Hitech logo

Тренды

ChatGPT может создавать фишинговые тексты почти так же убедительно, как человек

TODO:
Екатерина Шемякинская25 октября 2023 г., 16:39

Искусственный интеллект продолжает быстро развиваться и способен на многое, от создания произведений искусства до работы в корпоративной среде. Но, согласно исследованию IBM X-Force, люди все еще превосходят большие языковые модели в области обмана. Исследователи провели эксперимент, целью которого было определить, кто получит больше кликов в фишинговой кампании — ИИ или люди. ChatGPT с использованием всего пяти простых подсказок создал убедительное электронное письмо. Это заняло у него всего пять минут, тогда как человеческая команда потратила 16 часов. Но письмо, написанное людьми, получило на четверть больше кликов, чем письмо за авторством ChatGPT.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

X-Force разработала пять подсказок для обучения ChatGPT создавать электронные письма для фишинга, направленные на сотрудников в сфере здравоохранения. При анализе наиболее важных вопросов для сотрудников отрасли, модель выделила такие аспекты, как профессиональный рост, стабильность и удовлетворение от работы. Касательно методов социальной инженерии и маркетинга, которые следует использовать, ChatGPT подчеркнул важность доверия, авторитета и социальных доказательств. Также была отмечена значимость персонализации, оптимизации для мобильных устройств и призыва к действию. Модели подсказали, что нужно отправить письмо от лица внутреннего менеджера.

После того, как ChatGPT подготовил свой вариант письма, команда Стефани Каррутерс, главного хакера IBM, приступила к работе, начав со сбора данных из открытых источников (OSINT). Они искали общедоступную информацию с таких сайтов, как LinkedIn, блоги организации и обзоры Glassdoor. В отличие от быстрого вывода ChatGPT, люди тщательно продумывали свое фишинговое письмо. Оно включало опрос сотрудников с «пятью короткими вопросами, которые займут всего несколько минут» и должны были быть возвращены «в эту пятницу». Каррутерс сказала, что у команды людей на подготовку письма ушло 16 часов.

Оба письма были разосланы 800 сотрудникам глобальной медицинской компании. Рейтинг кликов для электронного письма, созданного человеком, составил 14% по сравнению с 11% у ИИ. Более высокая частота сообщений о подозрительной активности наблюдалась у письма чат-бота (59%), по сравнению с частотой сообщений о письме людей, которая составила 51%.

Каррутерс назвала эмоциональный интеллект, персонализацию и лаконичные сюжетные линии причинами победы людей. Во-первых, человеческая команда смогла эмоционально установить связь с сотрудниками, сосредоточившись на примере внутри компании, в то время как ИИ выбрал более общую тему. Во-вторых, было указано имя получателя. В третьих, тема, созданная людьми, была точной («Опрос о состоянии здоровья сотрудников»), в то время как тема ИИ была более обобщенной и длинной («Открой свое будущее: ограниченные достижения в компании X»). Вероятно, это изначально вызвало подозрения.

Фишинг остается основной тактикой злоумышленников, потому что он реально работает. По словам Каррутерс, инновации, как правило, на несколько шагов отстают от социальной инженерии. Эта тактика остается настолько успешной, потому что она использует человеческие слабости, убеждая щелкнуть ссылку или предоставить конфиденциальную информацию или данные. Например, злоумышленники пользуются желанием помочь другим или создают ложное чувство безотлагательности, чтобы заставить жертву предпринять быстрые действия.

Каррутерс отметила, что организации должны обучать сотрудников выходить за рамки традиционных «красных флажков». Например, считается, что фишинговые электронные письма наполнены грамматическими и орфографическими ошибками, но это миф. На самом деле, попытки фишинга с помощью искусственного интеллекта часто демонстрируют грамотность. Организации должны обновлять программы социальной инженерии и укреплять системы управления идентификацией и доступом.