آنتی ویروس پادویش
امنیت

حملات هکری مهندسی اجتماعی این بار به کمک هوش مصنوعی انجام می شود

هکر های مهندسی اجتماعی با هوش مصنوعی

فهرست مطالب

هوش مصنوعی، با استفاده از تکنیک‌ های مختلف مانند دیپ فیک صوتی و تصویری، حملات مهندسی اجتماعی را به سطح جدیدی ارتقا داده است. در این مقاله پنج نمونه از این حملات و راه‌های مقابله با آنها بررسی می‌شود.

آمارتکسالگوراک

حملات هکری مهندسی اجتماعی با هوش مصنوعی

به گزارش زوم تک از The Hacker News، مهندسی اجتماعی از دیرباز تاکتیک مؤثری بوده است، زیرا بر آسیب‌ پذیری‌ های انسانی تمرکز دارد. به جای استفاده از روش‌های brute-force برای حدس زدن رمز عبور یا جستجوی سیستم‌ها برای نرم‌افزارهای وصله نشده، به سادگی به دستکاری احساساتی مانند اعتماد، ترس و احترام به اقتدار متکی است، معمولاً با هدف دستیابی به اطلاعات حساس یا سیستم‌های محافظت‌شده.

به طور سنتی، این کار به معنای تحقیق و تعامل دستی با اهداف فردی بود که زمان و منابع زیادی را صرف می‌کرد. با این حال، ظهور هوش مصنوعی اکنون امکان راه‌اندازی حملات مهندسی اجتماعی به روش‌های مختلف، در مقیاس بزرگ و اغلب بدون تخصص روان‌شناختی را فراهم کرده است. این مقاله پنج روشی را که هوش مصنوعی موج جدیدی از حملات مهندسی اجتماعی را تقویت می‌کند، پوشش می‌دهد.

دیپ فیک صوتی که ممکن است بر انتخابات اسلواکی تأثیر گذاشته باشد:

پیش از انتخابات پارلمانی اسلواکی در سال ۲۰۲۳، یک ضبط ظاهر شد که به نظر می‌رسید میچال سیمکا، نامزد انتخابات، را در مکالمه با یک روزنامه‌نگار مشهور، مونیکا تودووا، نشان می‌دهد. قطعه صوتی دو دقیقه‌ای شامل بحث‌هایی در مورد خرید آرا و افزایش قیمت آبجو بود.

پس از انتشار آنلاین، مشخص شد که این مکالمه جعلی است و کلماتی که توسط هوش مصنوعی که روی صدای سخنرانان آموزش داده شده بود، گفته شده است.

با این حال، این دیپ فیک تنها چند روز قبل از انتخابات منتشر شد. این امر باعث شد بسیاری از خود بپرسند که آیا هوش مصنوعی بر نتیجه تأثیر داشته است یا خیر و به حزب اسلواکی مترقی میچال سیمکا در رتبه دوم کمک کرده است.

تماس ویدیویی ۲۵ میلیون دلاری که واقعی نبود:

در فوریه ۲۰۲۴، گزارش‌هایی از یک حمله مهندسی اجتماعی مبتنی بر هوش مصنوعی به یک کارمند مالی در شرکت چندملیتی Arup منتشر شد. آنها در یک جلسه آنلاین با کسی که فکر می‌کردند مدیر ارشد مالی آنها و سایر همکارانشان است، شرکت کرده بودند.

در طول تماس ویدیویی، از کارمند مالی خواسته شد که یک انتقال ۲۵ میلیون دلاری انجام دهد. کارمند با این باور که این درخواست از مدیر ارشد مالی واقعی است، دستورالعمل‌ها را دنبال کرد و تراکنش را کامل کرد.

در ابتدا، آنها گزارش داده بودند که دعوت جلسه را از طریق ایمیل دریافت کرده‌اند که باعث مشکوک شدن آنها به هدف حمله فیشینگ شده بود. با این حال، پس از دیدن آنچه به نظر می‌رسید مدیر ارشد مالی و همکارانش شخصاً هستند، اعتمادشان دوباره برقرار شد.

مشکل اینجا بود که کارمند تنها فرد واقعی حاضر در جلسه بود. هر شرکت‌کننده دیگر با استفاده از فناوری دیپ فیک به صورت دیجیتالی ایجاد شده بود و پول به حساب کلاهبرداران واریز می‌شد.

درخواست باج ۱ میلیون دلاری مادر برای دخترش:

بسیاری از ما پیامک‌های تصادفی دریافت کرده‌ایم که با تغییری از «سلام مامان/بابا، این شماره جدید من است. آیا می‌توانید مقداری پول به حساب جدید من واریز کنید لطفا؟» شروع می‌شوند. وقتی به صورت متنی دریافت شود، راحت‌تر می‌توان یک قدم به عقب برداشت و فکر کرد: «آیا این پیام واقعی است؟» با این حال، اگر تماسی دریافت کنید و فرد را بشنوید و صدایش را تشخیص دهید، چه؟ و اگر به نظر برسد که آنها ربوده شده‌اند، چه؟

این اتفاقی بود که برای مادری افتاد که در سال ۲۰۲۳ در سنای ایالات متحده در مورد خطرات جرم و جنایت تولید شده توسط هوش مصنوعی شهادت داد. او تماسی دریافت کرده بود که به نظر می‌رسید از دختر ۱۵ ساله‌اش است. پس از پاسخ دادن، کلماتی را شنید: «مامان، این مردان بد من را گرفته‌اند»، و پس از آن صدای مردی را شنید که تهدید می‌کرد اگر باج ۱ میلیون دلاری پرداخت نشود، مجموعه‌ای از تهدیدهای وحشتناک را عملی خواهد کرد.

مادر که غرق در وحشت، شوک و فوریت شده بود، آنچه را می‌شنید باور کرد، تا اینکه مشخص شد که این تماس با استفاده از صدای شبیه‌سازی شده توسط هوش مصنوعی انجام شده است.

ربات چت جعلی فیس‌ بوک که نام‌های کاربری و رمزهای عبور را جمع‌ آوری می‌کند:

فیس‌بوک می‌گوید: «اگر ایمیل یا پیام مشکوکی دریافت کردید که ادعا می‌کند از فیس‌بوک است، روی هیچ پیوند یا پیوست کلیک نکنید.» با این حال، مهاجمان مهندسی اجتماعی همچنان با استفاده از این تاکتیک نتیجه می‌گیرند.

آنها ممکن است از ترس مردم از دسترسی به حساب خود سوء استفاده کنند و از آنها بخواهند که روی یک پیوند مخرب کلیک کنند و یک ممنوعیت جعلی را درخواست کنند. آنها ممکن است لینکی را با این سؤال ارسال کنند: «آیا این شما در این ویدیو هستید؟» و حس کنجکاوی، نگرانی و تمایل طبیعی به کلیک را تحریک کنند.

مهاجمان اکنون لایه دیگری را به این نوع حمله مهندسی اجتماعی اضافه می‌کنند که به شکل ربات‌های چت مجهز به هوش مصنوعی است. کاربران ایمیلی دریافت می‌کنند که وانمود می‌کند از فیس‌بوک است و تهدید به بسته شدن حسابشان می‌کند. پس از کلیک روی دکمه «درخواست تجدید نظر در اینجا»، یک ربات چت باز می‌شود که جزئیات نام کاربری و رمز عبور را درخواست می‌کند. پنجره پشتیبانی با نام تجاری فیس‌بوک مشخص شده است و تعامل زنده با درخواست «همین حالا اقدام کنید» همراه است و به حمله فوریت می‌بخشد.

«سلاح‌های خود را زمین بگذارید» می‌ گوید رئیس‌جمهور زلنسکی دیپ فیک:

همانطور که گفته می‌شود: اولین قربانی جنگ، حقیقت است. فقط با هوش مصنوعی، حقیقت اکنون می‌تواند به صورت دیجیتالی دوباره ساخته شود. در سال ۲۰۲۲، یک ویدیوی جعلی ظاهر شد که به نظر می‌رسید رئیس‌جمهور زلنسکی را نشان می‌دهد که از اوکراینی‌ها می‌خواهد تسلیم شوند و از جنگ علیه روسیه دست بردارند. این ضبط از طریق اوکراین ۲۴، یک ایستگاه تلویزیونی که هک شده بود، پخش شد و سپس به صورت آنلاین به اشتراک گذاشته شد.

بسیاری از گزارش‌های رسانه‌ای تأکید کردند که این ویدیو حاوی اشتباهات زیادی بود که باور آن را دشوار می‌کرد. این اشتباهات شامل بزرگ بودن سر رئیس‌جمهور برای بدن و قرار گرفتن آن در زاویه‌ای غیرطبیعی بود.

درحالی‌که هنوز در روزهای نسبتاً اولیه‌ی استفاده از هوش مصنوعی در مهندسی اجتماعی هستیم، این نوع ویدیوها اغلب به اندازه‌ای هستند که حداقل باعث شوند مردم توقف کنند و فکر کنند: «اگر این درست باشد، چه؟» گاهی اوقات افزودن عنصری از تردید به اصالت حریف، تمام چیزی است که برای پیروزی لازم است.

هوش مصنوعی، مهندسی اجتماعی را به سطح بعدی می‌برد: چگونه پاسخ دهیم

چالش بزرگ برای سازمان‌ها این است که حملات مهندسی اجتماعی احساسات را هدف قرار می‌دهند و افکاری را برمی‌انگیزند که همه ما را انسان می‌سازند. بالاخره، ما عادت کرده‌ایم به چشمان و گوش‌های خود اعتماد کنیم و می‌خواهیم آنچه را که به ما گفته می‌شود، باور کنیم. اینها همه غرایز طبیعی هستند که نمی‌توان آنها را به سادگی غیرفعال، تنزل داد یا پشت یک دیوار آتش قرار داد.

با افزایش هوش مصنوعی، واضح است که این حملات همچنان ظاهر، تکامل و گسترش خواهند یافت و از نظر حجم، تنوع و سرعت افزایش خواهند یافت.

به همین دلیل است که باید به آموزش کارکنان برای کنترل و مدیریت واکنش‌های خود پس از دریافت یک درخواست غیرعادی یا غیرمنتظره نگاه کنیم. تشویق مردم به توقف و فکر کردن قبل از انجام آنچه از آنها خواسته می‌شود. به آنها نشان دهیم که یک حمله مهندسی اجتماعی مبتنی بر هوش مصنوعی چگونه به نظر می‌رسد و مهمتر از همه، در عمل چه حسی دارد. به طوری که مهم نیست هوش مصنوعی چقدر سریع توسعه می‌یابد، بتوانیم نیروی کار را به اولین خط دفاعی تبدیل کنیم.

روش های مقابله با تهدیدات مهندسی اجتماعی

برای مقابله با تهدیدات مهندسی اجتماعی مبتنی بر هوش مصنوعی، یک طرح اقدام سه مرحله‌ای به شرح زیر پیشنهاد می‌شود:

۱. آموزش و آگاهی: در مورد این حملات با کارکنان و همکاران خود صحبت کنید و آنها را به طور خاص در برابر تهدیدات دیپ فیک آموزش دهید. هدف، افزایش آگاهی آنها و بررسی نحوه واکنش آنها (و نحوه صحیح واکنش) در چنین شرایطی است.

۲. شبیه‌سازی حملات: برای کارکنان خود شبیه‌سازی‌های مهندسی اجتماعی ترتیب دهید تا آنها بتوانند تکنیک‌های رایج دستکاری عاطفی را تجربه کنند و غرایز طبیعی خود را برای پاسخگویی، درست مانند یک حمله واقعی، تشخیص دهند.

۳. بررسی و تقویت دفاعیات: دفاعیات سازمانی، مجوزهای حساب و امتیازات نقش خود را بررسی کنید تا حرکات احتمالی یک عامل تهدید را در صورت دستیابی اولیه به سیستم، درک کنید. این امر به شما کمک می‌کند تا نقاط ضعف احتمالی را شناسایی و قبل از وقوع حمله، آنها را برطرف کنید.

به این پست امتیاز بدید

مطالب مرتبط

نظرات در مورد : حملات هکری مهندسی اجتماعی این بار به کمک هوش مصنوعی انجام می شود

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *