Atak na firmę WPP udowadnia, że na bieżąco aktualizowane szkolenia z zakresu cyberbezpieczeństwa powinny być priorytetem dla dużych firm.
Nie dał się nabrać na deepfake. To uratowało firmę przed ogromną stratą
W ostatnim odcinku podcastu Antyweb Po Godzinach rozmawiałem z dr. Adamem Behanem o zagrożeniach, jakie niesie ze sobą sztuczna inteligencja. Omawialiśmy między innymi ataki na duże przedsiębiorstwa, w trakcie których cyberprzestępcy wykorzystują szereg narzędzi AI do podszywania się pod osoby decyzyjne, by wyprowadzić z firmy niebotyczne sumy pieniędzy. To właśnie do takiego ataku – wymierzonego w brytyjski holding z segmentu reklamowego – sprawcy wykorzystali pełnię szkodliwego potencjału AI.
Polecamy na Geekweek: Znikają Podcasty Google. Użytkownicy mogą przenieść swoje subskrypcje
Fałszywy dyrektor WPP namawiał do wyprowadzenia pieniędzy
WPP od 2023 roku nosi miano największej filmy reklamowej na świecie. Wizerunek dyrektora generalnego przedsiębiorstwa – Marka Read'a – został użyty do przeprowadzenia ataku phishingowego z wykorzystaniem technologii deepfake, który początkowo rozpoczął się od kampanii w Microsoft Teams. Oszuści zdołali uzyskać kontakt do innego wysoko postawionego dyrektora WPP i zorganizowali służbową konferencję, po czym użyli pełnej kombinacji AI do fałszowania wizerunku.
Dzięki oprogramowaniu do klonowania głosu przygotowali kwestie, mające przekonać członka WPP do założenia nowej firmy w celu przetransportowania części pieniędzy. Aby oszustwo było bardziej wiarygodne, użyli sztucznej inteligencji do spreparowania materiału wideo z Markiem Read’em, pobranego z YouTube. Z zeznań niedoszłej ofiary wynika, że próba była bardzo wiarygodna, ale nie na tyle, by przeszkolony dyrektor się na nią nabrał.
„Na szczęście atakującym się nie udało” – czyli dlaczego warto się szkolić
Przed osobami decyzyjnymi największych korporacji niezwykle trudne zadanie. Według ekspertów sytuacja będzie prezentować się tylko gorzej, a cyberprzestępcy z miesiąca na miesiąca będą coraz skuteczniejsi, bo narzędzia, których używają, dynamicznie się rozwijają. Konieczne są więc na bieżąco aktualizowane szkolenia z zakresu cyberbezpieczeństwa, które tym razem przyniosły oczekiwany efekt.
Rzecznik WPP przekazał w oświadczeniu, że próba zaawansowanego phishingu nie powiodła się. Stało się tak dzięki czujności pracowników firmy w tym samego dyrektora, który wykazał się rozwagą i chłodną głową, co w obliczu ostatnich ataków, zrealizowanych z sukcesem, jest postawą godną pochwały.
„Na szczęście atakującym się nie udało. Wszyscy musimy zachować czujność wobec technik wykraczających poza e-maile, oszukujących przy pomocy wirtualnych spotkań, sztucznej inteligencji i deepfake'ów” – rzecznik WPP w wypowiedzi dla The Guardian
Reak poinformował, że czujność wynikała poniekąd z doświadczeń zebranych podczas wcześniejszych, mniej wyrafinowanych ataków na pracowników wyższego szczebla. W związku z tym firma przyjęła strategię wyczulonej ostrożności za każdym razem, gdy w korespondencji pojawia się wzmianka o paszportach, przelewach, transakcjach i przejęciach – zwłaszcza tych operacjach, które mają być rzekomo poufne i przekazywane do wąskiego grona.
Poza tym pracownicy firmy mają zawsze wychodzić z prostego założenia – to, że w korespondencji lub konferencji pojawia się wizerunek dyrektora generalnego, to absolutnie nie oznacza, że od razu powinni uznać go za wiarygodny. Cóż, to już chyba taki znak czasów, że zaufanie powinniśmy ograniczyć do minimum – zwłaszcza gdy mamy do czynienia z wysoko postawionymi osobami decyzyjnymi. Dziś bowiem kradzież czyjegoś wizerunku i wykorzystanie go do szkodliwych celów jest prostsze, niż się wydaje, a niebawem efekty będą jeszcze bardziej wiarygodne. OpenAI ma jeszcze w tym roku pokazać pełnię możliwości oprogramowania do generowania wideo, a od tego już prosta droga do fotorealistycznych fałszywek.
Stock image from Depositphotos
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu