W tym odcinku m.in.: ataki na AI, ataki z AI, strzelenie do UFO, nieetyczne techniki usuwania się z internetu i kilka mięsistych raportów. Lektura zajmie Ci ~4 minuty.
Wróciliśmy po feriach! Tęskniliście? Chyba trochę tak, bo kilka osób dopytywało, kiedy kolejny Cyber Express :-) Bardzo nas to cieszy!
Ale jeszcze bardziej nas cieszy, że kilkaset z Was odpowiedziało na naszego e-maila (tego, którego wysyłamy każdemu zaraz po zapisie). Niebawem zrobimy podsumowanie Waszych odpowiedzi, ale aktualnie staramy się każdemu odpisać, a to jeszcze trochę zajmie…
*** SPONSOR DZISIEJSZEGO ODCINKA ***
CyberExpress jest wydawany za darmo, bo zarabiamy m.in. na szkoleniach z cyberbezpieczeństwa dla programistów i administratorów. Szkolenia nie są najtańsze, ale tak się składa, że aktualnie dzięki Krajowemu Funduszowi Szkoleniowemu, wielu z Was może w naszych szkoleniach wziąć udział całkowicie za darmo. Sprawdźcie, czy się kwalifikujecie. Rok temu w ten sposób przeszkoliliśmy kilkaset osób. Tutaj wszystko opisaliśmy krok-po-kroku. Nie odkładajcie tego na później, bo w niektórych miastach liczy się czas zgłoszenia.!
A teraz przejdźmy do interesujących wydarzeń z minionych dni:
1. Wojsko zaczęło strzelać do balonów! Czy to UFO? Czy chińscy szpiedzy?
W minionych dniach sporo uwagi poświęcano zestrzeliwaniu balonów, o których mówiło się, że są szpiegowskie [1], [2] albo meteorologiczne [3] albo pozaziemskie [4]. Niektóre miały być niewielkich rozmiarów, inne miały wielkość trzech ciężarówek i przenosiły ładunek ważący 4 tony. USA wskazało na Chiny i nawet nałożyło sankcje na firmy, które wyposażają balony w szpiegowski sprzęt [5].
Ale co najmniej jeden ze strąconych przez USA balonów mógł być …amerykańskim balonem badawczym [6]. Wygląda na to, że wojsko zaczęło, ze względu na medialną nagonkę, strzelać na wszelki wypadek do wszystkiego. Wiemy, że resztek dwóch zestrzelonych balonów nie udało się w ogóle odnaleźć (i zarzucono poszukiwania).
W temacie pojawiło się dużo teorii spiskowych... i oczywiście memów.
Linki, które opisują całą balonową epopeję (i jej rozwój przez kilka dni) macie poniżej. Dodatkowo, w tym temacie polecamy poniższy filmik, który już 7 lat temu (!!!) pokazywał starty chińskich balonów (z tego miejsca):
Wniosek? Amerykanie tak naprawdę doskonale wiedzą, co Chiny robią (i do czego strzelają) oraz potrafią odróżniać balony chińskie od meteorologicznych/badawczych:
A co do balonów nieszpiegowskich a badawczych i hobbystycznych, to polecamy krótką wypowiedź Tomka Brola, który takie balony wypuszcza regularnie. Jego “pikuś” okrążył Ziemię kilka razy.
Na deser, warte uwagi jest też spojrzenie historyczne na całą sprawę. Dlaczego niektórzy tak strasznie boją się chińskich balonów… [7]
2. Twitter tracił 60 milionów przez oszustwa telekomów
Elon ujawnił powód usunięcia dwuskładnikowego uwierzytelnienia opartego o kody wysyłane SMS-ami. Chodzi o aż ~390 wirtualnych operatorów, którzy masowo zakładali konta, podpinali pod nie numery telefonów ze swojej numeracji i sztucznie wymuszali wysyłkę kodów, logując się i wylogowując. W ten sposób zarabiali, bo operatorzy rozliczają się tak, że pieniądze dostają za przychodzące połączenia i SMS-y (por. Interconnect).
Jeśli Twitter wprowadzi blokadę SMS-ów w odpowiedni sposób, ta zmiana może finalnie zwiększyć bezpieczeństwo użytkowników, zmuszając ich do skorzystania z aplikacji typu Google Authenticator lub — jeszcze bezpieczniejszych — kluczy U2F. Czy tak będzie? Zobaczymy.
Ciekawostka: z raportu Twittera wiemy, że problem dotyka tylko 1,8% użytkowników Twittera, bo tylu używa najsłabszych (ale najwygodniejszych) kodów dostarczanych SMS-em. Łącznie, tylko 2,3% użytkowników Twittera korzysta z jakiejkolwiek formy 2FA.
Czytasz CyberExpress, newsletter Niebezpiecznika, zapisz się, aby dostawać kolejne wydania na swojego e-maila.
3. Używali IMSI Catchera do oszustw SMS-owych
IMSI Catcher to urządzenie stosowane do identyfikacji, lokalizacji i podsłuchu telefonów komórkowych na danym obszarze. Profesjonalne modele są drogie i sprzedawane tylko służbom, ale w internecie nie brakuje instrukcji jak je zbudować.
Tak wygląda IMSI Catcher
W grudniu 2022 francuska policja ujawniła taki IMSI Catcher w samochodzie pewnej kobiety podczas rutynowej kontroli drogowej. Śledztwo wykazało, że urządzenia użyto do wysłania 424 tysięcy fałszywych SMS-ów, a 14 lutego funkcjonariusze zatrzymali 5 osób.
SMS-y kierowały na fałszywą stronę, która wyłudzała dane osobowe. Nie ujawniono jakiego nadpisu użyli oszuści, ale domyślamy się, że przeklik na tych SMS-ach był większy niż na e-mailach. Bardzo wiele osób wciąż myśli, że nie da się podrobić nadawcy SMS-a…
4. Jak usunąć się z internetu? Kontrowersyjne techniki
Ciekawy artykuł ujawniający kulisy pracy hiszpańskiej firmy trudniącej się “kasowaniem informacji o ludziach” z internetu. Śledztwo ujawniło, że firma nie bazowała tylko na legalnych technikach (np. “prawo do bycia zapomnianym”) ale także podszywała się pod różne organizacje i w ich imieniu zgłaszała fałszywe roszczenia dot. praw autorskich lub tworzyła bzdurne artykuły, które pozycjonowała w wyszukiwarkach wyżej niż “kłopotliwy materiał”, którego nie (u)dało się usunąć.
5. KIA i Hyundai da się ukraść używając tylko kabla USB
8 milionów samochodów dostanie aktualizację oprogramowania, bo …klipy na TikToku pokazujące jak ukraść samochody KIA (2010-2021) i Hyundaia (2015-2021) stały się zbyt popularne. Tysiące samochodów ukradziono tą metodą, a 14 inspirowanych TikTokowym challengem kradzieży skończyło się wypadkami drogowymi, w których zginęło 8 osób.
Czy wiesz, że mamy też podcast? Nazywa się Na Podsłuchu i w najnowszym odcinku rozmawiamy z dowódcą polskiej cyberarmii, gen. Karolem Molendą. Z rozmowy dowiesz się:
Ile teraz zarabiają polscy cyberżołnierze?
Czy już kogoś atakowali?
Jak wiele pracy polskim cyberżołnierzom dołożyła wojna w 🇺🇦?
Podcast znajdziesz na każdej platformie podcastowej, po prostu wyszukaj “Na Podsłuchu”. Możesz go też przesłuchać na Spotify przy pomocy tego widżeta:
6. Ludzie hackują AI udostępnione przez Bing
Temat AI ciągle żywy, nawet armia USA opublikowała wytyczne co do używania AI na polu walki. Ale ostatnie prawdziwie “gorące” wątki, to hackowanie “Syndney”, czyli bota bazującego na ChatGPT, którego Microsoft udostępnił w ramach wyszukiwarki Bing.
⚠️ Jeśli nie jesteście na bieżąco z takimi pojęciami jak OpenAI, ChatGPT, GPT-3, i chcecie zrozumieć o co w tym wszystkim chodzi, to polecamy ten artykuł, a dla bardziej zaawansowanych, warto zajrzeć pod maskę tu.
Potem, warto poczytać o atakach, jakie na takie “czatboty” można przeprowadzać. Jednym z podejście jest technika jailbreakowania “DAN” (Do Anything Now). Warto też rzucić okiem na ten artykuł:
W branży od AI nie uciekniemy. Nawet jeśli nie nadaje się do pomocy w obronie przed atakami, to niestety, do ataków już jest wykorzystywana. Chociaż OpenAI blokuje “prompty”, które pomagają atakującym, to ludzie o złych intencjach handlują w internecie “obejściami”. Serio.
7. Norwedzy odzyskali 6 milionów dolarów…
…z ukradzionych 625 milionów dolarów, więc w sumie to chyba nie ma się z czego cieszyć ;-) Pieniądze (jako kryptowalutę) rok temu północnokoreańscy hackerzy ukradli producentowi gry Axie Infinity.
8. Lufthansa odwołała 140 lotów, bo koparka przecięła kabel
“Atak” na kabel (na głębokości 5 metrów) miał miejsce pod Frankfurtem. Mamy nadzieję, że operator koparki ma dobre ubezpieczenie, bo poza odwołanymi lotami, dodatkowych 247 zostało opóźnionych.
Najgorzej mieli pasażerowie, którzy tuż przed awarią zdążyli nadać swój bagaż, ale nie wystartowali. Przez awarię systemów IT nie mogli bagażu odzyskać i przebookować biletu na inny lot.
9. Wróciło oszustwo na “wezwanie na przesłuchanie”
W tym tygodniu wysłaliśmy CyberAlert w związku ze wzmożoną liczbą sygnałów dotyczących różnych wariantów e-maili, w których atakujący podszywają się pod Polską Policję i wzywają na przesłuchanie.
⚠️ Ostrzeżcie swoich mniej technicznych znajomych przed tym atakiem. A najlepiej zainstalujcie im naszą darmową aplikację CyberAlerty, która jest dostępna na Androida i iPhony. Dzięki temu ostrzeżenia przed kolejnymi atakami dotyczącym Polaków będą do nich docierały natychmiastowo.
10. Amerykańska armia zapętliła sobie e-maila…
Jeden z kapitanów odpowiedział na e-maila tak, że jego odpowiedź dotarła do 13000 skrzynek innych żołnierzy, bo ktoś źle skonfigurował alias listy mailingowej. Ci co dostali odpowiedź zaczęli odpowiadać i stworzyli e-mailową lawinę… Pojawiły się wiersze, memy, próby scamów i rickrolle.
I to, Szanowne Hakerki i Hakerzy, byłoby na tyle! Rozkoszujcie się końcówką weekendu. Chyba, że czytacie to już w poniedziałek, to łączymy się z Wami w bólu.
PS. Nie zapomnijcie sprawdzić, czy kwalifikujecie się na udział w naszych szkoleniach za darmo!
