בעידן הבינה המלאכותית, גם הקול האנושי כבר אינו אמצעי זיהוי אמין – הכירו את האיום Voice Cloning

במשך שנים הקול האנושי נתפס כאחד מסימני הזיהוי הטבעיים והאמינים ביותר. מנהלים אישרו פעולות בטלפון, עובדים זיהו קול של לקוח ותיק, ומוקדי שירות הסתמכו על שיחות קוליות כחלק מתהליכי האימות. אלא שהמציאות הטכנולוגית של השנים האחרונות משנה את כללי המשחק.

כלי Voice Cloning מבוססי בינה מלאכותית מסוגלים כיום לייצר חיקוי קול ברמת דיוק גבוהה במיוחד. במקרים רבים מספיקות מספר דקות של הקלטה ציבורית כדי ליצור מודל קול משכנע, המסוגל לנהל שיחה, להשאיר הודעה קולית ואפילו להשתתף בפגישות מקוונות.

המשמעות עבור ארגונים רחבה הרבה יותר מאשר "עוד איום סייבר". מדובר בשינוי יסודי באופן שבו אנחנו תופסים אמון, זהות ואימות בעולם הדיגיטלי.

מהו Voice Cloning?

Voice Cloning הוא תהליך שבו מערכות בינה מלאכותית לומדות את מאפייני הקול של אדם מסוים ומייצרות קול סינתטי הנשמע כמעט זהה למקור.

המערכות מנתחות מרכיבים רבים כגון:

• גוון הקול
• קצב הדיבור
• מבטא
• אינטונציה
• הפסקות נשימה
• דפוסי דיבור ייחודיים

בעבר נדרשו שעות רבות של הקלטות וידע טכני מתקדם כדי לבצע תהליך כזה. כיום ניתן לבצע זאת באמצעות שירותים מסחריים זמינים, לעיתים תוך דקות ספורות בלבד.

עבור תוקפים, מדובר בכלי רב עוצמה המאפשר להפוך מתקפות הנדסה חברתית למשכנעות ואמינות הרבה יותר.

למה האיום הזה שונה מאיומים קודמים?

מרבית מתקפות הסייבר הקלאסיות מבוססות על ניסיון להטעות את המשתמש באמצעות הודעת דואר אלקטרוני, הודעת SMS או אתר מתחזה.

Voice Cloning משנה את המשוואה משום שהוא פוגע באחד ממנגנוני ההגנה הבסיסיים ביותר של בני האדם – היכולת לזהות קול מוכר.

כאשר עובד מקבל שיחת טלפון שנשמעת בדיוק כמו המנכ"ל, מנהל ה־IT או סמנכ"ל הכספים, מנגנוני החשד הטבעיים נחלשים משמעותית.

התוצאה היא שהתקיפה אינה מבוססת רק על טכנולוגיה, אלא על ניצול האמון האנושי.

המידע כבר נמצא ברשת

אחת הטעויות הנפוצות היא לחשוב שתוקף זקוק לגישה פנימית לארגון כדי לבצע Voice Cloning.

בפועל, רוב המידע הדרוש כבר זמין לציבור:

• הרצאות בכנסים
• וובינרים
• פודקאסטים
• ראיונות בתקשורת
• סרטוני YouTube
• הודעות לעיתונות
• פוסטים ברשתות חברתיות

מנהלים בכירים רבים משתפים תוכן מקצועי כחלק מפעילות שיווקית או עסקית לגיטימית לחלוטין. המידע הזה יוצר הזדמנויות עסקיות חשובות, אך במקביל מספק לתוקפים חומר גלם איכותי לבניית התחזויות מבוססות AI.

איפה הארגון באמת נמצא בסיכון?

הסיכון המרכזי אינו עצם קיומה של הטכנולוגיה.

הסיכון האמיתי הוא בתהליכים ארגוניים שמבוססים על אמון בקול האנושי.

לדוגמה:

אישורי תשלום

עובד מקבל שיחה שנשמעת כאילו הגיעה מסמנכ"ל הכספים ומבקש לבצע העברה דחופה.

איפוס הרשאות וסיסמאות

מוקד תמיכה מקבל בקשה שנשמעת כאילו הגיעה ממנהל בכיר.

שינוי פרטי ספק

מחלקת הכספים מקבלת הנחיה לשנות פרטי חשבון בנק.

שיתוף מידע רגיש

עובד מתבקש להעביר מסמכים או נתונים לגורם שנשמע מוכר ואמין.

בכל אחד מהמקרים הללו, הקול לבדו כבר אינו יכול לשמש כאמצעי אימות.

Voice Cloning הוא למעשה הנדסה חברתית משודרגת

חשוב להבין ש־Voice Cloning אינו מחליף את שיטות התקיפה המוכרות.

הוא מעצים אותן.

פישינג, Smishing ו־Vishing עדיין קיימים, אך כעת התוקפים יכולים לשלב בהם אלמנט אישי ומשכנע הרבה יותר.

המעבר הוא מתקיפות המוניות וגנריות למתקפות מותאמות אישית, שבהן כל יעד מקבל תרחיש תקיפה שנבנה במיוחד עבורו.

זו אחת הסיבות לכך שארגונים נדרשים לחשוב מחדש על ניהול סיכונים בעידן ה־AI.

מי נמצא בסיכון הגבוה ביותר?

למעשה כל ארגון עלול להיות יעד לתקיפה, אך ישנם גורמים החשופים יותר:

הנהלות בכירות

מנכ"לים, סמנכ"לים, מנהלי כספים ומנהלי IT הם יעדים מועדפים משום שהם בעלי סמכות לקבל החלטות ולתת אישורים.

ארגונים בעלי נוכחות ציבורית

חברות שמקיימות וובינרים, הרצאות, פודקאסטים ופעילות שיווקית ענפה מייצרות באופן טבעי יותר חומרי קול הזמינים לציבור.

מוסדות פיננסיים

בנקים, חברות ביטוח וגופים פיננסיים מטפלים בתהליכים שבהם זהות ואמון הם מרכיב מרכזי.

ארגוני בריאות

מידע רפואי ונתונים אישיים הופכים את מגזר הבריאות ליעד אטרקטיבי במיוחד.

מה ניתן לעשות כדי לצמצם את הסיכון?

החדשות הטובות הן שהפתרון אינו להפסיק להשתמש בטלפון או להימנע מחשיפה ציבורית.

הפתרון הוא לחזק את התהליכים.

• לא להסתמך על קול בלבד
  כל פעולה רגישה צריכה לכלול אמצעי אימות נוסף.
• אימות בערוץ נפרד
  בקשה חריגה שהתקבלה בטלפון צריכה להיות מאומתת באמצעות ערוץ נוסף כגון דוא"ל ארגוני, מערכת פנימית או שיחה חוזרת למספר מוכר.
• נוהל ארבע עיניים
  פעולות פיננסיות או קריטיות צריכות לכלול אישור נוסף של גורם מוסמך.
• העלאת מודעות עובדים
  עובדים צריכים להבין שהעובדה שקול נשמע מוכר אינה מהווה הוכחה לזהות.
• בחינת תהליכים קיימים
  ארגונים צריכים למפות תהליכים המבוססים על אמון אישי ולבחון האם הם עדיין מתאימים לעידן הבינה המלאכותית.

הקול האנושי כבר אינו מנגנון אבטחה

המעבר לעולם שבו בינה מלאכותית מסוגלת לחקות קול ברמת דיוק גבוהה מחייב ארגונים לשנות תפיסות שהיו מקובלות במשך עשרות שנים.

השאלה אינה האם Voice Cloning יהפוך לנפוץ יותר – אלא האם הארגון ערוך להתמודד עם מצב שבו קול אנושי כבר אינו מהווה הוכחה לזהות.

ארגונים שישלבו תהליכי אימות חזקים, מודעות עובדים, ניהול סיכונים ובקרות מתאימות יוכלו לצמצם משמעותית את הסיכון ולהמשיך לפעול בביטחון גם בעידן החדש.

רוצים לבחון את רמת המוכנות של הארגון לאיומי AI והנדסה חברתית?

מתקפות מבוססות Voice Cloning הן חלק ממגמה רחבה יותר שבה תוקפים מנצלים בינה מלאכותית כדי לעקוף תהליכי אמון וזיהוי מסורתיים. באינפוגארד אנו מסייעים לארגונים לזהות תהליכים פגיעים, לבצע סקרי סיכונים, להטמיע נהלים, לחזק את מודעות העובדים ולבנות מערך הגנה המשלב אנשים, תהליכים וטכנולוגיה.

הגנה אפקטיבית אינה מתחילה בטכנולוגיה בלבד – היא מתחילה בהבנת הסיכון ובבניית תרבות ארגונית שמוכנה להתמודד עם האיומים של המחר.

דברו עם צוות המומחים שלנו על הדרכות מודעות לאבטחת מידע ואיומי סייבר.

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי ROY KISCH, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).