אם פעם חשבנו שהסכנה הגדולה בקריפטו היא באג חמור בקוד או פריצה מתוחכמת לחוזה חכם, שנת 2025 טרפה את הקלפים. לפי מומחי אבטחה, רוב הפריצות השנה לא נגרמו מחולשת הקוד או פרצה בתוכנה, אלא בחולשה אנושית, ללחוץ, לאשר או לשתף משהו שלא היה צריך.
לרכישת מטבעות דיגיטליים. וואלה קריפטו >>
"האקרים כבר לא פורצים למערכות, הם מוזמנים פנימה", אומר ניק פרקוקו, סמנכ"ל האבטחה של בורסת הקריפטו Kraken. לדבריו, שדה הקרב האמיתי עבר מהשרתים אל התודעה שלנו.
המספרים ממחישים את גודל הבעיה. מנתוני Chainalysis עולה כי מתחילת השנה ועד תחילת דצמבר נגנבו מעל 3.4 מיליארד דולר בקריפטו. כמעט מחצית מהסכום הזה מיוחס לאירוע אחד בלבד, פריצת הענק לבורסת Bybit בפברואר, שגם היא החלה בהנדסה חברתית ולא בפריצה טכנולוגית קלאסית.
אז מה זה בעצם הנדסה חברתית?
הנדסה חברתית היא שיטת תקיפה שמנצלת אמון, לחץ או בלבול כדי לגרום לאנשים לחשוף מידע רגיש או לבצע פעולה שפוגעת באבטחה שלהם. זה יכול להיות מייל שנראה תמים, הודעה דחופה כביכול מצוות תמיכה, שיחת זום מזויפת או אפילו מבחן קבלה לעבודה שנבנה במיוחד כדי לגנוב מפתחות.
לדברי פרקוקו, האתגר כבר לא רק לבנות חומות גבוהות יותר, אלא לאמן את עצמנו לזהות מניפולציות. המטרה פשוטה, לא למסור את המפתחות רק בגלל שמישהו נשמע משכנע או מלחיץ.
אחת ההמלצות המרכזיות של מומחי אבטחה היא לצמצם ככל האפשר נקודות שבהן בני אדם נדרשים "לסמוך" על משהו. אוטומציה, אימות דו שלבי, ובדיקות זהות חכמות יכולים להוריד משמעותית את הסיכון.
פרקוקו מתאר את עולם האבטחה כמעין מגדל ג'נגה דיגיטלי. גם חוליה קטנה שנראית לא קריטית עלולה להפיל את כל המבנה. בעתיד הקרוב, הוא מעריך, נראה יותר מערכות שמזהות התנהגות חריגה עוד לפני שהמשתמש עצמו מבין שמשהו לא תקין.
ליסה, שמובילה את תחום אבטחת התפעול בחברת SlowMist, מצביעה על מגמה מדאיגה נוספת. תוקפים מכוונים יותר ויותר לאקו-סיסטם של מפתחים, דרך חבילות קוד (SDK), סביבת ענן או עדכוני תוכנה נגועים.
לדבריה, מפתחים וארגונים צריכים להקפיד על בידוד סביבות, אימות אותן חבילות, שליטה הדוקה בהרשאות וסבבי החלפת מפתחות.
גם משתמשים פרטיים לא פטורים מאחריות, שימוש בארנקי חומרה, הימנעות מקבצים לא מאומתים ובדיקה כפולה של זהויות הפכו לסטנדרט בסיסי.
אחד האיומים הגדולים של השנים הקרובות הוא שילוב AI בהונאות. סטיבן וולברול, ממייסדי Halborn, מזהיר מפני מתקפות מותאמות אישית ברמה שטרם הכרנו. האקרים כבר משתמשים בדיפ פייקים, שיחות וידאו מזויפות והודעות שנשמעות כאילו נכתבו על ידי אדם שמכיר אותנו אישית.
הפתרון, לדבריו, טמון באימות זהות קריפטוגרפי, אמצעי זיהוי מבוססי חומרה, והסכמות ברורות מראש לאימות שיחות ופעולות רגישות.
מעבר למסכים, 2025 הביאה איתה גם עלייה באלימות פיזית כלפי מחזיקי קריפטו. לפחות 65 מקרים של תקיפות "מפתח ברגים" תועדו השנה, שיא חדש. ההמלצה כאן פשוטה אך חשובה, פחות לדבר על כסף, פחות להתרברב, ויותר לשמור על פרטיות.
הכללים הישנים עדיין עובדים
לצד כל האיומים החדשים, דיוויד שווד, לשעבר סמנכ"ל האבטחה של Robinhood, מזכיר אמת פשוטה. רוב הנזקים עדיין קורים בגלל טעויות בסיסיות. סיסמאות חוזרות, שמירת מילות הקוד הסודיות בצורה לא בטוחה, וחיבור עיוור לאפליקציות לא מוכרות.
השורה התחתונה ברורה. אף חברה לגיטימית לא תבקש מכם מילות גיבוי או פרטי התחברות. ברגע שמישהו עושה זאת, זו לא הזדמנות, זו הונאה.
בעולם שבו ההתקפות נהיות מתוחכמות יותר, הכלי החשוב ביותר נשאר אותו כלי ישן, ספקנות בריאה, עצירה לפני קליק, והבנה שהאיום הגדול ביותר לא תמיד נמצא בקוד, אלא בשיחה שנראית לגמרי רגילה.