La IA pot escriure un correu electrònic de pesca més convincent que els humans?

El processament del llenguatge natural i les capacitats de traducció avançades fan que la IA generativa sigui una eina inestimable per als pirates informàtics. Tanmateix, és possible que els correus electrònics de pesca generats per IA no siguin més perillosos que el contingut d'estafa generat per humans. Què haurien de saber els usuaris i els professionals de la seguretat sobre el paper de la IA en el phishing i els ciberatacs?

Com AI escriu correus electrònics de pesca

Contingut de pesca denunciat va augmentar un 61% respecte al 2021 fins al 2022. Des d'URL maliciosos fins a estafes per correu electrònic, el phishing és cada vegada més freqüent cada any. La IA és l'última eina que els pirates informàtics estan adoptant per avançar en les campanyes de pesca. Tot i que el processament del llenguatge natural de l'IA és beneficiós, els pirates informàtics poden aprofitar-lo per crear contingut de pesca més efectiu.

La disponibilitat de plataformes AI-as-a-Service com ara ChatGPT fa que sigui més fàcil que mai per a qualsevol generar contingut. Un pirata informàtic podria mostrar milers d'exemples de correus electrònics legítims a un gran model d'idioma d'IA i, a continuació, demanar-li que creï correus electrònics originals basats en aquests. El processament del llenguatge natural (NLP) permet a la IA comprendre i recrear contingut escrit realista, una eina perfecta per als atacs de pesca.

Idealment, l'IA genera un correu electrònic original que imite un correu electrònic escrit per humans. El pirata informàtic pot demanar-li que personalitzi el missatge per incloure detalls sobre una empresa, persona o lloc en particular. L'IA pot fins i tot traduir el missatge a un idioma diferent. Els pirates informàtics poden crear eficaçment correus electrònics de pesca personalitzats i originals en pocs moments, cosa que els permet avançar del reciclatge d'un correu electrònic maliciós entre molts objectius.

Els correus electrònics de pesca generats per IA són efectius? 

Les possibilitats de la pesca impulsada per IA poden semblar intimidants, però són més perilloses que el contingut de pesca creat per humans? Els avantatges dels correus electrònics de pesca generats per IA es redueixen principalment a fluxos de treball més eficients per als pirates informàtics.

Els primers estudis de recerca han demostrat que els correus electrònics de pesca generats per IA són igual de convincents com a correus electrònics de pesca generats per humans. Els pirates informàtics també tenen accés limitat a les plataformes d'IA com a servei. La majoria dels grans desenvolupadors, inclòs OpenAI, tenen garanties per prevenir aplicacions il·legals de models d'IA. 

Els principals avantatges de la IA per als pirates informàtics de pesca són l'eficiència i el llenguatge. L'ús de la IA per generar correus electrònics d'estafa és més ràpid que escriure'ls manualment, cosa que permet als pirates informàtics crear una major varietat de correus electrònics de pesca. A més, poden orientar-se a víctimes a qualsevol part del món, gràcies a les eines de traducció d'IA de fàcil accés amb capacitats de PNL.

Per tant, els correus electrònics de pesca generats per IA augmenten el risc d'atacs de pesca, però no necessàriament són més convincents que el contingut generat per humans.

Com defensar-se de la pesca generada per IA

La IA és una eina útil per als pirates informàtics, però no és infal·lible. La tecnologia de seguretat i els usuaris també poden avançar en les seves estratègies de defensa a mesura que els atacs de pesca es fan més intel·ligents. Els usuaris haurien de començar per mantenir-se al dia banderes vermelles de contingut de pesca, ja que seguiran sent rellevants fins i tot amb els correus electrònics generats per IA.

Tot i que pot ser més difícil detectar correus electrònics de pesca d'un cop d'ull, alguns passos de seguretat poden minimitzar o eliminar la possibilitat que la pesca provoqui danys. A més, les noves tecnologies de detecció poden capturar correus electrònics maliciosos tant per IA com escrits per humans.

Canvia a l'emmagatzematge al núvol

El canvi a l'emmagatzematge al núvol és una bona manera de minimitzar l'amenaça de correus electrònics de pesca i ciberatacs. La naturalesa aïllada de l'emmagatzematge de dades convencional el fa molt vulnerable a l'explotació per part dels pirates informàtics. Tot el que ha de fer un pirata informàtic és aconseguir el control d'un disc dur o servidor, i poden retenir totes les dades d'algú com a ostatges.

L'emmagatzematge al núvol esquiva aquesta amenaça. Com que les dades no estan vinculades a cap dispositiu específic, és molt més difícil per als pirates informàtics suprimir o danyar qualsevol informació. La ciberseguretat basada en el núvol també pot millorar la resistència als intents de pirateria.

Per exemple, els usuaris poden implementar exploracions de vulnerabilitats automatitzades trobar debilitats al seu núvol seguretat. Això és ideal per evitar que els pirates informàtics utilitzin portes posteriors o credencials robades per accedir a les dades al núvol. Fins i tot si ho fan, els serà difícil controlar completament les dades, ja que l'emmagatzematge al núvol està molt dispers.

Creeu un sistema de verificació de bricolatge

Una solució de bricolatge per ajudar a dissuadir els missatges de pesca de qualsevol tipus és establir un sistema de codi entre corresponsals de confiança. Això podria incloure persones com la família, els amics i els companys de feina. Cada vegada que els membres del grup s'envien un correu electrònic entre ells, podrien escriure una frase de codi específica per verificar que el missatge és realment d'ells.

Aquest sistema de codi no ha de ser massa complicat. La idea és simplement afegir un factor als correus electrònics que un pirata informàtic o una intel·ligència artificial no podria saber de manera fiable per endavant. Feu que la frase de codi sigui una cosa inusual, de manera que és poc probable que es trobi habitualment als correus electrònics de formació d'una IA.

Per exemple, el codi podria ser el nom d'un assentament fantasma, com ara "Agloe, Nova York". És poc probable que els assentaments fantasma apareguin amb freqüència als correus electrònics, ja que són llocs ficticis simplement afegits als mapes amb finalitats de drets d'autor.

Utilitzeu la detecció de pesca amb IA

Els pirates informàtics no són els únics que utilitzen IA per innovar la seva metodologia. Els usuaris i els professionals de la seguretat poden aprofitar els models d'IA per detectar contingut de pesca, tant si l'escriu un humà com una IA.

Per exemple, els desenvolupadors poden utilitzar l'aprenentatge automàtic per supervisar i seguir la comunicació natural patrons de corresponsals legítims de correu electrònic. Si l'IA pogués aprendre ràpidament l'estil de comunicació únic d'un individu, podria reconèixer correus electrònics falsos que no coincideixen. Això s'aplica independentment de si un humà o IA ha escrit el correu electrònic.

Un dels grans punts forts de la pesca impulsada per IA també és un defecte important. Els pirates informàtics poden crear eficaçment correus electrònics falsos creïbles amb IA, però l'estil de comunicació d'aquests correus electrònics no es pot personalitzar de manera eficient. Un pirata informàtic normalment no té l'experiència tècnica o els recursos per entrenar una IA per replicar l'estil d'escriptura d'una persona específica amb precisió. Els models d'IA de detecció de pesca poden aprofitar aquesta debilitat per defensar els usuaris.

Comprendre el risc de la pesca impulsada per IA

La IA pot ser una eina valuosa per als pirates informàtics quan creen correus electrònics de pesca. Tanmateix, els correus electrònics generats per IA no són necessàriament més convincents que el contingut de pesca generat per humans. Les banderes vermelles principals de la pesca, com ara les crides a l'acció urgents, segueixen sent rellevants independentment de qui o què està creant el correu electrònic de pesca. Els usuaris i els professionals de la seguretat poden adoptar tècniques i tecnologies innovadores per protegir les seves dades de les campanyes de pesca impulsades per IA.