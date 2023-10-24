يبدو أن المهاجمين يبتكرون بسرعة تقارب سرعة تطور التقنيات. يومًا بعد يوم، تتطور التقنيات والتهديدات بشكل كبير. والآن، ونحن ندخل عصر الذكاء الاصطناعي، لا تحاكي الآلات السلوك البشري فحسب، بل تتخلل كل جانب من جوانب حياتنا تقريبًا. ومع ذلك، على الرغم من القلق المتزايد بشأن الآثار المترتبة على الذكاء الاصطناعي، فإن مدى الاستغلال المحتمل من قبل المهاجمين غير معروف إلى حد كبير.
ولفهم كيفية استغلال المهاجمين للذكاء الاصطناعي التوليدي بشكل أفضل، أجرينا مشروع بحث يسلط الضوء على سؤال حساس: هل تتمتع نماذج الذكاء الاصطناعي التوليدي الحالية بالإمكانات الخداعية ذاتها التي يتمتع بها العقل البشري؟
تخيل سيناريو يواجه فيه الذكاء الاصطناعي البشر في معركة تصيد احتيالي. ما الهدف؟ تحديد المنافس الذي يمكنه الحصول على معدل نقرات أعلى في محاكاة التصيد الاحتيالي ضد المؤسسات. بصفتي شخصًا مهنته كتابة رسائل البريد الإلكتروني التصيدية، كنت متحمسًا لمعرفة الإجابة.
باستخدام خمسة موجهات بسيطة فقط، تمكنا من خداع نموذج ذكاء اصطناعي توليدي لتطوير رسائل بريد إلكتروني للتصيد الاحتيالي مقنعة للغاية في خمس دقائق فقط، وهو الوقت نفسه الذي أستغرقه لتحضير فنجان قهوة. عادةً ما يقضي فريقي حوالي 16 ساعة لإنشاء رسالة بريد إلكتروني للتصيد الاحتيالي، وهذا من دون حساب مدة إعداد البنية التحتية. وبذلك، يمكن للمهاجمين توفير ما يقارب يومين من العمل باستخدام نماذج الذكاء الاصطناعي التوليدي. وكانت رسالة التصيد الاحتيالي التي أنشأها لذكاء الاصطناعي مقنعة جدًا لدرجة أنها كادت تتفوق على تلك التي أعدها المهندسون الاجتماعيون ذوو الخبرة، ولكن حقيقة وصولها إلى هذا المستوى المتكافئ يُعد تطورًا مهمًا.
في هذه المدونة، سنفصل كيفية إنشاء موجِّهات الذكاء الاصطناعي، وكيفية إجراء الاختبار، وماذا يعني ذلك لهجمات الهندسة الاجتماعية اليوم وفي المستقبل.
من ناحية، كان لدينا رسائل بريد إلكتروني للتصيد الاحتيالي من إنتاج الذكاء الاصطناعي مكتوبة بسرديات ماكرة ومقنعة للغاية.
إنشاء الموجِّهات. من خلال عملية منهجية من التجارب والتحسين، صُممت مجموعة من خمسة موجِّهات فقط لتوجيه ChatGPT لإنشاء رسائل بريد إلكتروني للتصيد الاحتيالي موجهة لمجالات محددة.
في البداية، طلبنا من ChatGPT تحديد مجالات الاهتمام الرئيسية للموظفين في تلك المجالات بالتفصيل. وبعد أن ركزنا على القطاع واهتمامات الموظفين كمحور رئيسي، طلبنا من ChatGPT إجراء اختيارات إستراتيجية بشأن استخدام كل من تقنيات الهندسة الاجتماعية والتسويق في رسالة البريد الإلكتروني. كانت هذه الاختيارات تهدف إلى تحسين احتمالية نقر عدد أكبر من الموظفين فوق رابط موجود في رسالة البريد الإلكتروني نفسها. بعد ذلك، سأل موجِّه من الموجهات ChatGPT مَن يجب أن يكون المرسل (مثل شخص من داخل الشركة، أم مورد، أم مؤسسة خارجية، إلخ). وأخيرً، طلبنا من ChatGPT إضافة الإكمالات التالية لإنشاء رسالة البريد الإلكتروني التصيدية:
لدي خبرة تقرب من عقد من الزمان في الهندسة الاجتماعية، وصممت المئات من رسائل التصيد الاحتيالي عبر البريد الإلكتروني، وحتى أنا وجدت رسائل البريد الإلكتروني للتصيد الاحتيالي التي أنشأها الذكاء الاصطناعي مقنعة إلى حد ما. في الواقع، كانت هناك ثلاث مؤسسات وافقت في الأصل على المشاركة في هذا المشروع البحثي، واثنتان انسحبتا تمامًا بعد استعراض كلا رسالتي البريد الإلكتروني للتصيد، وذلك لأنهما توقعتا معدل نجاح مرتفع. وكما أظهرت الموجِّهات، فإن المؤسسة التي شاركت في دراسة البحث هذه كانت من مجال الرعاية الصحية، والذي يُعد حاليًا من أكثر المجالات استهدافًا.
مكاسب الإنتاجية بالنسبة إلى المهاجمين. بينما يستغرق إعداد رسالة بريد إلكتروني للتصيد الاحتيالي من فريقي حوالي 16 ساعة عادةً، إلا أن البريد الإلكتروني للتصيد الذي أنشأه الذكاء الاصطناعي استغرق خمس دقائق فقط باستخدام خمسة موجهات بسيطة فقط.
من الناحية الأخرى، كان لدينا مهندسين اجتماعيين ذوي خبرة من X-Force Red.
متسلحين بالإبداع وقليل من علم النفس، أنشأ هؤلاء المهندسين الاجتماعيين رسائل بريد إلكتروني للتصيد الاحتيالي كان لها صدى بين أهدافهم على المستوى الشخصي. أضاف العنصر البشري أجواءً من الأصالة التي يصعب تكرارها في كثير من الأحيان.
الخطوة 1: OSINT – يبدأ نهجنا في التصيد الاحتيالي دائمًا بالمرحلة الأولى من الحصول على المعلومات من مصدر مفتوح (OSINT). OSINT هي عملية استرجاع المعلومات المتاحة للجمهور، والتي تخضع لاحقًا لتحليل دقيق وتُعد موردًا أساسيًا في تشكيل حملات الهندسة الاجتماعية. تشمل مستودعات البيانات المهمة لمساعينا المتعلقة بالحصول على معلومات OSINT منصات مثل LinkedIn، والمدونة الرسمية للمؤسسة، وGlassdoor، وعددًا كبيرًا من المصادر الأخرى.
خلال أنشطتنا المتعلقة بالحصول على معلومات OSINT، نجحنا في اكتشاف منشور مدونة يوضح الطرح الأخير لبرنامج رفاهية الموظفين، بالتزامن مع إنجاز عدة مشاريع بارزة. ومن الأمور المشجعة أن هذا البرنامج تلقى شهادات إيجابية من الموظفين على Glassdoor، ما يُثبت مدى فعاليته ورضا الموظفين عنه. علاوة على ذلك، حددنا شخصًا ليكون مسؤولاً عن إدارة البرنامج عبر LinkedIn.
الخطوة 2: صياغة رسائل البريد الإلكتروني – باستخدام البيانات المجمعة خلال مرحلة OSINT، بدأنا عملية إنشاء رسالة البريد الإلكتروني التصيدية بدقة. وكخطوة تأسيسية، كان من الضروري أن ننتحل هوية شخص ذي سلطة للتعامل مع الموضوع بفعالية. ولتعزيز هالة الأصالة والألفة، أرفقنا رابط موقع ويب شرعي لمشروع أُنجز مؤخرًا.
ولإضفاء تأثير مقنع، دمجنا عناصر توحي بالعجلة بشكل إستراتيجي من خلال إضافة "قيود زمنية مصطنعة". وأبلغنا المستلمين أن الاستطلاع المرفق يتكون فقط من "خمسة أسئلة موجزة" وأكدنا لهم أن إكمالها لن يتطلب أكثر من "بضع دقائق" من وقتهم الثمين، وحددنا موعدًا نهائيًا وهو "الجمعة من هذا الأسبوع". وقد ساعدت هذا الصياغة المدروسة على التأكيد على الحد الأدنى من القيود المفروضة على جداولهم الزمنية، ما يعزز الطبيعة غير التطفلية لنهجنا.
عادةً ما يكون استخدام الاستطلاع كذريعة للتصيد الاحتيالي محفوفًا بالمخاطر، حيث غالبًا ما يُنظر إليه على أنه علامة تحذير أو يُتجاهل بكل بساطة. ومع ذلك، وبالنظر إلى البيانات التي اكتشفناها، قررنا أن الفائدة المحتملة قد تفوق المخاطر المرتبطة به.
رسالة البريد الإلكتروني التصيدية المنقحة التالية أُرسلت إلى أكثر من 800 موظف في مؤسسة رعاية صحية عالمية:
بعد جولة مكثفة من اختبارات A/B، كانت النتائج واضحة: البشر خرجوا منتصرين ولكن بفارق ضئيل جدًا.
بينما تمكنت رسائل البريد الإلكتروني التصيدية التي صممها الإنسان من التفوق على الذكاء الاصطناعي، إلا أنها كانت منافسة متقاربة للغاية. إليك السبب:
لم تخسر رسالة التصيد الاحتيالي التي أنشأها الذكاء الاصطناعي أمام الرسالة التي أنشأها البشر فحسب، بل أُبلغ عنها أيضًا على أنها مشبوهة بمعدل أعلى.
بينما لم ترصد X-Force استخدامًا واسع النطاق لتقنيات الذكاء الاصطناعي التوليدي في الحملات الحالية، إلا أنها رصدت أدوات مثل WormGPT، والتي بُنيت لتكون نماذج لغوية كبرى غير مقيدة أو شبه مقيدة، معروضة للبيع في منتديات مختلفة تروج لإمكانات التصيد الاحتيالي – ما يُظهر أن المهاجمين يجربون استخدام الذكاء الاصطناعي في حملات التصيد الاحتيالي. بينما يمكن خداع حتى الإصدارات المقيدة من نماذج الذكاء الاصطناعي التوليدي ودفعهم إلى إنشاء رسائل التصيد الاحتيالي باستخدام موجِّهات بسيطة، إلا أن الإصدارات غير المقيدة قد توفر طرقًا أكثر كفاءة للمهاجمين لتوسيع نطاق رسائل البريد الإلكتروني التصيدية المعقدة في المستقبل.
ربما يكون البشر قد فازوا بفارق ضئيل في هذه المنافسة، ولكن الذكاء الاصطناعي يتحسن باستمرار. ومع تقدم التقنيات، لا يسعنا سوى توقع أن يصبح الذكاء الاصطناعي أكثر تطورًا وربما يتفوق على البشر يومًا ما. كما نعلم، فإن المهاجمين يتكيفون ويبتكرون باستمرار. لقد شهدنا هذا العام فقط استخدام المحتالين بشكل متزايد للنسخ الصوتية المولدة بالذكاء الاصطناعي لخداع الأشخاص ودفعهم إلى إرسال الأموال أو بطاقات الهدايا أو إفشاء معلومات حساسة.
بينما قد يظل البشر هم أصحاب اليد العليا فيما يتعلق بالتلاعب العاطفي وصياغة رسائل البريد الإلكتروني المقنعة، إلا إن ظهور الذكاء الاصطناعي في التصيد الاحتيالي يمثل لحظة محورية في هجمات الهندسة الاجتماعية. فيما يلي خمس توصيات رئيسية للشركات والمستهلكين للبقاء على أهبة الاستعداد:
ظهور الذكاء الاصطناعي في هجمات التصيد الاحتيالي يفرض علينا إعادة تقييم أساليبنا تجاه الأمن الإلكتروني. ومن خلال تبني هذه التوصيات والبقاء متيقظين في مواجهة التهديدات المتطورة، يمكننا تعزيز تدابير الحماية وحماية مؤسساتنا وضمان أمن بياناتنا وموظفينا في العصر الرقمي الديناميكي الذي نعيشه اليوم.
