Исследовательская группа IBM изучает, насколько эффективен генеративный искусственный интеллект в социальной инженерии и написании фишинговых писем.
Исследователи использовали пять подсказок ChatGPT для создания фишинговых писем для определенных отраслей. Подсказки были ориентированы на основные проблемы сотрудников этих отраслей, а для повышения вероятности перехода сотрудников по ссылке в письме были специально подобраны приемы социальной инженерии и маркетинга.
Затем фишинговые письма, сгенерированные искусственным интеллектом и человеком, были разосланы более чем 800 сотрудникам в рамках A/B-теста. Результаты показали, что фишинговые письма, сгенерированные искусственным интеллектом, лишь немного уступают фишинговым письмам, сгенерированным человеком.
По мнению IBM, преимущество человеческих писем объясняется тем, что они были более индивидуальными и ориентированными на конкретную компанию, в то время как ChatGPT использовал более общий подход. Тем не менее, атаки по электронной почте ChatGPT были практически равны атакам людей, хотя о них чаще сообщалось как о подозрительных.
Разница заключается в затратах времени: сотрудникам IBM требуется около 16 часов для создания качественного фишингового письма. ChatGPT сделала это за пять минут.
Злоумышленники могут потенциально сэкономить почти два дня работы, используя генеративные модели искусственного интеллекта, – пишет Стефани Каррутерс, главный хакер IBM X-Force Red.
Исследователи IBM указывают на такие инструменты, как WormGPT, LLM, оптимизированные для кибератак, которые можно приобрести в интернете. Они ожидают, что атаки с использованием ИИ станут более изощренными и превзойдут человеческие атаки, хотя сами они еще не видели генеративных фишинговых атак с использованием ИИ.
В этой связи стоит обратить внимание на недавнее высказывание генерального директора OpenAI Сэма Альтмана: Он предсказывает, что ИИ будет “способен на сверхчеловеческое убеждение” еще до того, как он станет в целом интеллектуально превосходить человека. Можно представить, как это отразится на фишинге и кибербезопасности.
Чтобы подготовиться к меняющемуся ландшафту угроз, исследователи безопасности IBM считают, что компаниям и потребителям следует принять во внимание следующие рекомендации:
- В случае сомнений звоните отправителю, чтобы исключить вероятность мошенничества по электронной почте или телефону.
- Преодолеть стереотип грамматики и обратить внимание сотрудников на объем и сложность содержимого электронных писем.
- Пересмотреть программы социальной инженерии, в том числе включить в обучение такие техники, как вишинг (голосовой фишинг).
- Ужесточить контроль управления идентификацией и доступом для проверки доступа и привилегий пользователей.
- Постоянно адаптируйтесь и внедряйте инновации, чтобы опередить злоумышленников.