Генеративный ИИ может писать фишинговые электронные письма, но люди справляются с этим лучше, обнаружила IBM X-Force
25 октября 2023 г.Исследовательский проект IBM X-Force, возглавляемый главным хакером по работе с людьми Стефани «Сноу» Каррутерс, показал, что фишинговые электронные письма, написанные людьми, имеют на 3% более высокий рейтинг кликов, чем фишинговые электронные письма, написанные ChatGPT.
Исследовательский проект проводился в одной глобальной медицинской компании, расположенной в Канаде. Две другие организации планировали принять участие, но они отказались, когда их директора по информационной безопасности посчитали, что фишинговые электронные письма, рассылаемые в рамках исследования, могут слишком успешно обмануть членов их команды.
Перейти к:
- Методы социальной инженерии были адаптированы к целевому бизнесу
Как злоумышленники используют генеративный искусственный интеллект для фишинговых атак
Как защитить сотрудников от попыток фишинга на работе
Методы социальной инженерии были адаптированы к целевому бизнесу
Каррутерс обнаружил, что гораздо быстрее попросить большую языковую модель написать фишинговое письмо, чем исследовать и составить его лично. Это исследование, включающее в себя изучение наиболее насущных потребностей компаний, конкретных названий отделов и другой информации, используемой для настройки электронных писем, может занять у ее команды исследователей безопасности X-Force Red 16 часов. При использовании LLM потребовалось около пяти минут, чтобы обманом заставить чат-бота с генеративным искусственным интеллектом создать убедительный и вредоносный контент.
СМОТРИТЕ: Фишинговая атака под названием EvilProxy использует открытый редиректор легального сайта поиска работы Indeed.com. (Техреспублик)
Чтобы заставить ChatGPT написать электронное письмо, которое побудило кого-то щелкнуть вредоносную ссылку, исследователям IBM пришлось запросить LLM. Они попросили ChatGPT составить убедительное электронное письмо (рис. А), принимая во внимание основные области, беспокоящие сотрудников их отрасли, в данном случае — здравоохранение. Они поручили ChatGPT использовать методы социальной инженерии (доверие, авторитет и доказательство) и маркетинговые методы (персонализация, мобильная оптимизация и призыв к действию) для создания электронного письма, выдавающего себя за внутреннего менеджера по персоналу.
Рисунок А
Затем исследователи безопасности IBM X-Force Red создали собственное фишинговое письмо на основе своего опыта и исследований целевой компании (рис. B). Они подчеркнули срочность и предложили сотрудникам заполнить анкету.
Рисунок Б
Фишинговое письмо, созданное искусственным интеллектом, имело показатель кликов 11%, а фишинговое письмо, написанное людьми, имело показатель кликов 14%. Средний показатель кликов по фишинговым письмам в целевой компании составил 8%; средний показатель кликов по фишинговым письмам, обнаруженный X-Force Red, составляет 18%. Фишинговое письмо, созданное искусственным интеллектом, чаще считалось подозрительным, чем фишинговое письмо, написанное людьми. Вероятность среднего показателя кликов в целевой компании была низкой, поскольку эта компания ежемесячно использует фишинговую платформу, которая рассылает шаблонные, а не персонализированные электронные письма.
Исследователи объясняют успех своих электронных писем по сравнению с электронными письмами, созданными искусственным интеллектом, их способностью обращаться к эмоциональному интеллекту человека, а также тем, что они выбрали реальную программу внутри организации, а не широкую тему.
Как злоумышленники используют генеративный искусственный интеллект для фишинговых атак
Злоумышленники рекламируют такие инструменты, как WormGPT, вариант ChatGPT, который может отвечать на запросы, которые в противном случае были бы заблокированы этическими нормами ChatGPT. IBM X-Force отметила, что «X-Force не стала свидетелем широкомасштабного использования генеративного ИИ в текущих кампаниях», несмотря на то, что такие инструменты, как WormGPT, присутствуют на рынке «черных шляп».
«Хотя даже ограниченные версии генеративных моделей ИИ можно обмануть для фишинга с помощью простых подсказок, эти неограниченные версии могут предложить злоумышленникам более эффективные способы масштабирования сложных фишинговых писем в будущем», — написала Каррутерс в своем отчете об исследовательском проекте.
СМОТРИТЕ: Набор для найма: Инженер-подсказчик (TechRepublic Premium)
С другой стороны, существуют более простые способы фишинга, и злоумышленники не часто используют генеративный ИИ.
«Злоумышленники очень эффективны в фишинге даже без генеративного искусственного интеллекта… Зачем вкладывать больше времени и денег в область, которая уже имеет высокую рентабельность инвестиций?» Каррутерс написал TechRepublic.
Фишинг является наиболее распространенным вектором заражения для инцидентов в области кибербезопасности, как показала компания IBM в своем индексе анализа угроз за 2023 год.
«Мы не тестировали его в этом проекте, но по мере того, как генеративный ИИ становится все более сложным, он также может помочь злоумышленникам улучшить анализ разведывательных данных с открытым исходным кодом. Задача здесь — обеспечить достоверность и своевременность данных», — написал Каррутерс в электронном письме TechRepublic. «Со стороны защитника есть аналогичные преимущества. ИИ может помочь улучшить работу социальных инженеров, которые проводят симуляции фишинга в крупных организациях, ускоряя как написание электронных писем, так и сбор разведывательной информации с помощью открытых источников».
Как защитить сотрудников от попыток фишинга на работе
X-Force рекомендует предпринять следующие шаги, чтобы сотрудники не нажимали на фишинговые электронные письма.
- Если электронное письмо кажется подозрительным, позвоните отправителю и убедитесь, что письмо действительно от него.
Не думайте, что все спам-сообщения будут содержать неправильную грамматику или орфографию; вместо этого ищите электронные письма, которые длиннее, чем обычно, что может быть признаком того, что их написал ИИ.
Обучите сотрудников тому, как избежать фишинга по электронной почте или телефону.
Используйте расширенные средства управления идентификацией и доступом, такие как многофакторная аутентификация.
Регулярно обновляйте внутренние тактики, методы, процедуры, системы обнаружения угроз и учебные материалы для сотрудников, чтобы идти в ногу с достижениями в области генеративного искусственного интеллекта и других технологий, которые могут использовать злоумышленники.
Руководство по предотвращению фишинговых атак было опубликовано 18 октября Агентством кибербезопасности и безопасности инфраструктуры США, АНБ, ФБР и Межгосударственным центром обмена информацией и анализа.
Оригинал