«Придержите дверь, я с кофе (и вирусом)». Как ваша вежливость помогает хакерам грабить компанию

За последние 17 лет пентестер Роб Шапланд не раз доказывал, что для взлома офиса иногда достаточно чашки кофе, каски и уверенного вида. Но сегодня, по его словам, у социальных инженеров появился новый мощный инструмент. Искусственный интеллект делает старые приёмы обмана гораздо опаснее и эффективнее.

Компании нанимают Шапланда, чтобы он попытался проникнуть в их штаб-квартиру, используя социальную инженерию. Формально он борется с преступниками, но работает теми же методами, сочетая цифровые атаки с физическим проникновением. В одном из недавних проектов заказчик поставил задачу получить доступ к почте генерального директора. Шапланд справился, просто позвонив в службу поддержки и запросив сброс пароля. Он говорил голосом самого CEO.

Запись голоса нашлась в открытом доступе. Это было обычное промо-видео компании на YouTube продолжительностью около пяти минут. Этого оказалось более чем достаточно. Шапланд взял фрагмент записи, загрузил его в сервис для клонирования голоса и получил правдоподобную копию. Дальше всё было ещё проще. Он задал текст запроса через ChatGPT, подключил его к голосовой модели, и система сама вела диалог с сотрудниками сервис-деска. В итоге пароль был сброшен без лишних вопросов.

Для этой атаки использовался ElevenLabs, легальный сервис для озвучки, который при желании легко превратить в инструмент злоупотреблений. По словам Шапланда, для создания приемлемого клона достаточно около 10 секунд аудио, но чем больше материала, тем убедительнее результат.

Главный тренд, который он сейчас наблюдает, — это сочетание ИИ-инструментов с классическими методами физического взлома. Более того, он использует обычные чат-боты даже на этапе планирования атак. Иногда они отказываются напрямую помогать, но всё равно находят обходные пути и выдают полезные подсказки. При этом на даркнете уже существуют версии ботов без ограничений, способные, например, разрабатывать вредоносное ПО.

Несмотря на это, Шапланд считает, что индустрия кибербезопасности пока преувеличивает масштабы использования ИИ преступниками. Сейчас они в основном экспериментируют. Однако в ближайшие годы ситуация резко изменится. Он уверен, что поддельные видеоконференции скоро станут неотличимы от настоящих, и человек по ту сторону экрана может быть кем угодно.

В качестве примера он приводит волну реалистичных фейковых видео, которые появились после выхода Sora 2 прошлой осенью. Такие ролики активно распространяются в соцсетях, и многие принимают их за правду.

Рассказывая о своей работе, Шапланд преследует вполне практичную цель. Он хочет, чтобы сотрудники компаний осознали, насколько уязвимыми они бывают в реальных ситуациях. Почти все свои проникновения он тайно снимает на скрытые камеры, встроенные в галстуки или очки. Позже эти записи показывают персоналу. По его словам, увидеть себя на экране, впускающим незнакомца в офис или оставляющим рабочий стол без присмотра, куда эффективнее любого теста или онлайн-курса.

Он уверен, что обучение кибербезопасности стало скучным и формальным, превратилось в галочку для отчётности и давно перестало выполнять свою задачу.

В одном из случаев Шапланд продемонстрировал классическую атаку социальной инженерии. Он изучает страницу сотрудницы в соцсетях, находит фото из отпуска возле отеля, определяет место и бренд гостиницы, а затем отправляет письмо от имени менеджера. В письме говорится о забытых вещах, а вложение с изображением запускает загрузку вредоносного кода. Всё начинается с одного клика.

За сотни подобных операций Шапланд лишь однажды сталкивался с системой распознавания лиц. Чаще всего используются обычные пропуски и карты доступа, а решающим фактором остаётся человеческая доброжелательность. Фальшивый бейдж, найденный через LinkedIn логотип компании, две чашки кофе в руках и просьба придержать дверь. В большинстве случаев этого достаточно.

Более безопасный вариант, по его словам, — это прийти под видом посетителя. Инспектор, арендодатель, уборщик или проверяющий пожарное оборудование. При заранее забронированном визите можно спокойно войти в здание, а затем заняться тем, ради чего всё и затевалось.

Шапланд признаётся, что постоянно думает, как злоумышленник. Даже в обычных разговорах он ловит себя на том, что оценивает новые возможные легенды и роли. В этом смысле его работа похожа на актёрскую профессию. Перед входом в здание он испытывает сильное волнение, но как только переступает порог, полностью вживается в образ. Уверенность, подходящая одежда и чёткий план почти всегда делают своё дело.