- 26,414
- 46
- 8 Ноя 2022
ИИ превращает социальную инженерию в конвейер, и привычные правила безопасности внезапно перестают работать.
За последние 17 лет пентестер Роб Шапланд не раз доказывал, что для взлома офиса иногда достаточно чашки кофе, каски и уверенного вида. Но сегодня, по его словам , у социальных инженеров появился новый мощный инструмент. Искусственный интеллект делает старые приёмы обмана гораздо опаснее и эффективнее.
Компании нанимают Шапланда, чтобы он попытался проникнуть в их штаб-квартиру, используя социальную инженерию. Формально он борется с преступниками, но работает теми же методами, сочетая цифровые атаки с физическим проникновением. В одном из недавних проектов заказчик поставил задачу получить доступ к почте генерального директора. Шапланд справился, просто позвонив в службу поддержки и запросив сброс пароля. Он говорил голосом самого CEO.
Запись голоса нашлась в открытом доступе. Это было обычное промо-видео компании на <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span> продолжительностью около пяти минут. Этого оказалось более чем достаточно. Шапланд взял фрагмент записи, загрузил его в сервис для клонирования голоса и получил правдоподобную копию. Дальше всё было ещё проще. Он задал текст запроса через ChatGPT, подключил его к голосовой модели, и система сама вела диалог с сотрудниками сервис-деска. В итоге пароль был сброшен без лишних вопросов.
Для этой атаки использовался ElevenLabs, легальный сервис для озвучки, который при желании легко превратить в инструмент злоупотреблений. По словам Шапланда, для создания приемлемого клона достаточно около 10 секунд аудио, но чем больше материала, тем убедительнее результат.
Главный тренд, который он сейчас наблюдает, — это сочетание ИИ-инструментов с классическими методами физического взлома. Более того, он использует обычные чат-боты даже на этапе планирования атак. Иногда они отказываются напрямую помогать, но всё равно находят обходные пути и выдают полезные подсказки. При этом на даркнете уже существуют версии ботов без ограничений, способные, например, разрабатывать вредоносное ПО .
Несмотря на это, Шапланд считает, что индустрия кибербезопасности пока преувеличивает масштабы использования ИИ преступниками. Сейчас они в основном экспериментируют. Однако в ближайшие годы ситуация резко изменится. Он уверен, что поддельные видеоконференции скоро станут неотличимы от настоящих, и человек по ту сторону экрана может быть кем угодно.
В качестве примера он приводит волну реалистичных фейковых видео , которые появились после выхода Sora 2 прошлой осенью. Такие ролики активно распространяются в соцсетях, и многие принимают их за правду.
Рассказывая о своей работе, Шапланд преследует вполне практичную цель. Он хочет, чтобы сотрудники компаний осознали, насколько уязвимыми они бывают в реальных ситуациях. Почти все свои проникновения он тайно снимает на скрытые камеры, встроенные в галстуки или очки. Позже эти записи показывают персоналу. По его словам, увидеть себя на экране, впускающим незнакомца в офис или оставляющим рабочий стол без присмотра, куда эффективнее любого теста или онлайн-курса.
Он уверен, что обучение кибербезопасности стало скучным и формальным, превратилось в галочку для отчётности и давно перестало выполнять свою задачу.
В одном из случаев Шапланд продемонстрировал классическую атаку социальной инженерии . Он изучает страницу сотрудницы в соцсетях, находит фото из отпуска возле отеля, определяет место и бренд гостиницы, а затем отправляет письмо от имени менеджера. В письме говорится о забытых вещах, а вложение с изображением запускает загрузку вредоносного кода. Всё начинается с одного клика.
За сотни подобных операций Шапланд лишь однажды сталкивался с системой распознавания лиц. Чаще всего используются обычные пропуски и карты доступа, а решающим фактором остаётся человеческая доброжелательность. Фальшивый бейдж, найденный через LinkedIn логотип компании, две чашки кофе в руках и просьба придержать дверь. В большинстве случаев этого достаточно.
Более безопасный вариант, по его словам, — это прийти под видом посетителя. Инспектор, арендодатель, уборщик или проверяющий пожарное оборудование. При заранее забронированном визите можно спокойно войти в здание, а затем заняться тем, ради чего всё и затевалось.
Шапланд признаётся, что постоянно думает, как злоумышленник. Даже в обычных разговорах он ловит себя на том, что оценивает новые возможные легенды и роли. В этом смысле его работа похожа на актёрскую профессию. Перед входом в здание он испытывает сильное волнение, но как только переступает порог, полностью вживается в образ. Уверенность, подходящая одежда и чёткий план почти всегда делают своё дело.
За последние 17 лет пентестер Роб Шапланд не раз доказывал, что для взлома офиса иногда достаточно чашки кофе, каски и уверенного вида. Но сегодня, по его словам , у социальных инженеров появился новый мощный инструмент. Искусственный интеллект делает старые приёмы обмана гораздо опаснее и эффективнее.
Компании нанимают Шапланда, чтобы он попытался проникнуть в их штаб-квартиру, используя социальную инженерию. Формально он борется с преступниками, но работает теми же методами, сочетая цифровые атаки с физическим проникновением. В одном из недавних проектов заказчик поставил задачу получить доступ к почте генерального директора. Шапланд справился, просто позвонив в службу поддержки и запросив сброс пароля. Он говорил голосом самого CEO.
Запись голоса нашлась в открытом доступе. Это было обычное промо-видео компании на <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span> продолжительностью около пяти минут. Этого оказалось более чем достаточно. Шапланд взял фрагмент записи, загрузил его в сервис для клонирования голоса и получил правдоподобную копию. Дальше всё было ещё проще. Он задал текст запроса через ChatGPT, подключил его к голосовой модели, и система сама вела диалог с сотрудниками сервис-деска. В итоге пароль был сброшен без лишних вопросов.
Для этой атаки использовался ElevenLabs, легальный сервис для озвучки, который при желании легко превратить в инструмент злоупотреблений. По словам Шапланда, для создания приемлемого клона достаточно около 10 секунд аудио, но чем больше материала, тем убедительнее результат.
Главный тренд, который он сейчас наблюдает, — это сочетание ИИ-инструментов с классическими методами физического взлома. Более того, он использует обычные чат-боты даже на этапе планирования атак. Иногда они отказываются напрямую помогать, но всё равно находят обходные пути и выдают полезные подсказки. При этом на даркнете уже существуют версии ботов без ограничений, способные, например, разрабатывать вредоносное ПО .
Несмотря на это, Шапланд считает, что индустрия кибербезопасности пока преувеличивает масштабы использования ИИ преступниками. Сейчас они в основном экспериментируют. Однако в ближайшие годы ситуация резко изменится. Он уверен, что поддельные видеоконференции скоро станут неотличимы от настоящих, и человек по ту сторону экрана может быть кем угодно.
В качестве примера он приводит волну реалистичных фейковых видео , которые появились после выхода Sora 2 прошлой осенью. Такие ролики активно распространяются в соцсетях, и многие принимают их за правду.
Рассказывая о своей работе, Шапланд преследует вполне практичную цель. Он хочет, чтобы сотрудники компаний осознали, насколько уязвимыми они бывают в реальных ситуациях. Почти все свои проникновения он тайно снимает на скрытые камеры, встроенные в галстуки или очки. Позже эти записи показывают персоналу. По его словам, увидеть себя на экране, впускающим незнакомца в офис или оставляющим рабочий стол без присмотра, куда эффективнее любого теста или онлайн-курса.
Он уверен, что обучение кибербезопасности стало скучным и формальным, превратилось в галочку для отчётности и давно перестало выполнять свою задачу.
В одном из случаев Шапланд продемонстрировал классическую атаку социальной инженерии . Он изучает страницу сотрудницы в соцсетях, находит фото из отпуска возле отеля, определяет место и бренд гостиницы, а затем отправляет письмо от имени менеджера. В письме говорится о забытых вещах, а вложение с изображением запускает загрузку вредоносного кода. Всё начинается с одного клика.
За сотни подобных операций Шапланд лишь однажды сталкивался с системой распознавания лиц. Чаще всего используются обычные пропуски и карты доступа, а решающим фактором остаётся человеческая доброжелательность. Фальшивый бейдж, найденный через LinkedIn логотип компании, две чашки кофе в руках и просьба придержать дверь. В большинстве случаев этого достаточно.
Более безопасный вариант, по его словам, — это прийти под видом посетителя. Инспектор, арендодатель, уборщик или проверяющий пожарное оборудование. При заранее забронированном визите можно спокойно войти в здание, а затем заняться тем, ради чего всё и затевалось.
Шапланд признаётся, что постоянно думает, как злоумышленник. Даже в обычных разговорах он ловит себя на том, что оценивает новые возможные легенды и роли. В этом смысле его работа похожа на актёрскую профессию. Перед входом в здание он испытывает сильное волнение, но как только переступает порог, полностью вживается в образ. Уверенность, подходящая одежда и чёткий план почти всегда делают своё дело.
- Источник новости
- www.securitylab.ru
