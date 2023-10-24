Penyerang tampaknya berinovasi hampir secepat perkembangan teknologi. Hari demi hari, teknologi dan ancaman melonjak maju. Sekarang, saat kita memasuki era AI, mesin tidak hanya meniru perilaku manusia tetapi juga menembus hampir setiap aspek kehidupan kita. Namun, meskipun kekhawatiran tentang implikasi AI terus meningkat, sejauh mana potensi penyalahgunaannya oleh para penyerang pada dasarnya masih belum diketahui.
Untuk lebih memahami bagaimana penyerang dapat memanfaatkan AI generatif, kami melakukan proyek riset yang menjelaskan pertanyaan penting: Apakah model AI generatif saat ini memiliki kemampuan menipu yang sama dengan pikiran manusia?
Bayangkan sebuah skenario di mana AI melawan manusia dalam pertempuran phishing. Tujuannya? Untuk menentukan pesaing mana yang bisa mendapatkan rasio klik yang lebih tinggi dalam simulasi phishing terhadap organisasi. Pertimbangkan untuk memilih sebuah safe word dengan teman dekat dan anggota keluarga yang dapat digunakan jika terjadi vishing atau penipuan telepon yang dihasilkan AI.
Dengan hanya lima prompt sederhana, kami dapat mengelabui model AI generatif untuk mengembangkan email phishing yang sangat meyakinkan hanya dalam lima menit, waktu yang sama yang dibutuhkan saya untuk menyeduh secangkir kopi. Biasanya tim saya membutuhkan waktu sekitar 16 jam untuk membuat email phishing, dan itu tanpa memperhitungkan pengaturan infrastruktur. Jadi, penyerang berpotensi menghemat hampir dua hari kerja dengan menggunakan model AI generatif. Dan phish yang dihasilkan AI begitu meyakinkan sehingga hampir mengalahkan yang dibuat oleh insinyur sosial berpengalaman, tetapi fakta bahwa itu setara, adalah perkembangan penting.
Di blog ini, kami akan merinci bagaimana prompt AI dibuat, bagaimana tes dilakukan dan apa artinya ini untuk serangan rekayasa sosial hari ini dan besok.
Di satu sudut, kami memiliki email phishing buatan AI dengan narasi yang sangat licik dan meyakinkan.
Membuat prompt. Melalui proses eksperimen dan penyempurnaan yang sistematis, dibuat kumpulan berisi hanya lima prompt untuk mengarahkan ChatGPT menghasilkan email phishing yang disesuaikan dengan sektor industri tertentu.
Untuk memulai, kami meminta ChatGPT untuk memerinci bidang utama yang menjadi perhatian karyawan dalam industri tersebut. Setelah memprioritaskan industri dan kekhawatiran karyawan sebagai fokus utama, kami memberikan prompt pada ChatGPT untuk membuat pilihan strategis tentang penggunaan teknik rekayasa sosial dan pemasaran dalam email. Pilihan ini bertujuan untuk mengoptimalkan kemungkinan sejumlah besar karyawan mengklik tautan di email itu sendiri. Selanjutnya, sebuah prompt bertanya kepada ChatGPT siapa pengirim seharusnya (misalnya, seseorang internal perusahaan, vendor, organisasi luar, dll.). Terakhir, kami meminta ChatGPT untuk menambahkan penyelesaian berikut untuk membuat email phishing:
Saya memiliki hampir satu dekade pengalaman rekayasa sosial, membuat ratusan email phishing dan bahkan saya menemukan email phishing yang dihasilkan AI cukup persuasif. Faktanya, ada tiga organisasi yang awalnya setuju untuk berpartisipasi dalam riset ini, dan dua di antaranya mundur sepenuhnya setelah ulasan kedua email tersebut karena mereka mengharapkan tingkat keberhasilan yang tinggi. Seperti yang ditunjukkan oleh prompt, organisasi yang berpartisipasi dalam riset ini berada di industri perawatan kesehatan, yang saat ini merupakan salah satu industri yang paling ditargetkan.
Peningkatan produktivitas bagi penyerang. Jika biasanya email phishing membutuhkan waktu sekitar 16 jam bagi tim saya untuk membuatnya, email phishing berbasis AI hanya dibuat dalam lima menit dengan lima prompt sederhana.
Di sudut lain, kami memiliki insinyur sosial X-Force Red berpengalaman.
Berbekal kreativitas, dan sedikit psikologi, insinyur sosial ini membuat email phishing yang beresonansi dengan target mereka pada tingkat pribadi. Unsur manusia menambahkan suasana keaslian yang seringkali sulit ditiru.
Langkah 1: OSINT – Pendekatan kami terhadap phishing selalu dimulai dengan fase awal akuisisi Intelijen Sumber Terbuka (OSINT). OSINT adalah pengambilan informasi yang dapat diakses publik, yang kemudian menjalani analisis yang ketat dan berfungsi sebagai sumber daya dasar dalam perumusan kampanye rekayasa sosial. Repositori data penting untuk upaya OSINT kami mencakup platform seperti LinkedIn, blog resmi organisasi, Glassdoor, dan sejumlah besar sumber lainnya.
Selama kegiatan OSINT kami, kami berhasil menemukan postingan blog yang memerinci peluncuran program kesehatan karyawan baru-baru ini, bertepatan dengan penyelesaian beberapa proyek terkemuka. Yang menggembirakan, program ini memiliki testimonial yang baik dari karyawan di Glassdoor, membuktikan kemanjuran dan kepuasan karyawannya. Selanjutnya, kami mengidentifikasi individu yang bertanggung jawab untuk mengelola program melalui LinkedIn.
Langkah 2: Kerajinan email – Memanfaatkan data yang dikumpulkan melalui fase OSINT kami, kami memulai proses membangun email phishing kami dengan cermat. Sebagai langkah awal, sangat penting bagi kami untuk menyamar sebagai seseorang yang memiliki otoritas untuk membahas topik tersebut secara efektif. Untuk meningkatkan aura keaslian dan keakraban, kami memasukkan tautan situs web yang sah ke proyek yang baru saja selesai.
Untuk menambah dampak persuasif, kami secara strategis mengintegrasikan elemen urgensi yang dirasakan dengan memperkenalkan “batasan waktu buatan.” Kami menyampaikan kepada penerima bahwa survei tersebut hanya terdiri dari “lima pertanyaan singkat” dan meyakinkan mereka bahwa penyelesaiannya tidak akan membutuhkan lebih dari “beberapa menit” dari waktu berharga mereka dan memberikan tenggat waktu “Jumat ini”. Pembingkaian yang disengaja ini berfungsi untuk menggarisbawahi pemaksaan minimal pada jadwal mereka, memperkuat sifat non-intrusif dari pendekatan kami.
Menggunakan survei sebagai dalih phishing biasanya berisiko, karena sering dilihat sebagai bendera merah atau diabaikan begitu saja. Namun, mengingat data yang kami temukan, kami memutuskan bahwa manfaat potensial dapat lebih besar daripada risiko terkait.
Email phishing yang disunting berikut dikirim ke lebih dari 800 karyawan di organisasi kesehatan global:
Setelah putaran pengujian A/B yang intens, Hasilnya jelas: manusia muncul sebagai pemenang tetapi dengan margin tersempit.
Sementara email phishing buatan manusia berhasil mengungguli AI, itu adalah kontes yang sangat ketat. Inilah alasannya:
Phish yang dihasilkan AI tidak hanya kalah dari manusia, tetapi juga dilaporkan mencurigakan pada tingkat yang lebih tinggi.
Sementara X-Force belum menyaksikan penggunaan AI generatif skala luas dalam kampanye saat ini, alat seperti WormGPT, yang dibangun untuk menjadi LLM tidak terbatas atau semi-terbatas diamati untuk dijual di berbagai forum mengiklankan kemampuan phishing — menunjukkan bahwa penyerang menguji penggunaan AI dalam kampanye phishing. Meskipun versi terbatas dari model AI generatif dapat ditipu menjadi phishing melalui prompt sederhana, versi tidak terbatas ini dapat menawarkan cara yang lebih efisien bagi penyerang untuk meningkatkan skala email phishing canggih di masa mendatang.
Manusia mungkin telah memenangkan pertandingan ini dengan tipis, tetapi AI terus meningkat. Seiring kemajuan teknologi, kita hanya dapat mengharapkan AI menjadi lebih canggih dan berpotensi mengungguli manusia suatu hari nanti. Seperti yang kita ketahui, penyerang terus beradaptasi dan berinovasi. Baru tahun ini kami telah melihat scammer semakin menggunakan klon suara yang dihasilkan oleh AI untuk menipu orang agar mengirim uang, kartu hadiah, atau membocorkan informasi sensitif.
Meskipun manusia masih unggul dalam hal manipulasi emosional dan menyusun email yang persuasif, kemunculan AI dalam phishing menandai momen penting dalam evolusi serangan rekayasa sosial. Berikut adalah lima rekomendasi utama bagi bisnis dan konsumen untuk tetap siap:
Munculnya AI dalam serangan phishing menantang kita untuk mengevaluasi kembali pendekatan kita terhadap keamanan siber. Dengan menerapkan rekomendasi-rekomendasi ini dan tetap waspada terhadap ancaman yang terus berkembang, kita dapat memperkuat pertahanan, melindungi perusahaan kita, serta memastikan keamanan data dan orang-orang kita di era digital yang dinamis saat ini.
Untuk informasi lebih lanjut tentang riset keamanan X-Force, intelijen ancaman, dan insight yang dipimpin peretas, kunjungi X-Force Research Hub.
Untuk mempelajari selengkapnya tentang bagaimana IBM® dapat membantu bisnis mempercepat perjalanan AI mereka dengan aman, kunjungi di sini.
