הצד האפל של AI: תוקפים כבר עושים אוטומציה של phishing
זוכרים את הנסיך הניגרי? הודעות פישינג כבר ממש לא קלות לזיהוי, והיום כבר יש ספקי phishing כשירות. איך הבינה המלאכותית הפכה את ההונאה הזו לפשוטה וזולה ומה ארגונים יכולים לעשות כדי להתמודד?
מקור: dreamstime
מאת אופיר קפלושניק
לפני זמן לא רב, יכולנו לזהות הודעות החשודות כהודעות phishing לפי האיות הגרוע, השגיאות הדקדוקיות והתחביר המשונה; תרמיות בשימוש נרחב, כמו הנסיך הניגרי, כבר הפכו לבדיחה מוכרת; ובאופן כללי לא היינו צריכים להתאמץ מדי כדי להבין באופן כמעט מיידי אם מישהו מנסה בערמומיות לדלות את הפרטים שלנו. אך בשנים האחרונות, עם התרחבות ה-AI הגנרטיבי, יצירת מסרים מותאמים אישית על ידי תוקפים באופן שקשה יותר לזהות כ-phishing, הופכת לקלה וזולה, וכאנשי אבטחה אנחנו צריכים להתכונן להשלכות.
דיווחים על כלי תקיפה חדשים למכירה ברשת האפלה, כולל WormGPT ו-FraudGPT, מצביעים על כך שפושעים החלו להתאים בינה מלאכותית גנרטיבית למטרות מרושעות, כולל phishing. בעוד שהשימוש בטכנולוגיה זו עדיין לא הגיע לאוטומציה מקצה לקצה בקנה מידה גדול, הדינמיקה הכלכלית של פשעי סייבר הופכת את הפיתוח לכמעט בלתי נמנע.
בכלכלת פשעי הסייבר יש התמחות שמניעה חדשנות. הפורום הכלכלי העולמי (WEF) מעריך שפשיעת סייבר היא כעת הכלכלה השלישית בגודלה בעולם, אחרי ארצות הברית וסין, המגלגלת כ-8 טריליון דולר ב-2023 וצפויה להגיע לכ-10.5 טריליון דולר ב-2025. כלכלת פשעי הסייבר כוללת ספקים עם התמחויות: ישנם ספקים שמוכרים פרטים גנובים, גישה לחשבונות פרוצים וכאלו המציעים פרוקסי של כתובות IP לעשרות מיליוני כתובות IP residential.
שירותים דומים ל-ChatGPT יוצרים הודעות פישינג
כאמור, בינה מלאכותית גנרטיבית מאפשרת אוטומציה מקצה לקצה של הונאת phishing, מוזילה את העלות ומרחיבה את השימוש בה. האם העבודה הזו יכולה להיות אוטומטית? בהחלט. התוקפים הופכים את חיפוש התוכן במדיה החברתית לאוטומטי, משיגים אישורים ומשתלטים על חשבונות כדי לאסוף מידע. וכך, באמצעות אוטומציה יכולים לבנות גרף ידע על חיי מטרה.
בעזרת גרף הידע הזה התוקפים יכולים להזין מידע אישי לשירות דמוי ChatGPT – שפועל ללא אמצעי הגנה אתיים – כדי ליצור הודעות phishing יעילות. התוקף יכול ליצור רצפים שלמים של הודעות שישתרעו על פני מספר ערוצים, ממייל ועד מדיה חברתית, יקבלו הודעות שמקורן במספר חשבונות מזויפים ולכל אחד מהם דמות מעוצבת שנוצרה על סמך נטיות שירכשו את אמון המטרה.
יתרה מכך, ישנם ספקי phishing כשירות, המציעים ערכות כלים כוללות: מתבניות דוא”ל ועד לאתרי פרוקסי phishing בזמן אמת. בעוד ספקים אלה מתחרים כדי לזכות בעסקי הפשיעה, הזוכים יהיו ארגונים המספקים שירות Phishing מקצה לקצה בעלות הנמוכה ביותר – דינמיקה שעשויה להניע קדימה את האוטומציה של phishing.
אז איך ארגונים יכולים להתמודד עם העלייה הצפויה במתקפות Phishing? להלן כמה הצעות שיעזרו להיערך:
• הדרכה למודעות: ההון האנושי של ארגון הוא במקרה הזה החוליה החלשה שלו. חשוב להדריך עובדים, באופן קבוע, לגבי הסכנות של phishing: כיצד לזהות מיילים חשודים ואילו צעדים צריך לנקוט אם הם נתקלים בניסיון phishing אפשרי. לארגון מומלץ להכשיר אנשים שיתמודדו עם דיווחי העובדים ויחפשו בקשות ממקור לא מהימן ומאומת, יבצעו קמפיינים מדומים של phishing לבדיקת יכולת העובדים לזהות מיילים חשודים, ואף ישתמשו בהודעות phishing כתובות היטב, מקצועיות וממוקדות לעובדים ספציפיים, ממקורות שנראים לגיטימיים.
• התגוננות מפני פרוקסי phishing בזמן אמת: תוקפים משתמשים לעתים קרובות ב-phishing כדי לעקוף אימות רב-גורמי (MFA) באמצעות פרוקסי phishing בזמן אמת. הפושעים משתמשים ב-phishing כדי לשטות במשתמשים כך שיכניסו את האישורים והסיסמה החד-פעמית שלהם לאתר שהם שולטים בו, וממנו הם שולחים אחר כך לאפליקציה האמיתית כדי לקבל גישה.
• הגנה נחושה מפני השתלטות על חשבון: פושעים משיגים שליטה במספר עצום של חשבונות באמצעות מילוי אישורים על ידי בוטים. נוסף על הונאה פיננסית, פושעים אוספים נתונים אישיים נוספים ממקורות שונים כדי להשתמש בהם בהתקפות phishing. הגנה יעילה מפני בוטים דורשת איסוף אותות עשיר ולמידת מכונה.
• שימוש בבינה מלאכותית כדי להילחם בבינה מלאכותית: כאשר פושעים מנצלים בינה מלאכותית גנרטיבית לביצוע הונאה, ארגונים צריכים למנף בינה מלאכותית כזו להגנתם. נדרש כלי הגנה המנטר עסקאות בזמן אמת מכל פעילויות המשתמש כדי לזהות פעילות זדונית ולספק שיעורי זיהוי הונאה מדויקים. אם אתם יכולים לזהות הונאה בתוך יישומים, הנזק של phishing יפחת. בדיקת תעבורה עם AI דורשת פענוח תעבורה יעיל, דבר שניתן לבצע עם Orchestration TLS.
מה הלאה?
בינה מלאכותית גנרטיבית מציבה בבירור קבוצה חדשה של אתגרי אבטחה. עם תחילתה של מתקפת phishing עלינו לבטל הרבה מהיוריסטיקות האמון שלנו. בעוד שבעבר אולי ניתן אמון בהתבסס על מראית עין של מקצועיות, כעת אנו זקוקים לפרוטוקולים קפדניים יותר לקביעת אמיתות התקשורת. אנחנו צריכים להיות חשדניים יותר בעידן החדש הזה של מסעות פרסום שגויים, Deep Fake ומתקפות phishing.
הכותב הוא מנהל תחום הנדסת פתרונות ב-F5 לאזורי ישראל, ספרד ויוון
