Lass den Pro Hacker nicht weinen

Tunnel unter dem Ufer graben. Durchbrich den Boden des Gewölbes. Safetür mit Gelignit abblasen. Sammeln Sie Bargeld, Goldbarren usw. Steigen Sie in ein Fluchtauto.

Das ist das alte Rezept, um illegal reich zu werden, aber jetzt tun es kriminelle Banden aus der Ferne mithilfe von Computern. Das wissen wir alle, und Sicherheit ist eines der großen Themen unserer Zeit. Im ersten Halbjahr 2018 wurde Krypto im Wert von 1,1 Milliarden US-Dollar von Hackern gestohlen, von denen etwa 75% vom Austausch „befreit“ wurden. Die Zahl für Kryptodiebstahl im Jahr 2017 betrug nur 606 Millionen US-Dollar, sodass der Trend immer weiter nach oben geht. Und das ist das, worüber wir tatsächlich Bescheid wissen, da die Börsen nicht daran interessiert sind, Nachrichten über ihre Verluste zu teilen. Daher ist es sehr wahrscheinlich, dass das Ausbluten von Geldern erheblich mehr ausmacht.

Ein Hacker teilt die Wahrheit über Sicherheit

Nennen Sie mich jetzt naiv, aber ich stellte mir vor, dass Banken, Finanzinstitute, Börsen und Krypto-Unternehmen ihr System so robust wie möglich machen, sich dann zurücklehnen und abwarten, ob sie jemals angegriffen wurden und wenn ja, wie und wo . Nicht so. Ich hatte kürzlich das Vergnügen, mit einem professionellen Hacker namens Mr. X zu sprechen. (Eigentlich nicht sein richtiger Name, aber vielleicht haben Sie das schon erraten). Herr X wird eingesetzt, um Terror und Chaos in der Verteidigung von Banken und Börsen niederzuschlagen, um deren Schwachstellen zu finden. Wenn es ihm gelingt, meldet er als guter Bürger den Verschluss und er wird hoffentlich repariert.

Die großen Probleme betreffen jedoch nicht einen Frontalangriff oder einen DOS-Angriff, der jedoch von entscheidender Bedeutung ist, um sich vor diesen zu schützen. Herr X erklärte, dass zwei aktuelle Bereiche seiner Arbeit die Identifizierung und Authentifizierung betreffen. Mit anderen Worten, woher weiß das Unternehmen, dass sein Kunde der ist, von dem er sagt, dass er er ist? und woher wissen sie dann, dass der wiederkehrende Kunde dieselbe Person ist??

In der Vergangenheit haben wir mit einem Reisepass oder einem Lichtbildausweis, vielleicht ein oder zwei Stromrechnungen, um unseren Wohnsitz zu beweisen, bewiesen, wer wir sind. Der Angestellte auf der anderen Seite des Schreibtisches machte dann ein Werturteil, dass alles in Ordnung war. Jetzt ist der Angestellte am Schreibtisch möglicherweise ein automatisches System, das KI verwendet, um einen neuen Benutzer über sein Smartphone zu registrieren. Wie geht es also mit betrügerischer Identität um? Ein großartiges Beispiel, von dem ich kürzlich von einer STO gehört habe, die kurz vor dem Start steht, ist, wie der Kunde mitten im Onboarding-Prozess plötzlich aufgefordert wird, zum Beispiel die Zunge herauszustrecken. Die KI sucht nicht besonders nach der herausstehenden Zunge, sondern nach dem charakteristischen Ausdruck der Überraschung auf allen menschlichen Gesichtern, wenn eine seltsame Anfrage gestellt wird. Anscheinend weiten sich unsere Augen und wir alle entfernen uns von der Kamera / Person, die die Anfrage gestellt hat. “OK”, sagt die KI, “das ist eine echte Person, mit der ich es zu tun habe.”

Herr X bestätigte, dass diese Art der „Verhaltensanalyse“ insbesondere im Bereich der Authentifizierung zunehmend verbreitet sein wird. Wir alle kennen die Name / Passwort-Methode zur Eingabe von Websites sowie einige zusätzliche Informationen, die als “nur für den Fall” zurückgehalten werden, wie den Namen unseres ersten Haustieres oder den Geburtstag unserer Mutter. Dies ist die Multi-Faktor-Authentifizierung auf ihrer einfachsten Ebene. Ein Hacker hätte sich jedoch auf diese Art von Authentifizierungsantworten vorbereiten können und möglicherweise sofort das Geburtsdatum meiner Mutter als “23. September 19__” anzeigen können (ich werde das Jahr leer lassen, um ihr Erröten zu ersparen). Als weniger als perfekter Nachwuchs werde ich wahrscheinlich antworten: “Ähm, ja, ähm, ich weiß das. Es ist der 22. September … Nein, es ist der 23. September, ähm, ich denke … “

Dies ist genau die Art von Verhalten, die die KI als glaubwürdiger als die „reibungslose“ Antwort analysiert.

Und während der gesamten Interaktion zwischen Ihrer Brieftasche und dem Austausch geschieht beispielsweise unter der Oberfläche noch viel mehr. Auf technologischer Ebene führt das Back-End der Site, mit der Sie verbunden sind, eine eigene Multi-Faktor-Überprüfung durch. Ist dies Ihr Telefon, wird es von einem „wahrscheinlichen“ Ort und Netzwerk aus verwendet? Gibt es etwas anderes an der Einrichtung? Als Benutzer sind Sie sich keiner der zahlreichen Handshakes bewusst, die stattfinden, aber wie Herr X erklärte, gibt es einen ständigen Prozess der Überprüfung und Gegenprüfung.

Sind wir die schlimmsten Feinde??

So können wir alle nachts sicher in unseren Betten schlafen? Nicht ganz. Mr. X und andere wie er arbeiten, um sich vor Angriffen zu schützen, aber raten Sie mal, wo die größten Schwachstellen liegen? Sie. Und ich. Und die meisten von uns. Wir verwenden immer noch das weltweit beliebteste “ironische” Passwort, Passwort123. Wir sind diejenigen in der folgenden Geschichte, die ich neulich gesehen habe. OK, es ist keine Krypto, aber es ist passiert und es ist nicht untypisch:

Ich stehe hinter einer Frau an der Supermarktkasse. Sie will gerade mit ihrer Kreditkarte bezahlen und ruft ihrem Partner zu, der den Einkauf packt: „Ist meine VISA-Karte PIN 6754 oder 6745? Ich vergesse.” Er denkt nach und ruft zurück: “Ich denke, es ist 6754.” Die Frau gibt die PIN ein: “Ja, 6754, das ist richtig.” Jetzt haben ungefähr fünfzig Leute in ihrer unmittelbaren Umgebung die Details – großartig!

Es würde wahrscheinlich ausreichen, um Mr. X zum Weinen zu bringen.