Phishing prijevare stare su već oko tri desetljeća, ali i dalje predstavljaju ozbiljne prijetnje. Sada dobivaju AI nadogradnju. Ne samo da su postali agresivniji po broju napada. Sada su također postali sofisticiraniji, potpomognuti uvjerljivijim personaliziranim porukama i lukavim trikovima. INTERPOL je prošlog mjeseca objavio izvješće o procjeni prijevara u kojem se navodi istaknuta uloga umjetne inteligencije u porastu krađe identiteta i drugih slučajeva prijevare.
Uloga umjetne inteligencije u krađi identiteta može biti predvidljiv neželjeni razvoj događaja, ali mnogi su još uvijek nespremni nositi se s tim. Neki čak nisu svjesni načina na koji umjetna inteligencija podupire napade temeljene na prijevari. Phishing postaje opasniji nego ikada, a organizacije bi se trebale barem upoznati s problemom kako bi znale koju cyber obranu postaviti.
Pametniji i učinkovitiji phishing
Tijekom prošlog desetljeća napadi krađe identiteta bili su prilično očiti. U biti, zaudarali su na amaterski trud sa svim gramatičkim pogreškama, brzim pozdravima i primjetno nasumičnim ili općenitim porukama. Većina phishing napada u prošlosti slijedila je pristup “vidi što ostaje”. Phisheri šalju velike količine e-pošte ili poruka i čekaju da žrtve odgovore. Tim je porukama nedostajao smisao ciljanja. Oni su personalizirani kako bi zadovoljili interese ili brige primatelja.
Stvari su se promijenile s porastom naprednije tehnologije umjetne inteligencije, posebice generativne umjetne inteligencije. Phishing napadi izgubili su većinu atributa koji su ih činili vidljivima, poput gramatičkih i tipografskih pogrešaka. Akteri prijetnji sada mogu iskoristiti generativnu umjetnu inteligenciju za izradu jedinstvenih poruka koje izbjegavaju automatizirane sustave za otkrivanje krađe identiteta i djeluju uvjerljivije ciljanim žrtvama. Postali su učinkovitiji. Također, materijale koji se koriste u phishing napadima znatno je lakše i brže proizvesti zbog generativne umjetne inteligencije.
Personalizirane i ljudske poruke
Jedan od najzamornijih dijelova phishing napada je izrada poruka koje će biti poslane žrtvama. Te bi poruke trebale apelirati na svoje primatelje da napad poluči željeni ishod. Međutim, vrlo je teško doći do učinkovitih poruka. Još je teže profilirati sve potencijalne žrtve kako bi se odredile situacije na koje su najvjerojatnije osjetljive.
Umjetna inteligencija rješava te izazove na dva načina. Prvo, analizira ogromne količine podataka o potencijalnim žrtvama. Umjetna inteligencija može pretraživati e-poštu, objave na društvenim mrežama i druge dostupne informacije koje mogu pružiti uvid u interese i brige ljudi koji im se sviđaju. Zatim AI generira personalizirane poruke koje izmiču automatiziranim sustavima za otkrivanje krađe identiteta i koje će vjerojatno izmamiti odgovor od primatelja.
Personalizirane poruke obično su učinkovitije jer su napravljene da se čitaju kao nešto što bi napisali stvarni ljudi. S obradom prirodnog jezika (NLP), ogrankom umjetne inteligencije, moguće je pisati e-poštu, chat poruke ili tekstualne poruke koje su ne samo gramatički ispravne, već i usporedive s ljudskim pisanjem. To omogućuje slanje velikih količina phishing poruka s velikom vjerojatnošću da će dobiti odgovor koji žele počinitelji.
Kloniranje glasa
Jedan popularan i učinkovit oblik phishinga je glasovni phishing ili vishing, koji uključuje korištenje telefonske komunikacije ili glasovnih poruka za izvlačenje informacija od žrtve. Procjenjuje se na oko 12 posto svih slučajeva krađe identiteta i košta žrtve preko 30 milijardi dolara godišnje. S pojavom tehnologije kloniranja glasa, vishing je postao opasniji jer je sada moguće točno kopirati nečiji glas kako bi se nekoga natjeralo da nešto učini.
Početkom ove godine prijavljena je jedna istaknuta upotreba glasovnog krađe identiteta pokretanog umjetnom inteligencijom. Protivnici američkog predsjedničkog kandidata upotrijebili su kloniranje glasa umjetnom inteligencijom kako bi pokušali potisnuti glasove obeshrabrujući birače da odu na birališta. Tehnologija kloniranja glasa već je postojala i prije uspona naprednije generativne umjetne inteligencije. Međutim, kloniranje glasa trenutno je znatno sofisticiranije i lako dostupno svakome tko ima pristup internetu. Brojne web stranice ili aplikacije nude dobre usluge kloniranja glasa besplatno ili uz malu naknadu.
Deepfakes
Umjetna inteligencija također je učinila phishing putem videozapisa opasnijim putem deepfakeova ili izmišljenih videozapisa koji prikazuju osobu koja radi nešto što zapravo nije učinila. Deepfakes se također može odnositi na izmjenu videozapisa kako bi se zamijenili detalji u postojećem videozapisu, poput stavljanja lica slavnih u nepristojne ili skandalozne videozapise. Baš kao i čišćenje glasa, i ova je tehnologija svima dostupna.
U veljači ove godine, zaposlenik multinacionalne organizacije bio je uvjeren da će isplatiti 25 milijuna dolara prevarantu zbog deepfakea. Zaposlenik je bio uvjeren da radi legitimnu transakciju nakon video poziva njihovog navodnog glavnog financijskog direktora. Zaposlenik je rekao da je u početku bio sumnjičav da je meta phishing napada. Međutim, na kraju je bio uvjeren da nastavi s transakcijom nakon što je obavio konferencijski poziv na kojem su sudjelovali kolege koje je prepoznao.
Jasno je da video pozivi ili video poruke više nisu pouzdani načini provjere autentičnosti poruka ili uputa. Čak i oni koji su instinktivno oprezni mogu na kraju nasjesti na krađu identiteta i druge oblike kibernetičkih napada zbog uvjerljivih lažnih slika i videa koje je generirala umjetna inteligencija.
Potreba za regulacijom umjetne inteligencije
Krađa identiteta pomoću umjetne inteligencije samo je jedan primjer mnogih načina na koje umjetna inteligencija postaje alat za loše aktere. To je također jedan od mnogih razloga zašto postoje pozivi na regulaciju umjetne inteligencije. Mnogo je kritika zbog povećanja kontrole nad novim tehnologijama poput umjetne inteligencije, ali postoje i uvjerljivi razlozi zašto ima smisla da vlade interveniraju.
SAD, Kina i razne europske zemlje već su počele surađivati oko potrebe da se AI modeli podvrgnu testovima sigurnosti. Brojne su zakonodavne radnje i regulatorni prijedlozi koji poprimaju oblik. Usredotočeni su na osiguravanje transparentnosti i objašnjivosti modela umjetne inteligencije, rješavanje pristranosti podataka i osiguravanje da se umjetna inteligencija ne koristi zlonamjerno ili kao pomoć kibernetičkim napadima.
Kreatori sustava umjetne inteligencije poput OpenAI-ja već su počeli nametati kontrole nad svojim modelima umjetne inteligencije poput provedbe pravila za sprječavanje stvaranja određenih sadržaja koji se smatraju zlonamjernim, ograničavanje nekih funkcija na opće korisnike i kontinuirano praćenje. Međutim, jasno je da obveze privatnih organizacija nisu dovoljne za jamčenje sigurnosti i zaštite.
Područje umjetne inteligencije djeluje prema doktrinama slobodnog tržišta koje potiču konkurenciju. Neizbježno je da organizacije uključene u razvoj umjetne inteligencije pokušavaju jedna drugu nadmašiti kako bi korisnicima ponudile privlačnije opcije. U tom procesu mogu propustiti uzeti u obzir sigurnost i sigurnost. U slučaju phishinga potpomognutog umjetnom inteligencijom, na primjer, bilo bi teško za AI sustave nametnuti previše ograničenja i otjerati korisnike u njihove konkurente. Kako bi se izjednačili uvjeti za igru, potrebni su propisi kako bi se svi prisilili da rade pod sličnim sigurnosnim zahtjevima bez ograničavanja inovacija.
AI i krađa identiteta pokazuju moćnu kombinaciju s ozbiljnim posljedicama. Postalo je sasvim uobičajeno i većina organizacija je svjesna štete koju ovaj dvojac nosi. Svi korisnici digitalne tehnologije trebaju se pripremiti za negativan utjecaj umjetne inteligencije, ali je također dužnost vlada da igraju ulogu u ublažavanju rizika i usmjeravanju razvoja tehnologije umjetne inteligencije prema korisnim upotrebama.
https://moderndiplomacy-eu.