Кіберзагрози стають фізичними: як цифрові сліди можуть загрожувати вашій безпеці?

Зростання реальних кіберзагроз: коли цифрове стає фізичним | Думка

Розкриття: Вигляди та думки, висловлені тут, належать лише автору і не представляють думки та погляди редакції crypto.news.

Нещодавній сплеск викрадень криптовалюти у Франції виявив лячну тенденцію: цифрові загрози вже не обмежуються кіберпростором. Злочинці тепер використовують онлайн-інформацію, щоб спостерігати за цим зміщенням, зафіксовано кілька спроб викрадення в цій сфері лише цього року. Це злиття кібернетичних і реальних викликів безпеці вимагає основної зміни в нашому сприйнятті безпеки.

Підсумок

• Цифрова експозиція створює фізичний ризик. Щодня, ділячись інформацією в соціальних мережах, фітнес-додатках або професійних платформах, можна ненавмисно надати зловмисникам insights, необхідні для націлювання на осіб у сфері цифрових активів.
• Загрози стають гібридними і особистими. Напад أصبحت часто поєднують тактики кібер-атаки, такі як фішинг і шкідливе ПЗ, з реальним розвідкою і залякуванням, як це видно в випадках, пов`язаних з deepfake, фейковими рекрутерами і експлуатацією гаманців.
• ШІ — двосічний меч. Хоча він допомагає автоматизувати виявлення загроз і реагування на інциденти, він також дозволяє створювати більш переконливі імітації і маніпуляції, ускладнюючи виявлення соціальної інженерії.
• Безпека має бути інтегрованою і проактивною. Відокремлення фізичних і кібер-загроз більше не є життєздатним. Індивіди та організації повинні координувати свої оборонні заходи, обмежувати експозицію інформації та формувати культуру скептицизму та пильності.

Цифрова експозиція: ворота до фізичного ризику

Цифрові сліди, які ми залишаємо у щоденному житті, незалежно від того, чи через соціальні мережі, носимі пристрої або фітнес-додатки, можуть ненавмисно створювати значні уразливості. Для професіоналів у сфері цифрових активів ризики особливо виражені. Публічне ділення інформацією, такою як плани подорожей, присутність на галузевих заходах або навіть звичайні маршрути для фізичних вправ, може надати злочинцям цінні відомості про особисті звички і місцезнаходження.

Ви також можете зацікавитися:Еволюція загроз у криптовалюті: застаріла дилема гаманців | Думка

Нещодавній випадок стосувався переконливої фейкової пропозиції роботи на LinkedIn, яка була націлена на співробітника. Зловмисник стверджував, що є рекрутером відомої біржі, з правдоподібним профілем, спільними контактами та автентичним виглядом вмісту. Після запиту резюме зловмисник надіслав повторний запит з `оцінкою`, що призвело до відеозавдання, яке вимагало від жертви встановлення оновлених драйверів, що насправді є очевидним механізмом доставки шкідливого ПЗ.

Це лише один приклад зростаючого списку. Ми також бачили випадки з дзвінками з deepfake, де зловмисники імітують керівників для авторизації грошових переказів, або спроби фішингу, які обманюють користувачів на встановлення фейкових розширень браузера, призначених для захоплення гаманців. Під час атаки ByBit/Safe на початку цього року, зловмисники ввели шкідливий код у інтеграцію WalletConnect. Ця уразливість призвела до крадіжки понад $3 мільйони — це показує, як технічна уразливість часто починається з людської маніпуляції.

Це яскраве нагадування про те, що те, що ми ділимося онлайн, навіть ненавмисно, може мати дуже реальні наслідки. Надмірна відкритість (навіть ненавмисно) може відкрити двері для переслідування, залякування або навіть спроб викрадення. Для тих, хто працює в чи навколо цифрових активів, підтримка низького профілю онлайн і уважність до відкритої інформації є тепер критично важливим аспектом персональної та організаційної безпеки.

Змінювана природа загроз

Ландшафт загроз, з якими стикається індустрія цифрових активів, є складним і швидко змінюється. Традиційні кіберзагрози, такі як фішинг, deepfake та соціальна інженерія, тепер поєднуються з фізичними тактиками. Визначні приклади в усій галузі включають:

• Складні фішинг-кампанії: Зловмисники використовують технології deep fake або імітують довірених контактів, щоб обманом спонукати осіб надати доступ або розкрити конфіденційну інформацію.
• Фізична розвідка: Злочинці відстежують соціальні мережі і фітнес-додатки, щоб змалювати звички та визначити вразливі моменти.
• Пряме залякування: Було зафіксовано кілька гучних спроб викрадення, націлених на лідерів галузі, з метою доступу до цифрових гаманців і приватних ключів.

Зростання цих гібридних атак означає, що безпеку більше не можна розглядати в ізоляції; ризики пов`язані і вимагають єдиного реагування та інтегрованих практик безпеки.

ШІ, машинне навчання та змінювальний ландшафт безпеки

Швидкий розвиток штучного інтелекту та машинного навчання ще більше ускладнює цю нову реальність. Ці технології по суті перетворюють як природу загроз, так і інструменти, доступні для захисту від них. З одного боку, ШІ та машинне навчання надають командам безпеки можливість аналізувати величезні обсяги даних, автоматизувати рутинні перевірки та швидше реагувати на інциденти. З іншого боку, ці ж технології використовуються злочинцями, що дозволяє створювати більш переконливі імітації, складні спроби фішингу та ускладнює виявлення соціальної інженерії.

Щоб впоратися з цими викликами, організації впроваджують додаткові етапи перевірки для чутливих дій, особливо коли запити надходять через цифрові канали. Також важливо заохочувати співробітників бути скептичними щодо несподіваних комунікацій, навіть якщо вони виглядають автентичними. Двосічна природа ШІ та машинного навчання означає, що пильність і адаптивність повинні бути в центрі будь-якої сучасної стратегії безпеки.

Захист себе та свою організацію

У світлі цих еволюційних ризиків важливо, щоб як індивідууми, так і організації вжили практичних заходів, які відповідають на дедалі розмиту межу між цифровою та фізичною безпекою. Ось кілька практичних кроків.

• Обмежте онлайн-ділення: Уникайте публікації реального місцезнаходження, планів подорожей або щоденних маршрутів у соціальних мережах або фітнес-додатках.
• Перегляньте налаштування конфіденційності: Регулярно перевіряйте свої онлайн-профілі і обмежуйте доступ до особистої інформації.
• Будьте обережні з незапрошеним контактом: Завжди перевіряйте особу тих, хто запитує чутливу інформацію, особливо по телефону або відеодзвінку.
• Різноманітність своїх маршрутів: Не полегшуйте комусь передбачити ваші переміщення.

• Для організацій:
• Формуйте культуру безпеки: Регулярні навчання та інформаційні кампанії допомагають персоналу розпізнавати та протистояти соціальній інженерії.
• Інтегруйте команди кібер- та фізичної безпеки: Розглядайте всі загрози як частину єдиного ризикового середовища, а не як ізольовані питання.
• Впроваджуйте багатошарові захисти: Використовуйте комбінацію технічних, процедурних та фізичних контролів, щоб захистити як цифрові, так і реальні активи.
• Співпрацюйте з колегами по галузі: Діліться розвідувальними даними та найкращими практиками, щоб бути на один крок попереду нових загроз.

Необхідність інтегрованої, проактивної безпеки

Загрози, які виникають перед індустрією цифрових активів, швидко еволюціонують, а зловмисники стають дедалі більш творчими способами використання як технології, так і людської поведінки. Як показали останні події, навіть найскладніші захисти можуть бути зруйновані, якщо ми не звертаємо увагу на прості способи, якими наше цифрове життя перетинається з реальним світом.

Дивлячись у майбутнє, важливо, щоб організації формували культуру пильності та спільної відповідальності, незалежно від того, означає це двічі подумати перед публікацією планів подорожі онлайн чи забезпечити, щоб наші команди були навчені розпізнавати останні тактики фішингу. Немає срібної кулі, але поєднуючи надійні технології, постійну освіту та відкриту співпрацю в галузі, ми можемо підвищити стандарти безпеки для всіх.

В кінцевому рахунку, це завдання не лише технічне; це персональне. Безпека — це про захист людей так само, як і активів. Залишаючись пильними, ставлячи під сумнів те, що ми ділимося, і працюючи разом, ми можемо допомогти забезпечити, щоб найвищі стандарти захисту відповідали інноваціям у цифрових фінансах.

Читати далі: Хакери продовжують експлуатувати аудитовані DeFi протоколи: що бракує? | Думка

Річард Х

Річард Х є керівником безпеки та інфраструктури у Komainu, контролюючому цифровому активу та постачальнику послуг. Він відповідає за ідентифікацію, відбір, проектування, впровадження та підтримку всіх заходів безпеки в межах Komainu.