Ідентифікаційні дані завжди були одним із улюблених предметів кіберзлочинців. З їх допомогою можна ініціювати компрометацію облікового запису та здійснити шахрайство з особистими даними. Тепер ChatGPT & Co також допомагають із ідеальними фішинговими електронними листами. Заява Дірка Декера, регіонального директора з продажів DACH & EMEA South у Ping Identity.
Зловмисники зазвичай використовують соціальну інженерію та фішинг. Рівень успіху таких атак, здебільшого заснованих на масовості, обмежений. Індивідуалізовані електронні листи та повідомлення, адаптовані до жертви, пропонують значно вищі показники успіху, але також вимагають значно більше роботи, тому поки що є винятком.
ChatGPT & Co допомога з фішингом
Досі, оскільки з появою перших чат-ботів на основі штучного інтелекту, таких як ChatGPT, електронні листи та повідомлення про соціальну інженерію та фішинг, спрямовані на маси, тепер також можна персоналізувати – і це швидко, легко та ефективно. Рівень успішності однієї атаки, не кажучи вже про цілу кампанію, можна значно збільшити завдяки ШІ. Тому що навіть відповіді на електронні листи, аж до більш довгих, дуже складних розмов, можна створювати «реалістично» автоматично за допомогою чат-ботів на основі ШІ. Для цього штучному інтелекту потрібні лише особисті та особисті дані його жертв, які є у вільному доступі для всіх в Інтернеті. Вона навіть здатна вдосконалювати електронні листи та повідомлення на основі позитивних і негативних реакцій своїх жертв.
Крістіна Лекаті, експерт із захисту від атак соціальної інженерії, нещодавно пояснила, як такі атаки на ідентифікаційні дані на основі ШІ можуть виглядати на практиці в статті «ChatGPT і майбутнє соціальної інженерії», яку варто прочитати. TÜV також оцінює новий розвиток як серйозний. У своєму нещодавно опублікованому дослідженні «Кібербезпека в німецьких компаніях» асоціація чітко застерігає від зловживання системами штучного інтелекту кіберзлочинцями — також і особливо в контексті персоналізації та оптимізації фішингових кампаній і кампаній соціальної інженерії.
Симулюйте внутрішні фішингові кампанії на основі ШІ
Щоб мінімізувати потенційний відсоток успіху кампаній, які підтримуються штучним інтелектом, зараз багато експертів радять підвищувати обізнаність працівників про проблему та симулювати фішингові кампанії на основі штучного інтелекту, щоб виявити потенційні слабкі місця та завчасно їх локалізувати. Такі профілактичні заходи – це добре, але їх недостатньо. Потрібно більше – і тепер це також можливо. Мова йде про використання підтверджених ідентифікаційних даних і рішень децентралізованого управління ідентифікацією та виявлення загроз ідентифікації та реагування на них (ITDR).
Щоб звести до мінімуму ризик шахрайства, багато компаній тепер вимагають від своїх клієнтів надати дані про особу, які можна перевірити, цифрові копії, які можуть бути «сертифіковані» і призначені особі третьою стороною, що перевіряє, — наприклад, органом влади. Для того, щоб клієнти погодилися поділитися такими високоякісними ідентифікаційними даними з компанією, компанія повинна спочатку встановити та гарантувати підвищений рівень захисту даних.
Децентралізоване керування цифровими ідентифікаторами
Децентралізоване керування цифровими ідентифікаторами дозволяє їм робити саме це. Завдяки децентралізованому рішенню для керування ідентифікацією перевірені ідентифікаційні дані зберігаються, керуються та передаються через зашифрований цифровий гаманець на смартфоні клієнта. Таким чином він завжди зберігає повний контроль над своїми даними. Він сам вирішує, чим, коли і з ким хоче поділитися.
І нарешті, ITDR дозволяє ідентифікувати, пом’якшувати та належним чином реагувати на сценарії загроз на основі ідентифікаційної інформації, такі як зламані облікові записи користувачів, зламані паролі, зламані дані та інші шахрайські дії. Машинне навчання використовується для розрізнення типової та нетипової поведінки користувачів від людей і ботів, щоб можна було вжити контрзаходів на ранній стадії у разі компромісу.
У ході зростаючого зловживання штучним інтелектом необхідно і правильно захищати себе ефективніше, ніж раніше, від крадіжки особистих даних і компрометації облікових записів - і завдяки перевіреним ідентифікаційним даним, децентралізованому управлінню ідентифікаційною інформацією та ITDR це тепер також можливо. Рішення для керування ідентифікацією наступного покоління – це точно – більше не зможуть уникнути цих функцій.
Більше на PingIdentity.com
Про Ping Identity Ping Identity — це гарантія безпечного та безперебійного цифрового досвіду для всіх користувачів — без компромісів. Це те, що ми маємо на увазі під цифровою свободою. Ми дозволяємо організаціям поєднувати найкращі в своєму класі рішення ідентифікації зі сторонніми службами, які вони вже використовують, щоб виключити використання паролів, запобігти шахрайству, зміцнити нульову довіру або все між ними.