資訊安全新知分享
NEITHNET 資安實驗室
後疫情時代,世界改變了很多,人們之間彷彿不再像疫情前的親近。因此產生了許多的遠端工作的需求,遠端應徵、遠端工作的型態也越來越普遍。但仔細想想透過遠端應徵的人員,會不會有資安上的疑慮?他的身分是真的嗎?有沒有被盜用的風險?會不會是AI Deepfake下的產物?事實上,近期還真的有這麼一個真實的案例,利用AI Deepfake技術偽造身分來應徵遠端的工作,再取得工作後,企圖入侵公司系統,造成公司資料外洩的風險。就讓我們來了解一下這案例。
駭客利用AI Deepfake偽造身分,成功應徵工作造成企業內部入侵威脅
事件的起因,應該從資安教育訓練業者KnowBe4,IT AI團隊招募軟體工程師說起。起初是為了招聘遠端工作的職缺,所以應聘時是透過遠端視訊的方式進行。
根據該公司描述,人力資源團隊曾在不同場合進行了四次視訊會議的面試,確認本人與其面試文件中提供的照片相符。此外,還進行了背景調查和所有標準流程的招聘前檢查,由於應聘者使用了被盜用但有效的美國身份證件。再將原本證件上的圖像使用AI Deepfake的技術生成與應聘者神似的圖像,就這樣魚目混珠的通過面試。
入職後,公司透過郵件聯繫寄送了一台Apple Mac當作工作電腦。起初一切都很正常,直到有一天公司的端點偵測和回應機制EDR(Endpoint Detection and Response)偵測到異常,資安監控中心SOC (Security Operation Center)主動聯絡新員工並詢問是否有需要幫助的地方。聯絡幾次後失去聯繫,並從操作紀錄發現不法意圖,而揭發此次資安入侵事件。
AI Deepfake遠端入侵事件調查經過
KnowBe4對新員工的操作紀錄作調查,發現了惡意且可疑的操作。
2024/07/15 ,美東時間晚上 9:55,在新員工用戶上偵測到一系列可疑活動。EDR警報出現時,SOC團隊聯絡使用者詢問異常活動和原因。新員工回應,網速太慢他正在按照路由器操作指南的步驟來解決速度問題。調查後發現,實際上新員工執行了各種非法的操作,傳輸潛在有害文件、執行未經授權的軟體以及使用樹莓派下載惡意軟體。SOC團隊試圖從新員工那裡獲取更多信息,並打電話給他。新員工表示他無法接電話,後來就沒有反應了。美東時間晚上 10:20 左右,SOC隔離了新員工的設備,整個過程大約花了25分鐘。因發現的及時且有對新進員工作權限管控,此次事件並無造成資訊外洩及重大損失。
重點來了,在取得美國相關工作後,如何遠端假冒員工正常上下班呢?主要是駭客會要求將他們的筆電發送到像是「IT騾子筆電農場(IT Mule Laptop Farm)」的地址(有專門的地方,會架設小的區網,將筆記型電腦運作起來,讓境外的人透過VPN來連進來)。然後,他們從實際所在的地方(朝鮮或中國邊境)通過 VPN接入,這樣他們就好像在美國白天工作。
流程圖:
防止AI Deepfake遠端入侵防範對策及建議
● 提高自我防駭意識,遠端面試時,Deepfake可以生成面試者的圖像,但無法複製經歷,可以問一些履歷上沒有但是相關的內容。例如:前一分工作 同事或是主管的公司電話..等。
● 確認寄出去的電腦設備,是不可以透過遠端存取這些設備。
● 筆記型電腦的送貨地址與居住/工作的地點若是不同,就是一個危險信號。
● 定期開啟攝影鏡頭確認目前工作正在進行的進度。
● 權限管控,新進人員權限控管,避免入侵造成損失。
參考資料:
1、https://www.ithome.com.tw/news/164108
2、https://blog.knowbe4.com/north-korean-fake-it-worker-faq
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com