IBM X-Force ChatGPT را در برابر انسان قرار می دهد: چه کسی در فیشینگ بهتر است؟

همانطور که هوش مصنوعی با سرعتی تقریبا غیرقابل تصور به تکامل خود ادامه می‌دهد، توانایی بسیاری از چیزهای خارق‌العاده را پیدا می‌کند – از تولید هنر خیره‌کننده و دنیاهای سه بعدی به عنوان یک کارآمد، قابل اعتماد خدمت کند شریک محل کار.

اما هوش مصنوعی مولد و مدل های زبان بزرگ (LLM) نیز وجود دارد فریبنده به عنوان انسان؟

تقریبا. بر اساس تحقیقاتی که امروز انجام شد، در نهایت در حال حاضر، ما برتری خود را در آن منطقه حفظ می کنیم IBM X-Force. در یک آزمایش فیشینگ که برای تعیین اینکه آیا هوش مصنوعی یا انسان‌ها نرخ کلیک بالاتری را به دست می‌آورند، ChatGPT یک ایمیل قانع‌کننده در عرض چند دقیقه تنها با پنج پیام ساده ایجاد کرد که تقریباً – اما نه کاملاً – به اندازه یک ایمیل تولید شده توسط انسان فریبنده بود.

استفانی (اسنو) کاروترز، هکر ارشد IBM، به VentureBeat گفت: «همانطور که هوش مصنوعی به تکامل خود ادامه می‌دهد، ما همچنان شاهد تقلید دقیق‌تر آن از رفتار انسان خواهیم بود، که ممکن است منجر به نتایج حتی نزدیک‌تر شود یا در نهایت روزی هوش مصنوعی انسان‌ها را شکست دهد. .

پنج دقیقه در مقابل ۱۶ ساعت

پس از آزمایش‌های سیستماتیک، تیم X-Force پنج دستور را ایجاد کرد تا به ChatGPT دستور دهد ایمیل‌های فیشینگ را برای کارکنان بخش مراقبت‌های بهداشتی تولید کند. سپس ایمیل نهایی برای ۸۰۰ کارگر در یک شرکت جهانی بهداشت ارسال شد.

مدل از او خواسته شد تا زمینه های اصلی مورد توجه کارکنان صنعت را شناسایی کند، که او پیشرفت شغلی، ثبات شغلی و انجام کار را از جمله موارد دیگر شناسایی کرد.

سپس، هنگامی که در مورد اینکه چه تکنیک‌های مهندسی اجتماعی و بازاریابی باید مورد استفاده قرار گیرند، سؤال شد، ChatGPT اعتماد، اقتدار و اثبات اجتماعی را گزارش داد. و به ترتیب شخصی سازی، بهینه سازی موبایل و فراخوان برای اقدام. سپس مدل توصیه کرد که ایمیل باید از طرف مدیر منابع انسانی داخلی باشد.

در نهایت، ChatGPT یک ایمیل فیشینگ قانع کننده تنها در پنج دقیقه ایجاد کرد. در مقابل، Carruthers گفت که تیم او حدود ۱۶ ساعت طول می کشد.

Carruthers که نزدیک به یک دهه مهندس اجتماعی بوده و خودش فرستاده است، می گوید: “من نزدیک به یک دهه تجربه مهندسی اجتماعی دارم، صدها ایمیل فیشینگ ایجاد کردم، و حتی ایمیل های فیشینگ تولید شده توسط هوش مصنوعی را کاملا متقاعدکننده دیدم.” صدها ایمیل فیشینگ

قبل از شروع این پروژه تحقیقاتی، اگر از من می‌پرسیدید که فکر می‌کنم چه کسی برنده خواهد شد، می‌توانم بگویم انسان‌ها، دست پایین، بدون شک. بسیار نگران این بود که چه کسی برنده خواهد شد.”

فرآیند “دقت آمیز” تیم انسانی

بعد از ChatGPT ایمیل خود را تولید کرد، تیم Carruthers دست به کار شد و با کسب اطلاعات منبع باز (OSINT) شروع به کار کرد – یعنی بازیابی اطلاعات در دسترس عموم از سایت هایی مانند LinkedIn، وبلاگ سازمان و بررسی های Glassdoor.

قابل ذکر است، آنها یک پست وبلاگی را کشف کردند که جزئیات راه اندازی اخیر یک برنامه سلامت کارکنان و مدیر آن در سازمان را نشان می دهد.

برخلاف خروجی سریع ChatGPT، آنها سپس شروع به “ساخت دقیق” ایمیل فیشینگ خود کردند، که شامل یک نظرسنجی از کارمندان از “پنج سوال مختصر” بود که فقط “چند دقیقه” طول می کشید و باید تا “این جمعه” برگردانده می شد.

سپس ایمیل نهایی برای ۸۰۰ کارمند یک شرکت بهداشت جهانی ارسال شد.

انسان ها برنده می شوند (فعلا)

در پایان، ایمیل فیشینگ انسانی موفق‌تر بود – اما به سختی. نرخ کلیک برای ایمیل های تولید شده توسط انسان ۱۴ درصد در مقایسه با ۱۱ درصد هوش مصنوعی بود.

کاروترز هوش هیجانی، شخصی سازی و خطوط موضوعی کوتاه و مختصر را به عنوان دلایل پیروزی انسان معرفی کرد. برای شروع، تیم انسانی توانست با تمرکز بر یک مثال مشروع در شرکت خود از لحاظ عاطفی با کارمندان ارتباط برقرار کند، در حالی که هوش مصنوعی موضوع کلی تری را انتخاب کرد. ثانیاً نام گیرنده درج شده بود.

در نهایت، خط موضوعی که توسط انسان تولید شده بود به نقطه‌ای رسید (“نظرسنجی سلامت کارکنان”) در حالی که AI طولانی‌تر بود، (“آینده خود را باز کنید: پیشرفت‌های محدود در شرکت X”)، که احتمالاً از همان ابتدا مشکوک را برانگیخت.

این همچنین منجر به نرخ گزارش بالاتر برای ایمیل هوش مصنوعی (۵۹٪) در مقایسه با نرخ گزارش فیشینگ انسانی ۵۱٪ شد.

Carruthers با اشاره به موضوعات موضوعی، گفت که سازمان ها باید به کارکنان آموزش دهند که فراتر از آن نگاه کنند پرچم های قرمز سنتی.

او گفت: «ما باید این کلیشه را کنار بگذاریم که همه ایمیل‌های فیشینگ گرامر بدی دارند. “این به سادگی دیگر مورد نیست.”

او گفت که این یک افسانه است که ایمیل‌های فیشینگ مملو از اشتباهات گرامری و املایی هستند – در واقع، تلاش‌های فیشینگ مبتنی بر هوش مصنوعی اغلب درستی دستوری را نشان می‌دهند. کارکنان باید آموزش ببینند تا در مورد علائم هشدار دهنده طول و پیچیدگی هوشیار باشند.

او گفت: “با ارائه این اطلاعات به کارکنان، سازمان ها می توانند از آنها در برابر قربانی شدن محافظت کنند.”

چرا فیشینگ هنوز اینقدر رایج است؟

تولید شده توسط انسان یا نه، فیشینگ یک تاکتیک برتر در بین مهاجمان باقی می ماند، زیرا، به زبان ساده، کار می کند.

Carruthers می‌گوید: «نوآوری معمولاً چند قدم عقب‌تر از مهندسی اجتماعی است. این به احتمال زیاد به این دلیل است که همان ترفندهای قدیمی سال به سال به کار خود ادامه می دهند و ما می بینیم که فیشینگ به عنوان اصلی ترین نقطه ورود برای بازیگران تهدید پیشرو است.

او گفت که این تاکتیک بسیار موفق است زیرا از ضعف های انسانی سوء استفاده می کند و ما را متقاعد می کند که روی پیوند کلیک کنیم یا اطلاعات یا داده های حساس را ارائه دهیم. برای مثال، مهاجمان از نیاز و تمایل انسان برای کمک به دیگران سوء استفاده می‌کنند یا احساس کاذب فوریت ایجاد می‌کنند تا قربانی را مجبور به اقدام سریع کنند.

علاوه بر این، این تحقیق نشان داد که هوش مصنوعی ژنرال با افزایش سرعت توانایی هکرها برای ایجاد ایمیل‌های فیشینگ قانع‌کننده، دستاوردهای بهره‌وری را ارائه می‌دهد. با صرفه جویی در این زمان، آنها می توانند به اهداف مخرب دیگری روی بیاورند.

سازمان‌ها باید با اصلاح برنامه‌های مهندسی اجتماعی خود فعال باشند – شامل اجرای ساده ویشینگ، یا فیشینگ تماس صوتی/پست صوتی – تقویت هویت و مدیریت دسترسی (ابزارهای IAM) و به‌روزرسانی منظم TTPS، سیستم‌های تشخیص تهدید و مواد آموزشی کارکنان.
Carruthers گفت: “به عنوان یک جامعه، ما باید آزمایش و بررسی کنیم که چگونه مهاجمان می توانند از هوش مصنوعی مولد سرمایه گذاری کنند.” “با درک اینکه مهاجمان چگونه می توانند از این فناوری جدید استفاده کنند، می توانیم کمک کنیم [organizations] بهتر است برای این تهدیدات در حال تحول آماده شوید و از آنها دفاع کنید.»