Cyberprzestępcy wykorzystują narzędzia sztucznej inteligencji, takie jak ChatGPT, do tworzenia bardziej przekonujących ataków phishingowych, co alarmuje ekspertów ds. cyberbezpieczeństwa

Jeśli w ciągu ostatniego roku zauważyłeś wzrost liczby podejrzanie wyglądających e-maili, może to częściowo wynikać z działania jednego z naszych ulubionych chatbotów AI – ChatGPT. Wiem – wielu z nas odbyło intymne i prywatne rozmowy, podczas których dowiedzieliśmy się o sobie dzięki ChatGPT i nie chcemy wierzyć, że ChatGPT mogłoby nas oszukać.

Według firmy zajmującej się cyberbezpieczeństwem SlashNext ChatGPT i jego kohorty AI są wykorzystywane do szybszego wysyłania e-maili phishingowych. Raport opiera się na specjalistycznej wiedzy firmy na temat zagrożeń i przeprowadzono w nim ankietę, w której wzięło udział ponad trzystu specjalistów ds. cyberbezpieczeństwa w Ameryce Północnej. Mianowicie twierdzi się, że od czwartego kwartału 2022 r. liczba złośliwych wiadomości e-mail phishingowych wzrosła o 1265%, a w szczególności phishingu związanego z danymi uwierzytelniającymi, który wzrósł o 967%. Celem phishingu polegającego na wyłudzaniu danych osobowych jest obieranie za cel Twoich danych osobowych, takich jak nazwy użytkowników, identyfikatory, hasła lub PIN-y, podszywając się pod zaufanej osobie, grupie lub organizacji za pośrednictwem poczty elektronicznej lub podobnego kanału komunikacji.

Złośliwi uczestnicy wykorzystują narzędzia generatywnej sztucznej inteligencji, takie jak ChatGPT, do tworzenia dopracowanych i specjalnie ukierunkowanych wiadomości phishingowych. Oprócz phishingu, kolejnym powszechnym rodzajem oszustwa cyberprzestępczego, którego celem jest oszukanie firm finansowych, są wiadomości biznesowe zawierające wiadomości zawierające komunikaty BEC. W raporcie stwierdzono, że zagrożenia napędzane sztuczną inteligencją rosną z zawrotną szybkością, szybko rosną pod względem wielkości i stopnia zaawansowania.

Z raportu wynika, że ​​średnio dziennie dochodzi do 31 000 ataków phishingowych, a około połowa ankietowanych specjalistów ds. cyberbezpieczeństwa zgłosiła, że ​​doświadczyła ataku BEC. Jeśli chodzi o phishing, 77% tych specjalistów zgłosiło, że doświadczyło ataków phishingowych.

Eksperci oceniają

Dyrektor generalny SlashNext, Patrick Harr, przekazał, że odkrycia te „utwierdzają obawy dotyczące wykorzystania generatywnej sztucznej inteligencji przyczyniającej się do wykładniczego wzrostu liczby phishingu”. Wyjaśnił, że technologia generacyjna sztucznej inteligencji umożliwia cyberprzestępcom zwiększenie szybkości przeprowadzania ataków, a jednocześnie zwiększa różnorodność ich ataków. Mogą wygenerować tysiące ataków socjotechnicznych z tysiącami odmian – a wystarczy dać się nabrać tylko na jeden.

Harr dalej wskazuje palcem na ChatGPT, który pod koniec ubiegłego roku odnotował ogromny wzrost. Uważa, że ​​generatywne boty AI znacznie ułatwiły nowicjuszom wejście w świat phishingu i oszustwa, a teraz stały się dodatkowym narzędziem w arsenale osób bardziej wykwalifikowanych i doświadczonych, którzy mogą teraz zwiększać skalę i lepiej ukierunkowywać swoje ataki. łatwo. Narzędzia te mogą pomóc w generowaniu bardziej przekonujących i przekonujących komunikatów, które – jak mają nadzieję – oszuści wyłudzą ludzi.

Chris Steffen, dyrektor ds. badań w Enterprise Management Associates, potwierdził to w rozmowie z CNBC, stwierdzając: „Minęły czasy «księcia Nigerii»”. Następnie dodał, że e-maile brzmią teraz „niezwykle przekonująco i legalnie”. Źli aktorzy w przekonujący sposób naśladują innych i podają się za nich tonem i stylem, a nawet wysyłają oficjalną korespondencję, która wygląda na pochodzącą od agencji rządowych i dostawców usług finansowych. Mogą to robić lepiej niż wcześniej, korzystając z narzędzi sztucznej inteligencji do analizowania pism i informacji publicznych osób lub organizacji w celu dostosowania ich komunikatów, dzięki czemu ich e-maile i komunikaty wyglądają jak prawdziwe.

Co więcej, istnieją dowody na to, że strategie te już przynoszą korzyści złym aktorom. Harr nawiązuje do raportu FBI dotyczącego przestępczości internetowej, w którym zarzuca się, że ataki BEC kosztowały firmy około 2,7 miliarda dolarów oraz 52 miliony dolarów strat spowodowanych innymi rodzajami phishingu. Motherlode jest dochodowy, a oszuści mają dodatkową motywację do zwielokrotniania wysiłków w zakresie phishingu i BEC.

Co będzie potrzebne, aby odeprzeć zagrożenia

Niektórzy eksperci i giganci technologiczni sprzeciwiają się temu, a Amazon, Google, Meta i Microsoft zobowiązały się do przeprowadzenia testów w celu zwalczania zagrożeń cyberbezpieczeństwa. Firmy wykorzystują sztuczną inteligencję również do celów defensywnych, wykorzystując ją do ulepszania swoich systemów wykrywania, filtrów itp. Harr powtórzył, że badanie SlashNext podkreśla jednak, że jest to całkowicie uzasadnione, ponieważ cyberprzestępcy już korzystają z narzędzi takich jak ChatGPT do przeprowadzania takich ataków.

W lipcu SlashNext znalazł konkretnego BEC-a, który korzystał z ChatGPT i WormGPT. Według Harra WormGPT to narzędzie do walki z cyberprzestępczością reklamowane jako „czarna alternatywa dla modeli GPT, zaprojektowana specjalnie do szkodliwych działań, takich jak tworzenie i przeprowadzanie ataków BEC”. Zgłoszono również, że krąży inny złośliwy chatbot, FraudGPT. Harr twierdzi, że FraudGPT jest reklamowane jako „ekskluzywne” narzędzie przeznaczone dla oszustów, hakerów, spamerów i podobnych osób, oferujące obszerną listę funkcji.

Część badań SlashNext dotyczyła opracowania „jailbreaków” AI, czyli całkiem pomysłowo zaprojektowanych ataków na chatboty AI, które po wejściu do środka powodują usunięcie barier bezpieczeństwa i legalności chatbotów AI. Jest to również główny obszar badań wielu instytucji badawczych zajmujących się sztuczną inteligencją.

Jak powinny postępować firmy i użytkownicy

Jeśli czujesz, że może to stanowić poważne zagrożenie w życiu zawodowym lub osobistym, masz rację – ale nie wszystko jest beznadziejne. Eksperci ds. cyberbezpieczeństwa intensyfikują działania i przeprowadzają burzę mózgów na temat sposobów przeciwdziałania tym atakom i reagowania na nie. Jednym ze środków stosowanych przez wiele firm jest ciągła edukacja i szkolenia użytkowników końcowych, mające na celu sprawdzenie, czy pracownicy i użytkownicy rzeczywiście dają się złapać na te e-maile.

Zwiększona liczba podejrzanych i ukierunkowanych e-maili oznacza, że ​​przypomnienie tu i tam może już nie wystarczyć, a firmy będą musiały teraz bardzo wytrwale ćwiczyć zwiększanie świadomości bezpieczeństwa wśród użytkowników. Użytkownikom końcowym należy nie tylko przypominać, ale i zachęcać do zgłaszania wiadomości e-mail wyglądających na fałszywe i omawiania swoich obaw związanych z bezpieczeństwem. Dotyczy to nie tylko firm i bezpieczeństwa całej firmy, ale także nas, jako indywidualnych użytkowników. Jeśli giganci technologiczni chcą, żebyśmy zaufali ich usługom e-mail w zakresie naszych osobistych potrzeb, będą musieli w dalszym ciągu budować swoje zabezpieczenia w ten sposób.

Oprócz tej zmiany na poziomie kultury w przedsiębiorstwach Steffen podkreśla również znaczenie narzędzi do filtrowania wiadomości e-mail, które mogą obejmować możliwości sztucznej inteligencji i zapobiegać przedostawaniu się złośliwych wiadomości do użytkowników. To nieustanna walka wymagająca regularnych testów i audytów, ponieważ zagrożenia stale ewoluują, a w miarę ulepszania możliwości oprogramowania AI, rosną także zagrożenia, które je wykorzystują.

Firmy muszą udoskonalać swoje systemy bezpieczeństwa, a żadne pojedyncze rozwiązanie nie jest w stanie w pełni zaradzić wszystkim zagrożeniom stwarzanym przez ataki e-mail generowane przez sztuczną inteligencję. Steffen twierdzi, że strategia zerowego zaufania może pomóc wypełnić luki w kontroli spowodowane atakami i zapewnić ochronę większości organizacji. Użytkownicy indywidualni powinni być bardziej wyczuleni na możliwość wyłudzenia informacji i oszukania, ponieważ liczba ta wzrosła.

W tego typu kwestiach łatwo jest popaść w pesymizm, ale możemy być bardziej ostrożni w kwestii tego, w co klikamy. Poświęć chwilę, potem jeszcze chwilę i sprawdź wszystkie informacje — możesz nawet przeszukać adres e-mail, z którego otrzymałeś konkretną wiadomość, i sprawdzić, czy ktoś inny nie miał z tym związanych problemów. To trudny, lustrzany świat online i coraz bardziej warto zachować zdrowy rozsądek.