Penjahat dunia maya mengeksploitasi alat AI seperti ChatGPT untuk merancang serangan phishing yang lebih meyakinkan, sehingga mengkhawatirkan para pakar keamanan siber

Jika Anda melihat lonjakan email yang tampak mencurigakan dalam setahun terakhir ini, hal ini mungkin disebabkan oleh salah satu chatbot AI favorit kami - ChatGPT. Saya tahu - banyak dari kita yang melakukan percakapan intim dan pribadi di mana kita belajar tentang diri kita sendiri dengan ChatGPT, dan kita tidak ingin percaya bahwa ChatGPT akan membantu menipu kita.

Menurut perusahaan keamanan siber SlashNext, ChatGPT dan kelompok AI-nya digunakan untuk mengirimkan email phishing dengan kecepatan yang dipercepat. Laporan ini dibuat berdasarkan keahlian ancaman perusahaan dan mensurvei lebih dari tiga ratus profesional keamanan siber di Amerika Utara. Yaitu, email phishing berbahaya diklaim telah meningkat sebesar 1,265% - khususnya phishing kredensial, yang meningkat sebesar 967% - sejak kuartal keempat tahun 2022. Phishing kredensial menargetkan informasi pribadi Anda seperti nama pengguna, ID, kata sandi, atau pin pribadi dengan meniru identitas a orang, kelompok, atau organisasi tepercaya melalui email atau saluran komunikasi serupa.

Pelaku kejahatan menggunakan alat kecerdasan buatan generatif, seperti ChatGPT, untuk menyusun pesan phishing yang disempurnakan dan ditargetkan secara spesifik. Selain phishing, pesan kompromi email bisnis (BEC) adalah jenis penipuan penjahat dunia maya lainnya yang bertujuan untuk menipu keuangan perusahaan. Laporan tersebut menyimpulkan bahwa ancaman-ancaman yang dipicu oleh AI ini meningkat dengan sangat cepat, bertumbuh pesat dalam hal volume dan tingkat kecanggihan ancaman-ancaman tersebut.

Laporan tersebut menunjukkan bahwa serangan phishing rata-rata mencapai 31.000 per hari dan sekitar setengah dari profesional keamanan siber yang disurvei melaporkan bahwa mereka menerima serangan BEC. Terkait phishing, 77% profesional melaporkan bahwa mereka menerima serangan phishing.

Para ahli mempertimbangkannya

CEO SlashNext, Patrick Harr, menyampaikan bahwa temuan ini “memperkuat kekhawatiran atas penggunaan AI generatif yang berkontribusi terhadap pertumbuhan phishing secara eksponensial.” Dia menjelaskan bahwa teknologi generatif AI memungkinkan penjahat dunia maya untuk meningkatkan kecepatan serangan mereka, sekaligus meningkatkan variasi serangan mereka. Mereka dapat menghasilkan ribuan serangan yang direkayasa secara sosial dengan ribuan variasi - dan Anda hanya perlu mempercayai satu saja.

Harr kemudian menuding ChatGPT, yang mengalami pertumbuhan pesat menjelang akhir tahun lalu. Dia berpendapat bahwa bot AI generatif telah mempermudah pemula untuk terlibat dalam permainan phishing dan penipuan, dan kini telah menjadi alat tambahan bagi mereka yang lebih terampil dan berpengalaman - yang kini dapat meningkatkan dan menargetkan serangan mereka dengan lebih baik. dengan mudah. Alat-alat ini dapat membantu menghasilkan pesan-pesan yang lebih meyakinkan dan persuasif yang diharapkan para penipu akan melakukan phishing kepada orang-orang.

Chris Steffen, direktur riset di Enterprise Management Associates, membenarkan hal tersebut ketika berbicara kepada CNBC, dengan menyatakan, “Lewatlah sudah hari-hari 'Pangeran Nigeria'”. Dia melanjutkan dengan memperluas bahwa email sekarang “terdengar sangat meyakinkan dan sah.” Pelaku kejahatan secara persuasif meniru dan menyamar sebagai orang lain dalam nada dan gaya, atau bahkan mengirimkan korespondensi resmi yang seolah-olah berasal dari lembaga pemerintah dan penyedia jasa keuangan. Mereka dapat melakukan hal ini lebih baik dari sebelumnya dengan menggunakan alat AI untuk menganalisis tulisan dan informasi publik individu atau organisasi untuk menyesuaikan pesan mereka, sehingga email dan komunikasi mereka terlihat seperti aslinya.

Terlebih lagi, terdapat bukti bahwa strategi ini telah membuahkan hasil bagi pelaku kejahatan. Harr mengacu pada Laporan Kejahatan Internet FBI, yang menyatakan bahwa serangan BEC telah merugikan bisnis sekitar $2,7 miliar, dan kerugian sebesar $52 juta akibat jenis phishing lainnya. Motherlode ini menguntungkan, dan para penipu semakin termotivasi untuk melipatgandakan upaya phishing dan BEC mereka.

Apa yang diperlukan untuk menumbangkan ancaman tersebut

Beberapa pakar dan raksasa teknologi menolak kebijakan tersebut, seperti Amazon, Google, Meta, dan Microsoft yang berjanji akan melakukan pengujian untuk melawan risiko keamanan siber. Perusahaan juga memanfaatkan AI untuk pertahanan, menggunakannya untuk meningkatkan sistem deteksi, filter, dan sejenisnya. Harr menegaskan kembali bahwa penelitian SlashNext menggarisbawahi bahwa hal ini sepenuhnya dibenarkan karena penjahat dunia maya sudah menggunakan alat seperti ChatGPT untuk melakukan serangan ini.

SlashNext menemukan BEC tertentu pada bulan Juli yang menggunakan ChatGPT, disertai dengan WormGPT. WormGPT adalah alat kejahatan dunia maya yang dipublikasikan sebagai “alternatif topi hitam terhadap model GPT, yang dirancang khusus untuk aktivitas jahat seperti membuat dan meluncurkan serangan BEC,” menurut Harr. Chatbot jahat lainnya, FraudGPT, juga dilaporkan beredar. Harr mengatakan FraudGPT telah diiklankan sebagai alat 'eksklusif' yang dirancang untuk penipu, peretas, pengirim spam, dan individu serupa, dengan daftar fitur yang lengkap.

Bagian dari penelitian SlashNext adalah pengembangan “jailbreak” AI yang merupakan serangan yang dirancang dengan cukup cerdik terhadap chatbot AI yang jika dimasuki akan menyebabkan hilangnya pagar keamanan dan legalitas chatbot AI. Hal ini juga merupakan bidang penyelidikan utama di banyak lembaga penelitian terkait AI.

Bagaimana perusahaan dan pengguna harus bertindak

Jika Anda merasa hal ini dapat menimbulkan ancaman serius secara profesional atau pribadi, Anda benar - namun hal ini bukan berarti tidak ada harapan. Pakar keamanan siber sedang meningkatkan dan bertukar pikiran mengenai cara untuk melawan dan merespons serangan-serangan ini. Salah satu tindakan yang dilakukan banyak perusahaan adalah pendidikan dan pelatihan pengguna akhir untuk melihat apakah karyawan dan pengguna benar-benar ketahuan oleh email-email ini.

Meningkatnya volume email yang mencurigakan dan ditargetkan berarti bahwa pengingat di sana-sini mungkin tidak lagi cukup, dan perusahaan kini harus terus-menerus berlatih menerapkan kesadaran keamanan di kalangan pengguna. Pengguna akhir juga tidak hanya harus diingatkan namun juga didorong untuk melaporkan email yang terlihat palsu dan mendiskusikan kekhawatiran mereka terkait keamanan. Hal ini tidak hanya berlaku bagi perusahaan dan keamanan seluruh perusahaan, namun juga bagi kita sebagai pengguna individu. Jika raksasa teknologi ingin kita memercayai layanan email mereka untuk kebutuhan email pribadi kita, maka mereka harus terus membangun pertahanannya dengan cara-cara seperti ini.

Selain perubahan tingkat budaya dalam bisnis dan perusahaan, Steffen juga menegaskan kembali pentingnya alat pemfilteran email yang dapat menggabungkan kemampuan AI dan membantu mencegah pesan berbahaya sampai ke pengguna. Ini adalah pertarungan terus-menerus yang memerlukan pengujian dan audit rutin, karena ancaman selalu berkembang, dan seiring dengan meningkatnya kemampuan perangkat lunak AI, ancaman yang memanfaatkannya juga akan meningkat.

Perusahaan harus meningkatkan sistem keamanan mereka dan tidak ada solusi tunggal yang dapat sepenuhnya mengatasi semua bahaya yang ditimbulkan oleh serangan email yang disebabkan oleh AI. Steffen mengemukakan bahwa strategi zero-trust dapat membantu mengisi kesenjangan kontrol yang disebabkan oleh serangan dan membantu memberikan pertahanan bagi sebagian besar organisasi. Pengguna perorangan harus lebih waspada terhadap kemungkinan terkena phishing dan tertipu, karena sudah naik.

Kita mungkin mudah menyerah pada pesimisme terhadap isu-isu seperti ini, namun kita bisa lebih waspada terhadap apa yang kita pilih. Luangkan waktu sejenak, lalu satu lagi, dan periksa semua informasinya - Anda bahkan dapat mencari alamat email tempat Anda menerima email tertentu dan melihat apakah ada orang lain yang mengalami masalah terkait email tersebut. Ini adalah dunia cermin online yang rumit, dan semakin bermanfaat untuk menjaga akal sehat Anda.