اکنون هکرهای مهندسی اجتماعی هوش مصنوعی دارند. آیا تو؟

ttps://securityintelligence.com/articles/now-social-engineering-attackers-have-ai-b/”

همه در فن آوری در مورد ChatGPT صحبت می کنند، چت ربات مبتنی بر هوش مصنوعی از Open AI که نثر متقاعد کننده و کدهای قابل استفاده می نویسد.

مشکل اینجاست که مهاجمان سایبری مخرب می توانند از ابزارهای مولد هوش مصنوعی مانند ChatGPT برای ایجاد نثر قانع کننده و کد قابل استفاده درست مانند دیگران استفاده کنند.

این دسته از ابزارهای قدرتمند جدید چگونه بر توانایی مجرمان برای انجام حملات سایبری از جمله حملات مهندسی اجتماعی تأثیر می گذارد؟

وقتی هر حمله مهندسی اجتماعی از انگلیسی کامل استفاده می کند

ChatGPT یک ابزار عمومی است که بر اساس یک مدل زبان ایجاد شده توسط شرکت OpenAI مستقر در سانفرانسیسکو است. از یادگیری ماشینی برای تجزیه و تحلیل زبان انسان استفاده می کند تا بتواند با توانایی اغلب عجیب و غریب پاسخ دهد.

به طور مستقیم، واضح است که چگونه بازیگران مخربی که به زبان انگلیسی حاشیه ای صحبت می کنند، می توانند از ChatGPT برای ایجاد ایمیل های انگلیسی بی عیب و نقص برای فریب کارمندان شما استفاده کنند. در واقع، این در حال حاضر اتفاق می افتد.

در گذشته، اگر شخصی ایمیلی با واژه‌بندی ضعیف و از نظر گرامری نادرست دریافت می‌کرد که ادعا می‌کرد از بانک است، می‌توانست به سرعت شناسایی شود و به راحتی رد شود. آموزش آگاهی از امنیت سایبری به این نقطه منجر شد – اگر ایمیلی مبهم، عجیب، ناقص یا اشتباه به نظر می رسد، احتمالاً از منبع ادعا شده نیست.

ظهور ChatGPT به این معنی است که مهاجمان سایبری با مهارت های محدود انگلیسی می توانند به سرعت پیام های قانع کننده ای به زبان انگلیسی بی عیب و نقص ایجاد کنند.

خارج از ChatGPT Guardrails

سازندگان OpenAI چند نرده محافظ در ChatGPT تعبیه کرده اند تا از سوء استفاده از آن جلوگیری کنند. اما اینها به راحتی برطرف می شوند. به خصوص برای مهندسی اجتماعی. یک بازیگر مخرب می تواند به سادگی از ChatGPT بخواهد که یک ایمیل کلاهبرداری بنویسد، سپس آن یادداشت را با پیوند مخرب یا درخواست پیوست ارسال کند.

من از ChatGPT خواستم که “یک ایمیل دوستانه اما حرفه ای بنویسد و بگوید مشکلی در حساب آنها وجود دارد و لطفاً با این شماره تماس بگیرید.”

در اینجا ایمیل ChatGPT ایجاد شده در اولین تلاش است:

عزیز [Customer Name]،

امیدوارم حال شما خوب باشد. من می نویسم تا به شما اطلاع دهم که مشکلی را در حساب شما شناسایی کرده ایم. ما برای هر گونه مشکلی که ممکن است ایجاد شود پوزش می‌طلبیم و از شما درخواست می‌کنیم که در اولین فرصت با ما تماس بگیرید تا مشکل را حل کنیم.

برای اطمینان از اینکه موضوع در سریع ترین زمان ممکن و کارآمد حل می شود، لطفاً با شماره خدمات مشتریان ما تماس بگیرید [insert phone number here]. تیم خدمات مشتری ما می‌تواند به شما در حل مشکل و پاسخگویی به سوالات شما کمک کند.

ما از توجه سریع شما به این موضوع قدردانی می کنیم و از ادامه همکاری شما با ما سپاسگزاریم. اگر سوال یا نگرانی بیشتری دارید، لطفا با ما تماس بگیرید.

با احترام،

[Your Name]

[Company Name]

این مثال بسیار خوب است و چند ثانیه طول کشید. ترفندهای بیشتر می‌تواند تغییراتی ایجاد کند، تغییرات ایجاد کند یا نسخه‌های متفاوتی را با عبارات متناوب در مقیاس تولید کند.

شرکت امنیت سایبری Darktrace مستقر در کمبریج ادعا می کند که ChatGPT باعث افزایش حملات مهندسی اجتماعی مبتنی بر هوش مصنوعی شده است. هوش مصنوعی کلاهبرداری های پیچیده تر و موثرتری را امکان پذیر می کند. به گفته این شرکت، برای مثال، ایمیل‌های فیشینگ مخرب، پیچیده‌تر، طولانی‌تر شده‌اند و نقطه‌گذاری بهتری دارند.

به نظر می‌رسد که «لحن» پیش‌فرض ChatGPT از نظر دستور زبان و نشانه‌گذاری بی‌هیچ و ملایم و درست است – درست مانند بسیاری از ارتباطات شرکتی که با مشتری روبرو هستند.

اما روش‌های بسیار ظریف‌تر و شگفت‌انگیزی وجود دارد که ابزارهای هوش مصنوعی مولد می‌توانند به افراد بد کمک کنند.

جنایتکاران در حال یادگیری هستند

Checkpoint Research دریافت که تابلوهای پیام وب تاریک اکنون میزبان مکالمات فعال متعددی در مورد نحوه بهره برداری از ChatGPT برای توانمندسازی مهندسی اجتماعی هستند. آنها همچنین گفتند که مجرمان در کشورهای بدون حمایت محدودیت‌ها را دور می‌زنند تا دسترسی پیدا کنند و نحوه استفاده از آن را آزمایش می‌کنند.

ChatGPT می تواند به مهاجمان کمک کند تا ابزارهای تشخیص را دور بزنند. این امکان تولید پرباری از آنچه را که می توان به عنوان تنوع “خلاقانه” توصیف کرد را فراهم می کند. یک مهاجم سایبری می تواند از آن برای ایجاد نه یک بلکه صد پیام مختلف، همه متفاوت، استفاده کند و از فیلترهای هرزنامه فرار کند که به دنبال پیام های تکراری هستند.

این می‌تواند کاری مشابه در فرآیند ایجاد کد بدافزار انجام دهد و بدافزار چند شکلی را تولید کند که تشخیص آن سخت‌تر است. ChatGPT همچنین می‌تواند به سرعت توضیح دهد که در مورد کد چه می‌گذرد، که یک پیشرفت قدرتمند برای بازیگران مخرب است که به دنبال آسیب‌پذیری‌ها هستند.

در حالی که ChatGPT و ابزارهای مرتبط ما را به فکر ارتباطات نوشتاری تولید شده توسط هوش مصنوعی می‌اندازند، ابزارهای هوش مصنوعی دیگر (مانند ابزار ElevenLabs) می‌توانند کلمات گفتاری کامل و معتبری تولید کنند که می‌توانند از افراد خاصی تقلید کنند. صدایی که در تلفن به نظر می رسد مانند مدیر عامل است، ممکن است ابزاری برای تقلید صدا باشد.

و سازمان‌ها می‌توانند انتظار حملات پیچیده‌تر مهندسی اجتماعی را داشته باشند که یک یا دو ضربه را ارائه می‌کنند – یک ایمیل معتبر با تماس تلفنی بعدی که صدای فرستنده را جعل می‌کند، همگی با پیام‌هایی با صدایی ثابت و حرفه‌ای.

ChatGPT می تواند نامه ها و رزومه های کاملی را برای تعداد زیادی از افراد در مقیاس ایجاد کند، که سپس می توانند به عنوان بخشی از یک کلاهبرداری برای مدیران استخدام ارسال کنند.

و یکی از رایج ترین کلاهبرداری های مرتبط با ChatGPT، ابزارهای جعلی ChatGPT است. مهاجمان با بهره‌برداری از هیجان و محبوبیت هیجان ChatGPT، وب‌سایت‌های جعلی را به عنوان سایت‌های چت ربات مبتنی بر GPT-3 یا GPT-4 OpenAI (مدل‌های زبانی که با ابزارهای عمومی مانند ChatGPT و مایکروسافت بینگ استفاده می‌شوند) معرفی می‌کنند، در حالی که در واقع کلاهبرداری هستند. وب سایت هایی که برای سرقت پول و جمع آوری اطلاعات شخصی طراحی شده اند.

شرکت امنیت سایبری Kaspersky یک کلاهبرداری گسترده را کشف کرد که برای دور زدن تاخیرها در سرویس گیرنده وب ChatGPT با یک نسخه قابل دانلود، که البته حاوی یک بار مخرب بود، ارائه کرد.

زمان آن رسیده است که در مورد هوش مصنوعی هوشمند شوید

چگونه با دنیای حملات مجهز به هوش مصنوعی سازگار شویم:

• در واقع، از ابزارهایی مانند ChatGPT در شبیه سازی های فیشینگ استفاده کنید تا شرکت کنندگان به کیفیت و لحن بهتر ارتباطات تولید شده توسط هوش مصنوعی عادت کنند.
• آموزش موثر آگاهی هوش مصنوعی مولد را به برنامه‌های امنیت سایبری اضافه کنید و روش‌های متعددی را که می‌توان از ChatGPT برای نقض امنیت استفاده کرد را آموزش دهید.
• با آتش مبارزه کنید – از ابزارهای امنیت سایبری مبتنی بر هوش مصنوعی استفاده کنید که از یادگیری ماشین و پردازش زبان طبیعی برای شناسایی تهدید استفاده می‌کنند و ارتباطات مشکوک را برای تحقیقات انسانی علامت‌گذاری می‌کنند.
• از ابزارهای مبتنی بر ChatGPT برای تشخیص اینکه ایمیل‌ها توسط ابزارهای هوش مصنوعی مولد نوشته شده‌اند، استفاده کنید. (خود OpenAI چنین ابزاری را می سازد)
• همیشه فرستندگان ایمیل، چت و متن را تأیید کنید
• در ارتباط مداوم با دیگر متخصصان این صنعت باشید و به طور گسترده مطالعه کنید تا از کلاهبرداری های در حال ظهور مطلع شوید
• و البته اعتماد صفر را در آغوش بگیرید.

ChatGPT فقط شروع است و این موضوع را پیچیده می کند. در باقیمانده سال، ده ها چت ربات مشابه دیگر که می توانند برای حملات مهندسی اجتماعی مورد سوء استفاده قرار گیرند، احتمالاً در دسترس عموم قرار خواهند گرفت.

نکته اصلی این است که ظهور هوش مصنوعی رایگان، آسان و عمومی کمک زیادی به مهاجمان سایبری می‌کند، اما راه‌حل آن ابزارهای بهتر و آموزش بهتر است – امنیت سایبری بهتر در همه جا.

به خواندن ادامه دهید