מומחים מפענחים את טריק "החטיפה המקוונת" במקרה של הסטודנטית הנעדרת

מאחורי האירוע הנראה בלתי ייאמן הזה עומד תרחיש הונאה מתוחכם ומסוכן יותר ויותר, המכונה "חטיפה מקוונת".

כדי להבהיר את מנגנון הפעולה, טריקים למניפולציה פסיכולוגית ופתרונות מניעה, כתב דן טרי ערך ראיון עם מומחה אבטחת הסייבר וו נגוק סון, ראש מחלקת הטכנולוגיה ושיתוף הפעולה הבינלאומי (האיגוד הלאומי לאבטחת סייבר).

אדוני, הציבור מזועזע מהמקרה של שתי סטודנטיות שהוטעו עד כדי בידוד במלון. אנשים רבים אינם מבינים כיצד צעירים, המכירים את הטכנולוגיה, יכולים להפוך לקורבנות בקלות כה רבה. מנקודת מבטו של מומחה, כיצד אתה מסביר זאת?

מקרים אחרונים של "חטיפת תלמידים באינטרנט" מראים מציאות מדאיגה: אפילו צעירים שמכירים טכנולוגיה עדיין עלולים להפוך לקורבנות של הונאה מתוחכמת.

אין בכך סתירה, משום ש"לדעת כיצד להשתמש בטכנולוגיה" שונה באופן מהותי מ"לקיחת כישורי אבטחה דיגיטלית". פושעים למדו לשלב פסיכולוגיה מניפולטיבית עם טכניקות זיוף מודרניות, וליצור תרחישים אמינים ביותר המכוונים לחולשות הטבעיות של סטודנטים חדשים בתקופת המעבר: ריחוק מהמשפחה, לחץ שילוב, חוסר ניסיון בטיפול במצבים משפטיים ומנהליים.

אז ספציפית, אילו טריקים וטכניקות פסיכולוגיות השתמשו הרעים כדי ללכוד את התלמידים, אדוני?

מבחינה פסיכולוגית, אנשים רעים מפעילים לעתים קרובות ארבעה מנגנונים עיקריים: איומים הקשורים לחוק ולרישומים; התחזות לרשויות מוסמכות (התחזות למשטרה, בתי ספר, בנקים); הזדמנויות נדירות (מלגות מזויפות, הזדמנויות עבודה, לימודים בחו"ל); ניצול הפסיכולוגיה הבוטחת והכובשת של צעירים (המנטליות של "אני טוב בטכנולוגיה כדי שלא יטעו אותי" או "אני מבוגר מספיק כדי לנצל הזדמנויות").

כאשר גורמים אלה מתלווים לתחושת דחיפות, קל לקורבנות לקבל החלטות חפוזות, ולדלג על שלבי אימות בסיסיים.

מבחינה טכנית, פושעים משתמשים ב-OSINT (מודיעין קוד פתוח), מנצלים מידע ציבורי מרשתות חברתיות, פורומים, ואפילו מדליפים מידע אישי כדי להמחיש את התרחיש. הם יכולים לזייף קולות, בגדים מזויפים, תמונות מזויפות, פייסבוק מזויף, אתרי אינטרנט ומסמכים מזויפים כדי להיראות בדיוק כמו הדבר האמיתי.

הם שולחים מידע באופן רציף, מה שגורם לקורבן לא להיות מסוגל לעיין בו ולהאמין שהוא עובד עם אנשים אמיתיים ועם עבודה אמיתית.

המאפיין המסוכן של טופס זה הוא שהקורבן מתבקש "להישאר על הקו ברציפות", לא ליצור קשר עם אף אחד ולעבור הרחק מסביבה מוכרת (למשל, למלון) תחת השם "אימות סודי".

זוהי טכניקת בידוד קלאסית: הפרדת הקורבן מרשת התמיכה (משפחה, חברים, מורים) כדי לבטל את מנגנון אימות העמיתים. לאחר ש"קו התסריט" ומרחב הקורבן נשלטים, הנושא מגביר את המניפולציה על ידי שינויים בין "עליון לכפוף", בקשה להקליט סרטונים , לשלוח מסמכים או להוביל פעולות פיננסיות.

שרשרת התקיפה כוללת בדרך כלל: סיור (איסוף נתונים), בימוי (מסמכים/אתרים מזויפים), גישה (שיחות, הודעות, שיחות וידאו), ניצול (איומים - לחץ), שליטה (להחזיק את הטלפון - להזיז), ומסתיימת בסחיטה או ניכוס נתונים/רכוש.

טכנולוגיית בינה מלאכותית ודיפפייק מתקדמות במהירות. איזה תפקיד הן ממלאות בהפיכת הונאות אלו למסוכנות יותר?

למרות שהרשויות ובתי הספר פרסמו אזהרות רבות, היעילות עדיין אינה הולמת את הנדרש משלוש סיבות:

ראשית , אזהרות אינן יכולות לכסות כל סיטואציה ספציפית, ולא ניתן להתאים אותן אישית.

שנית , האזהרה הגיעה בזמן הלא נכון משום שלאחר חילופי הדברים הראשונים, הקורבן כבר היה "נעול", מבודד ונאסר עליו מגע חיצוני.

שלישית , פושעים משתמשים באותות אמון מזויפים (אתרי אינטרנט, מסמכים, סוכנויות, ארגונים), מה שגורם למסרים כלליים של מניעה "להיטמע" על ידי חוויות מזויפות משכנעות מאוד בזירת האירוע.

התפשטות הבינה המלאכותית יצרה דור חדש של חקיינים מהירים יותר, מדויקים יותר ומותאמים אישית יותר. נבדקים יכולים לחזות קרובי משפחה/מורים בזמן אמת, לבצע שיחות וידאו עם פרצופים מזויפים, צ'אטבוטים מגיבים לנהלים פנימיים של בית הספר, ואפילו ליצור מסמכים ש"נראים" אותנטיים.

כלים אלה לא רק מגבירים את האמינות אלא גם מקצרים את הזמן שלוקח לשכנע קורבנות. כתוצאה מכך, האות "אמיתי-מזויף" מעוות מאוד, מה שהופך את שיטות הזיהוי החזותיות המסורתיות (התבוננות בלוגואים, התבוננות בסימנים אדומים, האזנה לקולות) לפחות יעילות.

לנוכח טריקים כה מתוחכמים, כיצד על סטודנטים ואנשים בכלל להצטייד ב"מערכת חיסונית דיגיטלית", אדוני?

- מציאות שיש לומר בכנות: הליכים רבים הקשורים לסטודנטים, כגון מלגות ואישור פרופיל, מועברים לאינטרנט אך חסרים מנגנון אימות טכנולוגי תואם.

טכנולוגיות אימות וזיהוי לא יושמו במלואן, ולכן אין כלי עבור הנמען לאימות אלקטרוני. בהקשר של סטודנטים חדשים שעוזבים את משפחותיהם, תחת לחץ של דד-ליינים וחשש ממעורבות משפטית, פרצות אלו הופכות ל"כבישים מהירים" להונאה מותאמת אישית.

הפתרון הבסיסי הוא שיפור קיבולת האבטחה הדיגיטלית. כל אדם צריך להבין לעומק את עקרון העצירה לאימות דרך ערוצים רשמיים, בהחלט לא להעביר כסף תוך כדי שיחה עם מישהו שטוען שהוא סוכנות, ולא להתמודד עם מצבים שבהם הוא מתבקש להחזיק את הטלפון/לזוז לבד.

ארבעת הכישורים המרכזיים שיש לאמן כוללים:

זיהוי סיכונים: כל בקשה הקשורה לכסף או למסמכים משפטיים חייבת לעבור אימות דרך לפחות שני ערוצים בלתי תלויים (יש לבדוק בעצמכם את קו החם הרשמי של בית הספר/הסוכנות, או לפנות ישירות).

עקרון "5 שניות - 2 אימותים" : השהה, נשום, ולאחר מכן ודא דרך שני ערוצים לפני ההפעלה.

הישארו מחוברים: הכינו רשימה של אנשים שתוכלו להתקשר אליהם במקרה חירום (קרובי משפחה, מורים, חברים) והסכימו על "סיסמה משפחתית" כדי להתעדכן זה עם זה.

הישארו מעודכנים: עקבו אחר ערוצים רשמיים כדי לזהות טריקים חדשים ולשדרג את כישוריכם. כמו כן, הגדירו את מגבלת העסקאות הנמוכה ביותר; אל תתקינו אפליקציות שלט רחוק ממקורות לא ידועים; השבתו גישה רגישה; וצלמו צילומי מסך של כל הראיות לצורך דיווח מוקדם.

מלבד מאמצים אישיים, מה תפקידם של המשפחה, בית הספר וסוכנויות ההנהלה במאבק הזה, אדוני?

- בתי הספר צריכים להפוך ל"עוגני אותנטיות" עם פורטל יחיד לכל ההכרזות החשובות; כל המסמכים האלקטרוניים צריכים להיות בעלי מנגנון אימות מדעי ; הצהרת מדיניות ברורה: אינם דורשים פעולות חשובות כגון מתן מידע אישי, העברת כספים בטלפון.

במקביל, אם אפשר, בתי הספר צריכים לארגן תרגיל בטיחות עבור הקורסים הראשונים עם תרחישי הונאה נפוצים, ולסייע לתלמידים לתרגל את הרפלקס של "ניתוק - התקשרות חזרה לערוץ הרשמי".

משפחות צריכות לשמור על קשר קבוע, ליצור סביבה שבה ילדים יכולים לדווח מיד על כל מצב מוזר מבלי לחשוש שיואשמו; להסכים על כללי יצירת קשר במקרה חירום, ולהורות לילדים בשום אופן לא ללכת למקומות זרים על פי "הוראות טלפוניות".

בצד הניהולי, יש צורך לתקנן את האימות האלקטרוני בחינוך : מסמכים, הודעות ונהלי גביית אגרות חייבים לכלול מנגנוני אימות טכניים חובה; להוציא הנחיות בין-מגזריות לטיפול במצבים בהם נדרש להחזיק את הטלפון בהמתנה - תוך התחשבות בכך כאינדיקטור לסיכון גבוה; לבנות מוקד קליטה ותגובה מהירה כדי לחבר בין גורמים רלוונטיים.

במקביל, הגבירו את התקשורת הממוקדת: תוכן קצר, תסריטים שקרובים לחייהם של סטודנטים חדשים, שחוזרים על עצמם במהלך "עונת השיא" של ההרשמה.

"חטיפה מקוונת" היא תוצר של שילוב של מניפולציה פסיכולוגית וזיוף טכנולוגי, שהואץ על ידי בינה מלאכותית ודיפפייק.

הפער אינו בידע על מכשירים, אלא בפער בין מיומנויות דיגיטליות למיומנויות בטיחות דיגיטליות.

כדי לסגור את הפער הזה, אנו זקוקים למערכת אקולוגית רב-שכבתית של בטיחות: אנשים עם "מערכת חיסונית דיגיטלית"; משפחות ובתי ספר כפלטפורמות אימות; פלטפורמות דיגיטליות המספקות נקודות ביקורת בזמן אמת; ומדיניות היוצרות מסגרות אימות אלקטרוני מחייבות.

כאשר שכבות ההגנה הללו פועלות יחד, לסטודנטים - קבוצה פגיעה בתקופת המעבר - יהיו מגנים רבים יותר מפני הונאות מתוחכמות יותר ויותר.

תודה על השיתוף!

מקור: https://dantri.com.vn/cong-nghe/chuyen-gia-giai-ma-thu-doan-bat-coc-online-trong-vu-nu-sinh-vien-mat-tich-20250925095241048.htm