Czy czeka nasz nowa era Phishingu?

Autor: Iwona Kula

Ostatni czas pokazał dużą popularność usług opartych na AI, usługi takie jak Chat GPT z jednej strony zachwycają swoimi możliwościami z drugiej mogą nieść za sobą ryzyko. Pierwszą kwestią, która może budzić wątpliwości jest to, czy pracownik przypadkiem nie karmi algorytmy danymi naszej firmy aby ułatwić sobie pracę. Tu dobrym przykładem jest Samsung, który jak podła NBC News zakazał używania swoim pracownikom algorytmów sztucznej inteligencji przy pracy. W obawie o możliwość wycieku istotnych danych. Trzeba pamiętać, że w momencie udostępnienia danych firmie trzeciej
w tym wypadku operatorowi takiego algorytmu sztucznej inteligencji, tracimy kontrolę nad tymi danymi.
               Ciekawą kwestią, jest możliwość wykorzystania sztucznej inteligencji do budowania silniejszych kampanii przez oszustów.  29. 875 tyle zgłoszeń oszustw komputerowych odnotował CERT Polska w okresie  01/01/2023 – 18/05/2023, niestety są to tylko zgłoszone przypadki do CERTu, wiele tysięcy takich oszustw zostało zignorowanych lub co gorsza udanych w skutkach. W dużej mierze, przestępcom chodzi o pozyskanie naszych danych logowania, danych osobowych czy naszych kont społecznościowych. W taki sposób, aby mogli wykorzystać je dalej. Temat oszustw komputerowych jest na tyle rozbudowany i szeroki, że można przytaczać wiele przykładów. Dosyć częstym przykładem,
z którym się spotykam są przejęcia kont na portalach społecznościowych i próżniejsze próby tzw. „Oszustwa na Blika”. W większości przypadków atakowane konto, zostaje przejęte przez nieuwagę jego właściciela. Kliknięcie w ciekawy tytuł bądź link wymagający zalogowania się lub próba odpowiedzi na maila od administratora portalu społecznościowego, celem weryfikacji „zablokowanego” konta.  Przykładów są tysiące.

Teraz można zastanowić się, jak może pomóc sztuczna inteligencja w generowaniu treści pod bardziej wymyślne kampanie oszustów? Dzięki zastosowaniu AI cyberprzestępcy mogą w szybki sposób dostosować treść oszustwa do danej grupy docelowej, tworząc wiadomość przypominającą normalną treść. Jak zauważyło CISCO nowe rodzaje ataków phishingowych są bardziej spersonalizowane dla danych grup docelowych a cyberprzestępcy coraz częściej wykorzystują nowe kanały komunikacji w tym urządzenia mobilne. Trzeba pamiętać, że Phishing jest jedną z najpopularniejszych form ataków socjotechnicznych, dzięki którym cyberprzestępcy włamują się do firm.  A nowe formy AI takie jak wykorzystanie i modelowanie naszego głosu, na pewno znają w przyszłości zastosowanie wśród oszustów, lecz do tej pory nie odnotowano takiego przypadku, jak miało to miejsce w treściach pisanych.

Dlatego bardzo istotnym elementem Bezpieczeństwa Informacji w przedsiębiorstwie, jest edukacja pracowników pod kątem wykrywania działań socjotechnicznych. Każdy atak phishingowy składa się z elementów socjotechnicznych mających na celu zmusić użytkownika do wykonania konkretnego celu:

  • Zalogowania się na fałszywej stronie;
  • Pobrania i zainstalowania oprogramowania;
  • Przekazania konkretnych danych;
  • Wykonania przelewu na fałszywą fakturę.

Powyższe przykłady, występują dosyć często w większości ataków tego rodzaju. W prywatnym życiu, bardziej narażeni jesteśmy na ataki oszustów, za pomocą telefonu podających się za pracowników Banku, tu pod żadnym pozorem nie podajmy takiej osobie żadnych danych. Najlepiej się rozłączyć
z taką osobą, odczekać chwilę aż nasze emocje opadną i za pomocą naszej aplikacji bankowej zadzwonić do banku, jeżeli nasz Bank ma ważną informację, którą będzie miał nam przekazać to konsultant będzie widział to w systemie.

               Ataki tego typu działają na emocjach, dlatego też warto podchodzić do nich spokojnie. Sama wiadomość o ile nie wykonaliśmy żadnych kroków o które prosił nas oszust, nic złego nam nie zrobi. W takim wypadku warto zgłosić próbę oszustwa do CERT Polska, warto pamiętać też o aktualnym oprogramowaniu antywirusowym i dwuetapowej autoryzacji, tam gdzie możemy ją dodać. F2A i U2F w dużej mierze zabezpieczą nas przed Phishingiem.

               Pozostaje jedynie pytanie, z jaką perfekcją będą tworzone kolejne ataki przez oszustów podszywające się pod operatorów telefonii, banki, portale społecznościowe czy inne usługi, w celu pozyskania naszych danych dzięki sztucznej inteligencji, Im bardziej popularne i dostępne będą usługi pokroju Chatu GPT, trzeba liczyć się możliwością wykorzystania tej technologii przez cyberprzestępców, którzy zautomatyzują za pomocą AI część swojej „pracy”.

Autor: Rafał Orzechowski, Ekspert ProviLogic.

Zapraszamy na nasze szkolenia, na których dzielimy się wiedzą i doświadczeniem z zakresu Bezpieczeństwa Informacji.