Os varejistas britânicos The Co-Operative Group (Co-op), Marks & Spencer (M&S) e Harrods foram atingidos por grandes ataques cibernéticos nos últimos dias. Embora os detalhes completos sobre o hacker ou hackers sejam desconhecidos, a proximidade dos ataques pode indicar que Atores de ameaças individuais responsáveis por todos os três ataques, e possivelmente o grupo de hackers Scattered Spider que já foi vinculado ao ataque à M&S. Como varejistas, bancos e todos os outros devem responder?
Táticas de hackers de varejo
Embora a rede varejista britânica Boots seja a mais recente a ser atingida por interrupções de TI, as vendas da Morrisons foram severamente afetadas no ano passado por um ataque cibernético, e a Currys e a JD Sports também sofreram ataques que comprometeram dados de clientes. Os varejistas estão claramente vulneráveis, e com a Marks & Spencer perdendo meio bilhão de libras devido à sua incapacidade de aceitar pagamentos sem contato, e as lojas Co-op ficando com prateleiras vazias, a importância desses ataques não pode ser subestimada.
O que está acontecendo? Os departamentos de TI podem ter sido hackeados por trabalhadores remotos da Coreia do Norte que conseguiram seus empregos com diplomas falsos? Sabemos que esses vilões já são altamente sofisticados. O RH conduziu quatro entrevistas em vídeo, que confirmaram que o indivíduo correspondia à foto em seu aplicativo (aprimorado usando IA) e realizou verificações de antecedentes adicionais que não apresentaram nenhum problema (porque foi usada uma identidade americana roubada). Ele acabou contratando um funcionário fantasma. Ele começou a baixar malware imediatamente. Outra empresa acabou por descobrir que tinha sido vítima de um esquema coordenado para garantir empregos remotos de outsourcing para norte-coreanos e que Mais de um terço Toda a sua equipe de engenharia era da Coreia do Norte!
Se não foram os programadores Python norte-coreanos, agentes de uma potência estrangeira acessaram um computador quântico até então desconhecido para quebrar códigos secretos e entrar em redes de varejo duplicando chaves privadas para derrotar a segurança da rede? Os insiders se voltaram contra os anfitriões e tentaram prejudicá-los em retaliação por uma mudança indesejada nos termos e condições? Os sistemas de TI fornecidos pelos principais fornecedores foram hackeados por invasores disfarçados que trabalham em nome de varejistas concorrentes?
Não, claro que não. Não se tratava de funcionários falsos ou hackers decifrando códigos, era o mesmo ataque que acontece em todos os lugares, o tempo todo. Os hackers ligaram para o help desk e fingiram ser funcionários que haviam perdido suas senhas. O Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido disse, em relação a esses ataques, que as empresas devem reavaliar como seu help desk de TI opera.Com aprovação da equipeAntes de redefinir senhas, especialmente para funcionários seniores com acesso a partes de alto nível da rede de TI. Bem, isso é óbvio. É a mesma velha estratégia de engenharia social de sempre.
Não precisa ser assim. No setor financeiro, um dos usos mais comuns da biometria é a recuperação de contas, e não vejo por que os varejistas não poderiam usar o mesmo tipo de tecnologia para corrigir a autenticação Conheça Seu Funcionário (KYE), assim como os bancos usam a autenticação Conheça Seu Cliente (KYC) para restaurar o acesso à conta.
(Veja o que empresas como Keyless e Anonybit estão fazendo, por exemplo.)
A M&S alertou no seu último relatório anual que a mudança para o trabalho híbrido tornou-a mais vulnerável a ataques cibernéticos, e noto com interesse que parte da resposta da Co-op ao ataque foi Instrua os funcionários a manterem suas câmeras ligadas. Durante reuniões de trabalho remoto e “verificação de todos os participantes”. Um e-mail interno enviado a 70,000 funcionários também pediu que eles não gravassem ou transcrevessem chamadas do Teams, o que implica que os hackers estavam participando de reuniões internas e guardando as cópias para obter informações para melhorar ataques de engenharia social, bem como potencialmente obter informações sobre sistemas internos para auxiliar em futuras invasões.
Novos crimes, novos criminosos.
Todos nós percebemos que a natureza do crime está mudando e que os criminosos cibernéticos são inteligentes. Não tenho certeza se manter as câmeras ligadas, embora seja uma boa política por muitos motivos, fará muita diferença aqui. A IA já é capaz de criar vídeos de pessoas que podem enganar colegas de trabalho e tem sido usada para fazer isso com propósitos nefastos há anos: a Arup perdeu US$ 25 milhões para fraudadores que usaram IA para se passar pelo CFO da empresa e instruir um funcionário subordinado a transferir dinheiro durante uma videochamada em grupo com várias pessoas que, de acordo com a polícia de Hong Kong, “Acontece que tudo que [o subordinado viu] era falso.".
Deepfakes como esses estão se espalhando, e não apenas no setor bancário e de varejo. O dono de uma galeria de arte de Londres perdeu £ 30,000 depois de passar meses negociando uma exposição com um falso Pierce Brosnan. Em outro caso no Reino Unido, uma mulher foi presa após supostamente usar uma série de perucas e fantasias para passar em testes de cidadania em nome de pelo menos outras 14 pessoas, homens e mulheres, usando “documentos de identidade falsos” para evitar ser detectada. Um proprietário do AirBnB alugou sua propriedade para uma mulher que tinha uma identidade roubada e passou no relatório de referências com uma carteira de motorista falsa: ela então roubou os móveis e sublocou a casa como um local para festas!
Hacker de IA, defesas de IA? não.
O governador do Federal Reserve, Michael Barr, declarou recentemente que, diante do crescimento dos ataques de deepfake baseados em IA, os bancos deveriam "combater fogo com fogo" e investir mais em IA. Discordo. É possível que o reconhecimento facial, a análise de voz e a biometria comportamental sejam capazes de detectar falsificações com tecnologia de IA até que essas falsificações melhorem. Embora seja verdade que investimentos significativos em IA possam ajudar a defender os bancos contra uma enxurrada de fraudes com tecnologia de IA, isso pode ser um alívio temporário à medida que os fraudadores aprimoram seus métodos. Mas por que seguir esse caminho? Em vez de tentar enganar os invasores com IA, por que não usar uma tecnologia testada e comprovada que não pode ser falsificada: assinaturas digitais?
IA vs IA é uma corrida sem fim. Em vez disso, deveríamos exigir que bancos, varejistas, empresas de mídia e todos os outros aproveitem sua infraestrutura de segurança testada e comprovada para frustrar os hackers modernos armados com deepfakes. como Eu escrevi anteriormenteVocê pode ser capaz de criar vídeo falso Uma assinatura de Brad Pitt completamente convincente, mas você não pode criar uma assinatura digital completamente convincente para Brad Pitt. Em vez de pedir aos funcionários que tentem adivinhar se estão realmente olhando para um Subgerente Assistente de Reconciliação de Faturamento (Região Nordeste) ou para um robô, deveríamos dar a eles autenticação de dois fatores em vez de senhas, credenciais verificáveis com autenticação biométrica forte em vez de autorizações ativadas por câmera, cópias criptografadas e assinadas digitalmente e armazenamento inviolável de chaves criptografadas (por exemplo, em celulares). *Observação: as assinaturas digitais fornecem uma forte garantia de autenticidade e integridade dos dados, tornando-as uma ferramenta valiosa no combate à falsificação.*
Comentários estão fechados.