Що таке фішинг на основі штучного інтелекту та як LLM збільшують ризики фішингу

  • Ключові виноски:
  • Що таке фішинг на основі штучного інтелекту?
    Це метод кібератаки, в якому генеративні інструменти штучного інтелекту використовуються для створення гіперреалістичних та персоналізованих фішингових електронних листів.
  • Як штучний інтелект підвищує ефективність фішингу?
    Шляхом створення граматично правильних, контекстуалізованих та переконливих повідомлень у великих масштабах.
  • Чому атаки, згенеровані штучним інтелектом, важче виявити?
    Вони уникають традиційних методів зіставлення зі зразками, змінюючи структуру, тон та словниковий запас.
  • Які потенційні ризики для організацій?
    Збільшення показників клікабельності, компрометація облікових даних та горизонтальне переміщення через єдине порушення.
  • Які стратегії виявлення ефективні проти фішингу зі штучним інтелектом?
    Аналітика на основі поведінки, міжканальна кореляція та моніторинг активності користувачів.
  • Як Stellar Cyber ​​допомагає виявляти фішинг за допомогою штучного інтелекту?
    Шляхом співвіднесення індикаторів фішингу на рівнях електронної пошти, кінцевих точок та мережі в межах Open XDR платформи.
У мільйонах кампаній, проведених зловмисниками протягом останніх 12 місяців, фішингові електронні листи та повідомлення стали можливим шляхом для переважної більшості зловмисників. Поведінку людини неможливо виправити, а навчання потребує часу. Рівень загрози підвищують моделі великих мов (LLM) – їх зараз використовуються для пришвидшення створення атак, оптимізації сигналів та автоматизації налаштування повідомлень. У цій статті ми детальніше розглянемо фішингові атаки на основі штучного інтелекту та запропонуємо спосіб захисту вашої організації.
#заголовок_зображення

Як штучний інтелект та машинне навчання покращують кібербезпеку підприємств

З'єднання всіх точок у складному ландшафті загроз

Детальніше
#заголовок_зображення

Відчуйте безпеку на базі штучного інтелекту в дії!

Відкрийте для себе передовий штучний інтелект Stellar Cyber ​​для миттєвого виявлення загроз та реагування на них. Заплануйте свою демонстрацію вже сьогодні!

Графік демонстрації

Підготовка до фішингу за допомогою штучного інтелекту: рівень кліків залежить від двох факторів

Фішингові атаки, як і багато інших у сфері кібербезпеки, мають циклічний характер. Певний тип фішингової атаки стає особливо популярним та успішним, він потрапляє до уваги співробітників служби безпеки, і співробітники проходять навчання його особливостям. І все ж задовільного висновку немає – на відміну від програмного патчу, співробітники все одно потрапляють у пастку, часто попри роки досвіду роботи та навчання фішингу.

Якщо копнути глибше, найпопулярнішим варіантом оцінки рівня готовності організації до фішингу є загальний коефіцієнт кліків. Це дає просте уявлення про те, хто попався на внутрішньо створені фішингові електронні листи. Однак цей показник постійно змінюється. І коли керівники відділів інформаційної безпеки шукають докази того, що їхнє трудомістке та ресурсомістке навчання фішингу працює, керівники з оцінювання можуть навіть спокуситися зменшити складність цих фішингових атак, прагнучи нижчого коефіцієнта кліків – опосередковано руйнуючи загальну безпекову позицію організації.

У 2020 році дослідники Мішель Стівс, Крістен Грін та Мері Теофанос нарешті змогли класифікувати ці нескінченно змінні тести в єдину шкалу фішингових розсилок (PDF). При цьому вони визначили, що «складність» фішингового електронного листа залежить лише від двох ключових якостей:

    • Підказки, що містяться в повідомленні; також відомі як «гачки», або характеристики форматування чи стилю повідомлення, які можуть викрити його як зловмисне.
    • Контекст користувача.

    • Зазвичай, менша кількість підказок призводила до вищого показника кліків, як і те, наскільки лист відповідав власному контексту користувача. Щоб пролити світло на шкалу, наступний приклад досяг формульних 30 балів особистої відповідності з можливих 32:

    Як організація, NIST приділяє велику увагу безпеці, і ніде це не проявляється так сильно, як серед керівників лабораторій та ІТ-команд. Щоб скористатися цим, з підробленої адреси Gmail було створено тестовий електронний лист, який нібито був відправлений одним із директорів NIST. У темі листа було написано «БУДЬ ЛАСКА, ПРОЧИТАЙТЕ ЦЕ»; у тексті листа називалося ім’я одержувача та зазначалося: «Я дуже рекомендую вам прочитати це». Наступний рядок містив URL-адресу з текстом «Вимоги безпеки». Лист завершувався простим підписом від (нібито) директора.

    Цей електронний лист – та інші, що зосереджувалися на надзвичайно узгоджених вимогах безпеки – мали середній показник кліків 49.3%. Навіть у вражаюче коротких атаках з одного рядка – саме підказки та особиста спрямованість повідомлення визначають його ефективність.

    Як фішинг зі штучним інтелектом підсилює обидва важелі

    Підказки складають більшу частину навчання співробітників фішинговим атакам, оскільки вони пропонують одержувачу спосіб зазирнути за завісу атаки, перш ніж вона станеться. Головним чином це орфографічні та граматичні помилки: цей акцент настільки поширений, що багато хто вважає, що орфографічні помилки навмисно додаються до фішингових електронних листів, щоб виділити вразливих.

    Хоча ідея гарна, такий підхід робить переважну більшість людей ще більш вразливими до фішингових атак. Все, що зловмисникам потрібно зробити зараз, це перевірити граматику та форматування повідомлення, щоб досягти достатньої правдоподібності при швидкому прочитанні. LLM – ідеальний інструмент для цього, пропонуючи безкоштовне володіння мовою на рівні рідного мовлення.

    А усуваючи найочевидніші якості фішингового електронного листа, зловмисники отримують повну свободу дій, щоб почати брати гору. Дослідження Стівса та ін. визнає, що – важливіше за самі підказки – це те, наскільки добре атака узгоджується з власною передумовою одержувача. Саме в цій галузі LLM мають унікальні досягнення.

    LLM неймовірно ефективні у порушеннях конфіденційності

    Особиста згода досягається знанням своєї цілі; саме тому фішингові атаки з використанням рахунків-фактур зазнають невдачі майже в кожному відділі, окрім фінансового. Однак зловмисники навряд чи будуть місяцями вивчати своїх жертв у реальних умовах; їх невпинний мотив отримання прибутку диктує, що атаки мають бути ефективними.

    На щастя для них, LLM можуть проводити широкомасштабні кампанії зі збору даних та висновків майже безкоштовно. Дослідження 2024 року, проведене Робіном Стаабом та ін. (PDF) був першим дослідженням, яке дослідило, наскільки добре попередньо навчені LLM можуть виводити особисті дані з тексту. Було зібрано 520 псевдонімізованих профілів Reddit для їх повідомлень та перевірено на основі низки моделей, щоб побачити, який вік, місцезнаходження, дохід, освіта та професія, ймовірно, має кожен коментатор.

    Щоб зрозуміти, як це працює, розглянемо коментар щодо поїздок на роботу: «Я… застрягаю в очікуванні повороту гачка»

    GPT-4 зміг розпізнати невеликий сигнал – «поворот на гак» – це дорожній маневр, який особливо часто використовується в Мельбурні. Інші коментарі в зовсім інших темах і контекстах включали згадку про ціну «34D» та особисту розповідь про те, як вони дивилися «Твін Пікс» після повернення додому зі школи. Загалом GPT зміг правильно зробити висновок, що користувачем була жінка, яка проживає в Мельбурні, віком від 45 до 50 років.

    1d4559950da7e6799ec76a56595aaa72.png

    Повторивши процес для всіх 520 профілів користувачів, дослідники виявили, що GPT-4 може правильно визначити стать та місце народження автора публікації з показником 97% та 92% відповідно. На тлі аналізу фішингу на робочому місці, проведеного в попередньому дослідженні, здатність LLM робити висновки про глибокі особисті якості з публікацій у соціальних мережах стає особливо тривожною, якщо задуматися про кількість інформації на інших, менш анонімних сайтах, таких як LinkedIn.

    Цей процес висновків, загалом, відбувається у 240 разів швидше, ніж людський набір даних міг би зробити ті ж висновки, і за значно меншу вартість. Якщо залишити осторонь припущення, саме останній компонент робить фішинг на базі штучного інтелекту таким надзвичайно потужним: вартість.

    LLM посилюють економіку фішингу

    Прибутки від фішингових кампаній, що здійснюються за допомогою людської сили, не обмежуються кількістю людей, які натискають на них; їх обмежує трудомістке завдання написання нових або персоналізованих кампаній. Оскільки фішингові зловмисники переважно керуються фінансовою вигодою, балансування між персоналізацією та натисканням кнопки «Надіслати» дозволило контролювати масштаби деяких операцій.

    Оскільки LLM тепер здатні створювати маси фішингових повідомлень за лічені хвилини, а також визначати шляхи налаштування для кожної жертви, інструментарій зловмисників ще ніколи не був таким добре укомплектованим.

    Йдіть в ногу зі Stellar Cyber

    Навчання співробітників потребує часу, а темпи розвитку фішингу загрожують поставити під загрозу тисячі підприємств. Щоб впоратися з цим підвищеним рівнем загрози, Stellar Cyber ​​пропонує інтегрований захист мережі та кінцевих точок, який не дає зловмисникам проникнути, навіть якщо вони пробираються повз співробітника.

    Моніторинг кінцевих точок дозволяє отримувати інформацію про потенційне розгортання шкідливого програмного забезпечення в режимі реального часу, тоді як захист мережі дозволяє побачити та зупинити зловмисника від встановлення там плацдарму. Аналіз поведінки користувачів та об'єктів (UEBA) дозволяє оцінювати кожну дію в контексті того, що є нормальним, що додатково допомагає виявляти ознаки потенційного зламу облікового запису. Захистіть свою команду та не допускайте зловмисників за допомогою Відкриття Stellar Cyber XDR.

    Звучить занадто добре, щоб
    бути правдою?
    Подивіться самі!

    Запит на демонстрацію
    Прокрутка до початку
    Підпишіться на розсилку