С помощта на ChatGPT фишинг и BEC атаките стават още по-трудни за разпознаване от хора и AI защитни системи (снимка: CC0 Public Domain)
ChatGPT — големият езиков модел, разработен от OpenAI и базиран на генератора на естествен език GPT-3 — привлича огромно внимание в последните месеци. Но не само любопитните хора и находчивите ученици прибягват до уменията му – кибер-измамниците също виждат отлична нова възможност.
ChatGPT носи огромни последици за сигурността. За разлика от типичните чатботове и НЛП системи, ChatGPT ботовете се държат като истински хора – хора с дипломи по философия и етика и почти всичко останало. Реториката е майсторска. Това прави ChatGPT отличен инструмент за… фишинг и компрометиране на бизнес-имейли.
ChatGPT за фишинг
Неотдавнашно проучване на Андрю Пател и Джейсън Сатлър от W/Labs с примамливото заглавие „Креативно злонамерено бързо инженерство“ установи, че големите езикови модели, използвани от ChatGTP, са отлични за създаване на фишинг атаки.
По думите на експертите, езиковите модели могат да „изпращат майсторски фалшиви текстови съобщения“ в стила на писане на реален човек, да възприемат стилистични особености, да предлагат мнения и да създават фалшиви новини. Това означава, че инструменти като ChatGPT могат да създават множество итерации на фишинг имейли, като всеки опит може да постигне изграждане на доверие у човешкия си получател и да заблуди стандартните инструменти за засичане на подозрителен текст.
Крейн Хасолд, анализатор в Abnormal Security, казва, че способността на ChatGPT да пише убедително звучащ текст е съпоставима с тази на опитен автор на съдържание. В този смисъл инструментът е „страхотен многофункционален инструмент за злоумишленици“. Той дори съумява да пише така, че да избегне традиционните фишинг индикатори, за които ИТ екипите обучават персонала в организациите по света.
„Той може да създаде реалистични имейли, без тези писма да извикват аларми в инструментите за сигурност и без индикации, че нещо е злонамерено“, казва Хасолд. „Може да бъде по-детайлен, по-реалистичен и по-разнообразен“.
Abnormal Security прави експеримент: изисква от ChatGPT да напише пет нови варианта на фишинг атака, насочена към отделите за човешки ресурси и ТРЗ. В резултат алгоритъмът генерира за по-малко от минута пет съобщения, които Хасолд описва като „уникални“.
… и BEC атаки
Способността на алгоритъма да пише убедително го прави отличен инструмент и за измами по схемата „компрометиран бизнес-имейл“ (BEC). Хасолд казва, че злонамерените играчи в подземни общности за BEC атаки си споделят шаблони, които те и „колегите“ им използват многократно. Това е причината, поради която е възможно много хора на различни места по света да получат едни и същи видове измамни имейли.
Генерираните от ChatGPT електронни писма обаче ловко избягват повторяемостта. Те могат да заобикалят защитните инструменти, които разчитат на идентифициране на злонамерени текстови поредици. „С ChatGPT можете да създавате уникален имейл всеки път, за всяка кампания“, казва Хасолд.
В друг свой експеримент той изисква от ChatGPT да създаде имейл, който „има голяма вероятност да накара получателя да кликне върху линк“. „Полученото съобщение изглеждаше много подобно на много фишинг имейли с идентификационни данни, които виждаме в ежедневната си работа“, споделя експертът.
Когато следователите от Abnormal Security питат бота защо смята, че имейлът ще има висок процент на успех, той връща изумителен отговор: „дълъг текст, стъпващ на основните принципи на социалното инженерство зад това, което прави фишинг-имейла ефективен“.
AI срещу AI
Когато става въпрос за маркиране на BEC атаки, преди те да достигнат до получателите, Хасолд предлага използване на AI за борба с… AI. Подобни инструменти могат да следят за така наречените „поведенчески артефакти“ – присъщи характеристики, които не касаят дейността и уменията на ChatGPT. Това изисква анализиране на:
- маркери за идентификация на изпращача;
- валидиране на легитимна връзка между подател и получател;
- възможност за проверка на използваната инфраструктура за изпращане на имейла;
- електронни адреси, свързани с известни податели и организационни партньори.
„Да кажем, че знам правилния имейл адрес, от който следва да ми пише лицето Джон Смит. Ако екранното име и имейл адресът не съвпадат, това може да е поведенческа индикация за злонамерена дейност“, каза той. „Ако съпоставите тази информация със сигнали от тялото на имейла, можете да забележите индикации, които се различават от правилното поведение“.