Finora, le organizzazioni hanno avuto il loro più grande punto debole nella lotta al crimine informatico ben sotto controllo: i dipendenti sono stati formati e sensibilizzati con successo. Ma con le truffe di ingegneria sociale generate dall'intelligenza artificiale arriva una nuova ondata. Fino a quando la tecnologia non sarà matura, gli esseri umani dovranno fare da cane da guardia, afferma Chester Wisniewski, Field CTO Applied Research di Sophos e fa tre previsioni per il futuro.
Le organizzazioni hanno affrontato uno dei loro componenti più critici per la sicurezza informatica: le persone. Contrastano la "debolezza umana" con una formazione continua e ora spesso confidano che gli utenti riconoscano potenziali attacchi di phishing a causa, ad esempio, di irregolarità linguistiche o errori di ortografia e grammatica.
L'intelligenza artificiale non si rivela più attraverso errori di ortografia
Ma i generatori di voce e contenuti basati sull'intelligenza artificiale come ChatGPT sono sulla buona strada per rimuovere questi elementi rivelatori da truffe, tentativi di phishing e altri attacchi di social engineering. Una falsa e-mail del "supervisore" può sembrare più convincente che mai grazie all'intelligenza artificiale e i dipendenti avranno senza dubbio più difficoltà a distinguere i fatti dalla finzione. Nel caso di queste truffe, i rischi posti dagli strumenti linguistici di intelligenza artificiale non sono tecnici, ma sociali, e quindi spaventosi.
I rischi specifici degli attacchi di phishing generati dall'intelligenza artificiale
Dalla creazione di post di blog e codice di codifica alla composizione di e-mail professionali, gli strumenti linguistici di intelligenza artificiale possono fare tutto.Le tecnologie sono abili nel generare contenuti avvincenti e sono stranamente bravi a emulare i modelli di linguaggio umano.
Sebbene non abbiamo ancora verificato alcun abuso di questi programmi per contenuti di ingegneria sociale, sospettiamo che sia imminente. ChatGPT è già stato utilizzato per scrivere malware e prevediamo che gli attori criminali svilupperanno presto applicazioni dannose per strumenti vocali AI. Ma: i contenuti di phishing generati dall'intelligenza artificiale presentano già rischi sociali unici che minano la difesa tecnica!
Attacchi di phishing basati sull'intelligenza artificiale: ogni e-mail può essere una minaccia?
Prendi il malware generato dall'intelligenza artificiale, ad esempio: i prodotti di sicurezza esistenti possono analizzare il codice di codifica in millisecondi e valutarlo con sicurezza come sicuro o dannoso. Ancora più importante, la tecnologia può contrastare la tecnologia.
Ma le parole e le sfumature incorporate nei messaggi di phishing creati con l'intelligenza artificiale non possono essere rilevate dalle macchine: sono gli esseri umani che interpreteranno questi tentativi di truffa come destinatari. Poiché gli strumenti di intelligenza artificiale sono in grado di produrre contenuti sofisticati e realistici su richiesta, possiamo fare sempre meno affidamento sugli esseri umani come parte della linea di difesa.
Nuovo fatto: tecnologia contro tecnologia
Questa situazione in rapida evoluzione richiede una rivalutazione del ruolo della formazione sulla sicurezza nella lotta agli attacchi di ingegneria sociale. Sebbene non esista ancora un'applicazione commerciale contro le frodi generate dall'intelligenza artificiale, la tecnologia fungerà sempre più da strumento chiave per identificare e proteggere le persone dagli attacchi di phishing generati dalle macchine. Gli esseri umani avranno ancora un ruolo, ma solo molto piccolo.
Tre profezie per l'era ChatGPT
Mentre siamo ancora nelle fasi iniziali di questa nuova era dell'IA, è già chiaro che i contenuti di phishing generati dall'IA diventeranno un argomento estremamente importante per la strategia di sicurezza aziendale. Le seguenti tre previsioni su come ChatGPT potrebbe essere utilizzato come strumento per il crimine informatico e quali risposte di sicurezza si svilupperanno da esso sembrano le più probabili:
1. Diventerà necessaria un'autenticazione utente più complessa.
Le macchine sono molto brave a suonare come gli umani, quindi è necessario fornire nuove opzioni di autenticazione nelle aziende. Ciò significa: ogni comunicazione che riguardi l'accesso a informazioni, sistemi o elementi monetari aziendali deve richiedere forme più complesse di autenticazione dell'utente. La verifica della telefonata diventerà probabilmente il metodo più comune per verificare questi tipi di e-mail o messaggi. Le aziende potrebbero anche utilizzare una password giornaliera segreta per identificarsi con altre entità o individui.
Alcuni istituti finanziari operano già in questo modo. Qualunque sia la forma di verifica utilizzata, è fondamentale che il metodo non possa essere facilmente utilizzato dagli aggressori che hanno compromesso le credenziali dell'utente.
Poiché le tecnologie di intelligenza artificiale si evolvono e si diffondono a una velocità vertiginosa, i metodi di autenticazione devono tenere il passo. Ad esempio, nel gennaio di quest'anno, Microsoft ha rivelato VALL-E, una nuova tecnologia AI in grado di clonare una voce umana dopo tre secondi di registrazione audio. Quindi, nel prossimo futuro, la telefonata probabilmente non sarà più sufficiente nemmeno come requisito di autenticazione...
2. Gli utenti legittimi annacquano gli avvisi di sicurezza: tutti o nessuno
Chester Wisniewski, Field CTO Applied Research di Sophos (Immagine: Sophos).
Molti utenti utilizzano ChatGPT per produrre rapidamente contenuti professionali o promozionali. Questo uso legittimo degli strumenti linguistici dell'intelligenza artificiale complica le risposte di sicurezza rendendo più difficile l'identificazione di esempi criminali.
Esempio: non tutte le email contenenti testo generato da ChatGPT sono dannose, quindi non possiamo bloccarle tutte in modo definitivo. Questo, in una certa misura, annacqua la nostra risposta di sicurezza. Come contromisura, i fornitori di soluzioni di sicurezza potrebbero sviluppare "punti di fiducia" o altri indicatori che valutano la probabilità che un messaggio o un'e-mail, sebbene generati dall'intelligenza artificiale, siano ancora affidabili. Potrebbero anche addestrare i modelli di intelligenza artificiale a riconoscere il testo creato con l'intelligenza artificiale e posizionare un banner di "attenzione" sui sistemi rivolti all'utente. In alcuni casi, questa tecnologia potrebbe filtrare i messaggi dalla posta in arrivo del dipendente.
3. Le frodi generate dall'intelligenza artificiale diventeranno più interattive
Mi aspetto che in futuro i programmi di linguaggio AI vengano utilizzati in modo ancora più interattivo dai criminali per produrre e-mail di phishing o messaggi occasionali. I truffatori potrebbero utilizzare questa tecnologia per manipolare le persone tramite chat in tempo reale.
I servizi di messaggistica come WhatsApp, Signal o Telegram sono crittografati end-to-end, quindi queste piattaforme non sono in grado di filtrare i messaggi fraudolenti o generati dall'intelligenza artificiale nei canali privati. Questo potrebbe renderli molto attraenti per i truffatori che perseguitano le loro vittime su queste piattaforme.
D'altra parte, questo sviluppo potrebbe portare le organizzazioni a riconfigurare le proprie soluzioni di sicurezza. Potrebbe essere necessario utilizzare tecnologie di filtro sui singoli dispositivi terminali dei dipendenti.
Fino a quando le nuove tecnologie non prendono piede, vale quanto segue: diffidare di ogni comunicazione
Gli strumenti linguistici AI pongono domande essenziali per il futuro della sicurezza informatica. Capire cosa è reale sta diventando sempre più difficile e gli sviluppi futuri non lo renderanno affatto più facile. Le tecnologie saranno l'arma principale contro il crimine informatico guidato dall'intelligenza artificiale. Ma ora i dipendenti devono intervenire e imparare a diffidare di tutte le comunicazioni. Nell'era di ChatGPT, non è una reazione eccessiva, è una risposta critica.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.