Чому глибокий фейковий фішинг — це катастрофа, яка чекає свого

Ознайомтеся з усіма сесіями на замовлення саміту Intelligent Security Summit тут.


Все не завжди так, як здається. У міру розвитку технології штучного інтелекту (ШІ) люди почали використовувати її для спотворення реальності. Вони створили синтетичні зображення та відео всіх, від Тома Круза та Марка Цукерберга до президента Обами. Хоча багато з цих випадків використання нешкідливі, інші додатки, як-от глибокий фейковий фішинг, є набагато мерзеннішими.

Хвиля зловмисників використовує штучний інтелект для створення синтетичного аудіо, зображень і відеоконтенту, призначеного для видавання довірених осіб, таких як генеральні директори та інші керівники, щоб обманом змусити співробітників передати інформацію.

Проте більшість організацій просто не готові протистояти цим типам загроз. Ще в 2021 році аналітик Gartner Дарін Стюарт написав допис у блозі, попереджаючи, що «поки компанії намагаються захиститися від атак програм-вимагачів, вони нічого не роблять, щоб підготуватися до неминучої атаки синтетичних медіа».

Оскільки штучний інтелект швидко розвивається, а такі провайдери, як OpenAI, демократизують доступ до штучного інтелекту та машинного навчання за допомогою нових інструментів, таких як ChatGPT, організації не можуть дозволити собі ігнорувати загрозу соціальної інженерії, яку представляють глибокі фейки. Якщо вони це зроблять, вони залишаться вразливими до витоку даних.

Подія

Intelligent Security Summit On-Demand

Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Дивіться сеанси за запитом сьогодні.

Дивіться тут

Стан фішингу deepfake у 2022 році та в подальшому

Незважаючи на те, що технологія deepfake залишається на зародковому етапі, її популярність зростає. Кіберзлочинці вже починають експериментувати з ним, щоб атакувати нічого не підозрюючих користувачів і організації.

Згідно з даними Всесвітнього економічного форуму (WEF), кількість дипфейків в Інтернеті щорічно зростає на 900%. У той же час VMware виявила, що двоє з трьох захисників повідомляють про використання шкідливих дипфейків як частини атаки, що на 13% більше, ніж минулого року.

Ці напади можуть бути надзвичайно ефективними. Наприклад, у 2021 році кіберзлочинці використовували клонування голосу штучного інтелекту, щоб видати себе за генерального директора великої компанії та обманом змусили менеджера банку організації перевести 35 мільйонів доларів на інший рахунок для завершення «придбання».

Подібний інцидент стався в 2019 році. Шахрай зателефонував генеральному директору британської енергетичної компанії за допомогою ШІ, щоб видати себе за виконавчого директора німецької материнської компанії фірми. Він просив терміново перерахувати 243 тис. доларів угорському постачальнику.

Багато аналітиків прогнозують, що зростання фішингу підробок буде продовжуватися, а фальшивий контент, створений загрозливими суб’єктами, ставатиме все більш витонченим і переконливим.

«У міру того як технологія deepfake розвивається, [attacks using deepfakes] очікується, що вони стануть більш поширеними та поширяться на нові шахрайства», – сказав аналітик KPMG Ахілеш Тутея.

«Вони все більше стають невідрізними від реальності. Два роки тому було легко відрізнити глибокі фейки, оскільки вони були незграбними [movement] якість і … фальшива особа, здавалося, ніколи не омигнула. Але розрізнити це стає все важче й важче», — сказав Тутея.

Tuteja припускає, що керівники безпеки повинні підготуватися до шахраїв, які використовують синтетичні зображення та відео для обходу систем автентифікації, таких як біометричні входи.

Як deepfakes імітує людей і може обійти біометричну автентифікацію

Щоб здійснити фішинг-атаку deepfake, хакери використовують штучний інтелект і машинне навчання для обробки різноманітного вмісту, включаючи зображення, відео та аудіокліпи. За допомогою цих даних вони створюють цифрову імітацію людини.

«Погані актори можуть легко створити автокодери — свого роду розширену нейронну мережу — для перегляду відео, вивчення зображень і прослуховування записів людей, щоб імітувати фізичні атрибути цієї особи», — сказав Девід Махді, радник з CSO та CISO у Sectigo.

Один із найкращих прикладів цього підходу стався на початку цього року. Хакери створили глибоку фейкову голограму Патріка Хіллманна, головного спеціаліста з комунікацій Binance, взявши вміст з минулих інтерв’ю та виступів у ЗМІ.

Завдяки такому підходу зловмисники можуть не тільки імітувати фізичні властивості людини, щоб обдурити користувачів за допомогою соціальної інженерії, вони також можуть зневажати рішення біометричної автентифікації.

З цієї причини аналітик Gartner Авіва Літан рекомендує організаціям «не покладатися на біометричну сертифікацію для програм автентифікації користувачів, якщо вона не використовує ефективне виявлення глибоких фейків, яке забезпечує життєдіяльність і легітимність користувача».

Літан також зазначає, що виявлення таких типів атак з часом, ймовірно, стане складнішим, оскільки штучний інтелект, який вони використовують, вдосконалюється, щоб мати можливість створювати більш переконливі звукові та візуальні представлення.

«Виявлення дипфейків — це програшна пропозиція, оскільки дипфейки, створені генеративною мережею, оцінюються дискримінаційною мережею», — сказав Літан. Літан пояснює, що генератор має на меті створити контент, який введе в оману дискримінатор, у той час як дискримінатор постійно вдосконалюється, щоб виявляти штучний вміст.

Проблема полягає в тому, що в міру того, як точність дискримінатора зростає, кіберзлочинці можуть застосувати отриману інформацію до генератора, щоб створити контент, який важче виявити.

Роль навчання з питань безпеки

Одним із найпростіших способів боротьби з глибоким фейковим фішингом є навчання з питань безпеки. Хоча жодне навчання не запобіжить, щоб усі співробітники коли-небудь були захоплені високоскладною спробою фішингу, воно може зменшити ймовірність інцидентів безпеки та порушень.

«Найкращий спосіб боротьби з глибоким фейковим фішингом — інтегрувати цю загрозу в навчання з питань безпеки. Так само, як користувачів навчають уникати натискань на веб-посилання, вони повинні пройти подібне навчання щодо глибокого фейкового фішингу», — сказав аналітик ESG Global Джон Олцік.

Частина цього навчання має включати процес звітування про спроби фішингу групі безпеки.

Що стосується змісту навчання, ФБР пропонує, щоб користувачі могли навчитися розпізнавати фішингові атаки та атаки соціальної інженерії, спостерігаючи за візуальними індикаторами, такими як спотворення, викривлення або невідповідності зображень і відео.

Навчання користувачів, як визначати загальні червоні прапорці, як-от кілька зображень із однаковим відстанню та розташуванням очей, або проблеми синхронізації між рухами губ і звуком, може допомогти запобігти тому, щоб вони стали жертвами досвідченого зловмисника.

Боротьба протиборчого ШІ з оборонним ШІ

Організації також можуть спробувати боротися з глибоким фейковим фішингом за допомогою ШІ. Генеративні суперницькі мережі (GAN), тип моделі глибокого навчання, можуть створювати синтетичні набори даних і створювати імітаційні атаки соціальної інженерії.

«Сильний CISO може покладатися на інструменти ШІ, наприклад, для виявлення підробок. Організації також можуть використовувати GAN для створення можливих типів кібератак, які злочинці ще не застосували, і розробити способи протидії їм до того, як вони відбудуться», – сказала Ліз Греннан, експерт-асоційований партнер McKinsey.

Однак організації, які вибирають цей шлях, повинні бути готові витратити час, оскільки кіберзлочинці також можуть використовувати ці можливості для інноваційних типів атак.

«Звичайно, злочинці можуть використовувати GAN для створення нових атак, тому компанії повинні бути на крок попереду», — сказав Греннан.

Перш за все підприємства повинні бути готові. Організації, які не сприймають загрозу глибокого фейкового фішингу всерйоз, залишаться вразливими для вектора загроз, популярність якого може вибухнути, оскільки штучний інтелект стане демократизованим і доступнішим для зловмисників.

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment