عجیب ترین راه ها برای هک شدن

در اینجا عجیب ترین – اگر نه کاملاً عملی – تهدیدات امنیتی که در سال گذشته ظهور کرده اند، آورده شده است.

مدیران ممکن است مراقب تهدیدهای امنیتی استاندارد مانند حملات DDoS، کمپین های فیشینگ و باج افزار باشند. اما در مورد تهدیدهایی که دقیقاً آنها را در شب بیدار نگه نمی‌دارند، چه می‌گویند؟

در اینجا نمونه‌ای از تهدیدات امنیتی تئوریک‌تر و عجیب‌تر است که در سال گذشته ظاهر شده‌اند – از حملات کانال جانبی عجیب و غریب که توسط دانشگاهیان طراحی شده‌اند تا مجرمان سایبری که با صدای دیگران صحبت می‌کنند.

NUIT

در آوریل 2023، محققان دانشگاه تگزاس در سن آنتونیو و دانشگاه کلرادو، کلرادو اسپرینگز یک حمله کانال جانبی جدید به نام تروجان نامفهوم نزدیک فراصوت (NUIT) را برای The Register نشان دادند.

NUIT در دو نوع ارائه می شود که هر دو دستورات صوتی را در فرکانس های غیرقابل شنیدن برای انسان ارسال می کنند تا دستیارهای صوتی را هدف قرار دهند: NUIT-1 و NUIT-2. NUIT-1 از یک حامل مانند یک برنامه یا ویدیو برای پخش صدای مخرب استفاده می کند و دستگاه مورد نظر را فریب می دهد تا با خودش صحبت کند. NUIT-2 از همین روش برای هدف‌گیری میکروفون‌ها در دستگاه‌های دیگر استفاده می‌کند – برای مثال، پخش صدا در طول یک جلسه ویدیویی برای هدف قرار دادن تلفن‌های بلندگوی شرکت‌کنندگان در نزدیکی.

هر دستیار صوتی اصلی از الکسا تا سیری به درجات مختلفی آسیب پذیر است. اما NUIT یک نکته مهم دارد: NUIT-1 فقط زمانی کار می‌کند که بلندگو و میکروفون دستگاه به یکدیگر نزدیک باشند و هر دو روش می‌توانند پاسخ شنیداری را از دستیار صوتی مورد نظر ایجاد کنند. در هر صورت، مهاجم فقط می‌تواند از NUIT برای کنترل دستگاه‌ها یا حساب‌هایی که قبلاً به دستیار صوتی متصل شده‌اند، استفاده کند و فقط برای عملکردهایی که نیازی به تأیید یا تأیید اعتبار بیشتر توسط کاربر ندارند.

جاسوسی وای فای

محققان دانشگاه کارنگی ملون اخیرا راهی برای ردیابی افراد از طریق دیوارها با استفاده از سیگنال های Wi-Fi ایجاد کرده اند.

این روش جدید نیست – به گفته Vice، روش‌های مشابهی در سال‌های 2013 و 2018 پیشنهاد شد – اما به طرز نگران‌کننده‌ای قدرتمند است. در یافته‌های منتشر شده در arXiv، محققان گفتند که یک شبکه عصبی ایجاد کرده‌اند که قادر به نقشه‌برداری فاز و دامنه سیگنال‌های Wi-Fi ارسال و دریافت شده توسط روترها به نقاط سه‌بعدی بدن انسان است. سپس این داده ها به نسخه اصلاح شده DensePose داده می شود، نرم افزاری که تصاویر دو بعدی انسان را در مدل های سه بعدی نگاشت می کند.

نتیجه نهایی؟ نوعی نمای اشعه ایکس از طریق Wi-Fi. به گفته ZDNet، اثبات مفهوم محققان توانست تنها با استفاده از دو روتر 30 دلاری TP-Link به وضوح قابل قبولی دست یابد. Hackaday به کاربرد این فناوری برای “سازمان های سه نامه” اشاره کرد.

جعل صدا

ابزارهای متنی مولد مبتنی بر یادگیری ماشینی مانند ChatGPT OpenAI در حال حاضر به بچه‌های اسکریپت و فیشارهای ایمیل قدرت می‌دهند – اما ظهور همزمان ابزارهای جعل صوتی قدرتمند مانند ElevenLabs که از قطعه‌های صوتی برای بازسازی صدا و آهنگ صدای افراد استفاده می‌کنند، قبلاً تضعیف شده است. احراز هویت صوتی

در فوریه 2023، جوزف کاکس از مادربرد گزارش داد که از یک کپی صدای خود توسط ElevenLabs برای فریب دادن سیستم شناسه صوتی تلفنی ارائه شده توسط بانک لویدز استفاده کرده و به حساب بانکی خود دسترسی پیدا کرده است. کارشناسان به IT Brew گفتند که ترفند کاکس نشان دهنده کاربرد رو به رشد جعل صدا است که “تشخیص یا پیشگیری بسیار محدود و تقریباً وجود ندارد.” ریک مک‌الروی، استراتژیست اصلی امنیت سایبری VMware Carbon Black به IT Brew گفت که جعل در حال حاضر به اندازه‌ای قدرتمند است که می‌تواند بسیاری از سیستم‌های شناسه صوتی مصرف‌کننده را دور بزند یا انسان‌ها را به‌عنوان عنصر تکمیلی حمله فیشینگ فریب دهد و سازمان‌ها «تشخیص بسیار محدود و تقریباً غیرقابل‌وجود» را انجام داده‌اند. یا پیشگیری» در مقیاس.

تلسکوپ فضایی جیمز وب

بله، واقعاً: محققان شرکت امنیتی Securonix گزارشی را در سپتامبر 2022 منتشر کردند که نشان می‌داد مجرمان سایبری ایمیل‌های فیشینگ حاوی ماکروهایی را که نسخه‌ای از اولین تصویر مشهور تلسکوپ فضایی جیمز وب را دانلود می‌کردند، منتشر می‌کردند – ظاهراً به این امید که کاربران متوجه .jpeg نشوند. حاوی یک محموله مبهم و کدگذاری شده با Base64 به نام GO#WEBBFUSCATOR بود.

منبع