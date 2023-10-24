Gli aggressori sembrano innovare quasi con la stessa rapidità con cui si sviluppa la tecnologia. Giorno dopo giorno, sia la tecnologia che le minacce avanzano rapidamente. Ora, mentre entriamo nell'era dell'AI, le macchine non solo imitano il comportamento umano, ma permeano quasi ogni aspetto della nostra vita. Eppure, nonostante la crescente ansia per le implicazioni dell'AI, l'intera portata del suo potenziale uso improprio da parte degli aggressori è in gran parte sconosciuta.
Per capire meglio come gli aggressori possano sfruttare l'AI generativa, abbiamo condotto un progetto di ricerca critico che fa luce su una domanda: i modelli attuali di AI generativa hanno le stesse capacità ingannevoli della mente umana?
Immagina uno scenario in cui l'AI si scontra con gli umani in una battaglia di phishing. L'obiettivo? Per determinare quale concorrente può ottenere una percentuale di clic più elevata in una simulazione di phishing contro le organizzazioni. Essendo una persona che scrive e-mail di phishing per lavoro, ero entusiasta di scoprire la risposta.
Con solo cinque semplici prompt siamo riusciti a ingannare un modello di AI generativa per sviluppare e-mail di phishing estremamente convincenti in soli cinque minuti, lo stesso tempo che impiego a preparare una tazza di caffè. In genere il mio team impiega circa 16 ore per creare un'e-mail di phishing, senza considerare la configurazione dell'infrastruttura. Quindi, gli aggressori possono potenzialmente risparmiare quasi due giorni di lavoro utilizzando modelli di AI generativa. E il phishing prodotto dall'AI era talmente convincente da quasi eguagliare quello di esperti di ingegneria sociale, e il semplice fatto che sia arrivato a questo livello è un segnale di grande importanza.
In questo blog, dettaglieremo come sono stati creati i prompt per l'AI, come è stato condotto il test e cosa significa questo per gli attacchi di ingegneria sociale oggi e domani.
In un angolo, avevamo e-mail di phishing generate dall'AI con narrazioni altamente astute e convincenti.
Creazione dei prompt. Attraverso un processo sistematico di sperimentazione e perfezionamento, è stata progettata una raccolta di soli cinque prompt per istruire ChatGPT a generare e-mail di phishing personalizzate per specifici settori industriali.
Per cominciare, abbiamo chiesto a ChatGPT di dettagliare le principali aree di preoccupazione per i dipendenti di quei settori. Dopo aver dato priorità al settore e alle preoccupazioni dei dipendenti come focus principale, abbiamo dato il prompt a ChatGPT per fare scelte strategiche sull'uso sia delle tecniche di ingegneria sociale che di marketing all'interno dell'e-mail. Queste scelte miravano a ottimizzare la probabilità che un numero maggiore di dipendenti facesse clic su un link direttamente nella e-mail. Successivamente, un prompt ha chiesto a ChatGPT chi dovesse essere il mittente (ad esempio, qualcuno interno all'azienda, un fornitore, un'organizzazione esterna, ecc.). Infine, abbiamo chiesto a ChatGPT di aggiungere le seguenti procedure per creare l'e-mail di phishing:
Ho quasi un decennio di esperienza di ingegneria sociale, ho creato centinaia di e-mail di phishing e anche io ho trovato le e-mail di phishing generate dall'AI piuttosto persuasive. In effetti, tre organizzazioni avevano inizialmente accettato di partecipare a questo progetto di ricerca, e due si sono ritirate completamente dopo aver esaminato entrambe le e-mail di phishing perché si aspettavano un alto tasso di successo. Come mostrato dai prompt, l'organizzazione che ha partecipato a questo studio di ricerca era nel settore sanitario, che attualmente è uno dei settori più presi di mira.
Aumento della produttività per gli aggressori. Mentre un'e-mail di phishing richiede in genere circa 16 ore per essere creata dal mio team, l'e-mail di phishing con l'AI è stata generata in soli cinque minuti con solo cinque semplici prompt.
Nell'altro angolo avevamo ingegneri sociali esperti di X-Force Red.
Armati di creatività e di un pizzico di psicologia, questi ingegneri sociali hanno creato e-mail di phishing che risuonavano con i loro obiettivi a un livello personale. L'elemento umano ha aggiunto un'aria di autenticità spesso difficile da replicare.
Passo 1: OSINT – il nostro approccio al phishing inizia invariabilmente con la fase iniziale dell'acquisizione dell'Open-Source Intelligence (OSINT). L'OSINT è il recupero di informazioni accessibili al pubblico, che successivamente vengono sottoposte a un'analisi rigorosa e funge da risorsa fondamentale nella formulazione di campagne di ingegneria sociale. Repository di dati degni di nota per le nostre iniziative OSINT comprendono piattaforme come LinkedIn, il blog ufficiale dell'organizzazione, Glassdoor e una moltitudine di altre fonti.
Durante le nostre attività OSINT, abbiamo scoperto con successo un post sul blog che descriveva il recente lancio di un programma di benessere per i dipendenti, in concomitanza con il completamento di diversi progetti di rilievo. È incoraggiante notare che questo programma ha ricevuto recensioni positive da parte dei dipendenti su Glassdoor, a conferma della sua efficacia e della soddisfazione dei dipendenti. Inoltre, abbiamo identificato una persona responsabile della gestione del programma tramite LinkedIn.
Passo 2: creazione di e-mail – utilizzando i dati raccolti durante la fase OSINT, abbiamo avviato il processo di costruzione meticolosa della nostra e-mail di phishing. Come passo fondamentale, era indispensabile impersonare qualcuno con l'autorità necessaria per affrontare l'argomento in modo efficace. Per aumentare l'aura di autenticità e familiarità, abbiamo incorporato un link legittimo a un progetto recentemente concluso.
Per aumentare l'impatto persuasivo, abbiamo integrato strategicamente elementi di urgenza percepita introducendo "vincoli temporali artificiali". Abbiamo comunicato ai destinatari che il sondaggio in questione era composto semplicemente da "cinque brevi domande" e abbiamo assicurato loro che la sua compilazione non avrebbe richiesto più di "pochi minuti" del loro prezioso tempo, indicando come scadenza "questo venerdì". Questo inquadramento deliberato è servito a sottolineare l'imposizione minima sui loro orari, rafforzando la natura non intrusiva del nostro approccio.
Usare un sondaggio come pretesto di phishing è solitamente rischioso, poiché spesso viene visto come un campanello d'allarme o semplicemente ignorato. Tuttavia, considerando i dati che abbiamo raccolto, abbiamo deciso che i potenziali benefici potevano superare i rischi associati.
La seguente e-mail di phishing è stata inviata a oltre 800 dipendenti di un'organizzazione globale:
Dopo un'intensa serie di test A/B, i risultati sono stati chiari: gli esseri umani sono usciti vittoriosi, ma con un margine molto ridotto.
Sebbene le e-mail di phishing create dall'uomo siano riuscite a superare l'AI, è stata una gara incredibilmente serrata. Ecco perché:
Il phishing generato dall'AI non solo ha perso contro quello creato dagli esseri umani, ma è stato anche segnalato come sospetto a un tasso più elevato.
Sebbene X-Force non abbia osservato un uso su larga scala dell'AI generativa nelle campagne attuali, strumenti come WormGPT, sviluppati come LLM non soggetti a restrizioni o con restrizioni limitate, sono stati individuati in vendita su vari forum che pubblicizzano funzionalità di phishing, a dimostrazione del fatto che gli aggressori stanno testando l'uso dell'AI nelle campagne di phishing. Sebbene anche le versioni con restrizioni dei modelli di AI generativa possano essere indotte a creare phishing tramite semplici prompt, le versioni senza restrizioni potrebbero offrire in futuro agli aggressori modi più efficienti per scalare e-mail di phishing sofisticate.
Gli esseri umani possono aver vinto di poco questa partita, ma l'AI è in costante miglioramento. Con il progredire della tecnologia, possiamo solo aspettarci che l'AI diventi sempre più sofisticata e che un giorno possa persino superare gli esseri umani. Come sappiamo, gli aggressori si adattano e innovano costantemente. Solo quest'anno abbiamo visto truffatori utilizzare sempre più spesso cloni vocali generati dall'AI per ingannare le persone facendole inviare denaro, buoni regalo o divulgare informazioni sensibili.
Sebbene gli esseri umani possano ancora avere un vantaggio quando si tratta di manipolazione emotiva e di creare e-mail persuasive, l'emergere dell'AI nel phishing segna un momento cruciale negli attacchi di ingegneria sociale. Ecco cinque raccomandazioni chiave affinché aziende e consumatori siano preparati:
L'emergere dell'AI negli attacchi di phishing ci sfida a rivedere i nostri approcci alla cybersecurity. Adottando queste raccomandazioni e restando vigili di fronte alle minacce in evoluzione, possiamo rafforzare le nostre difese, proteggere le nostre imprese e garantire la sicurezza dei nostri dati e delle nostre persone nell'era digitale dinamica di oggi.
Per ulteriori informazioni sulla ricerca sulla sicurezza di X-Force, la threat intelligence e gli insight guidati dagli hacker, visita l'hub di ricerca di X-Force.
Per maggiori informazioni su come IBM può aiutare le aziende ad accelerare in sicurezza il loro percorso nell'AI, visita questa pagina.
