英國零售商合作集團(Co-op)、瑪莎百貨(M&S)和哈羅德百貨在過去幾天遭受了重大網路攻擊。雖然有關駭客的詳細資訊尚不清楚,但攻擊地點的臨近可能表明 單一威脅行為者對這三起攻擊事件負責以及可能與瑪莎百貨攻擊事件有關的Scattered Spider駭客組織。零售商、銀行以及其他各方該如何應對?
零售駭客策略
英國零售連鎖店Boots是最新一家遭受IT中斷衝擊的零售商,Morrisons去年的一次網路攻擊也對其銷售額造成了沉重打擊,Currys和JD Sports也遭遇了客戶資料外洩的攻擊。零售商顯然很容易受到攻擊,瑪莎百貨因無法接受非接觸式支付而損失了5億英鎊,而Co-op的門市貨架空空如也,這些攻擊的嚴重性不容小覷。
發生了什麼事? IT部門可能被來自北韓的遠距工作人員入侵,他們用假學位獲得工作?我們知道這些壞人已經相當老練了。人力資源部門進行了四次視訊面試,確認該人員與申請表上的照片相符(使用了人工智慧增強),並進行了額外的背景調查,所有結果都清白無誤(因為使用了被盜的美國身份)。 他最後僱用了一名假員工。 他立即開始下載惡意軟體。另一家公司最終發現自己落入了一項旨在為朝鮮人獲取遠端外包工作的協同計劃的陷阱,並且 超過三分之一 她的整個工程團隊都來自北韓!
如果不是北韓的Python程式設計師,那麼外國特工是否利用了一台迄今未知的量子計算機,破解了密碼,並透過複製私鑰侵入零售商網絡,從而突破了網路安全?內部人員是否為了報復零售商對條款和條件的不當修改,而打開了主機並試圖使其癱瘓?主要供應商提供的IT系統是否遭到了偽裝成競爭對手的破壞分子的攻擊?
當然不是。這不是假冒員工或駭客試圖破解密碼。這是一種隨時隨地都在發生的攻擊。駭客打電話給服務台,假裝是遺失密碼的員工。針對此類攻擊,英國國家網路安全中心 (NCSC) 表示,企業應該重新評估其 IT 服務台的運作方式。經工作人員批准「在重置密碼之前,尤其是對於能夠訪問 IT 網路高層的高級員工來說。嗯,這很明顯。這和往常一樣,都是老套的社會工程攻擊。”
事情本不該這樣。在金融領域,生物辨識技術最常見的用途之一是帳戶恢復,我不明白為什麼零售商不能使用同類型的技術來修復「了解你的員工」(KYE)身份驗證,就像銀行使用「了解你的客戶」(KYC)身份驗證來恢復帳戶存取權限一樣。
(例如,看看 Keyless 和 Anonybit 等公司正在做什麼。)
瑪莎百貨在其最新年度報告中警告稱,向混合工作模式的轉變使其更容易受到網絡攻擊,我饒有興趣地註意到,合作社對此次攻擊的部分回應是 指示員工保持攝影機開啟。 在遠距工作會議期間,他們會「檢查所有與會者」。一封發送給 70,000 萬名員工的內部電子郵件也要求他們不要錄製或轉錄 Teams 通話,這意味著駭客參加內部會議並保留記錄是為了獲取信息,改進社會工程攻擊,並可能獲取有關內部系統的信息,以協助未來的黑客攻擊。
新的罪行,新的罪犯。
我們都知道,犯罪的本質正在改變,網路犯罪者也非常聰明。我不確定,雖然出於多種原因,開啟攝影機是明智之舉,但在這種情況下,它能否起到很大作用。人工智慧已經能夠製作出欺騙同事的視頻,而且多年來一直被用於不法目的:奧雅納公司(Arup)就曾因詐騙分子利用人工智能冒充公司首席財務官,並在多人視頻通話中指示下屬員工轉賬而損失了25萬美元。據香港警方稱,「原來,[下屬看到的]所有人都是假的。“。
類似這樣的深度偽造現象盛行,不僅限於銀行業和零售業。倫敦一家藝廊老闆花了數月時間與一位假冒的皮爾斯布魯斯南洽談展覽事宜,損失了30,000萬英鎊。在英國的另一起案件中,一名女子因涉嫌佩戴一系列假髮和服裝,代表至少14名男性和女性通過公民身份測試而被捕,她使用“虛假身份證件”來逃避監管。一位Airbnb房東將房產出租給一名身分被盜的女子,並用偽造的駕照通過了推薦信報告。之後,她偷走了家具,並將房子轉租用作派對場所。
AI駭客,AI防禦?不。
聯準會理事邁克爾·巴爾最近表示,面對日益增多的人工智慧深度偽造攻擊,銀行應該“以毒攻毒”,加大對人工智慧的投入。我不同意。臉部辨識、語音分析和行為生物辨識技術或許能夠偵測到人工智慧深度偽造攻擊,直到這些偽造行為得到改進。雖然對人工智慧的大量投資確實可以幫助銀行抵禦大量人工智慧欺詐,但隨著欺詐者不斷改進其手段,這只能起到暫時的緩解作用。但為什麼要走這條路呢?與其試圖用人工智慧智勝攻擊者,為什麼不使用一種久經考驗、無法偽造的技術:數位簽章呢?
人工智慧與人工智慧的競爭永無止境。相反,我們應該要求銀行、零售商、媒體公司以及所有其他機構利用久經考驗的安全基礎設施,來阻止那些利用深度偽造技術進行攻擊的現代駭客。 我之前寫過您也許可以創建 假影片 這對布拉德皮特來說完全令人信服,但你無法創建一個完全令布拉德皮特信服的數位簽名。與其讓員工猜測他們看到的究竟是發票核對副助理經理(東北地區)還是機器人,不如讓他們使用雙重身份驗證(而非密碼)、使用強生物特徵認證的可驗證憑證(而非攝像頭激活的授權)、加密和數字簽名的副本,以及加密密鑰的防篡改存儲(例如,存儲在手機上)。 *註:數位簽章為資料的真實性和完整性提供了強有力的保障,使其成為打擊偽造的有效工具。 *
評論被關閉。