Lad ikke Pro Hacker græde

Grav tunnel under banken. Bryde gennem gulvet i hvælvet. Blæs sikker dør af med gelignit. Skaff kontanter, guldstænger osv. Hop ind i flugtbil.

Det er den gamle opskrift på at blive rig ulovligt, men nu gør kriminelle bander det eksternt ved hjælp af computere. Dette ved vi alle, og sikkerhed er et af de store problemer i vores tid. I første halvdel af 2023 blev krypto til en værdi af 1,1 milliarder dollars stjålet af hackere, hvor ca. 75% af det blev ‘befriet’ fra børser. Tallet for kryptotyveri i 2023 var kun $ 606 millioner, så tendensen er altid opad. Og det er de ting, vi faktisk ved om, fordi børserne ikke er interesserede i at dele nyheder om deres tab, så det er meget sandsynligt, at udblødning af midler beløber sig til betydeligt mere.

En hacker deler sandheden om sikkerhed

Kald mig nu naiv, men jeg forestillede mig, at hvad banker, finansielle institutioner, børser og kryptovirksomheder gjorde var at gøre deres system så robust som muligt, så læn dig tilbage og vent på at se, om de nogensinde blev angrebet, og i bekræftende fald, hvordan og hvor . Ikke så. Jeg har for nylig haft fornøjelsen af ​​at tale med en professionel hacker, kaldet Mr. X. (Faktisk ikke hans rigtige navn, men måske har du allerede gættet det). Mr. X er ansat til at nedbringe terror og kaos på bankernes forsvar og børser for at finde deres sårbarheder. Når han lykkes, rapporterer han som en god borger om setet, og forhåbentlig repareres det.

De store problemer er dog ikke omkring et frontalt angreb eller DOS-angreb, men det er afgørende, selvom det er at beskytte mod disse. Hr. X forklarede, at to aktuelle områder af hans arbejde handler om identifikation og godkendelse. Med andre ord, hvordan ved virksomheden, at dens kunde er den, de siger, de er; og hvordan ved de så, at den tilbagevendende kunde er den samme person??

Tidligere beviste vi, hvem vi var, ved at møde op med et pas eller foto-ID-dokument, måske en forsyningsregning eller to for at bevise vores ophold. Fuldmægtigen på tværs af skrivebordet foretog derefter en værdidom, at alt var i orden. Nu kan kontoristen over skrivebordet muligvis være et automatisk system, der bruger AI til at registrere en ny bruger over deres smartphone, så hvordan håndterer den svigagtig identitet? Et godt eksempel, jeg for nylig har hørt om, fra en STO, der er ved at blive lanceret, er hvordan klienten midt i opstartsprocessen pludselig bliver bedt om at stikke deres tunge ud for eksempel. AI ser ikke specielt efter tungen, der stikker ud, men efter det karakteristiske overraskelsesudseende på alle menneskelige ansigter, når en mærkelig anmodning fremsættes. Tilsyneladende strækker vores øjne sig, og vi vender alle tilbage fra kameraet / den person, der fremsætter anmodningen. “OK,” siger AI, “det er en rigtig person, jeg har at gøre med.”

Mr. X bekræftede, at denne form for ‘Behavioral Analysis’ vil blive mere og mere udbredt, især inden for godkendelsesområdet. Vi er alle fortrolige med navnet / adgangskodemetoden til at komme ind på websteder plus et par ekstra oplysninger tilbageholdt som “bare i tilfælde”, som navnet på vores første kæledyr eller vores mors fødselsdag. Dette er multifaktorautentificering på sit enkleste niveau. En hacker kunne dog have forberedt sig på denne form for autentificeringssvar og muligvis straks være i stand til at afsløre min mors fødselsdato som “23. september 19__” (jeg vil lade året være tomt for at skåne hendes rødmer). Som et mindre end perfekt afkom vil jeg dog sandsynligvis svare: ”Um, ja, fejler, jeg ved dette. Det er den 22. september … Nej, det er den 23. september, um, jeg tror … ”

Dette er nøjagtigt den slags adfærd, som AI vil analysere som værende mere troværdig end det ‘glatte’ svar.

Og hele tiden sker der enhver interaktion mellem din tegnebog og børsen, for eksempel sker der meget mere under overfladen. På teknologiniveau foretager back-enden af ​​det sted, du har forbindelse til, sin egen multifaktorkontrol. Er dette din telefon, bliver den brugt fra en ‘sandsynlig’ placering og netværk, er der noget andet ved opsætningen? Som bruger vil du ikke være opmærksom på de mange håndtryk, der finder sted, men som Mr. X forklarede, er der en konstant proces med kontrol og krydstjek.

Er vi vores egne værste fjender?

Så vi kan alle sove sikkert i vores senge om natten? Ikke helt. Mr. X og andre som ham arbejder for at beskytte mod angreb, men gæt hvor de største sårbarheder er? Du. Og mig. Og de fleste af os. Vi er dem, der stadig bruger verdens foretrukne ‘ironiske’ adgangskode, Password123. Vi er dem i den følgende historie, som jeg var vidne til forleden. OK, det er ikke krypto, men det skete, og det er ikke utypisk:

Jeg står bag en kvinde ved supermarkedskassen. Omkring at betale med sit kreditkort råber hun til sin partner, der pakker indkøbene, “Er mit VISA-kort PIN 6754 eller 6745? Jeg glemmer.” Han tænker og råber tilbage: “Det er 6754 tror jeg.” Kvinden indtaster pinkoden, “Ja, 6754, det er rigtigt.” Så nu har omkring halvtreds mennesker i deres umiddelbare nærhed detaljerne – store!

Det ville sandsynligvis være nok til at få Mr. X til at græde.