За последние несколько дней британские ритейлеры The Co-Operative Group (Co-op), Marks & Spencer (M&S) и Harrods подверглись крупным кибератакам. Хотя полные сведения о хакере или хакерах неизвестны, близость атак может указывать на то, что За все три атаки ответственны одни и те же субъекты угрозыи, возможно, хакерская группа Scattered Spider, которую уже связывали с атакой M&S. Как следует реагировать розничным торговцам, банкам и всем остальным?
Тактика хакеров в розничной торговле
В то время как британская розничная сеть Boots стала последней, кто пострадал от сбоев в работе ИТ, продажи Morrisons серьезно пострадали в прошлом году из-за кибератаки, а Currys и JD Sports также подверглись атакам, в результате которых были скомпрометированы данные клиентов. Ритейлеры явно уязвимы, и, учитывая, что Marks & Spencer потерял полмиллиарда фунтов стерлингов из-за невозможности принимать бесконтактные платежи, а магазины Co-op остались с пустыми полками, значимость этих атак нельзя недооценивать.
Что происходит? Могли ли ИТ-отделы подвергнуться взлому со стороны удаленных работников из Северной Кореи, получивших работу по поддельным дипломам? Мы знаем, что эти злодеи уже весьма изощренны. Отдел кадров провел четыре видеоинтервью, которые подтвердили, что соискатель соответствует фотографии в заявлении (с использованием искусственного интеллекта), а также провел дополнительные проверки биографических данных, которые все оказались положительными (поскольку использовалось украденное удостоверение личности США). В итоге он нанял фиктивного сотрудника. Он немедленно начал загружать вредоносное ПО. Другая компания в конечном итоге обнаружила, что стала жертвой скоординированной схемы по обеспечению удаленных рабочих мест для северокорейцев и что Более трети Вся ее инженерная команда была из Северной Кореи!
Если это были не северокорейские программисты Python, то могли ли агенты иностранной державы получить доступ к ранее неизвестному квантовому компьютеру, чтобы взломать секретные коды и проникнуть в розничные сети, дублируя закрытые ключи и тем самым обойти сетевую безопасность? Неужели инсайдеры набросились на своих хозяев и попытались парализовать их в отместку за нежелательное изменение условий? Подвергались ли ИТ-системы крупных поставщиков взлому со стороны замаскированных злоумышленников, работающих от имени конкурирующих ритейлеров?
Нет, конечно нет. Речь не шла о поддельных сотрудниках или хакерах, взламывающих коды, это была та же самая атака, которая происходит везде и всегда. Хакеры позвонили в службу поддержки и выдали себя за сотрудников, потерявших пароли. Национальный центр кибербезопасности Великобритании (NCSC) заявил в связи с этими атаками, что компаниям следует пересмотреть работу своих служб ИТ-поддержки.С одобрения персонала«Прежде чем сбрасывать пароли, особенно для старших сотрудников, имеющих доступ к высокоуровневым частям ИТ-сети. Ну, это очевидно. Это тот же старый прием социальной инженерии, как всегда.
Так быть не должно. В финансовом секторе одним из наиболее распространенных применений биометрии является восстановление доступа к счету, и я не понимаю, почему розничные торговцы не могли бы использовать ту же технологию для исправления аутентификации «Знай своего сотрудника» (KYE), так же как банки используют аутентификацию «Знай своего клиента» (KYC) для восстановления доступа к счету.
(Посмотрите, например, что делают такие компании, как Keyless и Anonybit.)
В своем последнем годовом отчете M&S предупредила, что переход к гибридной работе сделал ее более уязвимой для кибератак, и я с интересом отмечаю, что часть реакции Кооператива на атаку была Попросите сотрудников не выключать камеры. Во время удаленных рабочих совещаний и «проверки всех участников». Во внутреннем электронном письме, отправленном 70,000 XNUMX сотрудников, также содержалась просьба не записывать и не расшифровывать звонки Teams, что подразумевало, что хакеры посещали внутренние совещания и сохраняли копии с целью получения информации для улучшения атак с использованием социальной инженерии, а также потенциального получения информации о внутренних системах для использования в будущих взломах.
Новые преступления, новые преступники.
Мы все понимаем, что характер преступности меняется и что киберпреступники умны. Я не уверен, что сохранение камер включёнными, хотя это и хорошая политика по многим причинам, будет иметь здесь какое-либо значение. ИИ уже способен создавать видеоролики с людьми, которые могут обмануть коллег, и уже много лет используется для этого в гнусных целях: компания Arup потеряла 25 миллионов долларов США из-за мошенников, которые использовали ИИ, чтобы выдать себя за финансового директора компании и дать указание подчиненному сотруднику перевести деньги во время группового видеозвонка с участием нескольких человек, что, по данным полиции Гонконга, «…Оказалось, что все, что [увидел подчиненный], было поддельным.».
Подобные дипфейки распространяются не только в банковской сфере и розничной торговле. Владелец лондонской художественной галереи потерял 30,000 14 фунтов стерлингов, потратив месяцы на переговоры о выставке с поддельным Пирсом Броснаном. В другом случае в Великобритании женщину арестовали после того, как она якобы надела несколько париков и костюмов, чтобы пройти тесты на гражданство от имени по меньшей мере XNUMX других людей, как мужчин, так и женщин, используя «поддельные документы, удостоверяющие личность», чтобы избежать обнаружения. Владелец AirBnB сдал свою недвижимость женщине, у которой было украденное удостоверение личности, и которая предоставила рекомендательную справку по поддельным водительским правам. Затем она украла мебель и сдала дом в субаренду под место для вечеринки!
ИИ-хакер, ИИ-защита? нет.
Глава Федеральной резервной системы Майкл Барр недавно заявил, что в условиях растущего числа дипфейковых атак с использованием ИИ банкам следует «вышибать клин клином» и больше инвестировать в ИИ. Я не согласен. Возможно, распознавание лиц, анализ голоса и поведенческая биометрия смогут обнаруживать подделки, созданные с помощью ИИ, пока качество этих подделок не улучшится. Хотя значительные инвестиции в ИИ действительно могут помочь защитить банки от потока мошенничества с его использованием, это может стать временным облегчением, поскольку мошенники совершенствуют свои методы. Но зачем идти по этому пути? Вместо того, чтобы пытаться перехитрить злоумышленников с помощью ИИ, почему бы не использовать проверенную технологию, которую невозможно подделать: цифровые подписи?
ИИ против ИИ — это бесконечная гонка. Вместо этого мы должны потребовать, чтобы банки, розничные торговцы, медиакомпании и все остальные использовали свою проверенную инфраструктуру безопасности, чтобы помешать современным хакерам, вооруженным дипфейками. как Я писал ранееВы можете создать поддельное видео Абсолютно убедительная подпись Брэда Питта, но создать абсолютно убедительную цифровую подпись для Брэда Питта невозможно. Вместо того чтобы заставлять сотрудников гадать, действительно ли они видят заместителя помощника менеджера по сверке счетов (Северо-Восточный регион) или робота, мы должны предоставить им двухфакторную аутентификацию вместо паролей, проверяемые учетные данные со строгой биометрической аутентификацией вместо авторизации с помощью камеры, зашифрованные и подписанные цифровой подписью копии и защищенное от несанкционированного доступа хранилище зашифрованных ключей (например, на мобильных телефонах). *Примечание: цифровые подписи обеспечивают надежную гарантию подлинности и целостности данных, что делает их ценным инструментом в борьбе с подделками.*
Комментарии закрыты.