Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται εργαλεία τεχνητής νοημοσύνης όπως το ChatGPT για να δημιουργήσουν πιο πειστικές επιθέσεις phishing, ανησυχώντας τους ειδικούς στον τομέα της κυβερνοασφάλειας

By

Marizas Dimitris

On

Δεκ 2, 2023

Αν έχετε παρατηρήσει μια απότομη αύξηση στα μηνύματα ηλεκτρονικού ταχυδρομείου με ύποπτη εμφάνιση τον τελευταίο χρόνο, μπορεί να οφείλεται εν μέρει σε ένα από τα αγαπημένα μας chatbot AI – το ChatGPT. Ξέρω – πολλοί από εμάς είχαμε στενές και ιδιωτικές συνομιλίες όπου μάθαμε για τον εαυτό μας με το ChatGPT και δεν θέλουμε να πιστέψουμε ότι το ChatGPT θα μας βοηθούσε να μας εξαπατήσει.

Σύμφωνα με την εταιρεία κυβερνοασφάλειας SlashNext

, το ChatGPT και οι κοόρτες AI του χρησιμοποιούνται για την άντληση μηνυμάτων ηλεκτρονικού ψαρέματος με επιταχυνόμενο ρυθμό. Η έκθεση βασίζεται στην τεχνογνωσία της εταιρείας σχετικά με τις απειλές και συμμετείχε σε περισσότερους από τριακόσιους επαγγελματίες στον τομέα της κυβερνοασφάλειας στη Βόρεια Αμερική. Συγκεκριμένα, υποστηρίζεται ότι τα κακόβουλα μηνύματα ηλεκτρονικού “ψαρέματος” (phishing) έχουν αυξηθεί κατά 1.265% – συγκεκριμένα το ηλεκτρονικό “ψάρεμα” διαπιστευτηρίων, το οποίο αυξήθηκε κατά 967% – από το τέταρτο τρίμηνο του

2022

. Το ηλεκτρονικό “ψάρεμα” διαπιστευτηρίων στοχεύει τις προσωπικές σας πληροφορίες όπως ονόματα χρήστη, αναγνωριστικά, κωδικούς πρόσβασης ή προσωπικές καρφίτσες πλαστοπροσωπίας έμπιστο άτομο, ομάδα ή οργανισμός μέσω

email

ή παρόμοιου καναλιού επικοινωνίας.

Οι κακόβουλοι παράγοντες χρησιμοποιούν εργαλεία δημιουργίας τεχνητής νοημοσύνης, όπως το ChatGPT, για να συνθέσουν εκλεπτυσμένα και ειδικά στοχευμένα μηνύματα ηλεκτρονικού ψαρέματος. Εκτός από το ηλεκτρονικό ψάρεμα, τα μηνύματα συμβιβασμού για επιχειρηματικά email (BEC) είναι ένας άλλος κοινός τύπος απάτης στον κυβερνοχώρο, με στόχο την εξαπάτηση οικονομικών εταιρειών. Η έκθεση καταλήγει στο συμπέρασμα ότι αυτές οι απειλές που τροφοδοτούνται από την τεχνητή νοημοσύνη αυξάνονται με ιλιγγιώδη ταχύτητα, αυξάνονται γρήγορα σε όγκο και πόσο εξελιγμένες είναι.

Η έκθεση δείχνει ότι οι επιθέσεις phishing ήταν κατά μέσο όρο 31.000 την ημέρα και περίπου οι μισοί από τους ερωτηθέντες επαγγελματίες της κυβερνοασφάλειας ανέφεραν ότι δέχθηκαν επίθεση BEC. Όσον αφορά το phishing, το 77% αυτών των επαγγελματιών ανέφεραν ότι δέχτηκαν επιθέσεις phishing.

(Πίστωση εικόνας: Getty Images)

Οι ειδικοί ζυγίζουν

Ο Διευθύνων Σύμβουλος της SlashNext, Patrick Harr, μετέδωσε

ότι αυτά τα ευρήματα «επιβεβαιώνουν τις ανησυχίες σχετικά με τη χρήση γενετικής τεχνητής νοημοσύνης που συμβάλλει στην εκθετική ανάπτυξη του phishing». Ανέφερε ότι η τεχνολογία παρ

αγωγή

ς τεχνητής νοημοσύνης επιτρέπει στους εγκληματίες του κυβερνοχώρου να υπερτροφοδοτούν το πόσο γρήγορα εξαπολύουν επιθέσεις, αυξάνοντας επίσης την ποικιλία των επιθέσεων τους. Μπορούν να προκαλέσουν χιλιάδες κοινωνικά σχεδιασμένες επιθέσεις με χιλιάδες παραλλαγές – και χρειάζεται μόνο να υποκύψετε σε μία.

Ο Harr συνεχίζει να δείχνει το δάχτυλο στο ChatGPT, το οποίο σημείωσε σημαντική ανάπτυξη προς τα τέλη του περασμένου έτους. Υποστηρίζει ότι τα

ρομπότ

τεχνητής νοημοσύνης που δημιουργούνται έχουν κάνει πολύ πιο εύκολο για τους αρχάριους να μπουν στο παιχνίδι phishing και scamming και έχουν γίνει πλέον ένα επιπλέον εργαλείο στο οπλοστάσιο εκείνων που είναι πιο εξειδικευμένοι και έμπειροι – που μπορούν τώρα να κλιμακώσουν και να στοχεύσουν περισσότερο τις επιθέσεις τους εύκολα. Αυτά τα εργαλεία μπορούν να βοηθήσουν στη δημιουργία πιο πειστικών και πειστικά διατυπωμένων μηνυμάτων που οι απατεώνες ελπίζουν ότι θα κάνουν phish τους ανθρώπους.

Ο Chris Steffen, διευθυντής έρευνας στην Enterprise Management Associates, επιβεβαίωσε το ίδιο

μιλώντας στο CNBC, δηλώνοντας, «Πέρασαν οι μέρες του «Πρίγκιπα της Νιγηρίας». Συνέχισε διευρύνοντας ότι τα email είναι πλέον «εξαιρετικά πειστικά και νόμιμα». Οι κακοί ηθοποιοί μιμούνται πειστικά και υποδύονται άλλους σε τόνο και στυλ, ή ακόμα και στέλνουν επίσημη αλληλογραφία που μοιάζει σαν να είναι από κυβερνητικούς φορείς και παρόχους χρηματοοικονομικών υπηρεσιών. Μπορούν να το κάνουν καλύτερα από πριν χρησιμοποιώντας εργαλεία AI για να αναλύσουν τα γραπτά και τις δημόσιες πληροφορίες ατόμων ή οργανισμών για να προσαρμόσουν τα μηνύματά τους, κάνοντας τα email και τις επικοινωνίες τους να φαίνονται αληθινά.

Επιπλέον, υπάρχουν ενδείξεις ότι αυτές οι στρατηγικές έχουν ήδη επιστροφές για τους κακούς ηθοποιούς. Ο Harr αναφέρεται σε

Έκθεση του FBI για το έγκλημα στο Διαδίκτυο

, όπου φέρεται ότι οι επιθέσεις BEC έχουν κοστίσει στις επιχειρήσεις περίπου 2,7 δισεκατομμύρια δολάρια, μαζί με ζημίες 52 εκατομμυρίων δολαρίων λόγω άλλων ειδών phishing. Το motherlode είναι επικερδές και οι απατεώνες παρακινούνται περαιτέρω να πολλαπλασιάσουν τις προσπάθειές τους για phishing και BEC.

Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται εργαλεία τεχνητής νοημοσύνης όπως το ChatGPT για να δημιουργήσουν πιο πειστικές επιθέσεις phishing, ανησυχώντας τους ειδικούς στον τομέα της κυβερνοασφάλειας, Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται εργαλεία τεχνητής νοημοσύνης όπως το ChatGPT για να δημιουργήσουν πιο πειστικές επιθέσεις phishing, ανησυχώντας τους ειδικούς στον τομέα της κυβερνοασφάλειας, TechWar.gr — (Εικόνα: Glenn Carstens-Peters / Unsplash)

Τι θα χρειαστεί για να ανατρέψει τις απειλές

Ορισμένοι ειδικοί και τεχνολογικοί γίγαντες απωθούνται, με

Η Amazon, η Google, η Meta και η Microsoft έχουν δεσμευτεί ότι θα πραγματοποιήσουν δοκιμές για την καταπολέμηση των κινδύνων στον κυβερνοχώρο

. Οι εταιρείες αξιοποιούν επίσης το AI αμυντικά, χρησιμοποιώντας το για να βελτιώσουν τα συστήματα ανίχνευσης, τα φίλτρα και άλλα. Ο Harr επανέλαβε ότι η έρευνα του SlashNext, ωστόσο, υπογραμμίζει ότι αυτό είναι απολύτως δικαιολογημένο καθώς οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ήδη εργαλεία όπως το ChatGPT για να πραγματοποιήσουν αυτές τις επιθέσεις.

Το SlashNext βρήκε ένα συγκεκριμένο BEC τον Ιούλιο που χρησιμοποιούσε ChatGPT, συνοδευόμενο από WormGPT.

Το WormGPT είναι ένα εργαλείο εγκλήματος στον κυβερνοχώρο

που δημοσιοποιείται ως «ένα μαύρο καπέλο εναλλακτική στα μοντέλα GPT, σχεδιασμένο ειδικά για κακόβουλες δραστηριότητες όπως η δημιουργία και η εκτόξευση επιθέσεων BEC», σύμφωνα με τον Harr. Ένα άλλο κακόβουλο chatbot, το FraudGPT, έχει επίσης αναφερθεί ότι κυκλοφορεί. Ο Harr λέει ότι το FraudGPT έχει διαφημιστεί ως ένα «αποκλειστικό» εργαλείο προσαρμοσμένο για απατεώνες, χάκερ, spammers και παρόμοια άτομα, με μια εκτενή λίστα χαρακτηριστικών.

Μέρος της έρευνας του SlashNext αφορούσε την ανάπτυξη «jailbreaks» της τεχνητής νοημοσύνης, τα οποία είναι αρκετά έξυπνα σχεδιασμένες επιθέσεις σε chatbot AI που όταν εισάγονται προκαλούν την αφαίρεση των προστατευτικών κιγκλιδωμάτων ασφαλείας και νομιμότητας των chatbot AI. Αυτός είναι επίσης ένας σημαντικός τομέας έρευνας σε πολλά ερευνητικά ιδρύματα που σχετίζονται με την τεχνητή νοημοσύνη.

Πώς πρέπει να προχωρήσουν οι εταιρείες και οι χρήστες

Εάν αισθάνεστε ότι αυτό θα μπορούσε να αποτελέσει σοβαρή απειλή επαγγελματικά ή προσωπικά, έχετε δίκιο – αλλά δεν είναι όλα απελπιστικά. Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντείνονται και αναζητούν τρόπους αντιμετώπισης και απάντησης σε αυτές τις επιθέσεις. Ένα μέτρο που πραγματοποιούν πολλές εταιρείες είναι η συνεχής εκπαίδευση και κατάρτιση των τελικών χρηστών για να δουν εάν οι εργαζόμενοι και οι χρήστες όντως παρασύρονται από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου.

Ο αυξημένος όγκος ύποπτων και στοχευμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου σημαίνει ότι μια υπενθύμιση εδώ και εκεί μπορεί να μην είναι πλέον αρκετή και οι εταιρείες θα πρέπει πλέον να εξασκούνται επίμονα στην εφαρμογή ευαισθητοποίησης για την ασφάλεια μεταξύ των χρηστών. Οι τελικοί χρήστες θα πρέπει επίσης όχι απλώς να υπενθυμίζονται, αλλά να ενθαρρύνονται να αναφέρουν μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται δόλια και να συζητούν τις ανησυχίες τους σχετικά με την ασφάλεια. Αυτό δεν ισχύει μόνο για εταιρείες και ασφάλεια σε ολόκληρη την εταιρεία, αλλά και για εμάς ως μεμονωμένους χρήστες. Εάν οι τεχνολογικοί γίγαντες θέλουν να εμπιστευόμαστε τις υπηρεσίες email τους για τις προσωπικές μας ανάγκες email, τότε θα πρέπει να συνεχίσουν να χτίζουν τις άμυνές τους με τέτοιους τρόπους.

Εκτός από αυτήν την αλλαγή σε επίπεδο κουλτούρας σε επιχειρήσεις και εταιρείες, ο Steffen επαναλαμβάνει επίσης τη σημασία των εργαλείων φιλτραρίσματος email που μπορούν να ενσωματώσουν δυνατότητες AI και να βοηθήσουν στην αποτροπή κακόβουλων μηνυμάτων από το να φτάσουν στους χρήστες. Είναι μια διαρκής μάχη που απαιτεί τακτικές δοκιμές και ελέγχους, καθώς οι απειλές εξελίσσονται πάντα και όσο βελτιώνονται οι ικανότητες του λογισμικού τεχνητής νοημοσύνης, θα βελτιώνονται και οι απειλές που τις χρησιμοποιούν.

Οι εταιρείες πρέπει να βελτιώσουν τα συστήματα ασφαλείας τους και καμία ενιαία λύση δεν μπορεί να αντιμετωπίσει πλήρως όλους τους κινδύνους που θέτουν οι επιθέσεις ηλεκτρονικού ταχυδρομείου που δημιουργούνται από την τεχνητή νοημοσύνη. Ο Steffen επισημαίνει ότι μια στρατηγική μηδενικής εμπιστοσύνης μπορεί να συμβάλει στην κάλυψη των κενών ελέγχου που προκαλούνται από τις επιθέσεις και να βοηθήσει στην παροχή άμυνας για τους περισσότερους οργανισμούς. Οι μεμονωμένοι χρήστες θα πρέπει να είναι πιο προσεκτικοί σχετικά με την πιθανότητα να υποστούν phish και να εξαπατηθούν, επειδή έχει αυξηθεί.

Μπορεί να είναι εύκολο να υποκύψουμε σε απαισιοδοξία για τέτοιου είδους θέματα, αλλά μπορούμε να είμαστε πιο επιφυλακτικοί σχετικά με το τι επιλέγουμε να κάνουμε κλικ. Αφιερώστε ένα επιπλέον λεπτό, μετά ένα άλλο, και ελέγξτε όλες τις πληροφορίες – μπορείτε ακόμη και να αναζητήσετε τη διεύθυνση email από την οποία λάβατε ένα συγκεκριμένο email και να δείτε εάν κάποιος άλλος είχε προβλήματα σχετικά με αυτό. Είναι ένας δύσκολος κόσμος καθρέφτης στο διαδίκτυο και αξίζει ολοένα και περισσότερο να διατηρείτε το μυαλό σας για εσάς.

VIA:

TechRadar.com/

Παρόμοια άρθρα