במשך שנים, הדיון על סיכוני שרשרת אספקה בסייבר התמקד ברכיבי קוד פתוח, תוכנות צד שלישי או ספקים פיזיים. אבל בשקט יחסי, מתפתחת נקודת תורפה אחרת – כזו שנוגעת ישירות לאנשים, לא לתוכנה: מוקדי שירות IT חיצוניים.
יותר ויותר ארגונים מגלים שמתקפה אחת מתוחכמת על מוקד השירות יכולה לעקוף מנגנוני אבטחה מתקדמים, כולל אימות רב־שלבי, ולספק לתוקפים גישה לגיטימית לחלוטין לרשת הארגונית.
למה מוקדי IT חיצוניים הפכו ליעד מועדף לתוקפים
שירותי Helpdesk חיצוניים הפכו לפתרון פופולרי, במיוחד בארגונים בינוניים וקטנים. הם מציעים חיסכון בעלויות, זמינות גבוהה ומומחיות מקצועית שקשה לייצר פנימית. אלא שבפועל, למוקדים הללו יש הרשאות קריטיות במיוחד.
במסגרת עבודתם השוטפת, נציגי מוקד יכולים:
• לאפס סיסמאות
• לרשום מכשירים חדשים
• להעלות הרשאות משתמש
• להשבית או לאפס אימות רב-שלבי
מנקודת מבט של תוקף, זו בדיוק רשימת הפעולות הנדרשת כדי להיכנס לרשת ולהתקדם לרוחב.
הגורם האנושי: למה זה עובד כל כך טוב
מעבר להרשאות, יש כאן מרכיב אנושי מובהק. מוקדי שירות נמדדים על זמינות, מהירות ומתן מענה. התוקפים מנצלים את זה.
יש לכך כמה סיבות מרכזיות:
• עומס פניות גבוה, במיוחד בסביבות עבודה היברידיות
• תרבות שירות שמקדמת “לעזור מהר”
• שימוש גובר ב-AI ליצירת שיחות קוליות משכנעות, כולל התחזות למנהלים בכירים
גם נציג מנוסה עלול להתקשות לזהות מתקפת vishing מתוכננת היטב.
מוקדי השירות תחת מתקפה: דוגמאות מהשטח
מתקפות על Helpdesk אינן תופעה חדשה, אך בשנים האחרונות הן הפכו ליקרות ומסוכנות במיוחד.
מקרים בולטים שממחישים את הסיכון:
• בשנת 2023, מתקפת vishing על מוקד השירות של MGM Resorts אפשרה לתוקפים לחדור לרשת הארגונית וגרמה לנזק המוערך ביותר מ-100 מיליון דולר.
• חברת Clorox תבעה את ספק ה-IT שלה לאחר שנציג מוקד איפס סיסמה מבלי לאמת זהות. עלות האירוע דווחה בכ־380 מיליון דולר.
• במקרים אחרים, קבוצות כמו LAPSUS$ ו-Scattered Spider ניצלו מוקדי שירות כדי לחדור לארגונים גלובליים באמצעות מידע אישי שנאסף מראש על עובדים.
הקו המחבר ברור: לא פריצה, אלא התחברות.
מה ארגונים יכולים ללמוד מהאירועים האלו?
הצלחת המתקפות הובילה גם לתופעה מדאיגה נוספת: קבוצות פשיעה מגייסות דוברי אנגלית שפת אם, עם מבטא “אמין”, כדי לבצע שיחות vishing בשעות העבודה המקומיות של היעד.
עבור מנהלי אבטחה, זה צריך להדליק נורה אדומה - במיוחד אם מוקד השירות מנוהל על ידי ספק חיצוני.
איך סוגרים את הפער בלי לפגוע בשירות
ניהול הסיכון אינו מסתכם בהחלפת ספק. הוא מחייב בקרה, תהליכים וטכנולוגיה.
בין הצעדים הקריטיים:
• תהליכי אימות מחמירים לכל בקשה רגישה, כולל Callback למספר מאומת
• עקרון הרשאות מינימליות והפרדת תפקידים במוקד
• לוגים וניטור בזמן אמת של פעילות Helpdesk
• הדרכות שוטפות המבוססות על תרחישים אמיתיים, כולל שימוש ב-AI
• בקרות טכנולוגיות לזיהוי זיוף זיהוי מתקשר ו-Deepfake קולי
הדגש אינו על חוסר אמון בנציגים, אלא על צמצום שטח התקיפה.
למה MDR הוא שכבת הגנה קריטית למוקדי IT
מתקפות vishing הן אתגר אנושי, אך ההתמודדות היעילה ביותר היא שילוב בין אנשים, תהליכים וטכנולוגיה.
כאן נכנס לתמונה שירות MDR. עבור ספקי IT ומוקדי שירות, MDR מאפשר:
• ניטור רציף של פעילות חריגה
• זיהוי מהיר של שימוש לא שגרתי בהרשאות
• תגובה מיידית לאירועים, עוד לפני נזק רוחבי
שירות MDR של ESET פועל כשלוחה של צוות האבטחה, ומאפשר למוקד להתמקד בשירות – בידיעה שיש מי שמפקח על התמונה הרחבה 24/7.
כשאבטחה מתחילה בשיחה אחת
מוקדי IT חיצוניים הם לא “בעיה”, אלא רכיב קריטי בתפעול מודרני. אבל בלי בקרה נכונה, הם עלולים להפוך לנקודת העקיפה הקלה ביותר של מערך אבטחה מתקדם.
בעולם שבו תוקפים כבר לא שוברים דלתות, אלא מבקשים שיפתחו להם, האבטחה חייבת להתחיל גם בשירות.