¿Qué es el phishing impulsado por IA y cómo los LLM aumentan los riesgos de phishing?
- Puntos clave:
-
¿Qué es el phishing impulsado mediante inteligencia artificial?
Es un método de ciberataque en el que se utilizan herramientas de inteligencia artificial generativa para crear correos electrónicos de phishing hiperrealistas y personalizados. -
¿Cómo mejora la IA la eficacia del phishing?
Generando mensajes gramaticalmente correctos, contextualizados y convincentes a gran escala. -
¿Por qué los ataques generados por IA son más difíciles de detectar?
Evitan las técnicas tradicionales de comparación de patrones variando la estructura, el tono y el vocabulario. -
¿Cuáles son los riesgos potenciales para las organizaciones?
Aumento de las tasas de clics, compromiso de credenciales y movimiento lateral a partir de una única infracción. -
¿Qué estrategias de detección son efectivas contra el phishing de IA?
Análisis basado en el comportamiento, correlación entre canales y monitoreo de la actividad del usuario. -
¿Cómo ayuda Stellar Cyber a detectar el phishing impulsado por IA?
Al correlacionar los indicadores de phishing en las capas de correo electrónico, punto final y red dentro de su Abrir XDR .
Cómo la IA y el aprendizaje automático mejoran la ciberseguridad empresarial
Conectando todos los puntos en un panorama de amenazas complejo
¡Experimente la seguridad impulsada por IA en acción!
Descubra la IA de vanguardia de Stellar Cyber para una detección y respuesta instantáneas a amenazas. ¡Programe su demostración hoy!
Preparando el escenario para el phishing de IA: las tasas de clics están impulsadas por dos palancas
Los ataques de phishing, como muchos dentro del ámbito de la ciberseguridad, tienen una vida útil circular. Un determinado estilo de ataque de phishing se vuelve particularmente popular y exitoso, llega a la atención del personal de seguridad y los empleados reciben capacitación sobre sus particularidades. Y, sin embargo, no hay una conclusión satisfactoria: a diferencia de un parche de software, los empleados aún quedan atrapados, a menudo a pesar de años de experiencia en funciones y capacitación en phishing.
Al intentar profundizar más, la opción más popular para evaluar el nivel de preparación para el phishing de una organización es una tasa general de clics. Esto proporciona una instantánea simple de quién cayó en el correo electrónico de phishing simulado elaborado internamente. Sin embargo, esta métrica es obstinadamente variable. Y cuando los CISO buscan pruebas de que su capacitación en phishing, que requiere mucho tiempo y recursos, funciona, los líderes de evaluación pueden incluso verse tentados a reducir la complejidad de estos ataques de phishing simulados, buscando una tasa de clics más baja, canibalizando indirectamente la postura general de seguridad de la organización.
En 2020, las investigadoras Michelle Steves, Kristen Greene y Mary Theofanos finalmente pudieron categorizar estas pruebas infinitamente variables en una única escala de Phish (PDF). Al hacerlo, identificaron que la "dificultad" de un correo electrónico de phishing aumenta con solo dos cualidades clave:
- Las señales contenidas en el mensaje; también conocidos como "ganchos", o características del formato o estilo de un mensaje que podrían revelar su fachada como maliciosa.
- El contexto del usuario.
En general, menos señales condujeron a tasas de clics más altas, al igual que qué tan cerca se alinea el correo electrónico con el propio contexto del usuario. Para arrojar algo de luz sobre la escala, el siguiente ejemplo alcanza una fórmula de 30 puntos de alineación personal de 32 posibles:
Como organización, el NIST pone un gran énfasis en la seguridad, y en ningún lugar esto es más cierto que en los gerentes de laboratorio y los equipos de TI. Para aprovechar esto, se creó un correo electrónico de prueba a partir de una dirección de Gmail falsa que decía ser de uno de los directores del NIST. La línea de asunto decía "POR FAVOR LEA ESTO"; el cuerpo saludó al destinatario por su nombre y dijo: "Le recomiendo encarecidamente que lea esto". La siguiente línea era una URL con el texto "Requisitos de seguridad". Concluyó con una simple aprobación del (supuesto) director.
Este correo electrónico (y otros que se centraron en requisitos de seguridad hiperalineados) tuvo tasas de clics promedio del 49.3%. Incluso en ataques sorprendentemente breves y de una sola línea, son las señales del mensaje y la alineación personal las que dictan su eficacia.
Cómo el phishing con IA está potenciando ambas palancas
Las señales constituyen la mayor parte de la capacitación sobre phishing de los empleados, ya que ofrecen una manera para que el destinatario mire detrás de la cortina de un ataque antes de que suceda. Los principales problemas son los errores ortográficos y gramaticales: este enfoque es tan frecuente que muchos piensan que los errores ortográficos se agregan intencionalmente a los correos electrónicos de phishing para identificar a los vulnerables.
Si bien es una buena idea, este enfoque hace que la gran mayoría de las personas sean aún más vulnerables a los ataques de phishing. Todo lo que los atacantes deben hacer ahora es proteger la gramática y el formato del mensaje para lograr la plausibilidad suficiente en una lectura rápida. Los LLM son la herramienta perfecta para esto, ya que ofrecen fluidez a nivel nativo de forma gratuita.
Y al eliminar las cualidades más obvias de un correo electrónico de phishing, los atacantes pueden comenzar a tomar ventaja. El estudio de Steves et al reconoce que (más importante que las señales) es qué tan bien se alinea un ataque con la propia premisa del destinatario. Es este campo en el que los LLM se destacan de manera única.
LLM increíblemente eficientes en violaciones de privacidad
La alineación personal se logra conociendo a su objetivo; es por eso que los ataques de phishing de facturas fallan en casi todos los departamentos excepto en finanzas. Sin embargo, es poco probable que los atacantes estudien a sus víctimas durante meses en estado salvaje; su incesante afán de lucro dicta que los ataques deben ser eficientes.
Afortunadamente para ellos, los LLM pueden realizar campañas generalizadas de recopilación e inferencia de datos prácticamente sin costo alguno. A Estudio de 2024 de Robin Staab et al. (PDF) fue el primero en estudiar qué tan bien los LLM previamente capacitados pueden inferir detalles personales a partir de un texto. Se extrajeron una selección de 520 perfiles de Reddit seudónimos para sus mensajes y se analizaron una selección de modelos para ver qué edad, ubicación, ingresos, educación y ocupación era probable que tuviera cada comentarista.
Para tener una idea de cómo funciona esto, considere un comentario sobre los viajes diarios al trabajo: "Yo... me quedo atascado esperando un giro de gancho"
GPT-4 pudo captar la pequeña señal de que es un “giro de gancho”: es una maniobra de tráfico que se utiliza especialmente en Melbourne. Otros comentarios en hilos y contextos completamente diferentes incluyeron la mención del precio de un “34D” y una anécdota personal sobre cómo solían ver Twin Peaks después de regresar a casa de la escuela secundaria. En conjunto, GPT pudo inferir correctamente que el usuario era una mujer que vivía en Melbourne, entre 45 y 50 años.
Al repetir el proceso en los 520 perfiles de usuarios, los investigadores descubrieron que el GPT-4 puede inferir correctamente el género y el lugar de nacimiento de un usuario a una tasa del 97% y el 92% respectivamente. A la sombra del análisis del estudio anterior sobre el phishing en el lugar de trabajo, la capacidad de los LLM para inferir cualidades personales en profundidad a partir de publicaciones en las redes sociales se vuelve particularmente alarmante cuando uno se detiene a pensar en la cantidad de información que hay en otros sitios menos anónimos, como LinkedIn.
Este proceso de inferencia, en conjunto, se produce 240 veces más rápido de lo que el conjunto de datos humanos podría llegar a las mismas conclusiones, y a una fracción del costo. Dejando de lado las especulaciones, es este último componente lo que hace que el phishing impulsado por IA sea tan inmensamente poderoso: el costo.
Los LLM potencian la economía del phishing
Las ganancias de las campañas de phishing impulsadas por humanos no se ven obstaculizadas por la cantidad de personas que hacen clic en ellas; se ven atascados por la laboriosa tarea de escribir otros nuevos o personalizados. Como los atacantes de phishing están abrumadoramente impulsados por ganancias financieras, el acto de equilibrio entre la personalización y presionar enviar ha mantenido bajo control la escala de algunas operaciones.
Ahora que los LLM son capaces de producir grandes cantidades de mensajes de phishing en cuestión de minutos (además de inferir vías de personalización para cada víctima), los kits de herramientas de los atacantes nunca han estado tan bien abastecidos.
Manténgase al día con Stellar Cyber
La formación de los empleados lleva tiempo y el ritmo al que evoluciona el phishing amenaza con dejar en riesgo a miles de empresas. Para manejar este elevado nivel de amenaza, Stellar Cyber ofrece defensas integradas de red y endpoints que mantienen alejados a los atacantes, incluso si logran burlar a un empleado.
La monitorización de endpoints permite obtener información en tiempo real sobre la posible implementación de malware, mientras que la protección de la red permite detectar y detener a un atacante antes de que se establezca allí. Análisis del comportamiento de usuarios y entidades (UEBA) te permite evaluar cada acción en el contexto de lo normal, lo que te ayuda a detectar señales de una posible vulneración de la cuenta. Protege a tu equipo y ahuyenta a los atacantes con Stellar Cyber está abierto XDR.
