Такі чат-боти, як ChatGPT, зростають: штучний інтелект може впоратися з природним невіглаством. Все частіше потрібні інтелектуальні машини, щоб виявляти, коли інші машини намагаються обдурити користувачів. Коментар Честера Вишневського, експерта з кібербезпеки в Sophos.
Чат-бот ChatGPT, який базується на штучному інтелекті, робить заголовки в усьому світі - і, окрім звітів на фондовому ринку та середовищі авторського права, ІТ-безпека також є центром дискусій. Незважаючи на всі зусилля виробника щодо безпеки, нещодавно реалізована широка доступність інструменту несе з собою нові виклики, коли справа доходить до фішингової приманки або орієнтованого на діалог шахрайства, такого як романтичне шахрайство через соціальні мережі або орієнтовані на бізнес атаки компрометації через електронну пошту.
Компрометуючі атаки, розроблені ШІ
«Один із найбільших ризиків полягає в тому, що зловмисники використовують ці платформи для значного покращення якості своїх фішингових принад. Це робить фішингові атаки дедалі складнішими для ідентифікації навіть для спостережливих користувачів», — сказав Чет Вишневскі, експерт із кібербезпеки Sophos. «Зрештою, чат-боти штучного інтелекту, які постійно вдосконалюються, забезпечують безкоштовне оновлення для всіх видів атак соціальної інженерії. Такі програми, як ChatGPT, можна використовувати для ведення кримінально орієнтованих, дуже реалістичних, інтерактивних розмов електронною поштою або для запуску чат-атак через Facebook Messenger, WhatsApp або інші програми для чату.
Сьогодні найбільша небезпека для англомовної цільової групи. Проте, ймовірно, це лише питання часу, коли будуть доступні нові версії для створення правдоподібних текстів усіма поширеними мовами світу. Ми досягли етапу, коли люди все більше не можуть відрізнити прозу, створену машиною, від прози, написаної людьми, особливо коли ми погано знаємо іншу людину».
Поворотний момент для ІТ-безпеки
Ця розробка є поворотним моментом для існуючих стандартів у сфері навчання співробітників та ІТ-безпеки. Пройшли ті часи, коли організації могли покладатися на те, що співробітники відіграватимуть активну роль у захисті від кібератак, спостерігаючи за граматичними помилками, орфографічними помилками чи дивними фразами. Один із останніх ефективних елементів навчальних програм підривається чат-ботами, такими як ChatGPT, і дуже ефективно, як ілюструють наступні два приклади.
Оригінальний текст-приманка від шахрая BEC (Business Email Compromise), який намагається перевести чиюсь зарплату на рахунок зловмисника, досить легко помітити як «несправжній». Для порівняння, нижче є варіант, який був написаний шляхом введення відповідних тематичних ключових моментів ChatGPT.
Шахрайська електронна пошта за умовчанням від зловмисника
Привіт ….,
Я змінив свій банк, тому що мій старий рахунок більше не підходить для прийому платежів dd, і я хочу змінити дані прямого депозиту моєї зарплати. Чи може ця зміна діяти для поточної дати виплати?
Дякую, ….
Текст, написаний AI ChatGPT
🔎 Текст, написаний AI ChatGPT, звучить оманливо реально (Зображення: Sophos).
Шановний HR!
Я пишу, щоб попросити вас оновити інформацію про мій прямий депозит у системі нарахування заробітної плати компанії. Інформація про мій поточний банківський рахунок більше недійсна, і я перейду до іншого банку.
Чи могли б ви повідомити мені, яка інформація вам потрібна, щоб оновити інформацію про мій прямий депозит? Я радий надати будь-яку необхідну інформацію.
Я також хотів би попросити, щоб це оновлення було зроблено вчасно для наступного періоду нарахування заробітної плати. Чи потрібно ще щось зробити, щоб забезпечити плавний перехід?
Дякую за увагу до цього питання. Я ціную вашу допомогу в забезпеченні надходження моїх чеків на правильний рахунок.
З повагою,
[Твоє ім'я]
«Приклад схожий на електронну пошту реальної людини, має гарну пунктуацію, орфографію та граматику. вона ідеальна? Немає. вона достатньо хороша? У всякому разі! З огляду на те, що шахраї вже заробляють мільйони на своїх погано продуманих приманках, легко уявити новий вимір цієї комунікації за допомогою ШІ. Уявіть собі спілкування з цим ботом через WhatsApp або Microsoft Teams. Чи впізнали б машину?», – розповідає Вишневський про свою «творчу роботу» з чат-ботом.
Підпишіться на інформаційний бюлетень зараз
Раз на місяць читайте найкращі новини B2B CYBER SECURITYШІ може майже ідеально обдурити користувачів
Справа в тому, що майже всі типи додатків у сфері ШІ вже досягли точки, коли вони можуть обдурити людину майже в 100% випадків. Якість «розмови», яку можна вести за допомогою ChatGPT, чудова, і можливість генерувати підроблені людські обличчя, які, наприклад, майже не відрізняються (для людей) від справжніх фотографій, також уже є реальністю. Злочинний потенціал таких технологій величезний, як видно з прикладу: злочинці, які хочуть здійснити шахрайство через підставну компанію, просто створюють 25 облич і використовують ChatGPT для написання своїх біографій. Додайте кілька підроблених облікових записів LinkedIn, і все готово.
І навпаки, «хороша сторона» також повинна звернутись до технологій, щоб мати змогу протистояти їм. «Нам усім потрібно одягнути костюми Залізної Людини, якщо ми збираємося сміливо йти у все більш небезпечні води Інтернету», — сказав Вишневський. «Дедалі більше здається, що нам потрібні машини, щоб виявляти, коли інші машини намагаються нас обдурити. Цікаве підтвердження концепції було розроблено компанією Hugging Face, яка може розпізнавати текст, згенерований за допомогою GPT-2, що свідчить про те, що подібні методи можна використовувати для розпізнавання вихідних даних GPT-3».
Сумно, але факт: штучний інтелект забив останній цвях у труну безпеки кінцевих користувачів.
«Я кажу, що ми повинні припинити це взагалі? Ні, але ми повинні знизити наші очікування. Безумовно, не завадить дотримуватися найкращих практик щодо ІТ-безпеки, які були та часто досі застосовуються. Нам потрібно спонукати користувачів бути ще більш підозрілими, ніж раніше, і, що найважливіше, ретельно перевіряти повідомлення, які містять доступ до особистої інформації або грошових статей. Йдеться про те, щоб задавати запитання, прохати допомоги та витрачати ті кілька хвилин додаткового часу, щоб підтвердити, що все дійсно так, як воно здається. Це не параноя, це бажання не бути обдуреним шахраями».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.