ChatGPT می تواند فیشینگ را پیچیده تر کند

همانطور که نسخه جدید ابزار چت بات مبتنی بر هوش مصنوعی ChatGPT در این هفته منتشر شد، کارشناسان بزرگترین نگرانی خود را در مورد امنیت سایبری در مورد این فناوری تکرار کردند: اینکه می توان از آن برای نوشتن ایمیل های فیشینگ پیچیده تر استفاده کرد و سیستم های دولتی را در برابر حملات آسیب پذیرتر کرد.

OpenAI جدیدترین نسخه فناوری هوش مصنوعی خود را که به نام GPT-4 شناخته می شود، با نمایشی از شرکت نشان داد که در حال تهیه پیش نویس دعاوی، گذراندن آزمون های مختلف استاندارد و تجزیه و تحلیل متن و همچنین عکس هایی است که کاربران آپلود می کنند.

این شرکت خاطرنشان کرد که این آخرین نسخه از فناوری دارای “هدایت پذیری” بیشتری است، و به کاربران این امکان را می دهد که “سبک و وظایف هوش مصنوعی خود را تجویز کنند” به جای اینکه با شخصیت کلاسیک ChatGPT با “پرحرفی، لحن و سبک ثابت” گیر کنند.

و این قابلیت هدایت می‌تواند برای کمک به هکرها برای ایجاد ایمیل‌های فیشینگ مؤثرتر، به ویژه ایمیل‌هایی که ادعا می‌کنند از افراد خاصی هستند و برای طیف گسترده‌ای از همکارانشان ارسال می‌شوند، حیاتی باشد.

آن ارواین، دانشمند ارشد داده و معاون مدیریت محصول در شرکت بیمه سایبری Resilience، در مصاحبه ای به یاد می آورد که پیام متنی دریافت کرده است که به نظر می رسد از سوی مدیر عامل شرکت ویشال هاریپراساد باشد. او گفت که مشکوک است که این پیام توسط او ارسال نشده باشد زیرا او معمولاً پیام‌هایی را با نام مستعار V8 خود برای کارکنان امضا می‌کند، اما او خاطرنشان کرد که یک چت ربات مجهز به هوش مصنوعی می‌تواند یاد بگیرد که چگونه پیام‌ها را امضا می‌کند تا آنها را متقاعدتر کند.

ایروین که بیش از 15 سال را صرف تحقیق در مورد مدل‌های زبان بزرگ، هوش مصنوعی، یادگیری ماشینی و پردازش زبان طبیعی مانند آنچه در ChatGPT می‌کند، گفت: «این بسیار ترسناک است. توانایی تشخیص اینکه منبع یک متن “مشروع یا شرورانه است” سخت تر می شود. و این در حال حاضر بسیار سخت است،” او گفت.

دسیسه های مشابهی قبلاً با GPT-4 انجام شده است. این فناوری یک کارمند با بازار کار آزاد TaskRabbit را فریب داد تا یک تست CAPTCHA را برای آن حل کند، اگرچه تحقیقات اولیه OpenAI نشان داد که این مدل در حال حاضر “محدودیت های قابل توجهی” برای عملیات تهاجمی امنیت سایبری، از جمله فیشینگ و ایجاد راه هایی برای بهره برداری از آسیب پذیری ها دارد.

“[OpenAI researchers] این گزارش می‌گوید که این مدل ارتقای آماده‌ای برای قابلیت‌های مهندسی اجتماعی فعلی نیست، زیرا با وظایف واقعی مانند شمارش اهداف و استفاده از اطلاعات اخیر برای تولید محتوای فیشینگ مؤثرتر دست و پنجه نرم می‌کرد. با این حال، با داشتن دانش پس زمینه مناسب در مورد یک هدف، GPT-4 در پیش نویس محتوای مهندسی اجتماعی واقع گرایانه موثر بود. به عنوان مثال، یک تیم متخصص قرمز از GPT-4 به عنوان بخشی از جریان کار فیشینگ معمولی برای پیش‌نویس ایمیل‌های هدفمند برای کارمندان یک شرکت استفاده کرد.

در پاسخ، سازمان‌های دولتی باید آموزش فیشینگ خود را برای کارمندان تقویت کنند و از ابزارهای امنیت سایبری مبتنی بر هوش مصنوعی استفاده کنند، سرمایه‌گذاری‌هایی که یک نظرسنجی اخیر از متخصصان فناوری اطلاعات نشان داد که در دو سال آینده انجام خواهد شد. Srinivas Mukkamala، مدیر ارشد محصول در شرکت نرم‌افزار امنیت سایبری Ivanti، گفت که دولت‌ها باید در رویکرد خود برای پاسخگویی به تهدیدات مبتنی بر هوش مصنوعی، از جمله با کاهش سطح حمله، «پیش‌جو» باشند، به‌ویژه که این موضوع «به‌طور تصاعدی رشد خواهد کرد».

او هفته گذشته به خبرنگاران گفت: «اگر به فیلترهای فیشینگ نگاه کنید، ابتدا باید یاد بگیرند، و زمانی که یاد می‌گیرند، مجموعه جدیدی از ایمیل‌های فیشینگ را دریافت می‌کنند. بنابراین احتمال اینکه ایمیل فیشینگ کنترل‌های شما را از دست بدهد بسیار بسیار زیاد است.

تهدید حملات مبتنی بر هوش مصنوعی توجه مقامات اطلاعات ملی را نیز به خود جلب کرده است. در ارزیابی سالانه تهدیدات سال 2023 خود در ماه گذشته، دفتر مدیر اطلاعات ملی هشدار داد که فناوری‌های جدید، از جمله هوش مصنوعی و بیوتکنولوژی، «سریع‌تر از آن‌چه شرکت‌ها و دولت‌ها بتوانند هنجارها را شکل دهند، از حریم خصوصی محافظت کنند و از پیامدهای خطرناک جلوگیری کنند، در حال توسعه هستند و در حال گسترش هستند. “

ایروین از دولت‌ها خواست که «مانند یک کسب‌وکار عمل کنند» و روی به‌روزرسانی‌های سیستم‌ها، تیم‌ها و فرآیندهای خود سرمایه‌گذاری کنند تا امنیت سایبری خود را در برابر این تهدیدات نوظهور تقویت کنند. با توجه به اینکه مهاجمان قبلاً عملیات دولت محلی و ایالتی را نابود کرده بودند، او گفت که سایبر “واقعاً مهم است که درست انجام شود.”