AI-vezérelt Social Engineering: a kiberbiztonság új kihívásai
A mesterséges intelligencia (AI) forradalmasította az üzleti világot és mindennapi életünket, így lehetőséget ad a gyorsabb innovációra, a termelékenység javítására és a kényelmesebb szolgáltatásokra. Ugyanakkor komoly kiberbiztonsági veszélyeket is rejt, amelyekkel a vállalatoknak és a magánszemélyeknek egyaránt szembe kell nézniük. Az AI eszközök ma már olyan támadási alternatívákat biztosítanak a kiberbűnözők számára, amelyek korábban elképzelhetetlenek voltak. Cikkünkben két, AI által támogatott social engineering támadás típust és azok kivédésének stratégiáit mutatjuk be.
AI által generált phishing e-mailek
A támadások egyik leggyakoribb formája az e-mailes adathalászat, ahol a támadók igyekeznek érzékeny információkat – mint bankkártya-adatok, személyes adatok vagy üzleti titkok – megszerezni.
A generatív AI, különösen a nagy nyelvi modellek (LLM-ek) fejlődése lehetővé teszi a támadók számára, hogy mindössze néhány prompt megadásával olyan phishing e-maileket hozzanak létre, amelyek tartalmi és nyelvi szempontból is hitelesebbek a korábban tapasztaltaknál. A mesterséges intelligencia alkalmazásával könnyen készíthetnek gördülékeny, nyelvtanilag hibátlan üzeneteket, akár idegen nyelven is. Az informatikai ismeretek hiánya már nem jelent akadályt: a generatív AI scriptek írásában is segíthet és alkalmas akár kártékony kódok megalkotására is.
Habár a széles körben ismert AI eszközök, mint a ChatGPT, hivatalosan nem használhatók ilyen célokra, a kiberbűnözők már a kezdetektől kísérleteznek ezeknek a korlátozásoknak a megkerülésével. Emellett a dark weben olyan, kifejezetten a számukra készült AI eszközök is elérhetők, mint a WormGPT vagy a FraudGPT, amelyek lehetőséget adnak phishing e-mailek készítésére, rosszindulatú szoftverek generálására, vagy akár adathalász weboldalak létrehozására is.
Az AI adta lehetőségek egyre kifinomultabb támadásokat tesznek lehetővé, hiszen a social engineering már személyre szabható: a támadók közösségimédia-adatok elemzésével olyan stílusban kommunikálhatnak, amely az áldozatok számára leginkább hihető.
Deepfake átverések: a hang és a kép manipulálása
A deepfake technológia, ami az AI segítségével képes manipulált videók, képek és hanganyagok létrehozására, teret nyert a kiberbűnözők körében is. A kifejezés a deep learning (mélytanulás) és a fake (hamis) szavak összevonásából ered, és az elkészült tartalomra is utal.
Gyorsan fejlődő ága a voice cloning, amely lehetővé teszi a támadók számára, hogy csupán egy rövid hanganyag alapján (például egy telefonhívásról) lemásolják egy személy hangját – beleértve a hanghordozást és egyéb jellegzetességeket. A text-to-speech (TTS) technológiával kombinálva bármilyen szöveget képesek valósághű hangon előállítani.
A deepfake nemcsak a magánszemélyek, hanem a vállalatok számára is komoly veszélyt jelenthet. Egy brit energiaipari vállalat vezérigazgatóját 2019-ben egy ilyen támadás során tévesztették meg: a csalók deepfake hang segítségével a német anyavállalat vezérigazgatójának adták ki magukat, és 220 000 eurót utaltattak el egy állítólagos magyarországi beszállító számlájára.
De az AI technológiák további fejlődésével már nemcsak hang-, hanem videós manipulációkat is készíthetnek a támadók: egy pénzügyi dolgozót videókonferencia-híváson ejtettek át, ahol a „feletteseivel” beszélgetett. A támadók valójában hamisították a résztvevőket, és a rendelkezésükre álló videó- és hanganyagok alapján digitális avatárokat hoztak létre, így a dolgozó 25 millió dollárt utalt át egy csalás részeként.
A deepfake tartalmak felismerésénél fontos figyelni a képek, videók és hanganyagok minőségére: a fény- és szájmozgásbeli eltérések, torzítások, illetve az inkonzisztenciák mind jelezhetik a csalást.
Hogyan védekezzünk a mesterséges intelligencia-alapú social engineering támadások ellen?
A piacon számos technológiai megoldás létezik a deepfake tartalmak detektálására, legyen szó, képekről, videókról, hangfelvételekről vagy szöveges tartalomról.
Azonban social engineering támadások elleni védekezés kulcsa a megfelelő kiberbiztonsági tudatosság. Fontos, hogy a vállalatok és magánszemélyek is folyamatosan frissítsék tudásukat és készségeiket, különös tekintettel az AI adta lehetőségekre. A munkatársak oktatása és felkészítése, a belső protokollok szigorú szabályozása, valamint az érzékeny információk többcsatornás megerősítése mind elengedhetetlen a sikeres védekezéshez.
A 4iG Group a megfelelő biztonságtudatossági tananyagok kidolgozásában, kiberbiztonsági tréningek lebonyolításában, és social engineering szimulációk végrehajtásában is segítséget nyújt. Vegye fel velünk a kapcsolatot a cybersecurity@4ig.hu címen, és támogassuk együtt vállalata kiberbiztonságának erősítését!
Források:
1. Owen-Jackson, C. (2024). Social engineering and generative AI: 2024 predictions. Security Intelligence. Elérhető: https://securityintelligence.com/articles/social-engineering-generative-ai-2024-predictions/ (Hozzáférés: 2024. 0 28.).
2. Panda Security. What is WormGPT?. Panda Mediacenter. Elérhető: https://www.pandasecurity.com/en/mediacenter/what-is-wormgpt/ (Hozzáférés: 2024. 08. 28.).
3. SecureOps (2024) ‘FraudGPT' Malicious Chatbot Now for Sale on Dark Web. Elérhető: https://secureops.com/blog/ai-attacks-fraudgpt/ (Hozzáférés: 2024. 08. 28.).
4. Yasar, K. & Barney, N. & Wigmore, I. (n.d.) What is deepfake technology? TechTarget. Elérhető: https://www.techtarget.com/whatis/definition/deepfake (Hozzáférés: 2024. 08. 28.).
5. Fortinet(n.d.) What is a Deepfake?. Elérhető: https://www.fortinet.com/resources/cyberglossary/deepfake (Hozzáférés: 2024. 08. 28.).
6. SC Magazine (n.d.) Deepfakes add a new dimension to social engineering scams. Elérhető: https://insight.scmagazineuk.com/deepfakes-add-a-new-dimension-to-social-engineering-scams (Hozzáférés: 2024. 08. 28.).
7. Stupp, C. (2019) Fraudsters Used AI to Mimic CEO's Voice in Unusual Cybercrime Case. The Wall Street Journal. Elérhető: https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402 (Hozzáférés: 2024. 08. 28.).
8. Heather, C. & Magramo K. (2024) Finance worker pays out $25 million after video call with deepfake ‘chief financial officer'. CNN. Elérhető: https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html (Hozzáférés: 2024. 08. 28.).
9. sosafe (2024) Voice cloning. Elérhető: https://sosafe-awareness.com/glossary/voice-cloning/ (Hozzáférés: 2024. 08).
10. SANS Institute & Nemzeti Kibervédelmi Intézet. (2022). Sajátítsunk el egy új túlélési készséget: ismerjük fel a deepfake-ket!. Elérhető: https://nki.gov.hu/wp-content/uploads/2022/03/ouch_march_2022_hungarian_learn_a_new_survival_skill_spotting_deepfake.pdf (Hozzáférés: 2024.11.19).