در اینجا عجیب ترین – اگر نه کاملاً عملی – تهدیدات امنیتی که در سال گذشته ظهور کرده اند، آورده شده است.
مدیران ممکن است مراقب تهدیدهای امنیتی استاندارد مانند حملات DDoS، کمپین های فیشینگ و باج افزار باشند. اما در مورد تهدیدهایی که دقیقاً آنها را در شب بیدار نگه نمیدارند، چه میگویند؟
در اینجا نمونهای از تهدیدات امنیتی تئوریکتر و عجیبتر است که در سال گذشته ظاهر شدهاند – از حملات کانال جانبی عجیب و غریب که توسط دانشگاهیان طراحی شدهاند تا مجرمان سایبری که با صدای دیگران صحبت میکنند.
NUIT
در آوریل 2023، محققان دانشگاه تگزاس در سن آنتونیو و دانشگاه کلرادو، کلرادو اسپرینگز یک حمله کانال جانبی جدید به نام تروجان نامفهوم نزدیک فراصوت (NUIT) را برای The Register نشان دادند.
NUIT در دو نوع ارائه می شود که هر دو دستورات صوتی را در فرکانس های غیرقابل شنیدن برای انسان ارسال می کنند تا دستیارهای صوتی را هدف قرار دهند: NUIT-1 و NUIT-2. NUIT-1 از یک حامل مانند یک برنامه یا ویدیو برای پخش صدای مخرب استفاده می کند و دستگاه مورد نظر را فریب می دهد تا با خودش صحبت کند. NUIT-2 از همین روش برای هدفگیری میکروفونها در دستگاههای دیگر استفاده میکند – برای مثال، پخش صدا در طول یک جلسه ویدیویی برای هدف قرار دادن تلفنهای بلندگوی شرکتکنندگان در نزدیکی.
هر دستیار صوتی اصلی از الکسا تا سیری به درجات مختلفی آسیب پذیر است. اما NUIT یک نکته مهم دارد: NUIT-1 فقط زمانی کار میکند که بلندگو و میکروفون دستگاه به یکدیگر نزدیک باشند و هر دو روش میتوانند پاسخ شنیداری را از دستیار صوتی مورد نظر ایجاد کنند. در هر صورت، مهاجم فقط میتواند از NUIT برای کنترل دستگاهها یا حسابهایی که قبلاً به دستیار صوتی متصل شدهاند، استفاده کند و فقط برای عملکردهایی که نیازی به تأیید یا تأیید اعتبار بیشتر توسط کاربر ندارند.
جاسوسی وای فای
محققان دانشگاه کارنگی ملون اخیرا راهی برای ردیابی افراد از طریق دیوارها با استفاده از سیگنال های Wi-Fi ایجاد کرده اند.
این روش جدید نیست – به گفته Vice، روشهای مشابهی در سالهای 2013 و 2018 پیشنهاد شد – اما به طرز نگرانکنندهای قدرتمند است. در یافتههای منتشر شده در arXiv، محققان گفتند که یک شبکه عصبی ایجاد کردهاند که قادر به نقشهبرداری فاز و دامنه سیگنالهای Wi-Fi ارسال و دریافت شده توسط روترها به نقاط سهبعدی بدن انسان است. سپس این داده ها به نسخه اصلاح شده DensePose داده می شود، نرم افزاری که تصاویر دو بعدی انسان را در مدل های سه بعدی نگاشت می کند.
نتیجه نهایی؟ نوعی نمای اشعه ایکس از طریق Wi-Fi. به گفته ZDNet، اثبات مفهوم محققان توانست تنها با استفاده از دو روتر 30 دلاری TP-Link به وضوح قابل قبولی دست یابد. Hackaday به کاربرد این فناوری برای “سازمان های سه نامه” اشاره کرد.
جعل صدا
ابزارهای متنی مولد مبتنی بر یادگیری ماشینی مانند ChatGPT OpenAI در حال حاضر به بچههای اسکریپت و فیشارهای ایمیل قدرت میدهند – اما ظهور همزمان ابزارهای جعل صوتی قدرتمند مانند ElevenLabs که از قطعههای صوتی برای بازسازی صدا و آهنگ صدای افراد استفاده میکنند، قبلاً تضعیف شده است. احراز هویت صوتی
در فوریه 2023، جوزف کاکس از مادربرد گزارش داد که از یک کپی صدای خود توسط ElevenLabs برای فریب دادن سیستم شناسه صوتی تلفنی ارائه شده توسط بانک لویدز استفاده کرده و به حساب بانکی خود دسترسی پیدا کرده است. کارشناسان به IT Brew گفتند که ترفند کاکس نشان دهنده کاربرد رو به رشد جعل صدا است که “تشخیص یا پیشگیری بسیار محدود و تقریباً وجود ندارد.” ریک مکالروی، استراتژیست اصلی امنیت سایبری VMware Carbon Black به IT Brew گفت که جعل در حال حاضر به اندازهای قدرتمند است که میتواند بسیاری از سیستمهای شناسه صوتی مصرفکننده را دور بزند یا انسانها را بهعنوان عنصر تکمیلی حمله فیشینگ فریب دهد و سازمانها «تشخیص بسیار محدود و تقریباً غیرقابلوجود» را انجام دادهاند. یا پیشگیری» در مقیاس.
تلسکوپ فضایی جیمز وب
بله، واقعاً: محققان شرکت امنیتی Securonix گزارشی را در سپتامبر 2022 منتشر کردند که نشان میداد مجرمان سایبری ایمیلهای فیشینگ حاوی ماکروهایی را که نسخهای از اولین تصویر مشهور تلسکوپ فضایی جیمز وب را دانلود میکردند، منتشر میکردند – ظاهراً به این امید که کاربران متوجه .jpeg نشوند. حاوی یک محموله مبهم و کدگذاری شده با Base64 به نام GO#WEBBFUSCATOR بود.