Финансовая сфера

Банковское обозрение


03.02.2021 FinSecurityFinTechАналитика
Встречайте: фейковая инженерия

Социальные инженеры смогли изменить настройки DNS нескольких криптобирж благодаря Deep Fake. Человеческий разум научился влиять на бездушные крипто-алгоритмы? Или тут что-то иное?


Говоря об итогах 2020 года Дон Фостер (Don Foster), вице-президент по глобальным продажам Commvault, дал неутешительный прогноз: «Благодаря совершенству ИИ (AI) технологии Deep Fake способны создавать реалистические фотографии, аудио и видео, на которых люди делают вещи, которых они в действительности никогда не делали. Эти технологии создают новые риски — компаниям становится сложнее гарантировать, что их медиаданные не были изменены с помощью специальных алгоритмов».

По сути, началась эра фейковых видеоновостей и социальной инженерии с использованием фейковых технологий. Но почему обо всем этом рассказывает представитель компании по производству платформ для резервного копирования приложений, баз данных, файловых систем, виртуальных машин и физических серверов? И почему испортилась репутация блокчейн-платформ? 

Все от переизбытка данных

На первый вопрос в свое время исчерпывающий ответ дал глава Сбербанка Герман Греф: «Данные — это новая нефть». А сегодня его слова можно дополнить: «Большие данные — это власть над сознанием людей». Deep Fake, детище AI, невозможен без Huge Data, следующего после Big Data уровня размерности данных, находящихся в руках одного владельца. К сожалению, степень защиты этой информации не всегда на высоте. Иногда мошенники получают к ним доступ и тренируют на них модели под свои преступные цели. Поэтому сейчас тревогу наряду со службами ИБ бьют вендоры из области управления данными.

«Б.О» планирует глубже погрузиться в проблематику Data Governance в финансовых организациях, благо крупные кейсы в 2020 году в России уже были. Сейчас наша задача — привлечь внимание к проникновению социальной инженерии на базе Deep Fake в криптоиндустрию, ведь именно к ней из-за рекордных котировок биткоина приковано всеобщее внимание без учета реального уровня ИБ этого инфраструктурного сектора виртуальной экономики. А еще на горизонте — возможное появление в России цифрового рубля с аналогичными проблемами. 

Итак, издание KrebsonSecurity 21 ноября 2020 года опубликовало информацию о том, что сотрудники GoDaddy, крупнейшего в мире регистратора доменных имен, подверглись нескольким волнам фишинговых атак, в результате чего мошенники смогли перенаправить электронную почту и веб-трафик, предназначенный для нескольких криптовалютных торговых платформ.

GoDaddy оказалась не готова к вишингу (voice phishing, голосовой фишинг), причем глубина проблемы стала понятна только после многолетних атак, продолжавшихся до апреля 2020 года. Современные вишинг-атаки имеют все элементы хай-тека: например, в них применяется роботизированная симуляции голоса и используется персональная информация о жертве, собранная во время предыдущих кибератак. Мошенники научились моделировать на компьютере знакомый жертве голос, почти не отличающийся от оригинала. 

В ходе расследования выяснилось, что в марте 2020 года вишерам удалось получить контроль над несколькими доменными именами, включая сайт брокера транзакций escrow.com. Кроме того, 28 тыс. учетных записей веб-хостинга клиентов были скомпрометированы после инцидента безопасности в октябре 2019 года.

Крипту не ломают, ломают админа

Дальнейшую информацию о последствиях этого инцидента можно найти на отечественном habr.ru. Все началось 13 ноября 2020 года с атаки на платформу для торговли криптовалютой liquid.com. Ее гендиректор Майк Каямори заявил, что провайдер хостинга доменов GoDaddy, который управляет одним из основных доменных имен биржи, передал контроль над учетной записью и доменом мошеннику. Хакеры получили возможность изменять настройки DNS и частично компрометировать инфраструктуру, чтобы получить доступ к хранилищу документов.  

18 ноября 2020 года сервис по майнингу криптовалюты NiceHash обнаружил, что некоторые настройки его регистрационных записей домена в GoDaddy изменились без авторизации — это привело к кратковременному перенаправлению электронной почты и веб-трафика. NiceHash заморозил все средства клиентов примерно на 24 часа, пока не смог убедиться, что настройки его домена были возвращены к исходным. Сервис также призвал клиентов сбросить пароли и ввести двойную аутентификацию, несмотря на то что ни к электронной почте, ни к паролям, ни к каким-либо личным данным хакеры доступ не получили.

Несанкционированные изменения были внесены с интернет-адреса GoDaddy, и хакеры пытались использовать свой доступ к входящим электронным письмам NiceHash для сброса паролей в различных сторонних сервисах, включая Slack и Github. С GoDaddy было невозможно связаться из-за тотального сбоя в IT-системе. Позже выяснилось, что несколько других криптовалютных платформ также могли стать мишенью социальных инженеров. В их числе были Bibox.com, Celsius.network и Wirex.app.

Эксперты по расследованиям компьютерных инцидентов пишут: «Как правило, вишинг начинается с того, что сотрудникам на “удаленке” звонят и представляются работниками IT-отдела работодателя. У любого сотрудника всегда найдется что-то барахлящее, зависающее или работающее со сбоями: электронная почта, корпоративный чат или криптошлюз. Поэтому долго убеждать сотрудников раскрыть свои учетные записи первому же позвонившему и предложившему помощь не нужно. А для тех, кто все же сомневается, предлагается ввести на сайте их же компании логин, пароль и т.д. Только вот сайт ненастоящий. Но это в подавляющем большинстве случаев выясняется много позже, как правило в ходе расследований. Свои ошибки люди не спешат признавать, впрочем, как и скрывать свои данные в социальных сетях, скорее наоборот — там порой можно найти больше информации о человеке, чем в DarkNet».

Печальные выводы

Напомним еще об одном инциденте. В середине лета 2020 года в известных Twitter-аккаунтах были размещены записи, которые предлагали пользователям перевести деньги на некий биткоин-адрес, чтобы получить эту сумму назад в двойном размере. Записи публиковались с верифицированных аккаунтов звезд и бизнесменов, а также известных компаний. Так, их разместили в аккаунтах Apple, Uber, Elon Musk, Bill Gates, Warren Buffett, Jeff Bezos, Mike Bloomberg, Barack Obama, Joe Biden, Kanye West и т.д. Массовый взлом произошел также с помощью социальной инженерии.

Пока маркетологи ломают голову над красивым названием для фейковой инженерии, когда социальные инженеры манипулируют цифровыми двойниками реальных людей, имеющими авторитет в мире реальном, специалисты по ИБ делают печальный вывод. Существующий сетевой мир в парадигме «человек — машина» перестал быть безопасным. Сисадмина даже самой защищенной IT-системы с помощью манипуляций с сознанием могут погрузить в состояние, которое будет казаться ему реальностью, и провести по тому «клиентскому пути», который нужен мошеннику. Единственный надежный выход — убрать из IT-систем человека как самое слабое их звено






Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ