İngiliz perakendeciler The Co-Operative Group (Co-op), Marks & Spencer (M&S) ve Harrods, son birkaç günde büyük çaplı siber saldırılara maruz kaldı. Bilgisayar korsanı veya korsanları hakkında tam ayrıntılar bilinmemekle birlikte, saldırıların yakınlığı şunu gösterebilir: Her üç saldırıdan da tek tehdit aktörleri sorumludurve muhtemelen M&S saldırısıyla bağlantısı ortaya çıkan Scattered Spider adlı bilgisayar korsanı grubu. Perakendeciler, bankalar ve diğer herkes nasıl tepki vermeli?
Perakende Hacker Taktikleri
İngiliz perakende zinciri Boots, BT kesintilerinden etkilenen son şirket olurken, Morrisons'ın satışları geçen yıl bir siber saldırıdan ciddi şekilde etkilendi ve Currys ile JD Sports da müşteri verilerinin tehlikeye atıldığı saldırılara maruz kaldı. Perakendeciler açıkça savunmasız durumda ve Marks & Spencer'ın temassız ödemeleri kabul edememesi nedeniyle yarım milyar sterlin kaybetmesi ve Co-op mağazalarının raflarının boş kalması göz önüne alındığında, bu saldırıların önemi hafife alınamaz.
Neler oluyor? BT bölümleri, sahte diplomalarla işe giren Kuzey Koreli uzaktan çalışanlar tarafından mı hacklendi? Bu kötü adamların zaten oldukça sofistike olduklarını biliyoruz. İK, kişinin başvurusunda yer alan fotoğrafla eşleştiğini doğrulayan dört video görüşmesi gerçekleştirdi (yapay zeka kullanılarak geliştirildi) ve hepsinin temiz çıktığı (çünkü çalıntı bir ABD kimliği kullanıldı) ek geçmiş kontrolleri gerçekleştirdi. Sonunda hayalet bir eleman işe aldı. Hemen zararlı yazılımları indirmeye başladı. Başka bir şirket sonunda Kuzey Koreliler için uzaktan dış kaynak kullanımı işlerini güvence altına almak için koordineli bir plana kurban gittiğini keşfetti ve Üçte birinden fazlası Mühendislik ekibinin tamamı Kuzey Koreliymiş!
Kuzey Koreli Python programcıları değilse, yabancı bir gücün ajanları, daha önce bilinmeyen bir kuantum bilgisayarına erişerek gizli kodları kırdılar ve özel anahtarları kopyalayarak perakendeci ağlarına girerek ağ güvenliğini altüst ettiler mi? İçeridekiler, istenmeyen bir şart ve koşul değişikliği nedeniyle ev sahiplerine karşı tavır alıp onları etkisiz hale getirmeye mi çalıştılar? Büyük tedarikçilerin sağladığı BT sistemleri, rakip perakendeciler adına çalışan gizli saldırganlar tarafından mı hacklendi?
Hayır, elbette hayır. Söz konusu olan sahte çalışanlar veya kodları kıran bilgisayar korsanları değildi; her yerde, her zaman gerçekleşen aynı saldırıydı. Hackerlar yardım masasını arayarak şifrelerini kaybeden çalışanları taklit etti. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), söz konusu saldırılarla ilgili olarak şirketlerin BT yardım masalarının çalışma şeklini yeniden değerlendirmeleri gerektiğini söyledi.Personel onayı ile"Parolaları sıfırlamadan önce, özellikle BT ağının üst düzey bölümlerine erişimi olan kıdemli çalışanlar için. Eh, bu çok açık. Her zamanki gibi aynı eski sosyal mühendislik hilesi.
Böyle olmak zorunda değil. Finans sektöründe, biyometrinin en yaygın kullanımlarından biri hesap kurtarmadır ve bankaların hesap erişimini geri yüklemek için Müşterinizi Tanıyın (KYC) kimlik doğrulamasını kullanması gibi, perakendecilerin de Çalışanınızı Tanıyın (KYE) kimlik doğrulamasını düzeltmek için aynı tür teknolojiyi neden kullanamayacağını anlamıyorum.
(Örneğin Keyless ve Anonybit gibi şirketlerin neler yaptığını görün.)
M&S son yıllık raporunda hibrit çalışmaya geçişin siber saldırılara karşı daha savunmasız hale getirdiği konusunda uyardı ve Kooperatifin saldırıya verdiği yanıtın bir kısmının ilgiyle karşılandığını not ediyorum Çalışanlarınıza kameralarını açık tutmaları talimatını verin. Uzaktan çalışma toplantıları sırasında ve “tüm katılımcıların kontrol edilmesi” sırasında. 70,000 çalışana gönderilen bir dahili e-postada ayrıca, Teams görüşmelerini kaydetmemeleri veya yazıya dökmemeleri istendi. Bu, bilgisayar korsanlarının dahili toplantılara katılıp kopyalarını sakladıkları ve sosyal mühendislik saldırılarını iyileştirmek için bilgi edinmenin yanı sıra gelecekteki saldırılarda yardımcı olmak üzere dahili sistemler hakkında bilgi edinme potansiyeline sahip oldukları anlamına geliyor.
Yeni suçlar, yeni suçlular.
Hepimiz suçun doğasının değiştiğini ve siber suçluların akıllı olduğunu biliyoruz. Kameraların açık kalmasının birçok açıdan iyi bir politika olmasına rağmen burada çok fazla fark yaratacağından emin değilim. Yapay zeka, iş arkadaşlarını kandırabilecek kişilerin videolarını oluşturma yeteneğine zaten sahip ve bunu kötü niyetli amaçlar için yıllardır kullanıyor: Arup, şirketin mali işler müdürünü taklit eden ve Hong Kong polisine göre çok sayıda kişinin katıldığı bir grup görüntülü görüşme sırasında bir alt çalışanına para transferi talimatı veren dolandırıcılara 25 milyon ABD doları kaybetti.Herkesin [astın gördüğünün] sahte olduğu ortaya çıktı.".
Bu tür deepfake'ler sadece bankacılık ve perakende sektöründe değil, her alanda yaygınlaşıyor. Londra'daki bir sanat galerisi sahibi, sahte Pierce Brosnan'la sergi için aylarca pazarlık yaptıktan sonra 30,000 £ kaybetti. İngiltere'de yaşanan bir diğer olayda ise bir kadın, en az 14 erkek ve kadın adına vatandaşlık testlerinden geçmek için bir dizi peruk ve kostüm giydiği, tespit edilmekten kaçınmak için "sahte kimlik belgeleri" kullandığı iddiasıyla tutuklandı. Bir Airbnb sahibi, evini çalıntı kimlikle ve sahte ehliyetle referans raporu veren bir kadına kiraladı: Kadın daha sonra mobilyaları çalıp evi parti mekanı olarak kiraya verdi!
Yapay Zeka Hacker'ı, Yapay Zeka Savunması? HAYIR.
Federal Rezerv Başkanı Michael Barr, artan yapay zeka tabanlı deepfake saldırıları karşısında bankaların "ateşe ateşle karşılık vermeleri" ve yapay zekaya daha fazla yatırım yapmaları gerektiğini belirtti. Ben katılmıyorum. Yüz tanıma, ses analizi ve davranışsal biyometrinin, yapay zeka destekli sahtecilikler iyileşene kadar bu sahtecilikleri tespit edebilmesi mümkün. Yapay zekaya yapılan önemli yatırımların bankaları yapay zeka destekli dolandırıcılık selinden korumaya yardımcı olabileceği doğru olsa da, dolandırıcılar yöntemlerini geliştirdikçe bu geçici bir rahatlama sağlayabilir. Peki neden bu yola giriliyor? Saldırganları yapay zeka ile alt etmeye çalışmak yerine, sahtesi yapılamayan, denenmiş ve test edilmiş bir teknoloji olan dijital imzaları neden kullanmıyoruz?
Yapay zeka ile yapay zeka arasında hiç bitmeyen bir yarış var. Bunun yerine, bankaların, perakendecilerin, medya şirketlerinin ve diğerlerinin, deepfake'lerle silahlanmış modern bilgisayar korsanlarını engellemek için denenmiş ve test edilmiş güvenlik altyapılarını kullanmalarını talep etmeliyiz. gibi Daha önce yazmıştımOluşturabilirsiniz sahte video Tamamen ikna edici bir Brad Pitt imzası, ancak Brad Pitt için tamamen ikna edici bir dijital imza yaratamazsınız. Çalışanlardan, gerçekten bir Fatura Mutabakat Müdür Yardımcısına (Kuzeydoğu Bölgesi) mı yoksa bir robota mı baktıklarını tahmin etmeye çalışmalarını istemek yerine, onlara parolalar yerine iki faktörlü kimlik doğrulama, kamerayla etkinleştirilen yetkilendirmeler yerine güçlü biyometrik kimlik doğrulamasıyla doğrulanabilir kimlik bilgileri, şifrelenmiş ve dijital olarak imzalanmış kopyalar ve şifrelenmiş anahtarların kurcalanmaya dayanıklı bir şekilde depolanması (örneğin, cep telefonlarında) sağlanmalıdır. *Not: Dijital imzalar, verilerin gerçekliği ve bütünlüğü konusunda güçlü bir garanti sağlar ve bu da onları sahtecilikle mücadelede değerli bir araç haline getirir.*
Yoruma kapalı.