31 Мая, 2018

Сказки о безопасности: Фальшивое письмо

Владимир Безмалый

— Шеф, у нас странное дело. Господин N заявляет, что его корпоративный почтовый ящик взломали. С его домашнего компьютера вчера было отправлено письмо, которое он не отправлял.

— Что говорят у него на работе?

— Там клянутся, что все в порядке и взлома нет.

— Но письмо-то есть.

— Письмо есть, а взлома нет.

— Непонятно. Привезите домашний компьютер к нам. И все подключенные устройства.

— Но к нему ничего не подключено, кроме обычного голосового помощника.

— Вот и тащите его сюда. А что есть там еще?

— Обычный плеер с колонками. Дочка обожает музыку.

— Шеф, можно предложение?

— Да, стажер что у тебя.

— А в котором часу отправлено письмо?

— В 19-30, а что?

— А кто в это время был дома?

— Дочка со своим молодым человеком.

— А чем они занимались?

— Он принес какой-то новый диск с музыкой. Кстати, диск так и валяется дома.

— Привезите его сюда.

— Зачем???

— Привезите, если я прав, то все еще интереснее, чем вы думаете.

Через полчаса диск привезли. Прошел еще час.

— Шеф, я был прав! Смотрите! Я правда только читал об этом, но вот оно, живое!

— Что там?

— Исследователи из университета в Б наглядно показали, каким образом хакеры могут красть данные пользователей, используя приложения с голосовыми помощниками.

Пользователи даже не будут знать, что их голосовые помощники помогли украсть личные и платежные данные, перевели куда-то деньги со счета, оплатили чью-то покупку в интернет-магазине, поделились с кем-то информацией по кредитным картам и т.д.

Все это можно осуществить с помощью секретных команд, неразличимых для восприятия человеческим ухом. Эти команды могут быть вставлены в музыкальные произведения, в потоковое видео или быть просто неким шумом, который ваши устройства будут «слышать» и распознавать. И в этих звуках будут содержаться команды, которые отдадут управление в руки злоумышленников.

Эксперты выявили этот критический недостаток в уязвимости у всех распространенных голосовых помощников.

— И вы считаете, что это именно такой случай?

— Да! Секретные команды могут приказать голосовому помощнику открыть сайты с вредоносными программами, отправить спам или фишинговые письма по электронной почте, набрать нужный телефонный номер. Я проанализировал запись на диске и нашел на нем высокочастотные записи, понизив частоту которых и обнаружил команду на отправку письма. Теперь нам просто предстоит узнать, где молодой человек взял этот диск, и кто его записал. Но это уже куда проще, верно?

— Да, стажер… Понимаю теперь что преступники весьма широко используют новые технологии, а нам нужно учиться и учиться. Думаю, что осенью я пошлю тебя на годовые курсы при новой Академии безопасности, тем более нам пообещали одно место. Спасибо тебе!

— Не мне! Моим учителям!

А такая атака вполне реальна, что и продемонстрировали не так давно исследователи из Китая.

comments powered by Disqus