مطالعه نشان می‌دهد که انسان‌ها هنگام ایجاد حملات فیشینگ، ChatGPT را شکست می‌دهند

شرکت خدمات آموزش امنیت سایبری Hoxhunt Ltd. امروز یافته های یک مطالعه جدید را در مورد اثربخشی حملات فیشینگ ایجاد شده توسط ChatGPT منتشر کرد و اگرچه این فناوری همچنان در حال بهبود است، انسان ها در واقع نتایج بهتری ارائه کردند.

این مطالعه بیش از 53000 کاربر ایمیل را در بیش از 100 کشور مورد تجزیه و تحلیل قرار داد و نرخ پیروزی حملات فیشینگ شبیه سازی شده توسط مهندسان اجتماعی انسانی و حملات ایجاد شده توسط مدل های بزرگ زبان هوش مصنوعی را مقایسه کرد. اگرچه امکان استفاده از ChatGPT برای فعالیت های فیشینگ مخرب وجود دارد، مهندسان اجتماعی انسانی در ایجاد کلیک بر روی لینک های مخرب از هوش مصنوعی بهتر عمل می کنند.

نسبت بین میزان موفقیت ایمیل‌های فیشینگ ایجاد شده توسط انسان‌ها و ChatGPT قابل توجه بود، با «تیم‌های قرمز» انسانی که نرخ کلیک 4.2 درصد در مقابل نرخ کلیک 2.9 درصد توسط ChatGPT در نمونه جمعیت کاربران ایمیل ایجاد کردند. انسان‌ها در متقاعد کردن سایر انسان‌ها به انجام کاری تا 69 درصد از هوش مصنوعی بهتر عمل کردند.

این مطالعه همچنین نشان داد که کاربرانی که تجربه بیشتری در برنامه‌های آگاهی امنیتی و تغییر رفتار دارند، محافظت قابل‌توجهی در برابر حملات فیشینگ توسط ایمیل‌های انسانی و AI ایجاد می‌کنند و نرخ شکست از بیش از 14٪ با کاربران کمتر آموزش دیده به بین 2٪ تا 4٪ کاهش یافته است. با کاربران با تجربه

این ایده که از ChatGPT می‌توان برای خیر و شر استفاده کرد، ایده جدیدی نیست، اما هنوز از نظر استفاده شرورانه مطالعه نشده است. این مطالعه نشان داد که هوش مصنوعی فرصت‌هایی را هم برای مهاجم و هم برای مدافع ایجاد می‌کند. اگرچه حملات فیشینگ تقویت‌شده با مدل زبانی بزرگ هنوز به خوبی مهندسی اجتماعی انسان عمل نمی‌کنند، محققان اظهار می‌کنند که این شکاف احتمالا بسته خواهد شد و مهاجمان از هوش مصنوعی استفاده می‌کنند.

این مطالعه خاطرنشان می کند: “برای حفظ آگاهی از امنیت و آموزش تغییر رفتار ضروری است که با چشم انداز تهدید در حال تحول پویا باشد تا مردم و سازمان ها را از حملات ایمن نگه دارند.”

ملیسا بیشوپینگ، مدیر تحقیقات امنیتی Endpoint در شرکت مدیریت نقطه پایانی Tanium Inc. در بحث درباره یافته‌های این مطالعه، به SiliconANGLE گفت که هوش مصنوعی فرصت‌های جدیدی را برای کارایی، خلاقیت و شخصی‌سازی فریب‌های فیشینگ ارائه می‌کند. اما او گفت که مهم است که به یاد داشته باشید که محافظت در برابر چنین حملاتی اساساً بدون تغییر باقی می ماند.

Bischoping توضیح داد: «ممکن است فرصت خوبی برای به‌روزرسانی برنامه‌های آموزشی آگاهی برای آگاه کردن کارکنان در مورد فن‌آوری‌های نوظهور و روند تاکتیک‌های فیشینگ/میزان/ویشینگ برای تشویق افزایش هوشیاری و فرهنگ «قبل از کلیک کردن» باشد. ما به طور بالقوه شاهد افزایش در فریب های بسیار سفارشی و متقاعد کننده در مقیاس خواهیم بود. امروز برای یک بازیگر تهدید بسیار ساده‌تر و سریع‌تر است که از یک هوش مصنوعی بخواهد پیامی بنویسد و از کسی در یک صنعت خاص بخواهد کاری انجام دهد و جزئیات مرتبط و قانع‌کننده‌ای انجام دهد.»

Mika Aalto، یکی از بنیانگذاران و مدیر اجرایی Hoxhunt، گفت: “ما اکنون از نتایج مطالعه خود می دانیم که برنامه های موثر، آگاهی امنیتی و تغییر رفتار موجود، از حملات فیشینگ تقویت شده با هوش مصنوعی محافظت می کند.”

آلتو افزود: “در استراتژی امنیت سایبری جامع خود، مطمئن شوید که روی افراد و رفتار ایمیل آنها تمرکز کنید زیرا این همان کاری است که دشمنان ما با ابزارهای هوش مصنوعی جدید خود انجام می دهند.” “امنیت را به عنوان یک مسئولیت مشترک در سراسر سازمان با آموزش مداوم تعبیه کنید که کاربران را قادر می سازد پیام های مشکوک را شناسایی کنند و به آنها برای گزارش تهدیدها پاداش می دهد تا زمانی که تشخیص تهدید انسانی به یک عادت تبدیل شود.”

تصویر: Hoxhunt