היזם הוותיק הציג בכנס Silicon Club כיצד מתקפות דיפ-פייק, פריצות ליצרניות ענק והונאות דרך Help Desk חושפות חולשות חמורות, והמליץ לאמץ Passkeys ותהליכי אימות מחמירים
מיקי בודאי, מהיזמים הבולטים של תעשיית הסייבר הישראלית ומי שכבר עמד מאחורי ארבעה אקזיטים מרשימים, הציג במפגש הסיליקון קלאב שהתקיים ב-30 בספטמבר 2025 תמונה מטרידה של עולם הזיהוי והאימות הארגוני. “אנחנו נמצאים בעידן שבו כל מה שהכרנו – קול, וידאו ואפילו מסמכים רשמיים – כבר לא מהווים הוכחה אמינה לזהות. הדיפ-פייק שבר את הכללים,” פתח בודאי.
הונאת הדיפ-פייק: 25 מיליון דולר ש”נעלמו” בזום
בודאי סיפר מקרה אמיתי שהתרחש בחברה גלובלית עם אלפי עובדים. אחד מאנשי הפיננסים הוזמן לשיחת זום בה השתתפו, לכאורה, המנהל הפיננסי הראשי (CFO) ואנשי כספים נוספים. במהלך הפגישה הוסבר על עסקה דחופה, והעובד התבקש לבצע העברות כספים. “הוא ירד מהזום והעביר סכום כולל של 25 מיליון דולר. רק אחר כך התברר – אף אחד מהמשתתפים לא היה אמיתי. הכול היה דיפ-פייק מתוחכם,” אמר בודאי.
לדבריו, זו אינה תקרית בודדת: “יש עוד אירועים רבים, רובם לא מתפרסמים בגלל הבושה והפגיעה במוניטין. הבסיס שעליו נשענו – אימות באמצעות קול, וידאו או תעודות – פשוט קרס.”
כששיטות האימות המסורתיות נשברות
בודאי הדגיש כי גם במצבים יומיומיים – שכחת סיסמה או אובדן פרטים מזהים – תהליכי שחזור זהות בבנקים ובארגונים אחרים נשענים על שיחות קוליות, אימות וידאו או הצגת תעודה מזהה. “היום אי אפשר לסמוך על אף אחד מהדברים האלה. הכל ניתן לזיוף ברמה שמבלבלת גם מערכות וגם בני אדם,” אמר.
כדי להתמודד עם הסיכון, המליץ לבחון מחדש תהליכי קבלת החלטות בארגונים: “לאשר עסקאות רק בערוצים פנימיים מוגדרים מראש – למשל, קבוצות סגורות ב־Slack. לא משנה כמה טלפונים או זומים יגיעו – בלי הערוץ הרשמי, זה לא עובר.”
הפריצה ליגואר לנד רובר: נזק של מאות מיליונים
בודאי עבר לסקור דוגמה אחרת – התקיפה על יגואר לנד רובר. לדבריו, קבוצת האקרים חדרה למערכות ה־IT, ניצלה פרטי כניסה שהושגו דרך מערכת Jira, והצליחה לשתק את פסי הייצור במשך שבועות. “החברה הפסידה מאות מיליוני דולרים. וזה קרה בגלל סיסמה אחת שנגנבה,” הסביר.
הוא הדגיש כי מדובר בדפוס חוזר: “התוקפים מתחילים בנקודת כניסה שולית – תחנת עבודה של קבלן משנה, משתמש חיצוני – ומשם מטפסים פנימה עד להשבתה מוחלטת של הארגון.”
סיסמאות – טכנולוגיה בת 60 שנה שצריכה להיעלם
בודאי קרא לנטוש בהקדם את השימוש בסיסמאות: “סיסמאות הן טכנולוגיה מיושנת בת יותר משישים שנה. גם שימוש ב־Authenticator למיניהם אינו מספיק, כי התוקפים יכולים לשכנע את המשתמש ללחוץ ‘כן’ ולפתוח בפניהם את הדלת.”
הפתרון, לדבריו, נמצא ב־Passkeys – טכנולוגיה ביומטרית שמבוססת על זיהוי פנים או טביעת אצבע ישירות מול המכשיר של המשתמש. “רק Passkeys מבטיחים שהאימות מתבצע מול הדיבייס האמיתי ולא מול תוקף מרוחק. זו הדרך הנכונה לארגונים,” אמר.
MGM וה־Help Desk: נקודת תורפה מוכרת
בודאי הזכיר גם את המתקפה המתוקשרת על רשת המלונות MGM. התוקפים התקשרו ל־IT Help Desk, הציגו עצמם כעובדים, ענו על שאלות זיהוי בסיסיות ואף קיבלו קוד SMS. כך הצליחו לאפס סיסמאות ולחדור לרשת כולה.
“זה קורה כל הזמן, לא רק ב־MGM. ה־Help Desk הוא נקודת תורפה חמה. גם אם נעבור ל־Passkeys, צריך לבדוק היטב איך מתבצע תהליך איפוס החשבונות,” ציין בודאי.
מתקפות דרך טלפונים אישיים ואפליקציות
בהמשך סיפר מקרה אישי: רעייתו קיבלה התראה מזויפת באייפון על מחסור ב־disk space. היא הורידה אפליקציה זדונית שפתחה גישה מלאה למכשיר. “זה נראה כמו הודעת מערכת לגיטימית. בפועל זו הייתה הונאה מתוחכמת דרך פרסומות בתוך אפליקציה,” סיפר.
בודאי התריע במיוחד מפני שימוש באפליקציות השתלטות מרחוק כמו Anydesk, המשמשות תוקפים להתחזות לאנשי תמיכה. “כשעובד מקבל שיחה כביכול מה־IT של החברה ומתבקש להתקין Anydesk – הוא מעניק לתוקף גישה לכל מערכות הארגון.”
לדבריו, הבעיה מחריפה משום שארגונים רבים מאפשרים חיבור של טלפונים אישיים לאימייל, לסלאק ולמערכות פנימיות אחרות. “זהו כר פורה לפעילות התקפית, במיוחד דרך קבלני משנה וחברות שירות,” הוסיף.
פתרונות: שילוב בין תהליכים לטכנולוגיה
כשהתבקש להתמקד בפתרונות, סיכם בודאי: “אין פתרון יחיד. צריך גם פרוססים וגם טכנולוגיה.”
בצד התהליכי – למפות את נקודות התורפה הארגוניות ולבנות מנגנוני אישור שאינם נשענים על קול או וידאו. בצד הטכנולוגי – לאמץ Passkeys ויכולות מתקדמות לזיהוי השתלטות על מכשירים מרוחקים.
“בסופו של דבר, רוב ההתקפות מתחילות בהשתלטות על חשבון משתמש. 70–80 אחוז מהמקרים כוללים מרכיב כזה. מי שיתכנן נכון את תהליכי ההזדהות – יחסוך לעצמו קטסטרופות,” קבע.
בודאי חשף את עומק המשבר בעולם הזיהוי והאימות, אך גם הציעה מסלול ברור לפתרון: שילוב של תהליכי עבודה הדוקים וטכנולוגיות מתקדמות. “זה לא מדע מסובך,” אמר לסיום, “זה פשוט עניין של לקבל החלטות נכונות בזמן. כל ארגון חייב לעשות את זה – לפני שהוא מוצא את עצמו בכותרות בעקבות מתקפה.”
