De Britse retailers The Co-Operative Group (Co-op), Marks & Spencer (M&S) en Harrods zijn de afgelopen dagen getroffen door grote cyberaanvallen. Hoewel er geen volledige details over de hacker of hackers bekend zijn, kan de nabijheid van de aanvallen erop wijzen dat Enkele dreigingsactoren verantwoordelijk voor alle drie de aanvallenen mogelijk ook de hackersgroep Scattered Spider, die al in verband werd gebracht met de M&S-aanval. Hoe moeten retailers, banken en alle andere partijen hierop reageren?
Retail Hacker Tactieken
Terwijl de Britse winkelketen Boots het laatste bedrijf is dat te maken heeft met IT-storingen, werden de verkopen van Morrisons vorig jaar al ernstig getroffen door een cyberaanval. Ook Currys en JD Sports kregen te maken met aanvallen waarbij klantgegevens in gevaar kwamen. Detailhandelaren zijn duidelijk kwetsbaar. Marks & Spencer verloor een half miljard pond doordat het bedrijf geen contactloze betalingen meer kon accepteren en Co-op-winkels bleven achter met lege schappen. De impact van deze aanvallen mag dan ook niet worden onderschat.
Wat is er aan de hand? Zouden IT-afdelingen gehackt kunnen zijn door Noord-Koreaanse thuiswerkers die hun baan kregen met valse diploma's? We weten dat deze schurken al heel geavanceerd zijn. HR heeft vier video-interviews gehouden, waaruit bleek dat de persoon overeenkwam met de foto op zijn/haar sollicitatieformulier (verbeterd met behulp van AI). Ook zijn er aanvullende achtergrondcontroles uitgevoerd, die allemaal niets opleverden (er werd namelijk een gestolen Amerikaans identiteitsbewijs gebruikt). Uiteindelijk nam hij een spookmedewerker in dienst. Er werd meteen malware gedownload. Een ander bedrijf ontdekte uiteindelijk dat het ten prooi was gevallen aan een gecoördineerd plan om banen voor Noord-Koreanen op afstand veilig te stellen en dat Meer dan een derde Haar hele technische team kwam uit Noord-Korea!
Als het niet de Noord-Koreaanse Python-programmeurs waren, zouden agenten van een buitenlandse mogendheid dan toegang hebben gehad tot een tot dan toe onbekende quantumcomputer om geheime codes te kraken en toegang te krijgen tot retailnetwerken door privésleutels te kopiëren en zo de netwerkbeveiliging te omzeilen? Hebben de insiders zich tegen hun gastheren gekeerd en geprobeerd hen te verlammen als vergelding voor een ongewenste wijziging in de algemene voorwaarden? Zijn de IT-systemen van grote leveranciers gehackt door vermomde aanvallers die namens concurrerende retailers werken?
Nee, natuurlijk niet. Het ging niet om nepmedewerkers of hackers die codes kraakten. Het ging om dezelfde aanval die overal en altijd plaatsvindt. De hackers belden de helpdesk en deden zich voor als medewerkers die hun wachtwoorden kwijt waren. Het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk stelde in verband met deze aanvallen dat bedrijven opnieuw moeten evalueren hoe hun IT-helpdesk functioneert.Met goedkeuring van het personeel"Voordat je wachtwoorden opnieuw instelt, vooral voor senior medewerkers met toegang tot belangrijke delen van het IT-netwerk. Nou, dat is duidelijk. Het is dezelfde oude social engineering-truc als altijd.
Het hoeft niet zo te zijn. In de financiële sector wordt biometrie vooral gebruikt voor accountherstel. Ik snap niet waarom retailers niet dezelfde technologie zouden kunnen gebruiken om Know Your Employee (KYE)-authenticatie te herstellen, net zoals banken Know Your Customer (KYC)-authenticatie gebruiken om toegang tot accounts te herstellen.
(Kijk bijvoorbeeld wat bedrijven als Keyless en Anonybit doen.)
M&S waarschuwde in zijn jongste jaarverslag dat de verschuiving naar hybride werken het kwetsbaarder maakte voor cyberaanvallen, en ik merk met interesse op dat een deel van de reactie van de Co-op op de aanval was Instrueer medewerkers om hun camera aan te houden. Tijdens vergaderingen op afstand en het ‘controleren van alle deelnemers’. In een interne e-mail aan 70,000 medewerkers werd ook gevraagd om geen Teams-gesprekken op te nemen of te transcriberen. Hieruit bleek dat de hackers interne vergaderingen bijwoonden en de kopieën bewaarden om informatie te verkrijgen waarmee ze social engineering-aanvallen konden verbeteren en mogelijk ook informatie konden vergaren over interne systemen, wat van pas zou kunnen komen bij toekomstige hacks.
Nieuwe misdaden, nieuwe criminelen.
We weten allemaal dat de aard van criminaliteit verandert en dat cybercriminelen slim zijn. Ik weet niet zeker of het aanhouden van de camera's, hoewel het om vele redenen een goed beleid is, hier veel verschil zal maken. AI is al in staat om video's te maken van mensen waarmee ze collega's kunnen misleiden en wordt al jaren gebruikt om dit voor duistere doeleinden te doen: Arup verloor 25 miljoen dollar aan fraudeurs die AI gebruikten om zich voor te doen als de CFO van het bedrijf en een ondergeschikte werknemer opdracht te geven om geld over te maken tijdens een groepsvideogesprek met meerdere personen, wat volgens de politie van Hongkong "Het bleek dat iedereen die [de ondergeschikte zag] nep was.'.
Deepfakes als deze verspreiden zich snel, en niet alleen in de banksector en de detailhandel. Een Londense kunstgalerie-eigenaar verloor £30,000 nadat hij maandenlang had onderhandeld over een tentoonstelling met een nep-Pierce Brosnan. In een ander geval in het Verenigd Koninkrijk werd een vrouw gearresteerd nadat ze naar verluidt een reeks pruiken en kostuums had gedragen om namens minstens 14 andere mensen, zowel mannen als vrouwen, een inburgeringsexamen te halen. Ze gebruikte daarbij "vervalste identiteitsdocumenten" om niet ontdekt te worden. Een AirBnB-eigenaar verhuurde zijn woning aan een vrouw met een gestolen identiteitsbewijs en leverde het referentierapport in met een vals rijbewijs. Vervolgens stal ze de meubels en verhuurde het huis onder als feestlocatie!
AI-hacker, AI-verdediging? Nee.
Federal Reserve-gouverneur Michael Barr verklaarde onlangs dat banken, gezien de toenemende AI-gebaseerde deepfake-aanvallen, "vuur met vuur moeten bestrijden" en zelf meer in AI moeten investeren. Ik ben het daar niet mee eens. Het is mogelijk dat gezichtsherkenning, stemanalyse en gedragsbiometrie AI-gestuurde vervalsingen kunnen detecteren totdat deze vervalsingen verbeteren. Hoewel het waar is dat aanzienlijke investeringen in AI banken kunnen beschermen tegen een stortvloed aan AI-gestuurde fraude, zou dit een tijdelijke verlichting kunnen bieden naarmate fraudeurs hun methoden verbeteren. Maar waarom zouden we deze weg inslaan? In plaats van te proberen aanvallers te slim af te zijn met AI, waarom zouden we geen beproefde technologie gebruiken die niet vervalst kan worden: digitale handtekeningen?
AI versus AI is een race zonder einde. In plaats daarvan zouden we van banken, retailers, mediabedrijven en alle andere partijen moeten eisen dat ze hun beproefde beveiligingsinfrastructuur inzetten om de moderne hacker die met deepfakes aan de haal gaat, dwars te zitten. als Ik schreef eerderHet is mogelijk dat u een nepvideo Een volledig overtuigende Brad Pitt-handtekening, maar je kunt geen volledig overtuigende digitale handtekening voor Brad Pitt maken. In plaats van medewerkers te laten raden of ze te maken hebben met een Deputy Assistant Manager of Billing Reconciliation (regio Noordoost) of een robot, zouden we ze in plaats van wachtwoorden tweefactorauthenticatie moeten bieden, verifieerbare inloggegevens met sterke biometrische authenticatie in plaats van camera-geactiveerde autorisaties, gecodeerde en digitaal ondertekende kopieën en fraudebestendige opslag van gecodeerde sleutels (bijvoorbeeld op mobiele telefoons). *Let op: Digitale handtekeningen bieden een sterke garantie voor de authenticiteit en integriteit van gegevens, waardoor ze een waardevol hulpmiddel zijn in de strijd tegen namaak.*
Reacties zijn gesloten.