Cos'è il phishing basato sull'intelligenza artificiale e come gli LLM aumentano i rischi di phishing

  • Punti Salienti:
  • Cos'è il phishing basato sull'intelligenza artificiale?
    Si tratta di un metodo di attacco informatico in cui vengono utilizzati strumenti di intelligenza artificiale generativa per creare e-mail di phishing personalizzate e iperrealistiche.
  • In che modo l'intelligenza artificiale migliora l'efficacia del phishing?
    Generando messaggi grammaticalmente corretti, contestualizzati e convincenti su larga scala.
  • Perché gli attacchi generati dall'intelligenza artificiale sono più difficili da rilevare?
    Evitano le tecniche tradizionali di abbinamento di modelli variando struttura, tono e vocabolario.
  • Quali sono i potenziali rischi per le organizzazioni?
    Aumento dei tassi di clic, compromissione delle credenziali e spostamento laterale a seguito di una singola violazione.
  • Quali strategie di rilevamento sono efficaci contro il phishing basato sull'intelligenza artificiale?
    Analisi basate sul comportamento, correlazione tra canali e monitoraggio delle attività degli utenti.
  • In che modo Stellar Cyber ​​aiuta a rilevare il phishing basato sull'intelligenza artificiale?
    Correlando gli indicatori di phishing tra i livelli di posta elettronica, endpoint e rete al suo interno Open XDR piattaforma.
Nelle milioni di campagne condotte dagli aggressori negli ultimi 12 mesi, le e-mail e i messaggi di phishing hanno fornito un modo per entrare per la stragrande maggioranza. Il comportamento umano non è correggibile e la formazione richiede tempo. Ad aumentare il livello di minaccia ci sono i Large Language Models (LLM), che ora vengono utilizzati per accelerare la creazione di attacchi, semplificare gli spunti e automatizzare la personalizzazione dei messaggi. Questo articolo approfondirà gli attacchi di phishing basati sull'intelligenza artificiale e fornirà un modo per la tua organizzazione di rimanere protetta.
#titolo_immagine

In che modo l'intelligenza artificiale e l'apprendimento automatico migliorano la sicurezza informatica aziendale

Collegare tutti i punti in un panorama di minacce complesse

Scopri di Più
#titolo_immagine

Scopri la sicurezza basata sull'intelligenza artificiale in azione!

Scopri l'intelligenza artificiale all'avanguardia di Stellar Cyber ​​per il rilevamento e la risposta alle minacce istantanee. Pianifica la tua demo oggi stesso!

Pianifica una demo

Preparare il terreno per il phishing basato sull'intelligenza artificiale: i tassi di clic sono guidati da due leve

Gli attacchi di phishing, come molti altri nell'ambito della sicurezza informatica, hanno una durata circolare. Un certo stile di attacco di phishing diventa particolarmente popolare e di successo, cattura l'attenzione del personale addetto alla sicurezza e i dipendenti vengono formati sulle sue particolarità. E tuttavia, non c'è una conclusione soddisfacente: a differenza di una patch software, i dipendenti vengono comunque scoperti, spesso nonostante anni di esperienza nel ruolo e formazione sul phishing.

Quando si cerca di scavare più a fondo, l'opzione più popolare per valutare il livello di preparazione al phishing di un'organizzazione è un tasso di clic complessivo. Questo fornisce una semplice istantanea di chi è caduto nella finta e-mail di phishing creata internamente. Tuttavia, questa metrica è ostinatamente variabile. E quando i CISO cercano la prova che la loro formazione sul phishing, che richiede molto tempo e risorse, funziona, i responsabili della valutazione potrebbero persino essere tentati di ridurre la complessità di questi finti attacchi di phishing, cercando un tasso di clic inferiore, cannibalizzando indirettamente la posizione di sicurezza complessiva dell'organizzazione.

Nel 2020, le ricercatrici Michelle Steves, Kristen Greene e Mary Theofanos sono finalmente riuscite a categorizzare questi test infinitamente variabili in un'unica Phish Scale (PDF). Così facendo, hanno identificato che la "difficoltà" di un'e-mail di phishing è proporzionale a due qualità chiave:

    • Gli indizi contenuti nel messaggio, altrimenti noti come "ganci", ovvero le caratteristiche della formattazione o dello stile di un messaggio che potrebbero rivelarne la natura dannosa.
    • Il contesto dell'utente.

    • In genere, meno indizi hanno portato a percentuali di clic più elevate, così come quanto l'email si allinea al contesto dell'utente. Per fare un po' di luce sulla scala, il seguente esempio ha raggiunto 30 punti di allineamento personale su 32 possibili:

    Come organizzazione, il NIST pone una forte enfasi sulla sicurezza, e questo è particolarmente vero all'interno dei responsabili di laboratorio e dei team IT. Per trarne vantaggio, è stata creata un'e-mail di prova da un indirizzo Gmail contraffatto che sosteneva di essere di uno dei direttori del NIST. L'oggetto recitava "LEGGI QUESTO"; il corpo salutava il destinatario per nome e affermava "Ti consiglio vivamente di leggere questo". La riga successiva era un URL con il testo "Requisiti di sicurezza". Si concludeva con una semplice firma del (presunto) direttore.

    Questa e-mail, e altre incentrate su requisiti di sicurezza iper-allineati, hanno avuto percentuali di clic medie del 49.3%. Anche in attacchi sorprendentemente brevi e composti da una sola riga, sono gli spunti del messaggio e l'allineamento personale a determinarne l'efficacia.

    Come il phishing tramite intelligenza artificiale sta potenziando entrambe le leve

    Gli indizi costituiscono la maggior parte della formazione sul phishing dei dipendenti, in quanto offrono al destinatario un modo per sbirciare dietro le quinte di un attacco prima che avvenga. I principali sono gli errori di ortografia e grammatica: questo focus è così diffuso che molti pensano che gli errori di ortografia siano aggiunti intenzionalmente alle e-mail di phishing, per individuare i vulnerabili.

    Sebbene sia una bella idea, questo approccio rende la stragrande maggioranza delle persone ancora più vulnerabile agli attacchi di phishing. Tutto ciò che gli aggressori devono fare ora è rendere a prova di proiettile la grammatica e la formattazione del messaggio per ottenere una plausibilità appena sufficiente in una rapida lettura veloce. Gli LLM sono lo strumento perfetto per questo, offrendo una fluidità di livello nativo gratuitamente.

    Ed eliminando le caratteristiche più evidenti di un'e-mail di phishing, gli aggressori sono liberi di iniziare ad avere la meglio. Lo studio di Steves et al. riconosce come, più importante degli indizi, sia quanto un attacco si allinei alla premessa del destinatario. È in questo campo che gli LLM eccellono in modo unico.

    Gli LLM sono incredibilmente efficienti nelle violazioni della privacy

    L'allineamento personale si ottiene conoscendo il proprio obiettivo; è il motivo per cui gli attacchi di phishing delle fatture falliscono in quasi tutti i reparti, eccetto la finanza. Tuttavia, è improbabile che gli aggressori studino le loro vittime per mesi in natura; il loro incessante motivo di profitto impone che gli attacchi debbano essere efficienti.

    Fortunatamente per loro, gli LLM sono in grado di condurre campagne di raccolta dati e inferenza su larga scala a un costo quasi nullo. Studio del 2024 di Robin Staab et al (PDF) è stato il primo a studiare quanto bene gli LLM pre-addestrati riescano a dedurre i dettagli personali dal testo. Una selezione di 520 profili Reddit pseudonimizzati è stata estratta per i loro messaggi e analizzata attraverso una selezione di modelli per vedere quale età, posizione, reddito, istruzione e occupazione era probabile che avesse ogni commentatore.

    Per avere un'idea di come funziona, prendi in considerazione un commento sui tragitti casa-lavoro: "Io... resto bloccato in attesa di un gancio"

    GPT-4 è stato in grado di cogliere il piccolo indizio che è un "hook turn", una manovra di traffico usata in particolare a Melbourne. Altri commenti in thread e contesti completamente diversi includevano la menzione del prezzo di un "34D" e un aneddoto personale su come erano soliti guardare Twin Peaks dopo essere tornati a casa dal liceo. Nel complesso, GPT è stato in grado di dedurre correttamente che l'utente era una donna che viveva a Melbourne, di età compresa tra 45 e 50 anni.

    1d4559950da7e6799ec76a56595aaa72.png

    Ripetendo il processo su tutti i 520 profili utente, i ricercatori hanno scoperto che GPT-4 può dedurre correttamente il sesso e il luogo di nascita di un utente a una velocità rispettivamente del 97% e del 92%. All'ombra dell'analisi precedente dello studio sul phishing sul posto di lavoro, la capacità degli LLM di dedurre qualità personali approfondite dai post sui social media diventa particolarmente allarmante se ci si ferma a pensare alla quantità di informazioni su altri siti meno anonimi, come LinkedIn.

    Questo processo di inferenza, nel complesso, avviene 240 volte più velocemente di quanto il set di dati umano potrebbe trarre le stesse conclusioni, e a una frazione del costo. Speculazioni a parte, è quest'ultimo componente che rende il phishing basato sull'intelligenza artificiale così immensamente potente: il costo.

    Gli LLM potenziano l'economia del phishing

    I profitti delle campagne di phishing gestite da esseri umani non sono ostacolati dal numero di persone che cliccano su di esse; lo sono dal compito laborioso di scriverne di nuove o personalizzate. Poiché gli aggressori del phishing sono prevalentemente spinti dal guadagno finanziario, l'atto di bilanciamento tra personalizzazione e pressione di invio ha mantenuto sotto controllo la portata di alcune operazioni.

    Grazie alla capacità degli LLM di produrre grandi quantità di messaggi di phishing in pochi minuti, oltre a dedurre percorsi di personalizzazione per ogni vittima, gli strumenti a disposizione degli aggressori non sono mai stati così ben forniti.

    Tieni il passo con Stellar Cyber

    La formazione dei dipendenti richiede tempo e il ritmo con cui si sta evolvendo il phishing minaccia di mettere a rischio migliaia di aziende. Per gestire questo elevato livello di minaccia, Stellar Cyber ​​offre difese integrate di rete ed endpoint che tengono fuori gli aggressori, anche se riescono a insinuarsi oltre un dipendente.

    Il monitoraggio degli endpoint consente di ottenere informazioni in tempo reale sulla potenziale distribuzione di malware, mentre la protezione della rete consente di individuare e impedire a un aggressore di stabilirsi lì. Analisi del comportamento di utenti ed entità (UEBA) ti consente di valutare ogni azione nel contesto di ciò che è normale, aiutandoti ulteriormente a individuare segnali di potenziale compromissione dell'account. Proteggi il tuo team e tieni lontani gli aggressori con Stellar Cyber ​​è aperto XDR.

    Sembra troppo bello per
    essere vero?
    Guardalo tu stesso!

    Richiedi una demo
    Scorrere fino a Top
    Iscriviti alle newsletter