«Придержите дверь, я с кофе (и вирусом)». Как ваша вежливость помогает хакерам грабить компанию
NewsMakerИИ превращает социальную инженерию в конвейер, и привычные правила безопасности внезапно перестают работать.
За последние 17 лет пентестер Роб Шапланд не раз доказывал, что для взлома офиса иногда достаточно чашки кофе, каски и уверенного вида. Но сегодня, по его словам , у социальных инженеров появился новый мощный инструмент. Искусственный интеллект делает старые приёмы обмана гораздо опаснее и эффективнее.
Компании нанимают Шапланда, чтобы он попытался проникнуть в их штаб-квартиру, используя социальную инженерию. Формально он борется с преступниками, но работает теми же методами, сочетая цифровые атаки с физическим проникновением. В одном из недавних проектов заказчик поставил задачу получить доступ к почте генерального директора. Шапланд справился, просто позвонив в службу поддержки и запросив сброс пароля. Он говорил голосом самого CEO.
Запись голоса нашлась в открытом доступе. Это было обычное промо-видео компании на YouTube продолжительностью около пяти минут. Этого оказалось более чем достаточно. Шапланд взял фрагмент записи, загрузил его в сервис для клонирования голоса и получил правдоподобную копию. Дальше всё было ещё проще. Он задал текст запроса через ChatGPT, подключил его к голосовой модели, и система сама вела диалог с сотрудниками сервис-деска. В итоге пароль был сброшен без лишних вопросов.
Для этой атаки использовался ElevenLabs, легальный сервис для озвучки, который при желании легко превратить в инструмент злоупотреблений. По словам Шапланда, для создания приемлемого клона достаточно около 10 секунд аудио, но чем больше материала, тем убедительнее результат.
За последние 17 лет пентестер Роб Шапланд не раз доказывал, что для взлома офиса иногда достаточно чашки кофе, каски и уверенного вида. Но сегодня, по его словам , у социальных инженеров появился новый мощный инструмент. Искусственный интеллект делает старые приёмы обмана гораздо опаснее и эффективнее.
Компании нанимают Шапланда, чтобы он попытался проникнуть в их штаб-квартиру, используя социальную инженерию. Формально он борется с преступниками, но работает теми же методами, сочетая цифровые атаки с физическим проникновением. В одном из недавних проектов заказчик поставил задачу получить доступ к почте генерального директора. Шапланд справился, просто позвонив в службу поддержки и запросив сброс пароля. Он говорил голосом самого CEO.
Запись голоса нашлась в открытом доступе. Это было обычное промо-видео компании на YouTube продолжительностью около пяти минут. Этого оказалось более чем достаточно. Шапланд взял фрагмент записи, загрузил его в сервис для клонирования голоса и получил правдоподобную копию. Дальше всё было ещё проще. Он задал текст запроса через ChatGPT, подключил его к голосовой модели, и система сама вела диалог с сотрудниками сервис-деска. В итоге пароль был сброшен без лишних вопросов.
Для этой атаки использовался ElevenLabs, легальный сервис для озвучки, который при желании легко превратить в инструмент злоупотреблений. По словам Шапланда, для создания приемлемого клона достаточно около 10 секунд аудио, но чем больше материала, тем убедительнее результат.