Czym jest phishing oparty na sztucznej inteligencji i w jaki sposób LLM zwiększają ryzyko phishingu
- Kluczowe dania na wynos:
-
Czym jest phishing oparty na sztucznej inteligencji?
To metoda cyberataku, w której narzędzia oparte na sztucznej inteligencji służą do tworzenia hiperrealistycznych i spersonalizowanych wiadomości e-mail phishingowych. -
W jaki sposób sztuczna inteligencja zwiększa skuteczność phishingu?
Poprzez generowanie na dużą skalę poprawnych gramatycznie, kontekstualizowanych i przekonujących komunikatów. -
Dlaczego ataki generowane przez sztuczną inteligencję są trudniejsze do wykrycia?
Unikają tradycyjnych technik dopasowywania wzorców poprzez zróżnicowanie struktury, tonu i słownictwa. -
Jakie są potencjalne zagrożenia dla organizacji?
Zwiększona liczba kliknięć, naruszenie bezpieczeństwa danych uwierzytelniających i ruch boczny spowodowany pojedynczym naruszeniem. -
Jakie strategie wykrywania są skuteczne w walce z phishingiem wykorzystującym sztuczną inteligencję?
Analityka oparta na zachowaniach, korelacja międzykanałowa i monitorowanie aktywności użytkowników. -
W jaki sposób Stellar Cyber pomaga wykrywać phishing oparty na sztucznej inteligencji?
Poprzez korelację wskaźników phishingu w warstwie poczty e-mail, punktów końcowych i sieci w ramach Open XDR Platforma.
Jak sztuczna inteligencja i uczenie maszynowe poprawiają cyberbezpieczeństwo przedsiębiorstwa
Łączenie wszystkich kropek w złożonym krajobrazie zagrożeń
Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!
Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber do natychmiastowego wykrywania zagrożeń i reagowania. Zaplanuj demo już dziś!
Przygotowanie gruntu pod phishing AI: współczynnik kliknięć zależy od dwóch dźwigni
Ataki phishingowe – podobnie jak wiele innych w obszarze cyberbezpieczeństwa – mają cykl życia cykliczny. Pewien styl ataku phishingowego staje się szczególnie popularny i skuteczny, zwraca uwagę pracowników ochrony, a pracownicy są szkoleni w zakresie jego specyfiki. A jednak nie ma zadowalającego wniosku – w przeciwieństwie do łatki oprogramowania, pracownicy nadal dają się nabrać, często pomimo wieloletniego doświadczenia na danym stanowisku i szkolenia w zakresie phishingu.
Kiedy próbujemy sięgnąć głębiej, najpopularniejszą opcją oceny poziomu gotowości organizacji na phishing jest ogólny współczynnik klikalności. Daje to prosty obraz tego, kto dał się nabrać na wewnętrznie spreparowaną próbną wiadomość e-mail phishingową. Jednak wskaźnik ten jest stale zmienny. A gdy CISO szukają dowodu, że ich czasochłonne i wymagające dużych zasobów szkolenie w zakresie phishingu przynosi efekty, liderzy oceniający mogą nawet ulec pokusie zmniejszenia złożoności pozorowanych ataków phishingowych, starając się uzyskać niższy współczynnik klikalności, co pośrednio kanibalizuje ogólne stanowisko organizacji w zakresie bezpieczeństwa.
W 2020 roku badacze Michelle Steves, Kristen Greene i Mary Theofanos w końcu byli w stanie sklasyfikować te nieskończenie zmienne testy w jednej skali Phisha (PDF). W ten sposób ustalili, że „trudność” wiadomości e-mail phishingowej zależy od zaledwie dwóch kluczowych cech:
- Wskazówki zawarte w wiadomości; inaczej zwane „hakami” lub cechami formatowania lub stylu wiadomości, które mogą zdemaskować jej przykrywkę jako złośliwą.
- Kontekst użytkownika.
Ogólnie rzecz biorąc, mniej wskazówek prowadziło do wyższych współczynników klikalności, podobnie jak stopień dopasowania wiadomości e-mail do kontekstu użytkownika. Aby rzucić trochę światła na skalę, poniższy przykład pozwolił uzyskać formalne 30 punktów osobistego dopasowania z możliwych 32:
Jako organizacja, NIST kładzie duży nacisk na bezpieczeństwo i nigdzie nie jest to bardziej prawdziwe niż w przypadku kierowników laboratoriów i zespołów IT. Aby to wykorzystać, utworzono testową wiadomość e-mail ze fałszywego adresu Gmail, który rzekomo pochodził od jednego z dyrektorów NIST. Temat brzmiał: „PROSZĘ PRZECZYTAJ TO”; organ przywitał odbiorcę po imieniu i stwierdził: „Bardzo zachęcam do przeczytania tego”. Następną linią był adres URL z tekstem „Wymagania bezpieczeństwa”. Zakończyło się prostym podpisem od (rzekomego) dyrektora.
Ten e-mail – i inne skupiające się na bardzo dostosowanych wymaganiach bezpieczeństwa – miał średni współczynnik klikalności wynoszący 49.3%. Nawet w przypadku szokująco krótkich, jednowierszowych ataków – to wskazówki zawarte w przekazie i osobiste nastawienie decydują o jego skuteczności.
Jak sztuczna inteligencja phishing przyspiesza obie dźwignie
Wskazówki stanowią większość szkoleń dla pracowników w zakresie phishingu, ponieważ umożliwiają odbiorcy zajrzenie za kurtynę ataku, zanim on nastąpi. Najważniejszym z nich są błędy ortograficzne i gramatyczne: problem ten jest tak powszechny, że wielu uważa, że błędy ortograficzne są celowo dodawane do wiadomości e-mail phishingowych, aby wyróżnić bezbronnych.
Choć jest to dobry pomysł, takie podejście sprawia, że zdecydowana większość ludzi jest jeszcze bardziej podatna na ataki phishingowe. Jedyne, co atakujący muszą teraz zrobić, to sprawdzić gramatykę i formatowanie wiadomości, aby uzyskać wystarczającą wiarygodność przy szybkim przeczytaniu. LLM są do tego idealnym narzędziem, oferując płynność na poziomie natywnym za darmo.
Eliminując najbardziej oczywiste cechy wiadomości e-mail phishingowej, napastnicy mogą zacząć zdobywać przewagę. Badanie Stevesa i wsp. potwierdza, że – ważniejsze niż wskazówki – jest to, jak dobrze atak jest zgodny z założeniami odbiorcy. To właśnie w tej dziedzinie LLM wyróżniają się wyjątkowością.
LLM są niezwykle skuteczne w przypadku naruszeń prywatności
Osobiste dostosowanie osiąga się poprzez znajomość celu; dlatego ataki typu phishing na faktury kończą się niepowodzeniem w prawie każdym dziale z wyjątkiem finansów. Jest jednak mało prawdopodobne, aby napastnicy obserwowali swoje ofiary przez miesiące na wolności; ich nieustanna motywacja zysku wymaga, aby ataki były skuteczne.
Na szczęście dla nich firmy LLM są w stanie prowadzić szeroko zakrojone kampanie gromadzenia danych i wnioskowania niemal bez żadnych kosztów. A Badanie z 2024 r. przeprowadzone przez Robina Staaba i in (PDF) jako pierwsza zbadała, jak dobrze przeszkoleni specjaliści LLM mogą wyciągać dane osobowe z tekstu. Wybrano 520 pseudonimizowanych profili na Reddicie pod kątem ich wiadomości i sprawdzono wybrane modele, aby sprawdzić, jaki wiek, lokalizacja, dochody, wykształcenie i zawód prawdopodobnie będzie miał każdy z komentujących.
Aby zobaczyć, jak to działa, rozważ komentarz na temat dojazdów do pracy: „Utknąłem w oczekiwaniu na obrót haka”
GPT-4 był w stanie wychwycić małą wskazówkę, czyli „skręcić hak” – jest to manewr drogowy szczególnie używany w Melbourne. Inne komentarze w zupełnie innych wątkach i kontekstach obejmowały wzmiankę o cenie „34D” i osobistą anegdotę o tym, jak oglądali Twin Peaks po powrocie do domu ze szkoły średniej. Łącznie firma GPT prawidłowo wywnioskowała, że użytkownikiem była kobieta mieszkająca w Melbourne w wieku 45–50 lat.
Powtarzając proces na wszystkich 520 profilach użytkowników, badacze odkryli, że GPT-4 może poprawnie wnioskować o płci i miejscu urodzenia osoby zamieszczającej posty ze skutecznością odpowiednio 97% i 92%. W cieniu analizy phishingu w miejscu pracy przeprowadzonej w poprzednim badaniu, zdolność LLM do wnioskowania o głębokich cechach osobistych z postów w mediach społecznościowych staje się szczególnie alarmująca, gdy zatrzymasz się i pomyślisz o ilości informacji na innych, mniej anonimowych stronach – takich jak LinkedIn.
Ten proces wnioskowania, w sumie, zachodzi 240 razy szybciej niż ludzki zbiór danych, który mógłby wyciągnąć te same wnioski, i przy ułamku kosztów. Pomijając spekulacje, to właśnie ten ostatni składnik sprawia, że phishing oparty na sztucznej inteligencji jest tak niezwykle potężny: koszt.
Firmy LLM zwiększają ekonomikę phishingu
Zyski z kampanii phishingowych wspomaganych przez ludzi nie są ograniczane przez liczbę osób, które je klikają; ogranicza ich pracochłonne zadanie pisania nowych lub niestandardowych tekstów. Ponieważ atakującym phishingiem kierują się w przeważającej mierze korzyści finansowe, znalezienie równowagi między dostosowywaniem a naciśnięciem przycisku wysyłania pozwoliło utrzymać skalę niektórych operacji pod kontrolą.
Ponieważ LLM są obecnie w stanie wygenerować masę wiadomości phishingowych w ciągu zaledwie kilku minut – a także wnioskować o możliwościach dostosowania dla każdej ofiary – zestawy narzędzi atakujących nigdy nie były tak dobrze zaopatrzone.
Dotrzymuj kroku dzięki Stellar Cyber
Szkolenie pracowników wymaga czasu, a tempo rozwoju phishingu grozi narażeniem tysięcy firm. Aby poradzić sobie z tym podwyższonym poziomem zagrożenia, Stellar Cyber oferuje zintegrowaną ochronę sieci i punktów końcowych, która powstrzymuje atakujących, nawet jeśli przedostaną się przez pracownika.
Monitorowanie punktów końcowych umożliwia wgląd w czasie rzeczywistym w potencjalne rozprzestrzenianie się złośliwego oprogramowania, a ochrona sieci pozwala na monitorowanie i uniemożliwianie atakującym dostępu do sieci. Analiza zachowań użytkowników i jednostek (UEBA) pozwala ocenić każdą czynność w kontekście tego, co jest normalne, co dodatkowo pomaga w wykrywaniu oznak potencjalnego naruszenia bezpieczeństwa konta. Chroń swój zespół i zapobiegaj atakom dzięki Otwarte Stellar Cyber XDR.
