مجرمان سایبری از ابزارهای هوش مصنوعی مانند ChatGPT برای ایجاد حملات فیشینگ متقاعد کننده تر استفاده می کنند و کارشناسان امنیت سایبری را نگران می کنند.

Bia2 Host
مجرمان سایبری از ابزارهای هوش مصنوعی مانند ChatGPT برای ایجاد حملات فیشینگ متقاعد کننده تر استفاده می کنند و کارشناسان امنیت سایبری را نگران می کنند.

اگر در سال گذشته متوجه افزایش ایمیل های مشکوک شده اید، ممکن است تا حدی به دلیل یکی از ربات های گفتگوی هوش مصنوعی مورد علاقه ما باشد – ChatGPT. من می دانم – بسیاری از ما گفتگوهای صمیمی و خصوصی داشته ایم که در آن در مورد خودمان با ChatGPT یاد گرفته ایم، و نمی خواهیم باور کنیم که ChatGPT به کلاهبرداری از ما کمک می کند.

به گفته شرکت امنیت سایبری SlashNextChatGPT و گروه های هوش مصنوعی آن در حال استفاده هستند برای پمپ کردن ایمیل های فیشینگ با نرخ تسریع شده این گزارش بر اساس تخصص تهدید این شرکت است و بیش از سیصد متخصص امنیت سایبری را در آمریکای شمالی مورد بررسی قرار داده است. یعنی، ادعا می‌شود که ایمیل‌های فیشینگ مخرب از سه ماهه چهارم سال ۲۰۲۲ تا ۱۲۶۵ درصد افزایش یافته است – به‌ویژه فیشینگ اعتبار که ۹۶۷ درصد افزایش یافته است. شخص، گروه یا سازمان مورد اعتماد از طریق ایمیل یا کانال ارتباطی مشابه.

بازیگران مخرب از ابزارهای هوش مصنوعی مولد مانند ChatGPT برای نوشتن پیام های فیشینگ صیقلی و هدفمند استفاده می کنند. و همچنین فیشینگ پیام های سازش ایمیل تجاری (BEC). یکی دیگر از انواع رایج کلاهبرداری های سایبری با هدف کلاهبرداری مالی از شرکت ها است. این گزارش نتیجه‌گیری می‌کند که این تهدیدات مبتنی بر هوش مصنوعی با سرعت سرسام‌آوری افزایش می‌یابند، حجم و پیچیدگی آنها به سرعت در حال افزایش است.

این گزارش نشان می دهد که حملات فیشینگ به طور متوسط ​​۳۱۰۰۰ در روز بوده و تقریباً نیمی از متخصصان امنیت سایبری مورد بررسی گزارش داده اند که یک حمله BEC دریافت کرده اند. وقتی صحبت از فیشینگ به میان می آید، ۷۷ درصد از این متخصصان گزارش دادند که حملات فیشینگ دریافت کرده اند.

امنیت کسب و کار کوچک

(اعتبار تصویر: گتی ایماژ)

کارشناسان وزن می کنند

مدیر عامل SlashNext، پاتریک هار، انتقال داد که این یافته ها “نگرانی ها را در مورد استفاده از هوش مصنوعی مولد که به رشد تصاعدی فیشینگ کمک می کند، تقویت می کند.” او توضیح داد که فناوری مولد هوش مصنوعی مجرمان سایبری را قادر می‌سازد تا حملات را با چه سرعتی توربوشارژ کنند و در عین حال تنوع حملات خود را افزایش دهند. آنها می توانند هزاران حمله مهندسی شده اجتماعی را با هزاران تنوع ایجاد کنند – و شما فقط باید به یکی از آنها بیفتید.

هار در ادامه به ChatGPT اشاره می کند که در پایان سال گذشته شاهد رشد چشمگیری بود. او معتقد است که ربات‌های هوش مصنوعی مولد ورود به بازی فیشینگ و کلاهبرداری را برای تازه‌کاران بسیار آسان‌تر کرده‌اند و اکنون به ابزاری اضافی در زرادخانه افراد ماهر و با تجربه‌تر تبدیل شده‌اند – که اکنون می‌توانند حملات خود را افزایش داده و حملات خود را بیشتر هدف قرار دهند. به آسانی. این ابزارها می‌توانند به تولید پیام‌های قانع‌کننده‌تر و قانع‌کننده‌تر کمک کنند که کلاهبرداران امیدوارند افراد را به درستی فیش کنند.

کریس استفن، مدیر تحقیقات در Enterprise Management Associates، این موضوع را تایید کرد هنگامی که با CNBC صحبت می کرد، گفت: “روزهای “شاهزاده نیجریه” گذشته است”. او ادامه داد که ایمیل‌ها اکنون “بسیار قانع‌کننده و مشروع هستند”. بازیگران بد به طرز متقاعدکننده‌ای از دیگران تقلید می‌کنند و با لحن و سبک خود جعل هویت می‌کنند، یا حتی مکاتباتی با ظاهر رسمی ارسال می‌کنند که به نظر می‌رسد از سوی سازمان‌های دولتی و ارائه‌دهندگان خدمات مالی است. آنها می توانند با استفاده از ابزارهای هوش مصنوعی این کار را بهتر از قبل انجام دهند تا نوشته ها و اطلاعات عمومی افراد یا سازمان ها را تجزیه و تحلیل کنند تا پیام های آنها را تنظیم کنند و ایمیل ها و ارتباطات آنها را شبیه به واقعی کنند.

علاوه بر این، شواهدی وجود دارد که نشان می‌دهد این استراتژی‌ها در حال حاضر شاهد بازدهی برای بازیگران بد هستند. حر اشاره به گزارش جنایات اینترنتی FBI، جایی که گفته می شود حملات BEC حدود ۲٫۷ میلیارد دلار به همراه ۵۲ میلیون دلار ضرر به دلیل سایر انواع فیشینگ به کسب و کارها خسارت وارد کرده است. Motherlode سودآور است و کلاهبرداران انگیزه بیشتری برای افزایش تلاش‌های فیشینگ و BEC خود دارند.

شخصی که روی کامپیوتر می نویسد

(اعتبار تصویر: گلن کارستنز-پیترز / Unsplash)

آنچه برای براندازی تهدیدها لازم است

برخی از کارشناسان و غول های فناوری به عقب راندن، با آمازون، گوگل، متا و مایکروسافت متعهد شده اند که آزمایشاتی را برای مبارزه با خطرات امنیت سایبری انجام خواهند داد.. شرکت ها همچنین از هوش مصنوعی به صورت دفاعی استفاده می کنند و از آن برای بهبود سیستم های تشخیص، فیلترها و موارد دیگر استفاده می کنند. هار تکرار کرد که تحقیقات SlashNext، با این حال، تأکید می کند که این کاملاً تضمین شده است زیرا مجرمان سایبری در حال حاضر از ابزارهایی مانند ChatGPT برای اجرای این حملات استفاده می کنند.

SlashNext در ماه جولای یک BEC خاص پیدا کرد که از ChatGPT به همراه WormGPT استفاده می کرد. WormGPT یک ابزار جرایم سایبری است طبق گفته هار، که به عنوان “یک جایگزین کلاه سیاه برای مدل های GPT، که به طور خاص برای فعالیت های مخرب مانند ایجاد و راه اندازی حملات BEC طراحی شده است” تبلیغ می شود. ربات چت مخرب دیگری به نام FraudGPT نیز گزارش شده است که در حال گردش است. هار می گوید که FraudGPT به عنوان یک ابزار “انحصاری” برای کلاهبرداران، هکرها، ارسال کنندگان هرزنامه و افراد مشابه تبلیغ شده است و دارای لیست گسترده ای از ویژگی ها است.

بخشی از تحقیقات SlashNext در مورد توسعه “jailbreak” هوش مصنوعی بوده است که حملات بسیار هوشمندانه ای به چت ربات های هوش مصنوعی طراحی شده است که وقتی وارد شوند باعث حذف نرده های ایمنی و قانونی چت ربات های هوش مصنوعی می شوند. این همچنین یک حوزه اصلی تحقیق در بسیاری از موسسات تحقیقاتی مرتبط با هوش مصنوعی است.

کارگران کامپیوتر در یک دفتر

(اعتبار تصویر: Unsplash / Israel Andrade)

شرکت ها و کاربران چگونه باید اقدام کنند

اگر احساس می‌کنید که این می‌تواند تهدیدی جدی از نظر حرفه‌ای یا شخصی باشد، حق با شماست – اما همه چیز ناامیدکننده نیست. کارشناسان امنیت سایبری راه‌هایی را برای مقابله و پاسخ به این حملات ارائه می‌کنند. یکی از اقداماتی که بسیاری از شرکت‌ها انجام می‌دهند، آموزش مداوم و آموزش کاربر نهایی است تا ببینند آیا کارمندان و کاربران واقعاً توسط این ایمیل‌ها گرفتار شده‌اند یا خیر.

افزایش حجم ایمیل‌های مشکوک و هدفمند به این معنی است که یادآوری اینجا و آنجا دیگر کافی نیست، و شرکت‌ها اکنون باید به‌طور مداوم برای ایجاد آگاهی امنیتی در میان کاربران تمرین کنند. همچنین نه تنها باید به کاربران نهایی یادآوری شود، بلکه باید تشویق شوند که ایمیل‌هایی را که تقلبی به نظر می‌رسند گزارش کنند و در مورد نگرانی‌های مربوط به امنیت خود بحث کنند. این نه تنها در مورد شرکت ها و امنیت سراسری شرکت، بلکه برای ما به عنوان کاربران فردی نیز صدق می کند. اگر غول‌های فناوری از ما می‌خواهند که به خدمات ایمیل آنها برای نیازهای ایمیل شخصی‌مان اعتماد کنیم، باید به ایجاد دفاعیات خود به این روش‌ها ادامه دهند.

علاوه بر این تغییر سطح فرهنگ در مشاغل و شرکت‌ها، استفن همچنین بر اهمیت ابزارهای فیلتر ایمیل که می‌توانند قابلیت‌های هوش مصنوعی را در خود جای داده و حتی از ارسال پیام‌های مخرب به کاربران جلوگیری کنند، تاکید می‌کند. این یک نبرد همیشگی است که نیاز به آزمایش‌ها و ممیزی‌های منظم دارد، زیرا تهدیدها همیشه در حال تکامل هستند و با بهبود توانایی‌های نرم‌افزار هوش مصنوعی، تهدیدهایی که از آنها استفاده می‌کنند نیز بهبود خواهند یافت.

شرکت ها باید سیستم های امنیتی خود را بهبود بخشند و هیچ راه حل واحدی نمی تواند به طور کامل تمام خطرات ناشی از حملات ایمیل های تولید شده توسط هوش مصنوعی را برطرف کند. استفن بیان می‌کند که یک استراتژی اعتماد صفر می‌تواند به پر کردن شکاف‌های کنترلی ناشی از حملات کمک کند و به ارائه دفاعی برای اکثر سازمان‌ها کمک کند. کاربران فردی باید نسبت به احتمال فیش شدن و فریب خوردن هوشیارتر باشند، زیرا افزایش یافته است.

بدبینی نسبت به این نوع مسائل می تواند آسان باشد، اما ما می‌توانیم نسبت به چیزی که انتخاب می‌کنیم روی آن کلیک کنیم بیشتر محتاط باشیم. یک لحظه بیشتر وقت بگذارید، سپس یک لحظه دیگر، و تمام اطلاعات را بررسی کنید – حتی می توانید آدرس ایمیلی را که ایمیل خاصی از آن دریافت کرده اید جستجو کنید و ببینید آیا شخص دیگری در ارتباط با آن مشکل داشته است یا خیر. این یک دنیای آینه ای پیچیده آنلاین است، و به طور فزاینده ای ارزش دارد که عقل خود را در مورد شما حفظ کنید.

شما هم ممکن است دوست داشته باشید


منبع: https://www.techradar.com/pro/security/cybercriminals-are-exploiting-ai-tools-like-chatgpt-to-craft-more-convincing-phishing-attacks-alarming-cybersecurity-experts

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *