Brytyjscy detaliści The Co-Operative Group (Co-op), Marks & Spencer (M&S) i Harrods padli ofiarą poważnych cyberataków w ciągu ostatnich kilku dni. Chociaż dokładne dane o hakerze lub hakerach nie są znane, bliskość ataków może wskazywać na… Pojedynczy sprawca zagrożenia odpowiedzialny za wszystkie trzy atakii prawdopodobnie grupa hakerska Scattered Spider, która została już powiązana z atakiem na M&S. Jak powinni zareagować detaliści, banki i wszyscy inni?
Taktyki hakerów detalicznych
Podczas gdy brytyjska sieć handlowa Boots jest ostatnią, która ucierpiała z powodu zakłóceń informatycznych, sprzedaż Morrisons mocno spadła w zeszłym roku w wyniku cyberataku, a Currys i JD Sports również padły ofiarą ataków, które naruszyły dane klientów. Sprzedawcy detaliczni są ewidentnie narażeni na ataki, a biorąc pod uwagę, że Marks & Spencer stracił pół miliarda funtów z powodu braku możliwości przyjmowania płatności zbliżeniowych, a Co-op pozostawił sklepy z pustymi półkami, nie można przecenić znaczenia tych ataków.
Co się dzieje? Czy działy IT mogły zostać zinfiltrowane przez pracowników zdalnych z Korei Północnej, którzy zdobyli pracę z fałszywymi dyplomami? Wiemy, że ci złoczyńcy są już dość wyrafinowani. Dział kadr przeprowadził cztery rozmowy wideo, potwierdził zgodność kandydata ze zdjęciem w aplikacji (wzmocnionym sztuczną inteligencją) i przeprowadził dodatkowe kontrole przeszłości, które nie dały żadnych rezultatów (ponieważ użyto skradzionej tożsamości z USA). W efekcie zatrudnił fałszywego pracownika. Natychmiast zaczął pobierać złośliwe oprogramowanie. Inna firma w końcu odkryła, że padła ofiarą skoordynowanego planu mającego na celu zapewnienie Koreańczykom z Północy zdalnych miejsc pracy w outsourcingu i że Ponad jedna trzecia Cały jej zespół inżynierów pochodził z Korei Północnej!
Jeśli to nie byli północnokoreańscy programiści Pythona, to czy agenci obcego mocarstwa uzyskali dostęp do nieznanego dotąd komputera kwantowego, aby złamać tajne kody i włamać się do sieci sprzedawców detalicznych, kopiując klucze prywatne i obchodząc zabezpieczenia sieci? Czy osoby z wewnątrz zwróciły się przeciwko swoim hostom i próbowały ich sparaliżować w odwecie za niechcianą zmianę warunków umowy? Czy systemy informatyczne dostarczane przez głównych dostawców zostały zhakowane przez zamaskowanych sabotażystów działających w imieniu konkurencyjnych sprzedawców detalicznych?
Nie, oczywiście, że nie. To nie byli fałszywi pracownicy ani hakerzy próbujący złamać kody. To był ten sam atak, który zdarza się wszędzie i stale. Hakerzy dzwonili do działu pomocy technicznej, podszywając się pod pracowników, którzy zgubili hasła. W związku z tymi atakami brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) stwierdziło, że firmy powinny ponownie przeanalizować sposób działania swoich działów pomocy technicznej.Za zgodą personelu„Przed zresetowaniem haseł, zwłaszcza w przypadku starszych pracowników z dostępem do kluczowych części sieci IT. Cóż, to oczywiste. To ta sama stara socjotechnika, co zawsze.
Nie musi tak być. W sektorze finansowym jednym z najczęstszych zastosowań biometrii jest odzyskiwanie kont i nie rozumiem, dlaczego sprzedawcy detaliczni nie mogliby wykorzystać tej samej technologii do naprawy uwierzytelniania KYE (Know Your Employee), tak jak banki używają uwierzytelniania KYC (Know Your Customer) do przywracania dostępu do kont.
(Zobacz na przykład, co robią firmy takie jak Keyless i Anonybit.)
W swoim najnowszym raporcie rocznym firma M&S ostrzegała, że przejście na pracę hybrydową zwiększa podatność na ataki cybernetyczne. Z zainteresowaniem zauważam, że część odpowiedzi spółdzielni na atak polegała na: Poleć pracownikom, aby pozostawili włączone kamery. Podczas spotkań w pracy zdalnej „sprawdzano wszystkich uczestników”. Wewnętrzny e-mail wysłany do 70 000 pracowników również zawierał prośbę o nienagrywanie ani nieprzepisywanie rozmów w aplikacji Teams, co sugerowało, że hakerzy uczestniczyli w wewnętrznych spotkaniach i przechowywali transkrypcje, aby uzyskać informacje służące do ulepszania ataków socjotechnicznych, a także potencjalnie uzyskać informacje o systemach wewnętrznych, które mogłyby pomóc w przyszłych włamaniach.
Nowe przestępstwa, nowi przestępcy.
Wszyscy wiemy, że natura przestępczości się zmienia, a cyberprzestępcy są sprytni. Nie jestem pewien, czy włączenie kamer, choć z wielu powodów jest dobrą polityką, będzie miało tu duże znaczenie. Sztuczna inteligencja jest już w stanie tworzyć filmy z ludźmi, które mogą oszukać współpracowników, i od lat jest wykorzystywana do niecnych celów: Arup stracił 25 milionów dolarów na rzecz oszustów, którzy wykorzystali sztuczną inteligencję do podszywania się pod dyrektora finansowego firmy i polecenia podwładnemu przelania pieniędzy podczas grupowej rozmowy wideo z udziałem wielu osób. Według policji w Hongkongu „Okazało się, że wszyscy, których [podwładny widział] byli fałszywi.".
Takie deepfake'i są powszechne, nie tylko w bankowości i handlu detalicznym. Właściciel londyńskiej galerii sztuki stracił 30 000 funtów po miesiącach negocjacji w sprawie wystawy z podróbką Pierce'a Brosnana. W innym przypadku w Wielkiej Brytanii, kobieta została aresztowana po tym, jak rzekomo założyła serię peruk i kostiumów, aby zdać testy na obywatelstwo w imieniu co najmniej 14 innych osób, zarówno mężczyzn, jak i kobiet, używając „fałszywych dokumentów tożsamości”, aby uniknąć wykrycia. Właścicielka AirBnB wynajęła nieruchomość kobiecie o skradzionej tożsamości i przekazała raport referencyjny z fałszywym prawem jazdy. Następnie ukradła meble i podnajęła dom na imprezę.
Hakerzy AI, obrona AI? Nie.
Gubernator Rezerwy Federalnej Michael Barr stwierdził niedawno, że w obliczu rosnącej liczby ataków deepfake z wykorzystaniem sztucznej inteligencji, banki powinny „walczyć ogniem ogniem” i same inwestować więcej w sztuczną inteligencję. Nie zgadzam się z tym. Możliwe, że rozpoznawanie twarzy, analiza głosu i biometria behawioralna będą w stanie wykrywać ataki deepfake z wykorzystaniem sztucznej inteligencji, dopóki te podróbki nie zostaną udoskonalone. Prawdą jest, że znaczne inwestycje w sztuczną inteligencję mogłyby pomóc w obronie banków przed falą oszustw z wykorzystaniem sztucznej inteligencji, ale mogłoby to przynieść chwilową ulgę, ponieważ oszuści udoskonalają swoje metody. Ale po co iść tą drogą? Zamiast próbować przechytrzyć atakujących za pomocą sztucznej inteligencji, dlaczego nie skorzystać ze sprawdzonej i przetestowanej technologii, której nie da się podrobić: podpisów cyfrowych?
Sztuczna inteligencja kontra sztuczna inteligencja to niekończący się wyścig. Zamiast tego powinniśmy żądać, aby banki, detaliści, firmy medialne i wszyscy inni wykorzystywali sprawdzoną infrastrukturę bezpieczeństwa, aby udaremnić ataki współczesnych hakerów uzbrojonych w deepfake'i. Pisałem wcześniejMożesz być w stanie stworzyć fałszywe wideo To jest całkowicie przekonujące w przypadku Brada Pitta, ale nie da się stworzyć podpisu cyfrowego, który byłby całkowicie przekonujący dla Brada Pitta. Zamiast prosić pracowników o zgadywanie, czy tak naprawdę patrzą na Zastępcę Zastępcy Kierownika ds. Uzgadniania Faktur (region północno-wschodni), czy na robota, powinniśmy zapewnić im uwierzytelnianie dwuskładnikowe zamiast haseł, weryfikowalne dane uwierzytelniające z silną autoryzacją biometryczną zamiast autoryzacji aktywowanych kamerą, zaszyfrowane i podpisane cyfrowo kopie oraz odporne na manipulację przechowywanie zaszyfrowanych kluczy (na przykład w telefonach komórkowych). *Uwaga: Podpisy cyfrowe zapewniają silną gwarancję autentyczności i integralności danych, co czyni je cennym narzędziem w walce z fałszerstwami.*
Możliwość dodawania komentarzy nie jest dostępna.