לדלג לתוכן

הונאות מבוססות AI - איך מזהים אותן היום

עד לא מזמן, אחד הסימנים הכי בטוחים להונאה היה ניסוח מוזר, שגיאות כתיב, ותרגום מקוטע. זה עדיין קורה, אבל פחות ופחות. בינה מלאכותית מאפשרת לכל תוקף, גם כזה שאין לו שום קשר לשפה העברית, לייצר טקסט חלק, משכנע, ומדויק דקדוקית תוך שניות. זה משנה את כללי המשחק, וכדאי להבין איך.

למה הונאות נראות טובות יותר עכשיו

בעבר, הרבה מהזיהוי של הונאה התבסס על "זה פשוט נשמע לא נכון" - ניסוח מגושם, שגיאות, פנייה לא אישית. כלים מבוססי AI מאפשרים לתוקפים לכתוב הודעה בעברית תקנית לחלוטין, לפעמים אפילו מותאמת אישית לכם על סמך מידע שהם מצאו עליכם ברשת. זה אומר שהסימנים הישנים פחות אמינים, וצריך להסתמך יותר על הקשר ועל הגיון, ופחות על "איך זה כתוב".

הצורות הנפוצות של הונאות AI כיום

מיילים ופנימיות ברמה מקצועית. הודעת "עדכון חשבון" מהבנק, מרשות המסים, או מחברת משלוחים, כתובה בעברית תקנית לגמרי, כולל לוגו מדויק ועיצוב מקצועי. ההבדל היחיד מהאמיתי הוא בפרטים הקטנים - כתובת שולח, קישור יעד, ובקשה שלא מתאימה למה שהגורם האמיתי היה מבקש.

צ'אטבוטים מתחזים לשירות לקוחות. לפעמים מגלים "נציג שירות" בצ'אט של אתר שנראה תמים, שבפועל אוסף פרטי כרטיס אשראי או מפנה לקישור תשלום מזויף.

פרופילים מזויפים ברשתות חברתיות. תמונת פרופיל שנוצרה על ידי בינה מלאכותית (פנים שנראות אמיתיות אבל של אדם שלא קיים) יכולה לשמש ליצירת פרופיל היכרויות או עסקי מזויף, שנועד לבנות אמון לפני שמבקשים כסף.

הודעות קוליות משוכפלות. כפי שכתבנו במאמר על דיפפייק, גם קול אפשר לשכפל היום, ולהשתמש בו כדי לבקש כסף בשם קרוב משפחה או מכר "במצוקה".

"עוזרים" שמבטיחים תשואה בטוחה. הודעות שמציגות בוט מסחר אוטומטי מבוסס AI שמבטיח רווחים גבוהים וקבועים בשוק ההון או בקריפטו. ככל שהבטחת הרווח בטוחה יותר וקבועה יותר, כך גדל הסיכוי שמדובר בהונאה.

מה כן עדיין עובד לזיהוי

למרות שהניסוח השתפר, יש כמה עקרונות שעדיין תקפים:

דחיפות ולחץ זמן. גם AI לא משנה את הטקטיקה הבסיסית - יצירת תחושת דחיפות כדי שלא תספיקו לחשוב. אם הודעה דוחקת בכם להחליט תוך דקות, זו עדיין נורה אדומה חזקה.

בקשה לכסף או לפרטים רגישים. לא משנה כמה מקצועית ההודעה נראית, אם בסופו של דבר יש בה בקשה להעביר כסף, להזין פרטי כרטיס, או לשתף קוד אימות - זה הרגע לעצור ולבדוק דרך ערוץ נפרד.

הצעה שטובה מדי מכדי להיות אמיתית. תשואה מובטחת, הנחה ענקית, מוצר יקר במחיר מגוחך. ההיגיון הבסיסי הזה לא השתנה, גם אם העטיפה מושלמת יותר.

הקשר כללי. אם הודעה מגיעה מ"בנק שלכם" אבל אתם לא לקוחות שלו, או מ"חברת משלוחים" כשלא הזמנתם כלום - זו עדיין הונאה, לא משנה כמה טוב היא כתובה.

מה שעוזר יותר מאי פעם

וידוא דרך ערוץ נפרד. אם מישהו "מוכר" מבקש כסף בדחיפות, בין אם בהודעת טקסט, שיחה, או מייל - יוצרים קשר איתו דרך אמצעי אחר לגמרי (התקשרות למספר שאתם כבר מכירים, פגישה פנים אל פנים) לפני שמעבירים כל סכום.

האטה מכוונת. ברגע שמזהים שההודעה יוצרת בכם תחושת לחץ, זה בדיוק הרגע לעצור ולחכות עשר דקות לפני שעונים בכלל. רוב ההונאות נשענות על תגובה מהירה ולא מחושבת.

בדיקה עצמאית. במקום ללחוץ על קישור בהודעה, פותחים דפדפן חדש ונכנסים לאתר הרשמי בעצמכם, כמו בכל מקרה של פישינג.

המסקנה - הכלים השתנו, העקרונות לא

הטכנולוגיה מאחורי ההונאות מתקדמת, אבל המניפולציה הפסיכולוגית שעליה הן נשענות - דחיפות, פחד, תאוות בצע - נשארה זהה לגמרי. זה בעצם חדשות טובות, כי זה אומר שהכלים שכבר יש לכם לזיהוי הונאות, כשמפעילים אותם על ההקשר ולא רק על סגנון הכתיבה, עדיין עובדים מצוין.

אם הנושא הזה מסקרן אתכם

אם אתם סקרנים לגבי איך תוקפים באמת בונים את התשתית מאחורי הונאות כאלה, ואיך מזהים אותן ברמה מקצועית - זה בדיוק חלק מעולם ההנדסה החברתית ואבטחת המידע. יש לנו קורס פריצת אתרים חינמי שנוגע גם בזה, מהצד ההגנתי וההתקפי כאחד.

ואם קיבלתם הודעה חשודה ובא לכם חוות דעת שנייה - הקהילה שלנו כאן בשבילכם.

הצטרפו לקהילה בדיסקורד