Le basi per gli attacchi di ingegneria sociale – manipolando gli umani – potrebbero non essere cambiate molto nel corso degli anni. Sono i vettori – come vengono distribuite queste tecniche – che si stanno evolvendo. E come la maggior parte delle industrie in questi giorni, l’IA sta accelerando la sua evoluzione.
Questo articolo esplora come questi cambiamenti hanno un impatto sul enterprise e in che modo i chief della sicurezza informatica possono rispondere.
Attacchi di imitazione: usare un’identità affidabile
Le forme di difesa tradizionali stavano già lottando per risolvere l’ingegneria sociale, la “causa della maggior parte delle violazioni dei dati” secondo Thomson Reuters. La prossima generazione di attacchi informatici e attori delle minacce basati sull’intelligenza artificiale può ora lanciare questi attacchi con velocità, scala e realismo senza precedenti.
Il vecchio modo: maschere di silicone
Impersonando un ministro del governo francese, due truffatori sono stati in grado di estrarre oltre 55 milioni di euro da più vittime. Durante le videochiamate, si indosserebbe una maschera in silicone di Jean-Yves Le Drian. Per aggiungere uno strato di credibilità, si sono anche seduti in una ricreazione del suo ufficio ministeriale con le foto dell’allora presidente François Hollande.
Secondo quanto riferito, oltre 150 dati di spicco sono stati contattati e hanno chiesto denaro per pagamenti di riscatto o operazioni antiterrori. Il più grande trasferimento effettuato è stato di 47 milioni di euro, quando l’obiettivo è stato invitato advert agire a causa di due giornalisti tenuti in Siria.
The New Manner: Video DeepFakes
Molte delle richieste di denaro non sono riuscite. Dopotutto, le maschere al silicio non possono replicare completamente l’aspetto e il movimento della pelle su una persona. La tecnologia video AI offre un nuovo modo per intensificare questa forma di attacco.
Abbiamo visto quest’anno scorso a Hong Kong, dove gli aggressori hanno creato un video profondo di un CFO per fare una truffa da $ 25 milioni. Hanno quindi invitato un collega a una chiamata di videoconferenza. È qui che il CFO di Deepfake ha convinto il dipendente a effettuare il trasferimento multimilionario sul conto dei truffatori.
Chiamate dal vivo: phishing vocale
Il phishing vocale, spesso noto come Vishing, usa l’audio dal vivo per basarsi sul potere del phishing tradizionale, in cui le persone sono persuase a fornire informazioni che compromette la loro organizzazione.
Il vecchio modo: telefonate fraudolente
L’attaccante può impersonare qualcuno, forse una figura autorevole o da un altro background affidabile, e fare una telefonata a un obiettivo.
Aggiungono un senso di urgenza alla conversazione, chiedendo che un pagamento venga immediatamente effettuato per evitare risultati negativi come perdere l’accesso a un account o perdere una scadenza. Le vittime hanno perso una mediana $ 1.400 per questa forma di attacco nel 2022.
Il nuovo modo: clonazione della voce
Le tradizionali raccomandazioni sulla difesa del Vishing includono la richiesta alle persone di non fare clic sui collegamenti forniti con le richieste e richiamare la persona con un numero di telefono ufficiale. È simile all’approccio Zero Belief di Nein Frust, verifica sempre. Naturalmente, quando la voce viene da qualcuno che la persona conosce, è naturale per la fiducia aggirare qualsiasi problema di verifica.
Questa è la grande sfida con l’intelligenza artificiale, con gli aggressori che ora usano la tecnologia di clonazione vocale, spesso tratte da pochi secondi di un goal. Una madre ha ricevuto una chiamata da qualcuno che aveva clonato la voce di sua figlia, dicendo che sarebbe stata rapita e che gli aggressori volevano una ricompensa di $ 50.000.
E-mail di phishing
La maggior parte delle persone con un indirizzo e -mail è stata un vincitore della lotteria. Almeno, hanno ricevuto un’electronic mail che cube loro che hanno vinto milioni. Forse con un riferimento a un re o un principe che potrebbe aver bisogno di aiuto per rilasciare i fondi, in cambio di una tassa iniziale.
Il vecchio modo: spruzzare e pregare
Nel tempo questi tentativi di phishing sono diventati molto meno efficaci, per molteplici ragioni. Sono mandati in blocco con poca personalizzazione e molti errori grammaticali e le persone sono più consapevoli di “419 truffe” con le loro richieste di utilizzo di servizi di trasferimento di denaro specifici. Altre versioni, come l’uso di pagine di accesso false per le banche, possono spesso essere bloccate utilizzando la protezione della navigazione Net e i filtri spam, oltre a educare le persone a controllare da vicino l’URL.
Tuttavia, il phishing rimane la più grande forma di criminalità informatica. IL Rapporto sul crimine Web dell’FBI 2023 Trovato phishing/spoofing period la fonte di 298.878 reclami. Per dare un po ‘di contesto, la seconda più alta (violazione dei dati personali) ha registrato 55.851 reclami.
Il nuovo modo: conversazioni realistiche su vasta scala
L’intelligenza artificiale sta permettendo agli attori delle minacce di accedere agli strumenti perfetti per le parole sfruttando gli LLM, invece di fare affidamento su traduzioni di base. Possono anche usare l’IA per lanciarli su più destinatari su vasta scala, con la personalizzazione che consente la forma più mirata di phishing delle lance.
Inoltre, possono usare questi strumenti in più lingue. Questi aprono le porte a un numero più ampio di regioni, in cui gli obiettivi potrebbero non essere così consapevoli delle tecniche tradizionali di phishing e di cosa controllare. La Harvard Enterprise Evaluate avverte che “l’intero processo di phishing può essere automatizzato utilizzando LLM, il che riduce i costi degli attacchi di phishing di oltre il 95%, raggiungendo tassi di successo uguali o maggiori”.
Le minacce reinventate significano reinventare le difese
La sicurezza informatica è sempre stata in una corsa agli armamenti tra difesa e attacco. Ma AI ha aggiunto una dimensione diversa. Ora, gli obiettivi non hanno modo di sapere cosa è reale e cosa è falso quando un aggressore sta cercando di manipolare il loro:
- Fiduciaimpersonando un collega e chiedendo a un dipendente di bypassare i protocolli di sicurezza per informazioni sensibili
- Rispetto per l’autorità fingendo di essere il CFO di un dipendente e ordinando loro di completare una transazione finanziaria urgente
- Paura Creando un senso di urgenza e panico significa che il dipendente non pensa di considerare se la persona con cui stanno parlando è autentica
Queste sono parti essenziali della natura umana e dell’istinto che si sono evoluti nel corso di migliaia di anni. Naturalmente, questo non è qualcosa che può evolversi alla stessa velocità dei metodi di attori dannosi o al progresso dell’IA. Le forme tradizionali di consapevolezza, con corsi, domande e risposte on-line, non sono costruite per questa realtà basata sull’intelligenza artificiale.
Ecco perché parte della risposta, specialmente mentre le protezioni tecniche stanno ancora recuperando – è rendere l’esperienza della tua forza lavoro Attacchi di ingegneria sociale simulati.
Perché i tuoi dipendenti potrebbero non ricordare cosa dici sulla difesa contro un attacco informatico quando si verifica, ma ricorderanno come li fa sentire. In modo che quando accade un vero attacco, sono consapevoli di come rispondere.
