Gali terowong di bawah tebing. Menembusi lantai peti besi. Tiup pintu selamat menggunakan gelignite. Dapatkan wang tunai, jongkong emas, dan lain-lain. Lompat ke kereta percutian.
Itu adalah resipi lama untuk menjadi kaya secara haram, tetapi sekarang kumpulan penjenayah melakukannya dari jauh, menggunakan komputer. Ini kita semua tahu, dan keselamatan adalah salah satu masalah besar pada zaman kita. Pada separuh pertama tahun 2018, crypto bernilai $ 1.1 bilion dicuri oleh penggodam, dengan sekitar 75% daripadanya ‘dibebaskan’ dari pertukaran. Angka kecurian crypto pada tahun 2017 hanya $ 606 juta, jadi trendnya terus meningkat. Dan ini adalah perkara yang sebenarnya kita ketahui, kerana pertukaran tidak berminat untuk berkongsi berita mengenai kerugian mereka, jadi kemungkinan pendarahan dana jauh lebih banyak.
Seorang penggodam berkongsi kebenaran mengenai keselamatan
Sekarang panggil saya naif, tetapi saya membayangkan bahawa apa yang dilakukan oleh bank, institusi kewangan, bursa dan perusahaan kripto adalah menjadikan sistem mereka sekuat mungkin, kemudian duduk dan tunggu untuk melihat apakah mereka pernah diserang, dan jika ya, bagaimana dan di mana . Tidak begitu. Saya baru-baru ini senang bercakap dengan penggodam profesional, yang disebut Mr. X. (Sebenarnya, bukan nama sebenarnya, tetapi mungkin anda sudah meneka itu). Mr. X bekerja untuk mengganas keganasan dan kekacauan terhadap pertahanan bank dan pertukaran untuk mencari kelemahan mereka. Apabila dia berjaya, sebagai warganegara yang baik dia melaporkan angin, dan semoga diperbaiki.
Masalah besarnya bukan mengenai serangan frontal penuh, atau serangan DOS, penting walaupun untuk melindungi daripada perkara ini. X menjelaskan bahawa dua bidang kerjanya adalah mengenai Identification and Authentication. Dengan kata lain, bagaimana syarikat mengetahui bahawa pelanggannya adalah siapa yang mereka katakan; dan kemudian bagaimana mereka tahu bahawa pelanggan yang kembali adalah orang yang sama?
Pada masa lalu kami membuktikan siapa kami dengan muncul dengan pasport atau dokumen pengenalan diri bergambar, mungkin bil utiliti atau dua untuk membuktikan tempat tinggal kami. Petugas di seberang meja kemudian membuat penilaian nilai bahawa semuanya baik-baik saja. Sekarang pegawai di meja mungkin sistem automatik menggunakan AI untuk mendaftarkan pengguna baru melalui telefon pintar mereka, jadi bagaimana cara menangani identiti palsu? Satu contoh hebat yang saya dengar baru-baru ini, dari STO yang akan dilancarkan, adalah bagaimana di tengah proses onboarding pelanggan tiba-tiba diminta untuk menjelirkan lidah mereka, misalnya. AI tidak mencari tindakan lidah yang melekit, tetapi ciri khas kejutan pada semua wajah manusia apabila permintaan aneh dibuat. Rupa-rupanya mata kita melebar, dan kita semua berpaling dari kamera / orang yang membuat permintaan. “OK,” kata AI, “Itu orang sebenar yang saya hadapi.”
Mr. X mengesahkan bahawa ‘Analisis Tingkah Laku’ seperti ini akan menjadi semakin berleluasa, terutama di kawasan Pengesahan. Kita semua sudah biasa dengan kaedah nama / kata laluan memasuki laman web, serta beberapa maklumat tambahan yang disekat sebagai ‘sekiranya berlaku’, seperti nama haiwan kesayangan pertama kita, atau hari lahir ibu kita. Ini adalah pengesahan pelbagai faktor, pada tahap paling sederhana. Walau bagaimanapun, seorang penggodam dapat mempersiapkan diri untuk mendapatkan jawapan pengesahan semacam ini, dan dengan serta-merta dapat mengungkapkan tarikh lahir ibu saya sebagai “23 September 19__” (Saya akan membiarkan tahun ini kosong untuk mengelakkannya). Sebagai keturunan yang kurang sempurna, saya mungkin akan menjawab, “Um, ya, saya tahu ini. Ia 22 Sep… Tidak, ini 23 September, saya rasa… ”
Ini betul-betul jenis tingkah laku yang akan dianalisis oleh AI sebagai lebih dipercayai daripada jawapan ‘lancar’.
Dan sepanjang masa ada interaksi antara dompet dan pertukaran anda, sebagai contoh, terdapat banyak lagi perkara yang berlaku di bawah permukaan. Pada tahap teknologi, bahagian belakang laman web yang anda sambungkan melakukan pemeriksaan pelbagai faktor sendiri. Adakah ini telefon anda, apakah itu digunakan dari lokasi dan rangkaian yang ‘mungkin’, apakah ada yang berbeza mengenai penyediaannya? Sebagai pengguna, anda tidak akan mengetahui banyak jabat tangan yang berlaku, tetapi seperti yang dijelaskan oleh Mr. X, terdapat proses pemeriksaan berterusan dan pemeriksaan silang.
Adakah kita adalah musuh terburuk sendiri?
Oleh itu, kita semua boleh tidur dengan selamat di tempat tidur kita pada waktu malam? Tidak cukup. Mr X dan yang lain seperti dia bekerja untuk melindungi daripada serangan, tetapi tebak di mana kelemahan terbesar? Anda. Dan saya. Dan kebanyakan kita. Kami masih menggunakan kata laluan ‘ironis’ kegemaran dunia, Kata Laluan123. Kami adalah orang-orang dalam kisah berikut yang saya saksikan pada hari yang lain. OK, ini bukan crypto, tetapi ia berlaku, dan tidak tipikal:
Saya berdiri di belakang seorang wanita di pasar raya. Hampir membayar dengan kad kreditnya, dia berteriak kepada pasangannya, yang sedang mengemas belanja, “Apakah kad VISA saya PIN 6754 atau 6745? Saya lupa.” Dia mempunyai pemikiran, dan berteriak kembali, “Saya rasa 6754.” Wanita itu memasukkan PIN, “Ya, 6754, itu betul.” Jadi sekarang kira-kira lima puluh orang di kawasan berhampiran mereka mempunyai perincian – hebat!
Mungkin cukup untuk membuat Mr X menangis.