Los minoristas británicos The Co-Operative Group (Co-op), Marks & Spencer (M&S) y Harrods se han visto afectados por importantes ataques cibernéticos en los últimos días. Si bien se desconocen todos los detalles sobre el pirata informático o los piratas informáticos, la proximidad de los ataques puede indicar que Un único actor de amenaza es responsable de los tres ataques, y posiblemente el grupo de hackers Scattered Spider que ya ha sido vinculado al ataque de M&S. ¿Cómo deberían responder los minoristas, los bancos y todos los demás?
Tácticas de hackers minoristas
Si bien la cadena minorista británica Boots es la última en verse afectada por interrupciones de TI, las ventas de Morrisons se vieron gravemente afectadas el año pasado por un ciberataque, y Currys y JD Sports también sufrieron ataques que comprometieron los datos de los clientes. Los minoristas son claramente vulnerables, y con Marks & Spencer perdiendo 500 millones de libras debido a su incapacidad de aceptar pagos sin contacto, y las tiendas Co-op con estantes vacíos, la importancia de estos ataques no se puede subestimar.
¿Qué está sucediendo? ¿Es posible que los departamentos de TI hayan sido hackeados por trabajadores remotos de Corea del Norte que consiguieron empleo con títulos falsos? Sabemos que estos villanos ya son muy sofisticados. Recursos humanos realizó cuatro entrevistas en video que confirmaron que la persona coincidía con la foto de su solicitud (mejorada mediante inteligencia artificial) y realizó verificaciones de antecedentes adicionales que no arrojaron resultados (porque se utilizó una identificación estadounidense robada). Terminó contratando a un empleado fantasma. Inmediatamente comenzó a descargar malware. Otra empresa finalmente descubrió que había sido víctima de un plan coordinado para asegurar trabajos de subcontratación remota para norcoreanos y que Más de un tercio ¡Todo su equipo de ingenieros era de Corea del Norte!
Si no fueron programadores de Python de Corea del Norte, ¿accedieron agentes de una potencia extranjera a una computadora cuántica hasta entonces desconocida para descifrar códigos secretos y entrar en redes de minoristas duplicando claves privadas para burlar la seguridad de la red? ¿Los insiders se volvieron contra sus anfitriones y trataron de paralizarlos en represalia por un cambio no deseado en los términos y condiciones? ¿Los sistemas de TI proporcionados por los principales proveedores han sido pirateados por atacantes disfrazados que trabajan en nombre de minoristas competidores?
No, por supuesto que no. No se trataba de empleados falsos ni de piratas informáticos que descifraban códigos, era el mismo ataque que ocurre en todas partes, todo el tiempo. Los piratas informáticos llamaron al servicio de asistencia y se hicieron pasar por empleados que habían perdido sus contraseñas. El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo, en relación a estos ataques, que las empresas deberían reevaluar cómo opera su mesa de ayuda de TI.Con la aprobación del personalAntes de restablecer las contraseñas, especialmente las de los empleados senior con acceso a partes importantes de la red informática. Bueno, eso es obvio. Es el mismo truco de ingeniería social de siempre.
No tiene por qué ser así. En el sector financiero, uno de los usos más comunes de la biometría es la recuperación de cuentas, y no veo por qué los minoristas no podrían usar el mismo tipo de tecnología para solucionar la autenticación Conozca a su empleado (KYE) de la misma manera que los bancos usan la autenticación Conozca a su cliente (KYC) para restaurar el acceso a las cuentas.
(Vea lo que están haciendo empresas como Keyless y Anonybit, por ejemplo).
M&S advirtió en su último informe anual que el cambio al trabajo híbrido lo hizo más vulnerable a los ataques cibernéticos, y observo con interés que parte de la respuesta de la Co-op al ataque fue Indique a los empleados que mantengan sus cámaras encendidas. Durante las reuniones de trabajo remoto y “verificando a todos los asistentes”. Un correo electrónico interno enviado a 70,000 empleados también les pidió que no grabaran ni transcribieran las llamadas de Teams, lo que implicaba que los piratas informáticos asistían a reuniones internas y guardaban las copias para obtener información para mejorar los ataques de ingeniería social, así como potencialmente obtener información sobre los sistemas internos para ayudar en futuros ataques.
Nuevos crímenes, nuevos criminales.
Todos nos damos cuenta de que la naturaleza del crimen está cambiando y que los ciberdelincuentes son inteligentes. No estoy seguro de que mantener las cámaras encendidas, si bien es una buena política por muchos motivos, haga una gran diferencia en este caso. La IA ya es capaz de crear vídeos de personas que pueden engañar a compañeros de trabajo y se ha utilizado para hacerlo con fines nefastos durante años: Arup perdió 25 millones de dólares a manos de estafadores que utilizaron la IA para hacerse pasar por el director financiero de la empresa y dar instrucciones a un empleado subordinado para que transfiriera dinero durante una videollamada grupal de varias personas que, según la policía de Hong Kong, "Resultó que todo lo que vio el subordinado era falso.".
Deepfakes como estos se están extendiendo, y no solo en el sector bancario y minorista. El propietario de una galería de arte de Londres perdió 30,000 libras después de pasar meses negociando una exposición con un falso Pierce Brosnan. En otro caso en el Reino Unido, una mujer fue arrestada después de supuestamente usar una serie de pelucas y disfraces para pasar exámenes de ciudadanía en nombre de al menos otras 14 personas, tanto hombres como mujeres, usando “documentos de identidad falsificados” para evitar ser detectados. El propietario de un AirBnB alquiló su propiedad a una mujer que tenía una identificación robada y pasó el informe de referencia con una licencia de conducir falsa: ¡luego robó los muebles y subarrendó la casa como lugar de fiestas!
Hacker de IA, ¿defensas de IA? No.
El gobernador de la Reserva Federal, Michael Barr, declaró recientemente que, ante el aumento de los ataques deepfake basados en IA, los bancos deberían combatir el fuego con fuego e invertir más en IA. No estoy de acuerdo. Es posible que el reconocimiento facial, el análisis de voz y la biometría del comportamiento puedan detectar falsificaciones impulsadas por IA hasta que estas falsificaciones mejoren. Si bien es cierto que inversiones significativas en IA podrían ayudar a proteger a los bancos contra una avalancha de fraudes impulsados por IA, esto podría ser un alivio temporal a medida que los estafadores mejoren sus métodos. Pero ¿por qué seguir este camino? En lugar de intentar burlar a los atacantes con IA, ¿por qué no utilizar una tecnología de eficacia comprobada que no se puede falsificar: las firmas digitales?
IA contra IA es una carrera sin fin. En lugar de eso, deberíamos exigir que los bancos, los minoristas, las empresas de medios y todos los demás aprovechen su infraestructura de seguridad probada para frustrar a los piratas informáticos modernos armados con deepfakes. como Ya escribí anteriormenteEs posible que puedas crear video falso Una firma de Brad Pitt completamente convincente, pero no se puede crear una firma digital completamente convincente para Brad Pitt. En lugar de pedirles a los empleados que intenten adivinar si realmente están viendo a un subgerente adjunto de conciliación de facturación (región noreste) o a un robot, deberíamos brindarles autenticación de dos factores en lugar de contraseñas, credenciales verificables con autenticación biométrica sólida en lugar de autorizaciones activadas por cámara, copias encriptadas y firmadas digitalmente, y almacenamiento a prueba de manipulaciones de claves encriptadas (por ejemplo, en teléfonos móviles). *Nota: Las firmas digitales proporcionan una sólida garantía de autenticidad e integridad de los datos, lo que las convierte en una herramienta valiosa en la lucha contra la falsificación.*
Los comentarios están cerrados.