Każde narzędzie w niewłaściwych rękach może być groźne. Cyberprzestępcy na szeroką skalę wykorzystują sztuczną inteligencję do swoich celów. Na szczęście wiemy jak, dzięki czemu trudniej nas zaskoczyć.
Tuż po premierze ChatGPT okazało się, że w ramach życzliwego researchu potrafi on błyskawicznie przeszukać internet by znaleźć na przykład podatności konkretnych konkretnych modeli routerów i innych urządzeń telekomunikacyjnych. Szybko też w codziennym użyciu pojawiły nowe pojęcia.
Phishing, spear phishing, spoofing
ChatGPT został uruchomiony pod koniec 2022 roku. W tym samym czasie, czyli od czwartego kwartału 2022 roku, raptownie wzrosła liczba złośliwych wiadomości phishingowych. Raport SlashNext przytacza w tym zakresie konkretną liczbę i mówi o wzroście na poziomie 1265 proc. Cyberprzestępcy wykorzystują sztuczną inteligencję przede wszystkim do automatycznego generowania treści e-maili. Stworzone przez AI wiadomości są spersonalizowane, przekonujące i trudne do odróżnienia od prawdziwych.
Sztuczna inteligencja pomaga również przestępcom podszywać się pod prawdziwe adresy e-mail oraz analizować publicznie dostępne informacje po to, by tworzyć ataki ukierunkowane, naśladować styl pisania i wzorce komunikacji nadawcy wiadomości.
– Narzędzia takie jak ChatGPT czy Google Bard posiadają wiele zabezpieczeń, które nie pozwalają im na tworzenie treści do wykorzystania w trakcie cyberataku. Nie można im zatem wydać bezpośredniego polecenia przygotowania e-maila, który mógłby posłużyć do przeprowadzenia ataku Business Email Compromise – mówi Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT. – Te ograniczenia można obejść, prosząc na przykład o wygenerowanie treści wiadomości od dyrektora zarządzającego do dyrektora finansowego z prośbą o pilne przeprocesowanie transakcji.
Znając ograniczenia oficjalnych narzędzi opartych na generatywnej sztucznej inteligencji, cyberprzestępcy stworzyli nową usługę WormGPT. To dostępny w Dark webie chatbot, który służy do pisania złośliwego oprogramowania do tworzenia cyberataków, w tym do pisania poprawnych gramatycznie i ortograficznie e-maili phishingowych.
Napisz malware
Narzędzia takie jak WormGPT i EvilGPT dają też cyberprzestępcom inne, nowe możliwości. Atakujący mogą używać ich do zautomatyzowania swoich działań, w tym wyszukiwania i wykorzystywania podatności, tworzenia złośliwego oprogramowania, które jest w stanie modyfikować swoje zachowanie lub kod w odpowiedzi na napotkane środki bezpieczeństwa. Dodatkowo, oparte na AI botnety mają potencjał do przeprowadzenia znanych chyba wszystkim małym i średnim operatorom telekomunikacyjnym w Polsce wyniszczających ataków rozproszonej odmowy dostępu do usługi (czyli DDoS). Przypomnijmy, że jest to także element toczącej się cyberwojny.
– Gdy ChatGPT zyskał na popularności, zauważyliśmy, że wiele osób prosi go o tworzenie skryptów automatyzacji za pomocą PowerShell lub podobnego narzędzia. Skrypty te często zawierały błędy, jednak nadal były pomocne i przyspieszały pracę administratorów. Tak samo ze sztucznej inteligencji korzystają dziś i w coraz większym stopniu korzystać będą cyberprzestępcy, tworząc złośliwe oprogramowanie. Jak wynika z wydanego niedawno raportu Barracuda Networks i Instytutu Ponemon, 48 proc. specjalistów IT uważa, że użycie generatywnej sztucznej inteligencji skróci czas potrzebny cyberprzestępcom do przygotowania cyberataku – komentuje Mateusz Ossowski.
Deepfake
Generowaniu fałszywych treści wizualnych i dźwiękowych przez sztuczną inteligencje poświęciliśmy niedawno odrębny artykuł. AI może też pomóc przestępcom w klonowaniu głosu, a co za tym idzie w podszywaniu się pod kogoś.
– Atakujący mogą przygotować deepfake’owe nagranie audio lub wideo, w którym wykorzystują głos czy wizerunek pracownika lub osoby z kadry kierowniczej firmy. Taki materiał dołączają do e-maila phishingowego, podnosząc jego wiarygodność. Cyberprzestępcy są w stanie także stworzyć fałszywe wideo, aby rozpowszechniać nieprawdziwe informacje o organizacji lub jej kierownictwie. Wszystko po to, by zaszkodzić reputacji i manipulować opinią publiczną – mówi Mateusz Ossowski z Barracuda Networks.
Inną taktyką wykorzystywaną przez cyberprzestępców jest przygotowywanie fałszywych spotkań wideo. Atakujący tworzą deepfake’owe filmy symulujące spotkania online lub konferencje z udziałem kierownictwa firmy. Podszywają się pod osoby zarządzające, wykorzystując ich adresy e-mail, zdjęcia, a czasem też spreparowane nagrania audio, by wydawać polecenia autoryzacji przelewów lub udostępniania ekranów i przekazywania wrażliwych informacji.
Cyberprzestępcy uciekają się też do szantażów. Dzięki sztucznej inteligencji tworzą deepfake’owe filmy, w których ich ofiary biorą udział w kompromitujących lub niestosownych działaniach. Następnie atakujący próbują wymusić zapłatę okupu w zamian za niepublikowanie takich treści.
Tłumaczenie i lokalizacja
Nie jest tajemnicą, że wiele ataków e-mailowych tworzonych jest w innych krajach, przez osoby, które nie znają języka swojej potencjalnej ofiary. Nadal wiele takich e-maili ma charakterystyczne błędy gramatyczne, które są pierwszym sygnałem ostrzegawczym dla odbiorcy. Dzięki pomocy sztucznej inteligencji przestępcy coraz łatwiej dostosowują jednak wiadomości phishingowe do lingwistycznego i kulturowego kontekstu odbiorców. Automatycznie tłumaczą wiadomości, odnoszą się do lokalnych wydarzeń kulturalnych, świąt, wiadomości lub zwyczajów, tworzą e-maile pisane branżowym językiem, z uwzględnieniem żargonu zrozumiałego dla atakowanej grupy osób, odnoszą się do lokalnych marek, instytucji lub organów rządowych.
Kradzież danych dostępowych
Kolejne działania cyberprzestępców, w których wykorzystywana jest sztuczna inteligencja to kradzież dostępu i poświadczeń. Hakerzy łatwiej tworzą fałszywe strony logowania przypominające prawdziwe. Sztuczna inteligencja po prostu ułatwia tworzenie kopii witryn. Szczególnie ważne staje się w związku z tym sprawdzenie (po adresie w oknie przeglądarki) czy rzeczywiście jesteśmy na stronie, na którą chcieliśmy trafić.
Hakerzy korzystają też z automatycznych, zasilanych przez AI narzędzi, aby systematycznie testować duże ilości kombinacji nazw użytkowników i haseł uzyskanych z poprzednich wycieków danych. Algorytmy sztucznej inteligencji optymalizują proces uzupełniania danych logowania, wybierając najbardziej prawdopodobne kombinacje na podstawie obserwowanych wzorców w przeciekach danych.
Narzędzia oparte na AI mogą też łamać hasła na podstawie dźwięku naciśnięć klawiszy. Zainfekowane złośliwym oprogramowaniem urządzenie umożliwia atakującemu podsłuchiwanie pomieszczenia i przechwytywanie wpisywanych haseł.
AI vs CAPTCHA
Eksperci są też przekonani, że skuteczna przestała być weryfikacja naszego ludzkiego postrzegania za pomocą CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Chodzi tu o testy polegające na odczytaniu zdeformowanego tekstu lub wykonaniu zadania typu: rozpoznaj i zaznacz wszystkie obrazki zawierające dany element.
AI w pokonaniu tego zabezpieczenia wspierają specjalne farmy CAPTCHA oraz skrypty działające na zasadzie rozpoznawania optycznego znaków (OCR). Dochodzi też do paradoksalnych sytuacji, gdy CAPTCHA skuteczniej zatrzymuje ludzi niż boty.
Oszustw z pewnością będzie przybywać, a użytkownikom internetu coraz trudniej będzie się zorientować, że padają ich ofiarami. Podstawą wydaje się dziś dwuetapowa weryfikacja podczas logowania, ostrożność przy otwieraniu wszelkich wiadomości (i linków) od znajomych, zwłaszcza tych, w których proszą o pieniądze. W razie wątpliwości dobrze jest po prostu zadzwonić lub dopytać o co chodzi.
Niepokojące jednak pozostaje to, że nawet jeśli wydaje nam się, że rozmawiamy z daną osoba (i słyszymy jej głos), to nadal może być fake.