AI-vezérelt Social Engineering: a kiberbiztonság új kihívásai

Social engineering header (1)
2024.12.06. 00:02
Ezt a cikket nem az Index szerkesztősége készítette. Bővebben a PR cikkről, mint hirdetési formátumról itt olvashat.

A mesterséges intelligencia (AI) forradalmasította az üzleti világot és mindennapi életünket, így lehetőséget ad a gyorsabb innovációra, a termelékenység javítására és a kényelmesebb szolgáltatásokra. Ugyanakkor komoly kiberbiztonsági veszélyeket is rejt, amelyekkel a vállalatoknak és a magánszemélyeknek egyaránt szembe kell nézniük. Az AI eszközök ma már olyan támadási alternatívákat biztosítanak a kiberbűnözők számára, amelyek korábban elképzelhetetlenek voltak. Cikkünkben két, AI által támogatott social engineering támadás típust és azok kivédésének stratégiáit mutatjuk be.

AI által generált phishing e-mailek

A támadások egyik leggyakoribb formája az e-mailes adathalászat, ahol a támadók igyekeznek érzékeny információkat – mint bankkártya-adatok, személyes adatok vagy üzleti titkok – megszerezni.

A generatív AI, különösen a nagy nyelvi modellek (LLM-ek) fejlődése lehetővé teszi a támadók számára, hogy mindössze néhány prompt megadásával olyan phishing e-maileket hozzanak létre, amelyek tartalmi és nyelvi szempontból is hitelesebbek a korábban tapasztaltaknál. A mesterséges intelligencia alkalmazásával könnyen készíthetnek gördülékeny, nyelvtanilag hibátlan üzeneteket, akár idegen nyelven is. Az informatikai ismeretek hiánya már nem jelent akadályt: a generatív AI scriptek írásában is segíthet és alkalmas akár kártékony kódok megalkotására is.

Habár a széles körben ismert AI eszközök, mint a ChatGPT, hivatalosan nem használhatók ilyen célokra, a kiberbűnözők már a kezdetektől kísérleteznek ezeknek a korlátozásoknak a megkerülésével. Emellett a dark weben olyan, kifejezetten a számukra készült AI eszközök is elérhetők, mint a WormGPT vagy a FraudGPT, amelyek lehetőséget adnak phishing e-mailek készítésére, rosszindulatú szoftverek generálására, vagy akár adathalász weboldalak létrehozására is.

Az AI adta lehetőségek egyre kifinomultabb támadásokat tesznek lehetővé, hiszen a social engineering már személyre szabható: a támadók közösségimédia-adatok elemzésével olyan stílusban kommunikálhatnak, amely az áldozatok számára leginkább hihető.

Social engineering stock1 (1)

Deepfake átverések: a hang és a kép manipulálása

A deepfake technológia, ami az AI segítségével képes manipulált videók, képek és hanganyagok létrehozására, teret nyert a kiberbűnözők körében is. A kifejezés a deep learning (mélytanulás) és a fake (hamis) szavak összevonásából ered, és az elkészült tartalomra is utal.

Gyorsan fejlődő ága a voice cloning, amely lehetővé teszi a támadók számára, hogy csupán egy rövid hanganyag alapján (például egy telefonhívásról) lemásolják egy személy hangját – beleértve a hanghordozást és egyéb jellegzetességeket. A text-to-speech (TTS) technológiával kombinálva bármilyen szöveget képesek valósághű hangon előállítani.

A deepfake nemcsak a magánszemélyek, hanem a vállalatok számára is komoly veszélyt jelenthet. Egy brit energiaipari vállalat vezérigazgatóját 2019-ben egy ilyen támadás során tévesztették meg: a csalók deepfake hang segítségével a német anyavállalat vezérigazgatójának adták ki magukat, és 220 000 eurót utaltattak el egy állítólagos magyarországi beszállító számlájára.

De az AI technológiák további fejlődésével már nemcsak hang-, hanem videós manipulációkat is készíthetnek a támadók: egy pénzügyi dolgozót videókonferencia-híváson ejtettek át, ahol a „feletteseivel” beszélgetett. A támadók valójában hamisították a résztvevőket, és a rendelkezésükre álló videó- és hanganyagok alapján digitális avatárokat hoztak létre, így a dolgozó 25 millió dollárt utalt át egy csalás részeként.

A deepfake tartalmak felismerésénél fontos figyelni a képek, videók és hanganyagok minőségére: a fény- és szájmozgásbeli eltérések, torzítások, illetve az inkonzisztenciák mind jelezhetik a csalást.

Social engineering stock2 (1)

Hogyan védekezzünk a mesterséges intelligencia-alapú social engineering támadások ellen?

A piacon számos technológiai megoldás létezik a deepfake tartalmak detektálására, legyen szó, képekről, videókról, hangfelvételekről vagy szöveges tartalomról.

Azonban social engineering támadások elleni védekezés kulcsa a megfelelő kiberbiztonsági tudatosság. Fontos, hogy a vállalatok és magánszemélyek is folyamatosan frissítsék tudásukat és készségeiket, különös tekintettel az AI adta lehetőségekre. A munkatársak oktatása és felkészítése, a belső protokollok szigorú szabályozása, valamint az érzékeny információk többcsatornás megerősítése mind elengedhetetlen a sikeres védekezéshez.

A 4iG Group a megfelelő biztonságtudatossági tananyagok kidolgozásában, kiberbiztonsági tréningek lebonyolításában, és social engineering szimulációk végrehajtásában is segítséget nyújt. Vegye fel velünk a kapcsolatot a cybersecurity@4ig.hu címen, és támogassuk együtt vállalata kiberbiztonságának erősítését!

Források:

1. Owen-Jackson, C. (2024). Social engineering and generative AI: 2024 predictions. Security Intelligence. Elérhető: https://securityintelligence.com/articles/social-engineering-generative-ai-2024-predictions/ (Hozzáférés: 2024. 0 28.).

2. Panda Security. What is WormGPT?. Panda Mediacenter. Elérhető: https://www.pandasecurity.com/en/mediacenter/what-is-wormgpt/ (Hozzáférés: 2024. 08. 28.).

3. SecureOps (2024) ‘FraudGPT' Malicious Chatbot Now for Sale on Dark Web. Elérhető: https://secureops.com/blog/ai-attacks-fraudgpt/ (Hozzáférés: 2024. 08. 28.).

4. Yasar, K. & Barney, N. & Wigmore, I. (n.d.) What is deepfake technology? TechTarget. Elérhető: https://www.techtarget.com/whatis/definition/deepfake (Hozzáférés: 2024. 08. 28.).

5. Fortinet(n.d.) What is a Deepfake?. Elérhető: https://www.fortinet.com/resources/cyberglossary/deepfake (Hozzáférés: 2024. 08. 28.).

6. SC Magazine (n.d.) Deepfakes add a new dimension to social engineering scams. Elérhető: https://insight.scmagazineuk.com/deepfakes-add-a-new-dimension-to-social-engineering-scams (Hozzáférés: 2024. 08. 28.).

7. Stupp, C. (2019) Fraudsters Used AI to Mimic CEO's Voice in Unusual Cybercrime Case. The Wall Street Journal. Elérhető: https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402 (Hozzáférés: 2024. 08. 28.).

8. Heather, C. & Magramo K. (2024) Finance worker pays out $25 million after video call with deepfake ‘chief financial officer'. CNN. Elérhető: https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html (Hozzáférés: 2024. 08. 28.).

9. sosafe (2024) Voice cloning. Elérhető: https://sosafe-awareness.com/glossary/voice-cloning/ (Hozzáférés: 2024. 08).

10. SANS Institute & Nemzeti Kibervédelmi Intézet. (2022). Sajátítsunk el egy új túlélési készséget: ismerjük fel a deepfake-ket!.  Elérhető: https://nki.gov.hu/wp-content/uploads/2022/03/ouch_march_2022_hungarian_learn_a_new_survival_skill_spotting_deepfake.pdf (Hozzáférés: 2024.11.19).

Ezt a cikket nem az Index szerkesztősége készítette. Bővebben a PR cikkről, mint hirdetési formátumról itt olvashat.