Les détaillants britanniques The Co-Operative Group (Co-op), Marks & Spencer (M&S) et Harrods ont été touchés par des cyberattaques majeures ces derniers jours. Bien que les détails complets sur le ou les pirates informatiques soient inconnus, la proximité des attaques peut indiquer que Des acteurs uniques responsables des trois attaques, et peut-être le groupe de pirates informatiques Scattered Spider qui a déjà été lié à l'attaque M&S. Comment les détaillants, les banques et tous les autres acteurs devraient-ils réagir ?
Tactiques de piratage informatique dans le commerce de détail
Alors que la chaîne de distribution britannique Boots est la dernière à être touchée par des perturbations informatiques, les ventes de Morrisons ont été gravement affectées l'année dernière par une cyberattaque, et Currys et JD Sports ont également subi des attaques qui ont compromis les données des clients. Les détaillants sont clairement vulnérables, et avec Marks & Spencer perdant un demi-milliard de livres en raison de son incapacité à accepter les paiements sans contact, et les magasins Co-op se retrouvant avec des étagères vides, l'importance de ces attaques ne peut être sous-estimée.
Que se passe-t-il? Les services informatiques auraient-ils pu être piratés par des travailleurs à distance venus de Corée du Nord qui ont obtenu leur emploi avec de faux diplômes ? Nous savons que ces méchants sont déjà très sophistiqués. Les RH ont mené quatre entretiens vidéo, qui ont confirmé que la personne correspondait à la photo sur sa candidature (améliorée à l'aide de l'IA), et ont effectué des vérifications d'antécédents supplémentaires qui se sont toutes révélées propres (car une pièce d'identité américaine volée a été utilisée). Il a fini par embaucher un employé fantôme. Il a immédiatement commencé à télécharger des logiciels malveillants. Une autre entreprise a finalement découvert qu'elle avait été victime d'un stratagème coordonné visant à garantir des emplois d'externalisation à distance aux Nord-Coréens et que Plus d'un tiers Toute son équipe d’ingénieurs venait de Corée du Nord !
S'il ne s'agissait pas de programmeurs Python nord-coréens, les agents d'une puissance étrangère auraient-ils accédé à un ordinateur quantique jusqu'alors inconnu pour déchiffrer des codes secrets et pénétrer dans les réseaux de détaillants en dupliquant des clés privées pour vaincre la sécurité du réseau ? Les initiés se sont-ils retournés contre leurs hôtes et ont-ils essayé de les paralyser en représailles à un changement indésirable des termes et conditions ? Les systèmes informatiques fournis par les principaux fournisseurs ont-ils été piratés par des attaquants déguisés travaillant pour le compte de détaillants concurrents ?
Non, bien sûr que non. Il ne s’agissait pas de faux employés ou de pirates informatiques qui déchiffraient des codes, mais de la même attaque qui se produit partout, tout le temps. Les pirates ont appelé le service d’assistance et se sont fait passer pour des employés qui avaient perdu leurs mots de passe. Le Centre national de cybersécurité du Royaume-Uni (NCSC) a déclaré, à propos de ces attaques, que les entreprises devraient réévaluer le fonctionnement de leur service d'assistance informatique.Avec l'approbation du personnelAvant de réinitialiser les mots de passe, surtout pour les cadres supérieurs ayant accès à des ressources importantes du réseau informatique. C'est évident. C'est toujours la même astuce d'ingénierie sociale.
Cela ne doit pas forcément se passer ainsi. Dans le secteur financier, l'une des utilisations les plus courantes de la biométrie est la récupération de compte, et je ne vois pas pourquoi les détaillants ne pourraient pas utiliser le même type de technologie pour corriger l'authentification Know Your Employee (KYE), tout comme les banques utilisent l'authentification Know Your Customer (KYC) pour restaurer l'accès au compte.
(Voyez ce que font des entreprises comme Keyless et Anonybit, par exemple.)
M&S a averti dans son dernier rapport annuel que le passage au travail hybride le rendait plus vulnérable aux cyberattaques, et je note avec intérêt qu'une partie de la réponse de la Coopérative à l'attaque a été Demandez aux employés de garder leurs caméras allumées. Lors des réunions de travail à distance et de la « vérification de tous les participants ». Un courrier électronique interne envoyé à 70,000 XNUMX employés leur demandait également de ne pas enregistrer ni transcrire les appels Teams, laissant entendre que les pirates assistaient à des réunions internes et conservaient les copies afin d'obtenir des informations pour améliorer les attaques d'ingénierie sociale ainsi que potentiellement obtenir des informations sur les systèmes internes pour aider à de futurs piratages.
Nouveaux crimes, nouveaux criminels.
Nous savons tous que la nature de la criminalité évolue et que les cybercriminels sont intelligents. Je ne suis pas sûr que garder les caméras allumées, même si c'est une bonne politique pour de nombreuses raisons, fera une grande différence ici. L'IA est déjà capable de créer des vidéos de personnes capables de tromper leurs collègues et est utilisée à cette fin à des fins malveillantes depuis des années : Arup a perdu 25 millions de dollars américains à cause de fraudeurs qui ont utilisé l'IA pour se faire passer pour le directeur financier de l'entreprise et demander à un employé subalterne de transférer de l'argent lors d'un appel vidéo de groupe à plusieurs personnes qui, selon la police de Hong Kong, «Il s'est avéré que tout ce que [le subordonné a vu] était faux." .
Les deepfakes comme ceux-ci se propagent, et pas seulement dans le secteur bancaire et le commerce de détail. Un propriétaire de galerie d'art londonien a perdu 30,000 14 £ après avoir passé des mois à négocier une exposition avec un faux Pierce Brosnan. Dans un autre cas au Royaume-Uni, une femme a été arrêtée après avoir prétendument porté une série de perruques et de costumes pour passer des tests de citoyenneté au nom d'au moins XNUMX autres personnes, hommes et femmes, en utilisant de « faux documents d'identité » pour éviter d'être détectée. Un propriétaire AirBnB a loué sa propriété à une femme qui avait une pièce d'identité volée et qui avait passé le rapport de référence avec un faux permis de conduire : Elle a ensuite volé les meubles et sous-loué la maison comme lieu de fête !
Hacker IA, défenses IA ? Non.
Le gouverneur de la Réserve fédérale, Michael Barr, a récemment déclaré que face à la multiplication des attaques deepfakes basées sur l'IA, les banques devraient « rattraper le feu par le feu » et investir davantage dans l'IA. Je ne suis pas d'accord. Il est possible que la reconnaissance faciale, l'analyse vocale et la biométrie comportementale soient capables de détecter les contrefaçons basées sur l'IA jusqu'à ce que ces contrefaçons s'améliorent. S'il est vrai que des investissements importants dans l'IA pourraient aider les banques à se défendre contre une vague de fraudes basées sur l'IA, cela pourrait n'être qu'un soulagement temporaire, le temps que les fraudeurs perfectionnent leurs méthodes. Mais pourquoi s'engager dans cette voie ? Au lieu de tenter de déjouer les attaquants grâce à l'IA, pourquoi ne pas utiliser une technologie éprouvée et infalsifiable : les signatures numériques ?
L’IA contre l’IA est une course sans fin. Au lieu de cela, nous devrions exiger que les banques, les détaillants, les sociétés de médias et tous les autres exploitent leur infrastructure de sécurité éprouvée pour contrecarrer le pirate informatique moderne armé de deepfakes. comme J'ai écrit précédemmentVous pourrez peut-être créer fausse vidéo Une signature de Brad Pitt totalement convaincante, mais vous ne pouvez pas créer une signature numérique totalement convaincante pour Brad Pitt. Au lieu de demander aux employés d'essayer de deviner s'ils ont vraiment affaire à un directeur adjoint adjoint du rapprochement des factures (région Nord-Est) ou à un robot, nous devrions leur fournir une authentification à deux facteurs au lieu de mots de passe, des informations d'identification vérifiables avec une authentification biométrique forte au lieu d'autorisations activées par caméra, des copies cryptées et signées numériquement et un stockage inviolable des clés cryptées (par exemple, sur les téléphones portables). *Remarque : les signatures numériques offrent une garantie solide d’authenticité et d’intégrité des données, ce qui en fait un outil précieux dans la lutte contre la contrefaçon.*
Les commentaires sont fermés.