Aa Aa Aa

Використання ШІ для імітації голосу співробітника дозволило хакерам проникнути в IT-компанію

Використання ШІ для імітації голосу співробітника дозволило хакерам проникнути в IT-компанію

Минулого місяця компанія Retool, що спеціалізується на розробці бізнес-додатків для клієнтів, стала жертвою злому. Жертвами злому стали 27 хмарних клієнтів компанії.

Хакер розпочав свою атаку, відправивши кільком співробітникам Retool SMS-повідомлення від імені члена IT-команди, нібито вирішуючи проблему з виплатою зарплати та наданням медичної страховки. Більшість тих, хто отримав, проігнорували фішингове повідомлення, за винятком одного співробітника.

Цей співробітник, який нічого не підозрює, перейшов за URL-посиланням у повідомленні, яке перенаправило його на підроблений інтернет-портал для входу. Після авторизації на сайті, з ним зв'язалися телефоном, використовуючи голос, створений за допомогою ІІ-технологій, що копіює реальний голос співробітника. У розмові хакер, зображуючи члена IT-команди, був знайомий із плануванням офісу, колегами по роботі та внутрішніми процесами компанії. Під час бесіди співробітник почав підозрювати каверзу, проте надав атакуючому додатковий код двофакторної аутентифікації (MFA).

Цей інцидент свідчить про те, що атакуючий, можливо, вже частково отримав доступ до ресурсів Retool до цього дзвінка. Отримавши код двофакторної аутентифікації, зловмисник додав свій пристрій до облікового запису співробітника і отримав доступ до його облікового запису GSuite.

Особливо небезпечним стало те, що програма Google Authenticator нещодавно додала функцію синхронізації у хмарі. Це означає, що коди MFA тепер можна переглядати на декількох пристроях, пов'язаних з обліковим записом.

Retool наголосила на серйозності проблеми: "Якщо ваш Google-аккаунт скомпрометований, ваші MFA-коди також знаходяться під загрозою". За словами компанії, саме доступ до Google-аккаунту дозволив зловмиснику проникнути у внутрішні системи компанії.

Retool вже позбавила хакера доступу, але вирішила розкрити інформацію про те, що сталося, щоб застерегти інші компанії. Вони також закликали Google змінити свою програму автентифікації, щоб компанії могли легко відключати функцію синхронізації у хмарі для своїх співробітників. Google поки що не коментував цю ситуацію.