I rivenditori britannici The Co-Operative Group (Co-op), Marks & Spencer (M&S) e Harrods sono stati colpiti da importanti attacchi informatici negli ultimi giorni. Sebbene non si conoscano i dettagli completi sull'hacker o sugli hacker, la vicinanza degli attacchi potrebbe indicare che Singoli attori della minaccia responsabili di tutti e tre gli attacchie forse anche il gruppo di hacker Scattered Spider che è già stato collegato all'attacco M&S. Come dovrebbero reagire i commercianti al dettaglio, le banche e tutti gli altri?
Tattiche degli hacker al dettaglio
Mentre la catena di vendita al dettaglio britannica Boots è l'ultima ad essere colpita da interruzioni informatiche, le vendite di Morrisons sono state gravemente compromesse lo scorso anno da un attacco informatico, e anche Currys e JD Sports hanno subito attacchi che hanno compromesso i dati dei clienti. I rivenditori sono chiaramente vulnerabili e, con Marks & Spencer che ha perso mezzo miliardo di sterline a causa dell'impossibilità di accettare pagamenti contactless e i negozi Co-op che si sono ritrovati con gli scaffali vuoti, la portata di questi attacchi non può essere sottovalutata.
Cosa sta succedendo? I reparti IT potrebbero essere stati hackerati da lavoratori a distanza provenienti dalla Corea del Nord che hanno ottenuto il loro lavoro con titoli di studio falsi? Sappiamo che questi cattivi sono già molto sofisticati. Le risorse umane hanno condotto quattro interviste video, che hanno confermato la corrispondenza tra l'individuo e la foto presente sulla sua domanda (migliorata tramite intelligenza artificiale) e hanno effettuato ulteriori controlli dei precedenti, tutti risultati puliti (poiché è stato utilizzato un documento d'identità statunitense rubato). Alla fine ha assunto un dipendente fantasma. Ha iniziato immediatamente a scaricare malware. Un’altra azienda ha poi scoperto di essere caduta vittima di un piano coordinato per garantire posti di lavoro in outsourcing a distanza per i nordcoreani e che Più di un terzo Tutto il suo team di ingegneri proveniva dalla Corea del Nord!
Se non sono stati i programmatori Python nordcoreani, è possibile che agenti di una potenza straniera abbiano avuto accesso a un computer quantistico fino ad allora sconosciuto per decifrare codici segreti ed entrare nelle reti di vendita al dettaglio duplicando le chiavi private e aggirando la sicurezza della rete? Gli addetti ai lavori si sono rivoltati contro i loro ospiti e hanno cercato di ostacolarli per rappresaglia in seguito a una modifica indesiderata dei termini e delle condizioni? I sistemi IT dei principali fornitori sono stati hackerati da aggressori mascherati che lavorano per conto di rivenditori concorrenti?
No, certamente no. Non si trattava di falsi dipendenti o di hacker che decifravano codici, si trattava dello stesso attacco che avviene ovunque, in ogni momento. Gli hacker hanno chiamato l'help desk fingendosi dipendenti che avevano perso le loro password. In relazione a questi attacchi, il National Cyber Security Centre (NCSC) del Regno Unito ha affermato che le aziende dovrebbero rivalutare il funzionamento del loro help desk IT.Con l'approvazione del personale"Prima di reimpostare le password, soprattutto per i dipendenti senior con accesso a parti di alto livello della rete IT. Beh, questo è ovvio. È il solito vecchio trucco di ingegneria sociale di sempre.
Non deve andare per forza così. Nel settore finanziario, uno degli usi più comuni della biometria è il recupero dei conti, e non vedo perché i rivenditori non possano utilizzare lo stesso tipo di tecnologia per risolvere il problema dell'autenticazione Know Your Employee (KYE), proprio come le banche utilizzano l'autenticazione Know Your Customer (KYC) per ripristinare l'accesso ai conti.
(Vedi ad esempio cosa stanno facendo aziende come Keyless e Anonybit.)
M&S ha avvertito nel suo ultimo rapporto annuale che il passaggio al lavoro ibrido ha reso l'azienda più vulnerabile agli attacchi informatici, e noto con interesse che parte della risposta della Co-op all'attacco è stata Chiedere ai dipendenti di tenere accese le telecamere. Durante le riunioni di lavoro a distanza e il "controllo di tutti i partecipanti". Un'e-mail interna inviata a 70,000 dipendenti chiedeva loro di non registrare o trascrivere le chiamate di Teams, il che implicava che gli hacker partecipassero a riunioni interne e ne conservassero copie per ottenere informazioni utili a migliorare gli attacchi di ingegneria sociale, nonché per ottenere potenzialmente informazioni sui sistemi interni utili in futuri attacchi.
Nuovi crimini, nuovi criminali.
Siamo tutti consapevoli che la natura della criminalità sta cambiando e che i criminali informatici sono intelligenti. Non sono sicuro che tenere accese le telecamere, pur essendo una buona politica per molti motivi, possa fare una grande differenza in questo caso. L'intelligenza artificiale è già in grado di creare video di persone in grado di ingannare i colleghi e viene utilizzata da anni per scopi illeciti: Arup ha perso 25 milioni di dollari a causa di truffatori che hanno utilizzato l'intelligenza artificiale per impersonare il direttore finanziario dell'azienda e istruire un dipendente subordinato a trasferire denaro durante una videochiamata di gruppo di più persone che, secondo la polizia di Hong Kong, "Si è scoperto che tutti [quelli che il subordinato ha visto] erano falsi.".
Deepfake come questi si stanno diffondendo, e non solo nel settore bancario e nella vendita al dettaglio. Il proprietario di una galleria d'arte londinese ha perso 30,000 sterline dopo aver trascorso mesi a negoziare una mostra con un falso Pierce Brosnan. In un altro caso nel Regno Unito, una donna è stata arrestata dopo aver presumibilmente indossato una serie di parrucche e costumi per superare i test di cittadinanza per conto di almeno altre 14 persone, sia uomini che donne, utilizzando "documenti di identità falsi" per evitare di essere scoperta. Il proprietario di un AirBnB ha affittato la sua proprietà a una donna a cui era stato rubato un documento d'identità e che aveva presentato il rapporto di referenze con una patente di guida falsa: poi ha rubato i mobili e ha subaffittato la casa per organizzarvi delle feste!
Hacker dell'IA, difese dell'IA? NO.
Il governatore della Federal Reserve Michael Barr ha recentemente affermato che, di fronte all'aumento degli attacchi deepfake basati sull'intelligenza artificiale, le banche devono "combattere il fuoco con il fuoco" e investire di più nell'intelligenza artificiale stessa. Non sono d'accordo con questa opinione. L'uso del riconoscimento facciale, dell'analisi vocale e della biometria comportamentale potrebbe consentire di rilevare le falsificazioni dell'intelligenza artificiale, finché queste non miglioreranno. Potrebbe essere vero che grandi investimenti nell'intelligenza artificiale potrebbero aiutare a difendere le banche da un'ondata di frodi legate all'intelligenza artificiale, ma questo potrebbe rappresentare solo un sollievo temporaneo, dato che i truffatori stanno migliorando i loro metodi. Ma perché seguiamo questa strada? Invece di provare a superare in astuzia gli aggressori con l'intelligenza artificiale, perché non utilizzare una tecnologia collaudata e impossibile da falsificare: le firme digitali?
L'intelligenza artificiale contro l'intelligenza artificiale è una corsa senza fine. Dovremmo invece pretendere che banche, rivenditori, aziende del settore dei media e tutti gli altri sfruttino la loro collaudata infrastruttura di sicurezza per contrastare gli hacker moderni armati di deepfake. COME Ho scritto in precedenzaPotresti essere in grado di creare video falso Una firma di Brad Pitt del tutto convincente, ma non è possibile creare una firma digitale del tutto convincente per Brad Pitt. Invece di chiedere ai dipendenti di provare a indovinare se hanno davvero di fronte un vicedirettore della riconciliazione delle fatture (regione nord-orientale) o un robot, dovremmo fornire loro l'autenticazione a due fattori anziché password, credenziali verificabili con autenticazione biometrica avanzata anziché autorizzazioni attivate dalla fotocamera, copie crittografate e firmate digitalmente e un'archiviazione a prova di manomissione delle chiavi crittografate (ad esempio, sui telefoni cellulari). *Nota: le firme digitali forniscono una solida garanzia di autenticità e integrità dei dati, rendendole uno strumento prezioso nella lotta alla contraffazione.*
