על פישינג במטאוורס שמעת?

שיתוף:

ההכרזה של מארק צוקרברג בשנה שעברה, הפכה ליריית הפתיחה של המירוץ על הובלת המטאוורס שבו משתתפות ענקיות הטק. במירוץ צצות עשרות פלטפורמות אשר לכל אחת הזהות, המראה והחוויות המעט שונות שהיא מציעה.
הכסף הגדול, האפשרויות הבלתי מוגבלות ליצור עולמות פנטסטיים, לפתח מערכת יחסים, מעורבות ומכירות מייצרים עניין רב בקרב המגזר הפרטי והציבורי. המטרה להוביל חדשנות, לייצר מנועי צמיחה ולעצב את עתיד האינטרנט והאיקומרס.

שוק המטאוורס צפוי לעמוד על 800 מיליארד דולר עד 2024, לפי J.P. Morgan ב-2021 מוצרים וירטואלים נמכרו ב-54 מיליארד דולר. חברות ממגוון תעשיות הקימו פעילויות מטאוורס. ביניהן גוצ'י, בלנסיאגה וארמני, נייקי, פולסווגן, J.P. Morgan ומאסטרכרד ואפילו תוכניות טלוויזיה.
גם מדינות החלו להשקיע בפיתוח והקמה של תשתיות מטאוורס, ביניהן איחוד האמירויות וישראל.

ההזדמנויות העצומות מגדילות את נקודות הכניסה לתקיפה וסיכוני אבטחה וסייבר, כמו גניבת מידע והחדרת נוזקות עליהם נדבר. סיכונים אלו הודגשו גם בדו"ח האיומים השנתי של הפורום הכלכלי העולמי לשנת 2022.


אבטחת זהויות
התפיסה שהתפתחה באינטרנט הנוכחי (WEB 2.0) של הגנה ויצירת אותנטיקציה, יוצרת אתגרים חדשים במטאוורס בו לכל אחד יש מספר זהויות. הקושי מתבטא גם בחוסר הבשלות של הטכנולוגיה ובריבוי הפלטפטורמות שאיננו מודעים עדיין לרמת האבטחה ביניהן. מעבר לכך, ביום שבו נוכל לעבור בין פלטפורמות עם האווטאר, והנכסים הדיגיטליים נראה ניסיונות נוספים לגניבת זהויות.


גניבת מידע
העקבות הדיגיטליים שמשתמשים משאירים אחריהם בכל פעולה המתבצעת באינטרנט הם בעיה שצפויה לחצות בקלות גם לרחבי המטאוורס. טכנולוגיית VR אוגרת פי 100-300 מידע מאשר סמרארטפונים. כמויות ואופי המידע (קולי, חושי וגופני) צפויים להוות מקור משיכה לתוקפים.


פגיעויות בצד הלקוח
משקפי ה-AR וה-VR הן כבדות יחסית וזקוקות לזיכרון רב, לכן הן גם מטרות נוחות לתקיפה. בנוסף, זיוף מיקום (location spoofing) ומניפולציה של מכשירים מאפשרים לתוקף להשתלט על זהויות המשתמשים ולגרום לנזק לאחר הכניסה למטאוורס.

פישינג
איך יראו ניסיונות פישינג במטאוורס? דמיינו פריצה ללוחות אירועים של פלטפורמות והצגת מודעות זדוניות, היכולות לפגוע בכמות עצומה של משתמשים מבלי שיהיה להם מושג שזה אפשרי.


פרטיות
השמירה על הפרטיות תלויה בסוג פלטפורמות האבטחה ובמודלים הבטיחותיים שהמטאוורס מציב עבור ארגונים. כיום אין כלל רגולציה וכדי להפוך את החוויה לפרסונלית ואימרסיבית יש צורך באיסוף מידע רגיש.
ריבונות


בניגוד לרגולציית ה-GDPR ונוספות, שמציגות דרישות מחייבות כדי שחברה תוכל לפעול בשטחה הריבוני של מדינה מסוימת, במטאוורס אין גבולות ריבוניים ולכן שמירה על פרטיות המשתמשים נתון בידי יוצרי הפלטפורמה. דמיינו מקרה בו אווטאר גונב זהות ונכסים דיגיטליים.
למי נתונה החבות? ואיזה בית משפט ישפוט?
הפוטנציאל ש

ל המטאוורס עצום, ועדיין אינו מובן לחלוטין – לחברות, לארגונים ולמדינות. הסיכונים כבר כאן, וככל שיותר חברות יכנסו למטאוורס כך יעלו הסיכויים שהן יעשו זאת בלי לקחת בחשבון את סיכוני האבטחה והסייבר – הקיימים והעתידיים. וקטורי תקיפה חדשים יחייבו חשיבה על פרקטיקות האבטחה הנהוגות כיום ועל מידת התאמתן למטאוורס, כדי לקיים פעילות מאובטחת ומודעות בקרב המשתמשים.

נכתב יחד עם אביב מודאי

פוסטים נוספים

דילוג לתוכן