Gstudio/Adobe Stock (ang.). Pośród wszystkich buzzów wokół ChatGPT i innych sztucznych aplikacji wywiadowczych, kryminaliści zaczęli wykorzystywać sztuczną inteligencję do generowania e-maili. Obecnie cyberkryminaliści ludzie są nadal bardziej realizowani podczas odświeżania udanych ataków phishinga, ale przerwa jest zamykana, zgodnie z treningiem bezpieczeństwa. Nowy raport Hoxhunt Wydarzenia środę.

Kampanie faszujące, stworzone przez ChatGPT vs.

Hoxhunt porównał kampanie phishingowe generowane przez ChatGPT w przeciwieństwie do tych, które zostały stworzone przez ludzi w celu ustalenia, które stało się lepszym szansą na kradzież ofiary.

W celu przeprowadzenia tego eksperymentu firma wysłała 53 127 użytkowników w 100 krajach symulacji phishingu, zaprojektowanych przez inżynierów społecznych lub przez ChatGPT. Użytkownicy otrzymywali symulację phishing w swoich inboxach, ponieważ otrzymywali jakikolwiek rodzaj e-maila. Test miał na celu wywołanie trzech możliwych odpowiedzi.

1. Sukces: Użytkownik z powodzeniem informuje symulację phishingu jako złośliwą za pomocą przycisku Hoxhunt.
2. Miss: Użytkownik nie oddziałuje z symulacją phishing.
3. Failure: Użytkownik korzysta z przynętku i klikuje na złośliwym łączu w e-mailu.

Wyniki symulacji phishinga prowadzonej przez Hoxhunt

W końcu ludzkie poczty phishingowe złapały więcej ofiar niż te stworzone przez ChatGPT. W szczególności, wskaźnik, w którym użytkownicy zapadli w wiadomościach, wynosił 4,2%, podczas gdy wskaźnik AI generował 2,9%. Oznacza to, że inżynierowie społeczni przekształcili ChatGPT około 69%.

Jedną z pozytywnych wyników badań jest to, że szkolenie bezpieczeństwa może udowodnić skuteczne uniknięcie ataków phishinga. Użytkownicy o większej świadomości bezpieczeństwa byli znacznie bardziej skłonni przeciwstawić się pokusie angażowania się w e-maile, czy byli generowani przez ludzi lub sztuczną inteligencję. Odsetek osób, które kliknęły na złośliwym łączu w wiadomości, spadł z ponad 14% wśród mniej wyszkolonych użytkowników do 2%.

SEE świadomości i edukacji TechRepublic Premium (ang.).

Wyniki te różniły się również w zależności od kraju:

• USA: 5,9% użytkowników z ankiety zostało oszukanych przez wygenerowane e-maile, natomiast 4,5% zostało wymyślonych przez komunikaty sztucznej inteligencji.
• Niemcy: 2,3% ludzi zostało oszukanych przez człowieka, podczas gdy 1,9% było oszukane przez sztuczną inteligencję.
• Szwecja: 6,1% ludzi zostało zniesione przez człowieka, a 4,1% zostało zniesione przez inteligencję.

Obecne cybersekuracje mogą nadal pokryć ataki AI.

Chociaż e-maile stworzone przez ludzi były bardziej przekonujące niż te z sztucznej inteligencji, to wynik ten jest płynny, zwłaszcza jako ChatGPT i inne modele sztucznej inteligencji. Test został przeprowadzony przed wydaniem gry ChatGPT 4, która obiecuje, że jest ona bardziej fascynowana niż jego poprzednik. Narzędzia sztucznej inteligencji ewoluują i stanowią większe zagrożenie dla organizacji z cyberkryminalistów, którzy używają ich do własnych złośliwych celów.

Zastrzeżenia bezpieczeństwa

• Zagrożenia dla 2023 roku

• Najlepszy program zarządzania aktywami

• Meet jest najbardziej wszechstronnym przenośnym urządzeniem cybersecurity.

• Jak zabezpieczyć e-mail poprzez szyfrowanie, zarządzanie hasłami i więcej (TechRepublic Premium).

  Po stronie plus, chroniąc swoją organizację przed phishing mailami i innymi zagrożeniami wymaga tego samego obronienia i koordynacji, czy ataki są tworzone przez ludzi lub przez sztuczną inteligencję.

“ChatGPT pozwala kryminalistom na uruchomienie doskonałej kampanii phishingowych na skalę, a jednocześnie usunięcie kluczowego wskaźnika ataku phishing – zła gramatyka – inne wskaźniki są łatwo obserwowalne do przeszkolonego oka”, powiedział, że dyrektor generalny Hoxhunt i współzałożyciel Mika Aalto. “Within your holistic cybersecurity strategy, be sure to skupienie się na twoich ludziach i ich zachowaniach e-mailowych, ponieważ to, co nasi adwersarze robią z nowymi narzędziami sztucznej inteligencji.

Zabezpieczenie jest dzielną odpowiedzialnością w całej organizacji, która pozwala użytkownikom na śledzenie podejrzanych wiadomości i nagradza ich za sprawdzenie zagrożenia, dopóki nie wykrycie ludzkie staje się zwyczajem.”

Nacisk bezpieczeństwa lub informatyki i użytkowników

W końcu Aalto oferuje kolejne punkty.

Za bezpieczeństwo i informację.

• Wymaga on dwuprodukcyjne uwierzytelnienie lub wielozadaniowe uwierzytelnienie dla wszystkich pracowników, którzy mają dostęp do wrażliwych danych.
• W związku z tym, że wszyscy pracownicy są przekonani o podejrzanym e-mailu, taki proces powinien być bezstronny.
• Umożliwia to, że zespoły bezpieczeństwa z zasobami potrzebne są do analizy i analizowania raportów dotyczących zagrożenia ze strony pracowników.

dla użytkowników

• Hover nad dowolnym łączem w e-mailu, przed kliknięciem go. Jeśli związek wydaje się nieistotny lub nieistotny do wiadomości, informuje e-mail jako podejrzany o wsparcie i pomoc w zespole biurowym.

• Scrutinize the sender field to, aby upewnić się, że adres e-mail zawiera legalną dziedzinę biznesu. Jeśli adres wskazuje na Gmail, Hotmail lub inne darmowe usługi, wiadomość jest prawdopodobnie phishing email.

• Konfirmuje podejrzany e-mail z nadawcą przed jego występem. Wykorzystuje metodę innego niż e-mail, by skontaktować się z wiadomością.

• Myślę przed kliknięciem. Zamachy phishinga starają się stworzyć fałszywe poczucie urgency, co skłoniło odbiorcę do kliknięcia na łącze lub angażowania się z wiadomością tak szybko jak to możliwe.

• Pay attention to the tone and voice of an email (ang.). Obecnie phishing emails generowane przez sztuczną inteligencję zapisywane są w formalnym i szwadronowym sposób. Czytaj: Jako ostrza do cybersekularności, ChatGPT może przeciąć obie strony. (Republika)

  

  Cybersecurity Insider Newsletter (ang.).

  Strengthen your organization’s IT security defenses by zachować jak najnowsze wiadomości cybersekuracyjne, rozwiązania i najlepsze praktyki.

  Wtorek i czwartki znakować