כך הצלחנו לפצח הונאת פישינג של מיליוני יורו באמצעות בינה מלאכותית

לצד מנועי חיפוש רגילים פועלות מערכות שמגיעות גם ל-Dark Web ומייצרות תובנות לצרכים ממוקדים יותר. כמות המידע שנאסף מביאה איתה אתגרים ייחודיים של ולידציה ועיבוד – כך התגברנו עליהם

מנועי החיפוש הרגילים לא מספיקים במקרים של חקירת פשעי סייבר ואיתור נעדרים (הדמיה: Cobwebs)

מאת שי אטיאס, CTO at Cobwebs 

מנועי חיפוש הם חלק מהותי בשגרת העבודה שלנו, אך האם הם נותנים מענה כולל? לא בטוח. כמות המידע שעולה לאינטרנט מדי יום צמחה בעשור האחרון לנפחים אסטרונומיים, שיצרו את הצורך ביצירת מנועי חיפוש עמוקים יותר. נכון, אפשר להשתמש במנועים הרגילים, וגוגל בראשם, אבל ישנם כמה שימושים שמצריכים מוצרים מתמחים שנבנו במיוחד עבורם.

דוגמה אחת לשימושים כאלה היא חקירות פשעים. החברה שלנו, Cobwebs Technologies, פיתחה מנוע חיפוש עמוק יותר שמשמש בין היתר לחקירות פשעים ולכן כולל גם תוצאות מרחבי הרשת, כולל מה-Dark Web. המערכת מסוגלת לבצע איסוף ועיבוד מאסיבי של מידע, ונעזרת בטכנולוגיות AI כדי לייצר תובנות במהירות. אז איך הצלחנו ליצור מערכת כזאת ועל אילו אתגרים היינו צריכים להתגבר בדרך?

מיליוני אירו הועברו לחברת קש

לפני כמה שנים, אחד הלקוחות שלנו ביקש שנסייע בחקירת הונאה לאחר שחברת הפצה אירופאית נפגעה בידי האקרים. מה קרה שם בדיוק? לפני מימוש ההונאה, התוקפים ניתחו את פעילות החברה ואת אחד מספקיה הוותיקים, ומיפו את נכסיהם הדיגיטליים (דומיינים, סיומות אימייל, כתובות IP ועוד).

ההונאה החלה ברכישת דומיין מדומה (פישיניג) שהיה כמעט זהה לדומיין האמיתי של אותו ספק. התוקפים יצרו תחתיו תיבות אימייל מזויפות, ולאחר שהכינו את התשתית הם שיגרו מיילים למנהלת הפיננסית של יעד ההונאה – החברה האירופאית.

תוך שהם מתחזים לספק של יעד התקיפה, התוקפים ביקשו מהמנהלת לעדכן את פרטי חשבון הספק להעברת התשלומים, וכתוצאה מכך היא העבירה בשוגג מיליוני אירו לחברת הקש של התוקפים. התרמית התגלתה רק לאחר מספר חודשים, כשהספק האמיתי יצר קשר עם החברה.

החקירה שביצעה רשות האכיפה המקומית כללה חקירות OSINT, המשתמשות במידע גלוי באינטרנט ושימוש בכלים סטנדרטיים, אך אלה לא הספיקו לאיתור מקור ההונאה וזהות התוקפים. כאן נכנסו אנחנו לתמונה: לאחר מספר חיפושים בסיסיים, המערכת הצליחה להפנות את הרשויות לקבוצת האקרים מאפריקה שעמדה מאחורי התקיפה.

וזה מה שעשינו: כצעד ראשון, הזנו למערכת שלנו את פרטי הדומיין המזויף שבו השתמשו התוקפים. המערכת סרקה מקורות של רישום דומיינים (Domain registries), איתרה את היסטוריית הרכישה של הדומיין ששימש בתקיפה וחילצה פרטים מזהים שלכאורה לא היו קשורים לאירוע.

התהליך הזה אולי נשמע פשוט, אבל הוא משקף התגברות על אתגרים מהותיים שפתרנו כבר בשלבי פיתוח המערכות שלנו. אחד האתגרים הוא ייצור יכולות איסוף החסינות לשינויים מצד מקורות המידע, שמגיעים ממגוון אזורים ברשת הגלויה והנסתרת. האיסוף הוא הליך מורכב שחייב בסוף לכלול מידע מונגש ורלוונטי למשתמשים. על כן המידע הגולמי הנאסף עובר בצורה אוטומטית הליכי ולידציה ועיבוד עד הפיכתו למידע מהימן שאפשר להשתמש בו. עם האתגר הזה התמודדנו באמצעות בניית מערכת אסטרטגית רחבת היקף שעברה לעולמות ה-No-SQL. לצורך כך שילבנו מספר פתרונות דאטה ובהם פתרון ELK, המספק פתרונות חיפוש למידע טקסטואלי, לצד פתרונות אחסון ענניים כמו S3 המשמשים לאחסון מדיה.

איך ידענו לקשר אירועים שלכאורה אינם קשורים למקרה הזה? לאחר השלמת תהליך איסוף המידע עברנו לשלב יצירת התובנות בו המערכת ניתחה אוטומטית כל פריט מידע שנאסף. לצורך כך המערכת הריצה מספר אלגוריתמים ייעודיים שמציפים מידע חשוב ומאפשרים לקבל החלטות בזמן אמת. אספקט זה של המערכת משלב אלגוריתמים של בינה מלאכותית (AI) ולמידת מכונה (ML) מעולמות הראייה הממוחשבת וניתוח הטקסטים, כגון Objects detection ו-NLP. כלים אלו מאפשרים למערכת, בין היתר, לנתח תמונות ומסמכים המכילים מידע טקסטואלי ולזהות למשל אתרים שמהם נלקחו תמונות, וכך לסייע בחקירות הונאה, במציאת נעדרים ואפילו בסיכול פעולות טרור.

שימוש ביכולות AI מאוד נפוץ כיום ולכן הטמעה של כלים אלו בעולמות התוכן של המערכת היה אך טבעי. אנחנו הטמענו במערכת כלים שיודעים לזהות בתמונות טקסטים ומרכיבים נוספים שיש בהם תובנות מודיעיניות, כגון כתובות מייל ומיקומים גיאוגרפיים, שיכולים לספק כיוונים חדשים בחקירות Osint וביצירת לידים נוספים לחיפושים. דוגמה נוספת מעולמות ה-Vision היא הצלבה בין תמונה למיקום גיאוגרפי, המייצרת תובנה לגבי המקום שבו היא צולמה – תמונות מכילות לעתים מאפייני מיקום שנשמרים בתוך קובץ התמונה (Exif). בשיטה זו ניתן גם להבין אם תמונה שצולמה במקום גיאוגרפי כלשהו אותנטית או לא, לדוגמה בתמונה הבאה: כאשר מסתכלים על הנ”צ המאוחסן בתמונה, ניתן לראות שהיא בכלל צולמה בארה”ב.

פשעים חדשים דורשים כלים חדשים

חזרה להאקרים: אחרי איסוף המידע ומציאת הדומיין המזויף, לקחנו את הפרטים שמצאנו וביצענו חיפוש נוסף במערכת. דווקא השימוש בכלי בינה מלאכותית (ולא בחיפוש ידני, כמו שעשתה רשות האכיפה המקומית) אפשר למערכת לחקור ולהצליב עשרות מילות מפתח שעלו בחיפושים, עד לאיתור הודעה ספציפית בפורום האקרים ב-Dark Web. משם הדרך לפיצוח החקירה הייתה קצרה.

היתרון בשימוש בכלי בינה מלאכותית טמון בכך שהמערכת מגיעה עם מילונים המכילים מילות מפתח שאופיינו, מויינו, קוטלגו ותורגמו לשפות שונות, והם מאפשרים למערכת לסווג ברמה גבוהה את פריטי המידע הנאספים דרכה. כל פריט מידע מסווג בקטגוריות שונות, כגון פשע, הונאה, טרור, מזג אוויר וכו’. בנוסף, המערכת מנתחת כל פריט מידע בעזרת NLPי(Natural language processing) על מנת להוסיף עוד נופך לכל פריט מידע. כך המערכת יודעת לעשות קורלציה ולסווג ברמה גבוהה את פריטי המידע תחת הקטגוריות הרלוונטיות, ויודעת גם להציף למשתמש מידעים שרלוונטיים לקטגוריות המבוקשות. ה-NLP מסייע בסיווג האיזכורים השונים לישויות שונות ומדגיש כאלה שחשוב לשים לב אליהם.

המסקנה מכל אלה מחזקת את נחיצותם של מנועי חיפוש מורכבים ואמינים, השונים מאוד מאלה שאנחנו משתמשים בהם ביום יום. מערכת טובה, מהירה ואמינה יכולה לצמצם את הנזקים שנעשים לחברות ולאנשים פרטיים, ומי יודע, אולי מהירות התגובה עשויה אפילו להרתיע את התוקפים. כך או כך, היום ברור שפשעים חדשים דורשים כלים חדשים – ושניהם ימשיכו להשתכלל.

הכתבה בחסות Cobwebs

Cobwebs Technologies הינה חברה בינלאומית, מובילה עולמית בתחום מודיעין הסייבר. הפתרונות שלנו מותאמים לצרכיהם של לקוחות מהשורה הראשונה – גופי ביטחון, מוסדות פיננסיים וחברות. פלטפורמת מודיעין הסייבר שפיתחנו מזהה ומנתחת מגוון איומים פיזיים ודיגיטליים. מוצרינו פותרים אתגרים מורכבים בעולם האמיתי ומייצרים תובנות בעלות ערך ללקוחותינו. פתרונות החברה משולבים בבינה מלאכותית, מבוססי ענן, ועוסקים באיסוף וניתוח של ביג דאטה, ממגוון סוגי מקורות מידע בזמן אמת.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

7 תגובות על "כך הצלחנו לפצח הונאת פישינג של מיליוני יורו באמצעות בינה מלאכותית"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אבי
Guest

מעט מדי פרטים, היינו שמחים לקרוא יותר,
איך בדיוק נמצאו הקראקרים?
מה היה המידע שהסגיר אותם?

על כל פנים,
זה היה מעניין.

אלי
Guest

אחלה כתבת פרסום.
תקראו לי כשתהיה כתבה טכנית רצינית.

יופי לכם, חפשתם בהסטורית ה whois ומצאתם פרטים של הנוכלים.

לא בדיוק מראה על תחכום מצד הנוכלים או מצדכם.

תום
Guest

אין לי בעיה עם פרסומות. באם הם מספקים לי ערך מוסף כקורא.
הכתבה הזו מתאימה לYNET. באתר טכנולוגי היה מן הראוי לפרט קצת יותר על התהליך, ולא להשתמש סתם במושגים גבוהים שעושים רושם.
לא מסוגלים לפרט? השתמשו בבאנר פרסומת ולא בכתבה.

דניאל
Guest

לקחו data, פיזרנו עליה בינה מלאכותית ועיטרנו בלמידת מכונה, הכנסנו הכל ל-nosql ואז בחשנו עם nlp.
שפכנו מלא מלא dark web, טרפנו את הבלילה עם Amazon s3.
הכל מוין, תויג, קוטלג ועוד מילים מטופשות.
בסוף הכנסנו הכל לתבנית בלוקצ’יין ואפינו בתנור החרטא ברטא ויצאה לנו כתבת יח”צ עמוסת מושגים טכניים מופצצים ובלי שום היגיון.

מתעניין בתחום
Guest

מעניין, אשמח לשמוע עוד על התהליך. איך אפשר ליצור קשר?

חילי
Guest

ממש התרשמתי מהכתבה. אתם עושים חיל
אני מתכנתת שעכשיו סיימה אתם מחפשים גם ג’וניורים?

שירי
Guest

אני מתכנתת שרק סיימה ללמוד. אתם מגייסים גם ג’וניורים?

wpDiscuz

תגיות לכתבה: