19 بهمن ماه 1403
0 
اساس حملات مهندسی اجتماعی ، که شامل دستکاری افکار انسان ها میشود ، ممکن است در طول سالها تغییر چندانی نکرده باشد. اما روشهای اجرای این تکنیکها در حال تحول هستند و مانند بسیاری از صنایع امروزی، هوش مصنوعی سرعت این تحول را افزایش داده است.
این مقاله به بررسی تأثیر این تغییرات بر کسبوکارها و نحوه پاسخگویی رهبران امنیت سایبری می پردازد.
حملات جعل هویت : استفاده از هویت های مورد اعتماد
روشهای سنتی دفاع در برابر مهندسی اجتماعی ، که به گفته تامسون رویترز عامل بیشتر نقضهای داده است ، قبلاً هم با چالشهای زیادی مواجه بودند. اکنون نسل جدید حملات سایبری با قدرت هوش مصنوعی و مهاجمان میتوانند این حملات را با سرعت، مقیاس و واقعگرایی بیسابقهای اجرا کنند.
روش قدیمی: ماسکهای سیلیکونی
دو کلاهبردار با جعل هویت یک وزیر دولت فرانسه، بیش از ۵۵ میلیون یورو از قربانیان خود به دست آوردند. در تماس های ویدیویی، یکی از آنها از ماسک سیلیکونی ژان-ایو لو دریان استفاده میکرد. برای افزایش باورپذیری، آنها در یک بازسازی از دفتر وزیر با عکسهای فرانسوا اولاند، رئیسجمهور وقت فرانسه، نشسته بودند.
گزارشها حاکی از آن است که بیش از ۱۵۰ شخصیت برجسته برای درخواست پول به عنوان باج یا برای عملیات ضدتروریستی مورد هدف قرار گرفتند. بزرگترین انتقال پول ۴۷ میلیون یورو بود، زمانی که هدف تحت فشار قرار گرفت تا برای آزادی دو خبرنگار در سوریه اقدام کند.
روش جدید: جعل ویدیویی (دیپ فیک)
بسیاری از درخواست های پول با شکست مواجه شدند، زیرا ماسک های سیلیکونی نمیتوانند به طور کامل ظاهر و حرکات پوست یک فرد را تقلید کنند. فناوری ویدیویی هوش مصنوعی راهحل جدیدی برای تقویت این نوع حملات ارائه میدهد.
سال گذشته در هنگکنگ، مهاجمان یک ویدیوی جعلی از CFO یک شرکت ساختند تا یک کلاهبرداری ۲۵ میلیون دلاری انجام دهند. آنها سپس یک همکار را به یک تماس ویدیویی دعوت کردند، جایی که CFO جعلی کارمند را متقاعد کرد تا مبلغی چند میلیونی را به حساب کلاهبرداران واریز کند.
تماس های زنده: فیشینگ صوتی
فیشینگ صوتی، که اغلب به عنوان «ویشینگ» شناخته میشود، از صدای زنده برای تقویت قدرت فیشینگ سنتی استفاده میکند، جایی که افراد متقاعد میشوند اطلاعاتی را ارائه دهند که سازمان آنها را به خطر میاندازد.
روش قدیمی: تماسهای تلفنی جعلی
مهاجم ممکن است هویت فردی معتبر یا قابل اعتماد را جعل کند و با هدف تماس بگیرد. آنها با ایجاد حس فوریت در مکالمه، درخواست میکنند که پرداختی فوری انجام شود تا از پیامدهای منفی مانند از دست دادن دسترسی به حساب یا از دست دادن مهلت جلوگیری شود. در سال ۲۰۲۲، قربانیان به طور متوسط ۱,۴۰۰ دلار از این طریق از دست دادند.
روش جدید: کلونینگ صدا
توصیههای دفاعی سنتی در برابر ویشینگ شامل درخواست از افراد برای کلیک نکردن روی لینکها و تماس مجدد با شماره تلفن رسمی است. این رویکرد شبیه به اصل «هرگز اعتماد نکن، همیشه تأیید کن» در مدل Zero Trust است. البته، وقتی صدای فردی که شخص میشناسد میآید، طبیعی است که اعتماد جای نگرانیهای تأیید را بگیرد.
این چالش بزرگ هوش مصنوعی است، جایی که مهاجمان از فناوری کلونینگ صدا استفاده میکنند، اغلب با استفاده از تنها چند ثانیه از صدای هدف. یک مادر تماسی از فردی دریافت کرد که صدای دخترش را کلون کرده بود و ادعا میکرد که او را ربودهاند و در ازای آزادی او ۵۰,۰۰۰ دلار میخواهند.
فیشینگ ایمیلی
بسیاری از افرادی که آدرس ایمیل دارند، برنده لاتاری شدهاند! حداقل ایمیلی دریافت کردهاند که به آنها میگوید میلیونها برنده شدهاند. شاید با اشاره به یک پادشاه یا شاهزاده که برای آزاد کردن این وجوه نیاز به کمک دارند، در ازای پرداخت اولیه.
روش قدیمی: ارسال انبوه
با گذشت زمان، این تلاشهای فیشینگ به دلایل مختلف کمتر مؤثر شدهاند. آنها به صورت انبوه ارسال میشوند، شخصیسازی کمی دارند و پر از اشتباهات گرامری هستند. همچنین مردم بیشتر از «کلاهبرداریهای ۴۱۹» آگاه شدهاند که از آنها میخواهند از خدمات خاص انتقال پول استفاده کنند. نسخههای دیگر، مانند استفاده از صفحات جعلی ورود به بانک، اغلب با استفاده از فیلترهای اسپم و آموزش افراد برای بررسی دقیق URL مسدود میشوند.
با این حال، فیشینگ همچنان بزرگترین شکل جرایم سایبری است. گزارش جرایم اینترنتی FBI در سال ۲۰۲۳ نشان داد که فیشینگ/جعل هویت منبع ۲۹۸,۸۷۸ شکایت بوده است. برای مقایسه، دومین مورد (نقض دادههای شخصی) تنها ۵۵,۸۵۱ شکایت داشت.
روش جدید: مکالمات واقع گرایانه در مقیاس وسیع
هوش مصنوعی به مهاجمان اجازه می دهد تا با استفاده از مدلهای زبانی بزرگ (LLMs)، ابزارهایی با دقت بالا در اختیار داشته باشند، به جای اینکه به ترجمههای ساده متکی باشند. آنها همچنین میتوانند از هوش مصنوعی برای ارسال این حملات به تعداد زیادی از دریافتکنندگان به صورت شخصیسازیشده استفاده کنند، که به شکل هدفمندتری از فیشینگ (Spear Phishing) منجر میشود.
علاوه بر این، آنها می توانند از این ابزارها به چندین زبان استفاده کنند. این موضوع درهای مناطق بیشتری را باز می کند، جایی که هدف ها ممکن است از تکنیک های فیشینگ سنتی و نحوه بررسی آنها آگاه نباشند. Harvard Business Review هشدار می دهد که «کل فرآیند فیشینگ می تواند با استفاده از LLMها خودکار شود، که هزینه های حملات فیشینگ را بیش از ۹۵٪ کاهش می دهد، در حالی که نرخ موفقیت برابر یا بیشتری دارد.»
تهدیدات بازسازی شده به معنای دفاع های بازسازی شده است
امنیت سایبری همیشه در یک رقابت تسلیحاتی بین دفاع و حمله بوده است. اما هوش مصنوعی بعد جدیدی به این رقابت اضافه کرده است. اکنون، هدفها هیچ راهی برای تشخیص واقعی یا جعلی بودن چیزی ندارند، زمانی که مهاجم سعی میکند آنها را با دستکاری موارد زیر فریب دهد:
اعتماد: با جعل هویت یک همکار و درخواست از کارمند برای دور زدن پروتکلهای امنیتی برای اطلاعات حساس
احترام به اقتدار: با وانمود کردن به اینکه CFO شرکت است و دستور انجام یک تراکنش مالی فوری را میدهد
ترس: با ایجاد حس فوریت و وحشت، کارمند به این فکر نمیکند که آیا فردی که با او صحبت میکند واقعی است یا خیر
این ها بخش های اساسی از طبیعت و غریزه انسان هستند که طی هزاران سال تکامل یافته اند. طبیعتاً این موارد نمی توانند با سرعت روش های مهاجمان یا پیشرفت هوش مصنوعی تکامل یابند. روشهای سنتی آگاهی بخشی، مانند دوره های آنلاین و پرسش و پاسخ، برای این واقعیتِ تحت سلطه هوش مصنوعی طراحی نشدهاند.
به همین دلیل بخشی از پاسخ ، بهویژه در حالی که محافظتهای فنی هنوز در حال پیشرفت هستند – این است که کارکنان خود را در معرض حملات شبیهسازیشده مهندسی اجتماعی قرار دهید.
زیرا کارمندان ممکن است آنچه را که شما درباره دفاع در برابر یک حمله سایبری گفته اید به خاطر نیاورند، اما احساسی که در طول حمله تجربه می کنند را به یاد خواهند آورد. بنابراین، وقتی یک حمله واقعی اتفاق می افتد، آنها می دانند چگونه پاسخ دهند.
نظرات در مورد : مهندسی اجتماعی با قدرت هوش مصنوعی: تهدیدات امنیتی وحشتناک