם למי שמכיר היטב את הקול המקורי”.
הונאות מסוג זה מסוכנות במיוחד משום שהן לא נשענות רק על הטכנולוגיה. הן משלבות זיוף קול עם שיטות ותיקות של הנדסה חברתית: הפעלת לחץ, יצירת דחיפות, דרישה לשמור על סודיות, ולעיתים גם ניצול יחסי מרות בתוך הארגון. עובד שמקבל שיחה שנשמעת כמו המנכ”ל, סמנכ”ל הכספים או ספק ותיק, עלול לחשוש לעכב את הבקשה או לערער על סמכותו של מי שנמצא לכאורה בצד השני של הקו.
ב-ESET מדגישים שהאיום לא מסתיים בהעברות כספים. קול מזויף יכול לשמש גם לעקיפת תהליכי זיהוי לקוח, אימות חשבונות, שינוי פרטי ספק, פתיחת גישה למערכות פנימיות או איפוס אמצעי הזדהות. בתרחישים אחרים, גורמים עוינים עלולים להשתמש בזיופי קול גם כדי להתחזות למועמדים לעבודה, לאסוף מידע פנימי או לעבור שלבים ראשוניים בתהליכי קבלה לארגונים רגישים.
יש סימנים שעשויים לעורר חשד: קצב דיבור לא טבעי, טון רגשי שטוח, עצירות מוזרות בין משפטים, נשימה חריגה או היעדר נשימה, צליל מעט רובוטי, רעשי רקע אחידים מדי או תשובות שנשמעות מוכנות מראש. אבל ככל שכלי הבינה המלאכותית משתפרים, ההסתמכות על האוזן האנושית הופכת לבעייתית. בשיחה קצרה, תחת לחץ, גם עובד מנוסה עלול להתקשות להבחין בין קול אמיתי לבין קול משוכפל.
אחד המקרים הבולטים שנקשרו לזיוף קול התרחש באיחוד האמירויות. לפי דיווחים שפורסמו על בסיס מסמכים משפטיים, מנהל בנק קיבל שיחה שבה הושמע קול שנשמע כמו מנהל חברה מוכר, והשתכנע לאשר העברה של כ-35 מיליון דולר במסגרת עסקה שנחזתה כלגיטימית. המקרה פורסם ב-2021, ונגע לאירוע שהתרחש בשנת 2020. מאז, כלי זיוף הקול השתפרו מאוד, והיכולת להפיק שיחה אמינה הפכה נגישה יותר לתוקפים
התרעות פיקוד העורף