Uno studio mostra il successo degli attacchi informatici generati dall'intelligenza artificiale. Il pericolo maggiore risiede nella facile scalabilità degli attacchi di spear phishing, sia in termini di quantità che di qualità.
Oltre a molti incoraggiamenti per gli attuali sviluppi nel campo dell'intelligenza artificiale (AI), nelle ultime settimane si sono levate anche alcune voci critiche. Gli esperti di sicurezza informatica, compresi quelli di SoSafe, il principale fornitore europeo di sensibilizzazione e formazione sulla sicurezza, hanno da tempo avvertito della possibilità che l'IA generativa possa scrivere e-mail di phishing migliori di quanto possano fare gli umani. La ricerca iniziale* di SoSafe ora mostra che questo avvertimento è giustificato: le e-mail di phishing scritte con l'intelligenza artificiale sono già aperte dal 78% delle persone e non vengono riconosciute a prima vista. Di questi, il 21% ha fatto clic su contenuti dannosi nelle e-mail di phishing composte da AI, come collegamenti o allegati. Il 65% è stato persino tentato dalle e-mail generate dall'intelligenza artificiale di divulgare informazioni personali nei campi di input sui siti Web collegati.
Phishing: Apri e clicca
Gli attacchi di phishing generati dall'uomo sono stati cliccati leggermente più frequentemente (27%) dalle persone nello studio condotto, mentre i tassi di apertura per l'intelligenza artificiale e le e-mail di phishing generate dall'uomo erano ugualmente alti. I tassi di coinvolgimento erano ancora più alti per le e-mail generate dall'intelligenza artificiale, con solo il 60% delle persone che forniva dati aggiuntivi nelle e-mail generate dall'uomo.
"È importante notare che il nostro studio è stato condotto utilizzando il modello ChatGPT 3.5 con temi e domande comuni", ha affermato il dott. Niklas Hellemann, CEO e fondatore di SoSafe. “Anche con queste semplici e non personalizzate e-mail di phishing generate dall'intelligenza artificiale, i nostri dati mostrano che le persone faticano a individuare gli attacchi di phishing generati dall'intelligenza artificiale. Man mano che la tecnologia avanza con modelli più maturi come ChatGPT-4 e la personalizzazione su larga scala, ci aspettiamo che gli attacchi diventino ancora più pericolosi, perché la minaccia maggiore risiede nel loro potenziale di scalabilità".
Gli strumenti di intelligenza artificiale generativa accelerano gli attacchi di phishing
La ricerca del team di ingegneria sociale di SoSafe mostra che gli strumenti di intelligenza artificiale generativa possono aiutare i gruppi di hacker a comporre e-mail di phishing almeno il 40% più velocemente. I criminali informatici possono quindi aumentare significativamente le loro percentuali di successo anche con mezzi semplici. Allo stesso tempo, viene abbassata anche la barriera all'ingresso per l'esecuzione di attacchi di spear phishing su larga scala, in cui le preferenze e le abitudini di specifiche persone bersaglio fungono da base per attacchi su misura, perché la personalizzazione degli attacchi di phishing è ridotta anche reso scalabile dall'intelligenza artificiale. Gli strumenti di intelligenza artificiale possono ricevere informazioni personali che aiutano a mantenere la qualità degli attacchi di spear phishing, anche con un numero elevato di obiettivi. Inoltre, gli strumenti di IA generativa apportano anche vantaggi creativi e aiutano i criminali informatici a proporre nuove idee. In questo modo, i gruppi di hacker possono inviare molte più email di phishing in tutte le lingue e in alta qualità in meno tempo rispetto a prima. Ciò rende gli attacchi di phishing su larga scala molto più efficienti e anche più efficaci.
Maggiore attenzione
"Con l'emergere di 'Large Language Models' supportati dall'intelligenza artificiale e il conseguente massiccio aumento del potenziale di scalabilità, la situazione delle minacce informatiche continua a intensificarsi", afferma Hellemann. “Gli studi iniziali hanno dimostrato che l'intelligenza artificiale può già scrivere e-mail di phishing migliori rispetto agli umani. I nostri dati chiariscono le conseguenze: una persona su cinque subisce attacchi di phishing creati dall'intelligenza artificiale. E questo è solo l'inizio: la tecnologia continuerà ad evolversi, offrendo ai criminali informatici più opzioni. Già il salto da ChatGPT-3 a ChatGPT-4 ha portato il ridimensionamento della personalizzazione a un nuovo livello.
Altro su SoSafe.com
A proposito di SoSafe
SoSafe aiuta le organizzazioni a costruire la propria cultura della sicurezza e mitigare i rischi con la sua piattaforma di sensibilizzazione conforme al GDPR. 2018 dal Dott. Fondata da Niklas Hellemann, Lukas Schaefer e Felix Schürholz, SoSafe ha ora più di 3.000 clienti in tutto il mondo ed è uno dei principali fornitori di sensibilizzazione e formazione sulla sicurezza in Europa. Con elementi di psicologia comportamentale e algoritmi intelligenti, SoSafe consente esperienze di apprendimento personalizzate e simulazioni di attacco che motivano e addestrano i dipendenti a proteggersi attivamente dalle minacce online. Il team SoSafe è ora composto da oltre 370 dipendenti in cinque sedi: Colonia (sede centrale), Amsterdam, Berlino, Londra e Parigi.