СИНГАПУР – Плохая грамматика уже давно является верным признаком того, что сообщение или предложение о работе, скорее всего, являются мошенничеством.
Но эксперты по кибербезопасности заявили, что эти дни могут пройти, поскольку чат-боты с генеративным искусственным интеллектом (ИИ), такие как ChatGPT, помогли мошенникам создавать сообщения на почти идеальном языке.
Эксперты по кибербезопасности заявили, что в последние месяцы они заметили улучшения в языке, используемом при фишинговых мошенничествах, что совпало с ростом популярности ChatGPT, и предупредили, что конечным пользователям нужно будет быть еще более бдительными в отношении других признаков мошенничества.
Риски, связанные с ChatGPT, были классифицированы как возникающая угроза в специальном мартовском отчете компании Norton, занимающейся разработкой программного обеспечения для обеспечения безопасности, в котором говорилось, что мошенники будут использовать большие языковые модели, такие как ChatGPT. Хотя инструменты не новы, они более доступны, чем раньше, и могут использоваться для создания поддельного контента, запуска фишинговых кампаний и кодирования вредоносных программ, пишет Norton.
Британская фирма по кибербезопасности Darktrace сообщила в марте, что с момента выпуска ChatGPT атаки на электронную почту содержали сообщения с большей лингвистической сложностью, предполагая, что киберпреступники, возможно, сосредоточили свое внимание на разработке более сложных мошеннических программ социальной инженерии.
ChatGPT способен исправлять несовершенный английский и переписывать блоки текстов для определенной аудитории – в корпоративном стиле или для детей. Теперь он поддерживает обновленный Microsoft Bing, который в марте насчитывал 100 миллионов активных пользователей и собирается бросить вызов Google в борьбе за пирог поисковой системы.
Г-н Мэтт Оствин, региональный вице-президент и технический директор компании по управлению данными Pure Storage, заметил, что тексты, используемые в фишинговых мошенничествах, за последние шесть месяцев стали лучше написаны, поскольку участились случаи кибератак, которыми занимается его фирма. Он не может подсчитать количество случаев, в которых, как полагают, помогал ИИ, поскольку это еще только начало.
Он сказал: “У ChatGPT вежливая манера письма... Сразу стало очевидно, что в фишинговых мошенничествах произошли изменения в языке”.
Он добавил: “Это все еще довольно недавно, но за последние шесть месяцев мы стали свидетелями появления более изощренных попыток, и вполне вероятно, что мошенники используют эти инструменты”.
Вежливый и спокойный тон чат-ботов, таких как ChatGPT, похож на то, как корпорации могут обрабатывать свои сообщения, сказал г-н Оствин. Он добавил, что это может обмануть людей, которые ранее попадались на мошенничество, в котором использовались плохие и часто агрессивные выражения.
Пользователи на 10% чаще переходят по фишинговым ссылкам, генерируемым ИИ, сказал г-н Тео Сян Чжэн, вице-президент по консультированию Ensign InfoSecurity. Цифры основаны на фишинговых упражнениях фирмы по кибербезопасности, в которых использовался контент, созданный ИИ.
Он добавил, что на темных веб-форумах обсуждаются методы использования ChatGPT для усиления фишинговых атак или создания вредоносных программ.
В декабре Check Point Software Technologies обнаружила доказательства того, что киберпреступники в темной Сети использовали чат-бота для создания скрипта на python, который мог быть использован при атаке вредоносного ПО.
В феврале компания-разработчик программного обеспечения BlackBerry сообщила, что более половины опрошенных ею технологических лидеров считают, что в течение года произойдет успешная кибератака, приписываемая ChatGPT. Большинство респондентов планируют удвоить кибербезопасность, основанную на ИИ, в течение двух лет, сообщила BlackBerry.
Г-жа Джоанн Вонг, вице-президент LogRhythm по международным рынкам, сказала, что рост мошенничества, основанного на ИИ, неудивителен, поскольку инструменты пригодятся синдикатам, которым мешают их языковые навыки.
“В большинстве случаев они не владеют английским как родным языком и не владеют им в совершенстве – и именно поэтому сообщения о мошенничестве на сегодняшний день плохо написаны”, - отметила она.
Старший научный сотрудник ESET Ригард Цвиненберг заявил, что инструменты искусственного интеллекта угрожают повысить способность мошенников запускать крупномасштабные атаки, включая поддельные электронные письма, направленные на сотрудников, для атаки на компании. Он добавил, что киберпреступники уже были уличены в использовании инструментов, управляемых ИИ, в злонамеренных целях.
Его команда также протестировала способность ChatGPT создавать мошеннические сообщения, которые в основном были без ошибок и убедительны для неподготовленного глаза.
“Грамматические ошибки могут уйти в прошлое благодаря таким инструментам, как ChatGPT. Тем не менее, к счастью, существуют другие предупреждающие знаки, предупреждающие пользователей о возможном мошенничестве”, - сказал г-н Цвиненберг.
Получатели должны быть осторожны при получении электронных писем с тактикой неожиданного давления, запросами личной информации или предложением подарков, которые слишком хороши, чтобы быть правдой, добавил он.
Использование ИИ в мошенничестве происходит на фоне участившихся случаев фишинговых атак, которые используют приложения, используемые на рабочем месте, такие как поддельные электронные письма мошенников, выдающих себя за Microsoft, Google и Adobe.
Шаблон мошенничества, написанный ChatGPT.
Фирма по кибербезопасности Proofpoint заявила, что в 2022 году она зарегистрировала около 1600 таких кампаний по всей своей глобальной клиентской базе.
“В то время как Microsoft была самой злоупотребляемой торговой маркой с более чем 30 миллионами сообщений, использующих ее брендинг или такие продукты, как Office или OneDrive, среди других компаний, регулярно выдаваемых за киберпреступников, были Google, Amazon, DHL, Adobe и DocuSign”, - отмечается в нем.
Семь из 10 сингапурских организаций сообщили о попытке атаки на электронную почту в 2022 году, основываясь на результатах опроса Proofpoint. В его опросе респондентов не спрашивали о сумме, потерянной в результате мошенничества.
Но все еще есть способы, которыми люди могут защититься от мошенничества, созданного ИИ, - путем поиска подозрительных вложений, заголовков, отправителей и URL–адресов, встроенных в электронное письмо, добавлено в отдельном отчете.
Эксперты призывают общественность проверять подлинность электронной почты отправителя и призывают фирмы проводить проверки на вымогателей и работать с консультантами, чтобы устранить пробелы в их системе.
По данным Proofpoint, чуть более половины местных фирм с программой повышения осведомленности о безопасности обучают весь свой персонал мошенничеству, и еще меньше проводят симуляции фишинга, чтобы подготовить персонал к потенциальным атакам. Знакомых логотипов и фирменного стиля было достаточно, чтобы убедить четырех из 10 респондентов в безопасности электронной почты.
Региональный директор фирмы по стратегии кибербезопасности Дженнифер Ченг сказала: “Поскольку человеческий фактор продолжает играть решающую роль в защите компаний, очевидна ценность создания культуры безопасности, охватывающей всю организацию”.
Но эксперты по кибербезопасности заявили, что эти дни могут пройти, поскольку чат-боты с генеративным искусственным интеллектом (ИИ), такие как ChatGPT, помогли мошенникам создавать сообщения на почти идеальном языке.
Эксперты по кибербезопасности заявили, что в последние месяцы они заметили улучшения в языке, используемом при фишинговых мошенничествах, что совпало с ростом популярности ChatGPT, и предупредили, что конечным пользователям нужно будет быть еще более бдительными в отношении других признаков мошенничества.
Риски, связанные с ChatGPT, были классифицированы как возникающая угроза в специальном мартовском отчете компании Norton, занимающейся разработкой программного обеспечения для обеспечения безопасности, в котором говорилось, что мошенники будут использовать большие языковые модели, такие как ChatGPT. Хотя инструменты не новы, они более доступны, чем раньше, и могут использоваться для создания поддельного контента, запуска фишинговых кампаний и кодирования вредоносных программ, пишет Norton.
Британская фирма по кибербезопасности Darktrace сообщила в марте, что с момента выпуска ChatGPT атаки на электронную почту содержали сообщения с большей лингвистической сложностью, предполагая, что киберпреступники, возможно, сосредоточили свое внимание на разработке более сложных мошеннических программ социальной инженерии.
ChatGPT способен исправлять несовершенный английский и переписывать блоки текстов для определенной аудитории – в корпоративном стиле или для детей. Теперь он поддерживает обновленный Microsoft Bing, который в марте насчитывал 100 миллионов активных пользователей и собирается бросить вызов Google в борьбе за пирог поисковой системы.
Г-н Мэтт Оствин, региональный вице-президент и технический директор компании по управлению данными Pure Storage, заметил, что тексты, используемые в фишинговых мошенничествах, за последние шесть месяцев стали лучше написаны, поскольку участились случаи кибератак, которыми занимается его фирма. Он не может подсчитать количество случаев, в которых, как полагают, помогал ИИ, поскольку это еще только начало.
Он сказал: “У ChatGPT вежливая манера письма... Сразу стало очевидно, что в фишинговых мошенничествах произошли изменения в языке”.
Он добавил: “Это все еще довольно недавно, но за последние шесть месяцев мы стали свидетелями появления более изощренных попыток, и вполне вероятно, что мошенники используют эти инструменты”.
Вежливый и спокойный тон чат-ботов, таких как ChatGPT, похож на то, как корпорации могут обрабатывать свои сообщения, сказал г-н Оствин. Он добавил, что это может обмануть людей, которые ранее попадались на мошенничество, в котором использовались плохие и часто агрессивные выражения.
Пользователи на 10% чаще переходят по фишинговым ссылкам, генерируемым ИИ, сказал г-н Тео Сян Чжэн, вице-президент по консультированию Ensign InfoSecurity. Цифры основаны на фишинговых упражнениях фирмы по кибербезопасности, в которых использовался контент, созданный ИИ.
Он добавил, что на темных веб-форумах обсуждаются методы использования ChatGPT для усиления фишинговых атак или создания вредоносных программ.
В декабре Check Point Software Technologies обнаружила доказательства того, что киберпреступники в темной Сети использовали чат-бота для создания скрипта на python, который мог быть использован при атаке вредоносного ПО.
В феврале компания-разработчик программного обеспечения BlackBerry сообщила, что более половины опрошенных ею технологических лидеров считают, что в течение года произойдет успешная кибератака, приписываемая ChatGPT. Большинство респондентов планируют удвоить кибербезопасность, основанную на ИИ, в течение двух лет, сообщила BlackBerry.
Г-жа Джоанн Вонг, вице-президент LogRhythm по международным рынкам, сказала, что рост мошенничества, основанного на ИИ, неудивителен, поскольку инструменты пригодятся синдикатам, которым мешают их языковые навыки.
“В большинстве случаев они не владеют английским как родным языком и не владеют им в совершенстве – и именно поэтому сообщения о мошенничестве на сегодняшний день плохо написаны”, - отметила она.
Старший научный сотрудник ESET Ригард Цвиненберг заявил, что инструменты искусственного интеллекта угрожают повысить способность мошенников запускать крупномасштабные атаки, включая поддельные электронные письма, направленные на сотрудников, для атаки на компании. Он добавил, что киберпреступники уже были уличены в использовании инструментов, управляемых ИИ, в злонамеренных целях.
Его команда также протестировала способность ChatGPT создавать мошеннические сообщения, которые в основном были без ошибок и убедительны для неподготовленного глаза.
“Грамматические ошибки могут уйти в прошлое благодаря таким инструментам, как ChatGPT. Тем не менее, к счастью, существуют другие предупреждающие знаки, предупреждающие пользователей о возможном мошенничестве”, - сказал г-н Цвиненберг.
Получатели должны быть осторожны при получении электронных писем с тактикой неожиданного давления, запросами личной информации или предложением подарков, которые слишком хороши, чтобы быть правдой, добавил он.
Использование ИИ в мошенничестве происходит на фоне участившихся случаев фишинговых атак, которые используют приложения, используемые на рабочем месте, такие как поддельные электронные письма мошенников, выдающих себя за Microsoft, Google и Adobe.
Шаблон мошенничества, написанный ChatGPT.
Фирма по кибербезопасности Proofpoint заявила, что в 2022 году она зарегистрировала около 1600 таких кампаний по всей своей глобальной клиентской базе.
“В то время как Microsoft была самой злоупотребляемой торговой маркой с более чем 30 миллионами сообщений, использующих ее брендинг или такие продукты, как Office или OneDrive, среди других компаний, регулярно выдаваемых за киберпреступников, были Google, Amazon, DHL, Adobe и DocuSign”, - отмечается в нем.
Семь из 10 сингапурских организаций сообщили о попытке атаки на электронную почту в 2022 году, основываясь на результатах опроса Proofpoint. В его опросе респондентов не спрашивали о сумме, потерянной в результате мошенничества.
Но все еще есть способы, которыми люди могут защититься от мошенничества, созданного ИИ, - путем поиска подозрительных вложений, заголовков, отправителей и URL–адресов, встроенных в электронное письмо, добавлено в отдельном отчете.
Эксперты призывают общественность проверять подлинность электронной почты отправителя и призывают фирмы проводить проверки на вымогателей и работать с консультантами, чтобы устранить пробелы в их системе.
По данным Proofpoint, чуть более половины местных фирм с программой повышения осведомленности о безопасности обучают весь свой персонал мошенничеству, и еще меньше проводят симуляции фишинга, чтобы подготовить персонал к потенциальным атакам. Знакомых логотипов и фирменного стиля было достаточно, чтобы убедить четырех из 10 респондентов в безопасности электронной почты.
Региональный директор фирмы по стратегии кибербезопасности Дженнифер Ченг сказала: “Поскольку человеческий фактор продолжает играть решающую роль в защите компаний, очевидна ценность создания культуры безопасности, охватывающей всю организацию”.
