Jak hackeři využívají AI a LCNC
Jak mohou hackeři zneužívat AI a LCNC, aby zvýšili pravděpodobnost úspěšnosti sociálního inženýrství.
Automatizace phishingu a vishingu
Používání AI technologií se stalo nedílnou součástí našich životů, možnosti využití jsou nekonečné a všichni se předhání v nápadech, jak a kde je využít. Ať už vám AI asistuje jakkoliv, jedno máme všichni společné - tyto nástroje nám šetří čas.
Ačkoli vnímáme AI jako užitečnou pomůcku, je nutné si uvědomit, že může být zároveň aktivně zneužívána proti nám. Pomineme li deepfakes, o kterých tento díl nebude, tak např. k automatizaci vishingu a phishingu.
Phishing
To, že phishing je dnes už naprosto běžná technika sociálního inženýrství zaměřená na uživatele s cílem přimět je k nějaké akci, díky které se útočníkovi podaří získat údaje potřebné k dalšímu “útoku” na základě jeho cíle, pro vás jistě není nic nového. Proto naším cílem není popisovat, jak funguje phishing. Rádi bychom se zabývali tím, jak mohou útočníci zvýšit pravděpodobnost phishingu díky tomu, že jej doprovodí o automatizovaný vishing.
Pozn.: Můžeme si představit i technicky jednodušší variantu, než uvádíme níže ve video ukázce – prostý podvodný email, nebo BEC (např. kompromitovaný email obchodního partnera) navádějící k provedení platby doprovázený vishingem díky automatizaci.
AI vishing
S vishingem nám pomohla platforma vapi.ai, kde jsme vytvořili svého asistenta a následně mu zadali prompt. V promptu definujeme jasné instrukce včetně vlastností: jak se má chovat, co je jeho úkolem, jak zvládat námitky, atd. Zjednodušeně, prompt je prostor, kam by útočník vložil svůj pretext/scénář pro svou kampaň.
Parametrizace hlasového asistenta
Možnosti parametrizace asistenta jsou bohaté a zahrnují například:
volbu hlasu (možná integrace s ElevenLabs API - vlastní naklonovaný hlas),
výběr z řady modelů (ovlivňující prodlevu při hovoru a výslovnost asistenta),
detekci emocí (reaguje na emoce druhé osoby, přizpůsobuje tón a intonaci),
řízení náhodnosti výstupu (do jaké míry se má asistent řídit zadáním z promptu),
prodleva při přerušení (doba, po kterou je asistent ticho, aplikuje se např. při přerušení asistenta během jeho výkladu),
Telefonní seznam (zdroj kontaktů)
Jelikož se snažíme demonstrovat masivní zneužití z pohledu útočníka, potřebujeme nějaký zdroj kontaktů, ze kterého bude asistent čerpat. Můžeme si pod tím představit například uniklou databázi kontaktů z nějakého webu, z aplikace pro e-mailing atp. V našem případě uměle vytvořený kontaktní seznam obětí v Google Sheets, obsahující telefonní číslo, jméno, e-mail, status (called/not-called) -> Status se dynamicky mění v momentě, kdy hovor proběhne.
Automatizace volání
Celý scénář je realizován skrze no-code platformu make.com. Pokud bychom to měli shrnout, linka automatizace zajišťuje napojení na zdroj dat v Google Sheets, důležité záznamy poté uloží do proměnných a následně je posílá skrze API hlasovému asistentovi na vapi.ai. Pomocí dynamické proměnné jsme schopni zajistit, že asistent osloví dotyčnou oběť relevantním jménem přiřazeným k odpovídajícímu telefonnímu číslu. Po ukončeném hovoru se změní status v Google Sheets z "not-called" na "called", čímž je ošetřen opakovaný hovor. Veškerá komunikace z hovoru je přepsána do jiného sešitu v Google Sheets, kde může útočník v případě potřeby kontrolovat sdělené informace ze strany oběti.
Video ukázka
Před samotnou demonstrací bychom rádi zrekapitulovali sled událostí, které uvidíte.
Link na video najdete také zde.
Jak se tomu bránit?
Příklady opatření, které by vám měly pomoci s ochranou před tím, co jste mohli vidět v ukázce:
Snaha o minimalizaci zveřejňovaných osobních údajů (např. na sociálních sítích, webech).
Zajištění bezpečnosti emailové komunikace (vyjít můžete např. z této metodiky od NÚKIB).
Školení zaměstnanců o technikách phishingu, vishingu a o sociálním inženýrství obecně, vč. trénování, jak tyto metody rozpoznat.
Školení zaměstnanců ohledně deepfakes, vč. tréninku rozpoznání obrazových a hlasových deepfakes.
Procesní zabezpečení operací s penězy (platby faktur, bankovní převody, online platby atp.).
MFA za využití hardwarových klíčů (protokol FIDO2) nebo password less autentizace.
Geo-based nebo IP restrikce (pouze důvěryhodné lokality).
Správné řízení oprávnění.
Session management.
Šifrování mobilních zařízení (mobily, tablety, notebooky), na kterých mohou být osobní data vašich zákazníků / zaměstnanců apod. za účelem předcházení zneužití těchto dat při ztrátě nebo odcizení zařízení.
atd.
Jak vám můžeme pomoci my?
Ukázky hackingu na míru pro vaši firmu.
Školení bezpečnostního povědomí.
Zabezpečení AI a LCNC technologií.
Zavedení požadavků normy ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system
Neváhejte a kontaktujte autory tohoto newsletteru - Jakuba Lehečku a Martina Konečného.
Bezpečnost AI a LCNC
Téma bezpečnosti AI a LCNC jsme otevřeli už pár newsletterů zpětně, kdy jsme představili whitepaper, který tvořil
společně s kolegou Nikolasem Strakou, expertem na LCNC. Protože je to téma více než aktuální, dovolíme si tom sem znovu vytáhnout a vyzvat vás, abyste si whitepaper stáhli přímo z našeho webu: https://www.guardians.cz/#whitepapery🔍 Co najdete uvnitř?
Jak správně vybírat a využívat online AI/LCNC nástroje pro malé a střední podniky.
Tipy na automatizaci firemních procesů a na integraci firemních aplikací.
Praktická bezpečnostní doporučení pro práci s LCNC a AI nástroji.
📚 Proč si přečíst tento whitepaper?
Získáte cenné rady a návody, jak efektivně využívat moderní technologie.
Naučíte se, jak zůstat moderní a zároveň při tom chránit své podnikání před kybernetickými hrozbami spojenými s využíváním moderních technologií.