Недавняя кража моего голоса подтолкнула меня к размышлениям о том, какой социальный хаос может вызвать ИИ. Я был так поражен качеством клонированного голоса (и в таком остроумном, но комедийном стиле, как это сделал один из моих коллег), что решил использовать то же программное обеспечение в «злонамеренных» целях, чтобы выяснить, насколько далеко я могу зайти, пытаясь украсть у малого бизнеса – конечно, с разрешения! Спойлер: это оказалось на удивление легко и заняло совсем немного времени.
«ИИ, скорее всего, станет либо величайшим, либо худшим изобретением для человечества». – Стивен Хокинг
Действительно, с тех пор как концепция ИИ стала более популярной в художественных фильмах, таких как «Бегущий по лезвию» и «Терминатор», люди задавались вопросом о безграничных возможностях, которые может породить эта технология. Однако только сейчас, благодаря мощным базам данных, растущей вычислительной мощности и вниманию СМИ, ИИ достиг мировой аудитории таким образом, что вызывает одновременно и страх, и восторг. Пока технологии вроде ИИ бродят среди нас, мы, скорее всего, столкнемся с креативными и довольно изощренными атаками с разрушительными последствиями.
Голосовая авантюра
Моя прошлая работа в полиции привила мне образ мышления, позволяющий думать как преступник. Такой подход имеет очень реальные и недооцененные преимущества: чем больше думаешь и даже действуешь как преступник (не становясь им на самом деле), тем лучше можешь себя защитить. Это крайне важно для того, чтобы быть в курсе последних угроз и предвидеть будущие тенденции.
Итак, чтобы протестировать некоторые из текущих возможностей ИИ, мне снова пришлось взять на себя роль цифрового преступника и этически атаковать бизнес!
Недавно я попросил своего знакомого – назовем его Гарри – разрешить мне клонировать его голос и использовать его для атаки на его компанию. Гарри согласился и позволил мне начать эксперимент, создав клон его голоса с помощью доступного программного обеспечения. К моему счастью, получить доступ к голосу Гарри было относительно просто – он часто записывал короткие видеоролики для продвижения своего бизнеса на своем YouTube-канале, поэтому я смог смонтировать несколько этих видео, чтобы создать хорошую аудиозапись для тестирования. Через несколько минут я сгенерировал клон голоса Гарри, который, на мой слух, звучал как его настоящий голос, и я смог написать что угодно и прослушать это голосом Гарри.
Чтобы повысить ставки, я также решил добавить аутентичности атаке, украв аккаунт Гарри в WhatsApp с помощью SIM-свопинга – опять же, с разрешения. Затем я отправил голосовое сообщение с его аккаунта WhatsApp финансовому директору его компании – назовем ее Салли – с просьбой оплатить 250 фунтов стерлингов «новому подрядчику». Во время атаки я знал, что он находится на близлежащем острове и обедает по делам, что дало мне идеальную историю и возможность для удара.
Голосовое сообщение содержало информацию о его местонахождении и просьбу оплатить «парня, который занимается планами этажей», а также обещание отправить банковские реквизиты отдельно сразу после этого. Это добавило верификацию звучанием его голоса поверх голосового сообщения, которое появилось в чате Салли в WhatsApp, что было достаточным, чтобы убедить ее в подлинности запроса. В течение 16 минут после первоначального сообщения 250 фунтов стерлингов были отправлены на мой личный счет.
Должен признаться, я был шокирован тем, насколько это было просто и как быстро мне удалось убедить Салли в реальности клонированного голоса Гарри.
Такой уровень манипуляции сработал из-за убедительного сочетания факторов:
- номер телефона генерального директора подтверждал его личность,
- выдуманная мной история соответствовала событиям дня, и
- голосовое сообщение, конечно же, звучало как голос босса.
При обсуждении с компанией и поразмыслив, Салли заявила, что этого было «более чем достаточно» для выполнения запроса. Само собой разумеется, компания с тех пор внедрила дополнительные меры безопасности для защиты своих финансов. И, конечно же, я вернул 250 фунтов стерлингов!
Имперсонация в WhatsApp Business
Кража аккаунта WhatsApp через SIM-свопинг может быть довольно долгим путем, чтобы сделать атаку более правдоподобной, но это происходит гораздо чаще, чем вы думаете. Тем не менее, киберпреступникам не нужно идти на такие ухищрения, чтобы добиться того же результата.
Например, недавно я сам стал целью атаки, которая на первый взгляд выглядела правдоподобной. Кто-то отправил мне сообщение в WhatsApp якобы от моего друга, который работает руководителем в IT-компании.
Интересным моментом было то, что, хотя я привык проверять информацию, это сообщение пришло со связанным именем контакта, а не с номером. Это вызвало особый интерес, потому что у меня не было сохраненного номера, с которого оно пришло, в моем списке контактов, и я предполагал, что он все равно будет отображаться как мобильный номер, а не имя.
Видимо, способ, которым они провернули это, заключался просто в создании аккаунта WhatsApp Business, который позволяет добавлять любое имя, фото и адрес электронной почты, какие захотите, и сразу же придает аккаунту вид подлинного. Добавьте к этому клонирование голоса с помощью ИИ, и вуаля, мы вступили в следующее поколение социальной инженерии.
К счастью, я знал, что это мошенничество с самого начала, но многие люди могут попасться на эту простую уловку, которая в конечном итоге может привести к потере денег в виде финансовых переводов, предоплаченных карт или других карт, таких как Apple Card, которые пользуются популярностью у киберворов.
Поскольку машинное обучение и искусственный интеллект стремительно развиваются и становятся все более доступными для масс, мы вступаем в эпоху, когда технологии начинают помогать преступникам эффективнее, чем когда-либо прежде, в том числе улучшая все существующие инструменты, которые помогают скрыть личности и местонахождение преступников.
Как оставаться в безопасности
Возвращаясь к нашим экспериментам, вот несколько базовых мер предосторожности, которые владельцы бизнеса должны предпринять, чтобы не стать жертвами атак с использованием клонирования голоса и других уловок:
- Не идите на сокращения в политиках бизнеса
- Проверяйте людей и процессы; например, дважды проверяйте любые запросы на оплату с лицом (предположительно) делающим запрос и пусть как можно больше переводов будет подписано двумя сотрудниками
- Будьте в курсе последних тенденций в технологиях и соответственно обновляйте обучение и меры защиты
- Проводите внезапные тренинги по осведомленности для всего персонала
- Используйте многоуровневое программное обеспечение для безопасности
Вот несколько советов, как оставаться в безопасности от SIM-свопинга и других атак, нацеленных на то, чтобы отнять у вас личные данные или деньги:
- Ограничьте личную информацию, которой вы делитесь онлайн; по возможности избегайте публикации деталей, таких как ваш адрес или номер телефона
- Ограничьте количество людей, которые могут видеть ваши публикации или другой контент в социальных сетях
- Будьте внимательны к фишинговым атакам и другим попыткам заманить вас в предоставление ваших конфиденциальных личных данных
- Если ваш мобильный оператор предлагает дополнительную защиту вашего телефонного счета, такую как PIN-код или пароль, обязательно используйте ее
- Используйте двухфакторную аутентификацию (2FA), особенно приложение для аутентификации или аппаратное устройство для аутентификации
Действительно, важность использования 2FA невозможно недооценить – убедитесь, что вы включили ее также в своей учетной записи WhatsApp (где она называется двухшаговая проверка) и в любых других онлайн-аккаунтах, которые ее предлагают.