Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Oszustwo przez telefon – objaśniamy jak działają przestępcy na podstawie prawdziwego incydentu
Ataki socjotechniczne wykorzystujące ludzkie odruchy jak chęć niesienia pomocy, to niestety w naszej branży smutna codzienność. Niedawno informowaliśmy o ataku na Framework Inc, w którym przestępcy podszyli się pod CEO aby wymóc pewne działanie. Jednak przekręty wykorzystujące autorytet to nie jedyne zagrożenie, z którym spotkać się może właściwie każdy. Cyberprzestępcy są bezwzględni w stosowaniu praktyk, mających na celu skłonienie ofiary do działania. Bo o ile zdrowy rozsądek powstrzyma przed zrealizowaniem ogromnego przelewu z konta firmowego na podstawie krótkiej rozmowy telefonicznej z “szefem”, o tyle co zrobić gdy głos w słuchawce to nasze bliski krewny, którego spotkała nieciekawa sytuacja?
Niestety nie opisujemy tutaj hipotetycznej sytuacji, ponieważ cyberzbóje działają już na tym polu bardzo aktywnie. Jak wygląda taki atak? Do naszej redakcji napisał Czytelnik i jednocześnie członek Sekurak.Academy, którego znajoma osobiście doświadczyła tego przekrętu. Qbica postanowił się podzielić historią, aby przybliżyć modus operandi przestępców i ukrócić ich działania. Zapraszamy do lektury!
Opowiem Wam historię o kolejnym „numerze” przez telefon. Niedawno moja znajoma otrzymała pewien telefon, a głos w słuchawce oznajmił, że jest prokuratorem. Po przedstawieniu się rozmówcy, pan prokurator przeszedł do rzeczy. Otóż ów Pan miał wstrząsającą wiadomość, poinformował znajomą o tym, że jej syn Adam jest rzekomo sprawcą tragicznego wypadku drogowego, do którego doszło w konkretnym miejscu (wskazany został nawet numer drogi), a w wyniku śmierć poniosła jedna niewinna osoba. Cała sytuacja nabrała jeszcze bardziej przerażającego obrotu oraz wiarygodności, gdy pan prokurator przekazał do telefonu syna. I w tym momencie matka usłyszała głos swojego syna Adama w słuchawce telefonu, który powiedział jej, że zabił człowieka i potrzebuje pieniędzy, aby jakoś rozwiązać tę dramatyczną sytuację…
Matka była w szoku, jednak rzekomy prokurator swojego celu nie osiągnął. Siostra Pana Adama, towarzysząca akurat mamie, zareagowała prawidłowo. Zadzwoniła do swojego brata, a ten odebrał – był bardzo zaskoczony, ale nie znajdował się na wskazanej drodze, a w pracy, jak zazwyczaj. Do przekazania pieniędzy więc nie doszło, dzięki szybkiej reakcji rodziny. Tym razem przestępcom się nie udało, jednak coraz więcej słyszy się o podobnych sytuacjach, a wykorzystanie głosu członka rodziny daje atakującym ogromną przewagę.
Analiza ataku
Przestępcy przeprowadzili solidny rekonesans. Byli doskonale zorientowani jakim samochodem jeździła ofiara. Znali numery rejestracyjne, markę, kolor, miejscowość zamieszkania, imiona i telefony do członków rodziny. Był to atak ukierunkowany na konkretną osobę z wykorzystaniem głosu bliskiej jej osoby celem uwiarygodnienia sytuacji. Kolejny raz widać jak przestępcy wykorzystują potężne narzędzie jakim jest socjotechnika, żeby zmanipulować ofiarę. Mama Pana Adama została wprowadzona w szok, żeby łatwiej można było nią manipulować i doprowadzić do przekazania pieniędzy.
Skąd próbka głosu?
Czysto hipotetycznie zakładając próbka głosu mogła pochodzić od fałszywego ankietera, który, np. wykonał telefon do Pana Adama nagrywając rozmowę. Często też próbkę można pozyskać z materiałów wideo umieszczonych w sieci. Wydawać by się mogło, że rozmowy z najbliższymi to inny przypadek, ponieważ wiele godzin interakcji, także z wykorzystaniem telefonów komórkowych, skutkuje zapamiętaniem głosu, również tego zniekształconego przez słuchawkę telefonu.
Wraz z rozwojem dużych modeli językowych (ang. LLM – Large Language Models) i ogólnopojętym “boomem” na sztuczną inteligencję i uczeniem maszynowym można było zauważyć wzrost niepożądanych działań w sieci takich jak produkowanie dużej ilości nieprawdziwych treści czy przerabianie nagrań głosowych i wideo wykorzystując generatywne AI. Przeglądając Internet można spotkać się z influencerami i politykami, którzy namawiają do bardzo intratnych inwestycji, głowami państw, które wygłaszają przemówienia tak rozbieżne z egzekwowaną przez nie polityką.
Opracowane narzędzia już dzisiaj pozwalają na generowanie tekstów (w tym kodu), obrazów czy też dźwięku na podstawie przedstawionych próbek. Przykładowo w polskim startupie ElevenLabs, możliwe jest wygenerowanie głosu w kilka sekund na podstawie bardzo krótkiej próbki oryginału.
To właśnie techniki oparte na generowaniu głosu, mogą w sposób skuteczny ostudzić czujność i spowodować, że w momencie ataku, ofiara będzie chętniej “współpracowała” z oszustem. Oczywiście sam głos to nie wszystko, przestępcy, stosując się do porad z podstawowych podręczników o sztuce wywierania wpływu na ludzi, wykreują sytuację, która będzie dodatkowym bodźcem, mającym skłonić do określonych zachowań.
Jak się bronić?
Widać było tutaj ukierunkowanie i przygotowanie scenariusza. Nie jest to już zwykły atak na „pracownika technicznego z banku z obcym akcentem”. Gdyby nie wykonanie telefonu zwrotnego, nie wiadomo czy nie doszłoby do przekazania pieniędzy.
Warto nagłaśniać tego typu zdarzenia, rozmawiać z rodziną i wcześniej ustalić co zrobić w takiej sytuacji. Można wykonać telefon bezpośrednio do osoby pod którą się podszyto lub zapytać o jakiś szczegół z życia rodziny, który nie jest znany obcym. Ewentualnie po prostu ustalić jakieś “tajne hasło” na tego typu sytuacje znane tylko najbliższym.
~źródło: qbica
~red: fc, tc, tt
Wiadomo jak na tego typu zgłoszenia reaguje Policja? Jakby nie patrzeć doszło do dużego naruszenia danych osobistych i poczucia bezpieczeństwa tych osób. Bo to żeby być czujnym to za mało, warto byłoby się dowiedzieć jak sobie radzić „po” takich incydentach.
Szkoda, że znajoma Qbicy nie pociągnęła tego dalej aż do przekazania kasy. Chociaż… jestem prawie pewny, że policji nie chciałoby się uczestniczyć w zatrzymaniu przestępców.
Coraz częściej okazuje się KONIECZNE szkolenie WSZYSTKICH z podstaw cyberbezpieczeństwa. Powinno to być elementem np programu EDB (edukacja dla bezpieczeństwa) albo informatyki w szkołach. Nie wspomnę o szkoleniach security awareness.