הבוקר שלי התחיל רגיל לחלוטין. קפה, מעבר על לוגים, שגרה של מנהל IT. ואז נכנס המייל הזה.
הוא הגיע מלקוחה שלי. שוכרת ותיקה אצלי במתחם המשרדים. אישה שאני פוגש במסדרון, מכין איתה קפה במטבחון, מכיר את העסק שלה. הנושא היה מלחיץ: “התראה לפני תביעה – הפרת חוזה מיידית”. בגוף המייל? שורות קצרות, לקוניות, ולינק אחד בולט וכחול: “לצפייה במסמכים המשפטיים לחץ כאן”.
האינסטינקט הראשוני? דפיקות לב. המוח הישרדותי שלנו מתוכנת להגיב לאיומים. “על מה היא מדברת? איזו תביעה? אני חייב לראות את המסמכים עכשיו ולהוכיח שזה לא נכון”. האצבע שלי כבר ריחפה מעל העכבר. הייתי במרחק של מילימטר מלחיצה.
אבל אז עצרתי.
משהו שם לא הסתדר. השפה הייתה קצת “רשמית מדי” אבל עם שגיאות תחביר קטנות. ובעיקר – למה שהיא תשלח לי מייל מאיים כזה במקום לדפוק בדלת שנמצאת 10 מטרים ממני?
הרמתי את הטלפון וחייגתי אליה. “היי,” שאלתי בזהירות, “שלחת לי עכשיו מייל על תביעה?” השתיקה בצד השני הייתה רועמת. ואז שמעתי את האנחה הכבדה. “אוי ואבוי, אושרי. פרצו לי. אל תפתח כלום. הם שולחים את זה לכולם בשמי.”
באותו רגע הבנתי שני דברים:
- הלקוחה שלי בבעיה רצינית.
- אני הייתי במרחק לחיצה אחת מלהפוך את הבעיה שלה – לאסון שלי.
למה הטכנולוגיה “שתקה”?
אתם בטח שואלים: “אושרי, אתה איש סייבר. אין לך מערכות שמסננות את זה?”. יש לי את המערכות הכי טובות. אבל המקרה הזה (BEC – Business Email Compromise) הוא הסיוט של מנהלי האבטחה.
המייל הגיע מהתיבה האמיתית שלה. ה-Office 365 שלה נפרץ. מבחינת המערכות שלי: הכתובת לגיטימית, ה-IP תקין, הדומיין אמין. שום “חומת אש” לא תעצור מייל שמגיע מאדם אמיתי שאתם מתכתבים איתו קבוע.
מה היה קורה אם הייתי לוחץ?
תרחיש האימים: לחיצה על הלינק הייתה מורידה למחשב שלי נוזקה (Malware) או גונבת את פרטי ההתחברות שלי. המחשב שלי, שמחזיק גישה לשרתים, לניהול לקוחות ולמידע רגיש, היה הופך ל”זומבי” בשירות התוקפים. הנזק? השבתה של העסק, דליפת מידע, ופגיעה אנושה במוניטין שלי מול הלקוחות שלי.
הלקח האמיתי: טכנולוגיה זה לא מספיק – חייבים להדריך את האנשים
אני לא יודע איך פרצו ללקוחה שלי, אבל אני יכול לנחש בזהירות: הנדסה חברתית. מישהו שלח לה מייל דומה לפני שבוע. היא כנראה הייתה עמוסה, לחוצה, או פשוט לא שמעה לב – ולחצה.
וזו הנקודה הכי חשובה בפוסט הזה: אתם יכולים לקנות את ה-EDR הכי יקר, להקשיח את הכרום עם סינון אתרים זדוניים (שזה חובה!), ולשים את חומת האש הכי חזקה.
אבל אם העובדת שלכם בהנהלת חשבונות לא יודעת לזהות מייל פישינג – כל ההגנות האלו לא שוות הרבה.
הגורם האנושי הוא קו ההגנה האחרון (Human Firewall). היום, יותר מתמיד, חובה להשקיע בהדרכות מודעות עובדים (Security Awareness Training).
זה לא חייב להיות קורס משעמם של 4 שעות. זה צריך להיות:
- סימולציות פישינג: לשלוח לעובדים מיילים “זדוניים” יזומים ולראות מי לוחץ (ומי שלוחץ – מקבל הדרכה במקום, לא נזיפה).
- נהלים ברורים: ללמד אותם שאם מקבלים בקשה דחופה להעברת כספים או שינוי סיסמה – קודם כל מרימים טלפון לוודא.
- תרבות של “מותר לשאול”: עובד צריך להרגיש בנוח לשאול את מנהל ה-IT: “זה נראה לך חשוד?” בלי לפחד שיצחקו עליו.
השורה התחתונה
הלקוחה שלי למדה בדרך הקשה. המחשב שלה נפרץ, המוניטין שלה נפגע, והיא מבלה את הימים האחרונים בהתנצלויות בפני כל הספר טלפונים שלה.
אל תהיו הארגון ש”מקווה לטוב”. תדאגו שיהיה לכם מישהו שמנהל את האירוע הזה ב-360 מעלות:
- גם טכנולוגית (EDR, ניהול דפדפנים, MFA).
- וגם אנושית (הדרכות, סימולציות, נהלים).
היום זה קרה לה. מחר זה יכול להיות במייל שלכם.
כתיבת תגובה
יש להתחבר למערכת כדי לכתוב תגובה.