Connect with us

Cybersikkerhed

Kan AI skrive en mere overbevisende phishing-e-mail end mennesker?

mm
Published
Updated

Naturlig sprogbehandling og avancerede oversættelseskapsaciteter gør generativ AI til et uvurderligt værktøj for hackere. AI-genererede phishing-e-mails kan dog ikke være mere farlige end menneskeskabt scam-indhold. Hvad skal brugere og sikkerhedseksperter vide om AI’s rolle i phishing og cyberangreb?

Hvordan AI skriver phishing-e-mails

Rapporteret phishing-indhold steg med 61% fra 2021 til 2022. Fra malicious URLs til e-mail-scam, bliver phishing mere og mere udbredt hvert år. AI er det seneste værktøj, hackere adopterer for at fremme phishing-kampagner. Mens AI’s naturlige sprogbehandling er nyttig, kan hackere udnytte det til at skabe mere effektivt phishing-indhold.

Tilgængeligheden af AI-as-a-Service-platforme som ChatGPT gør det lettere end nogensinde for alle at generere indhold. En hacker kunne vise en stor sprogmodel AI tusindvis af eksempler på legitime e-mails og derefter bede det om at skabe originale e-mails baseret på disse. Naturlig sprogbehandling (NLP) giver AI mulighed for at forstå og genskabe realistisk skrevet indhold – et perfekt værktøj i phishing-angreb.

Ideelt set genererer AI en original e-mail, der efterligner en menneskeskrevet e-mail. Hackeren kan bede det om at tilpasse beskeden til at inkludere detaljer om et bestemt firma, person eller sted. AI kan endda oversætte beskeden til et andet sprog. Hackere kan effektivt skabe helt originale, personlige phishing-e-mails på få øjeblikke, hvilket giver dem mulighed for at skifte væk fra at genbruge en enkelt ondsindet e-mail blandt mange mål.

Er AI-genererede phishing-e-mails effektive?

Mulighederne for AI-drevet phishing kan lyde intimiderende, men er de mere farlige end menneskeskabt phishing-indhold? Fordelene ved AI-genererede phishing-e-mails kommer hovedsageligt ned til mere effektive arbejdsprocesser for hackere.

Tidlige forskningsstudier har vist, at AI-genererede phishing-e-mails er omtrent lige så overbevisende som menneskeskabt phishing-e-mail. Hackere er også begrænsede i deres adgang til AI-as-a-Service-platforme. De fleste store udviklere – herunder OpenAI – har sikkerhedsforanstaltninger for at forhindre ulovlige AI-model-anvendelser.

Hovedfordelene ved AI for phishing-hackere er effektivitet og sprog. At bruge AI til at generere scam-e-mails er hurtigere end at skrive dem manuelt, hvilket giver hackere mulighed for at skabe en større variation af phishing-e-mails. De kan endda målrette ofre over hele verden takket være lettilgængelige AI-oversættelsesværktøjer med NLP-kapaciteter.

Så AI-genererede phishing-e-mails øger risikoen for phishing-angreb, men de er måske ikke nødvendigvis mere overbevisende end menneskeskabt indhold.

Hvordan man forsvares mod AI-genererede phishing

AI er et nyttigt værktøj for hackere, men det er ikke fuldendt. Sikkerhedsteknologi og brugere kan også udvikle deres forsvarsstrategier, mens phishing-angreb bliver smartere. Brugere skal starte med at holde sig opdateret om advarselsflag for phishing-indhold, da disse vil forblive relevante, selv med AI-genererede e-mails.

Selvom det kan blive sværere at opdage phishing-e-mails på et øjeblik, kan visse sikkerhedsforanstaltninger minimere eller eliminere muligheden for, at phishing kan forårsage skade. Desuden kan nye detektionsteknologier fange både AI- og menneskeskrevne ondsindede e-mails.

Skift til cloud-lagring

At skifte til cloud-lagring er en god måde at minimere truslen fra phishing-e-mails og cyberangreb. Den isolerede natur af konventionel data-lagring gør den meget sårbær over for udnyttelse af hackere. Alt, hvad en hacker behøver at gøre, er at få kontrol over en harddisk eller server, og de kan holde alle data som gidsler.

Cloud-lagring undgår denne trussel. Da dataene ikke er knyttet til en bestemt enhed, er det meget sværere for hackere at slette eller beskadige nogen oplysninger. Cloud-baseret sikkerhed kan også forbedre modstandskraften over for hacking-forsøg.

For eksempel kan brugere implementere automatiserede sårbarhedsskanninger for at finde svagheder i deres cloud-sikkerhed. Dette er godt til at forhindre, at hackere bruger bagdøre eller stjålne legitimationsoplysninger til at få adgang til data i cloud-lagringen. Selv hvis de gør, vil det være svært for dem at kontrollere nogen data fuldstændigt, da cloud-lagring er så spredt.

Opret en selvstændig verifikationssystem

En selvstændig løsning for at hjælpe med at afværge phishing-beskedninger af enhver art er at etablere en kode-system blandt betroede korrespondenter. Dette kunne inkludere personer som familie, venner og kollegaer. Hver gang, disse personer i gruppen e-mailer hinanden, kunne de skrive en bestemt kode-frase for at verificere, at beskeden faktisk er fra dem.

Dette kode-system behøver ikke at være overordentligt kompliceret. Idéen er blot at tilføje en faktor til e-mails, som en hacker eller AI ikke pålideligt kan vide på forhånd. Gør kode-frasen til noget usædvanligt, så det er usandsynligt, at det ofte optræder i en AI’s trænings-e-mails.

For eksempel kunne koden være navnet på en fiktiv bebyggelse, som “Agloe, New York”. Fiktive bebyggelser er usandsynlige at optræde hyppigt i e-mails, da de er fiktive steder, der blot er tilføjet til kort for ophavsretsformål.

Brug AI-phishing-detektion

Hackere er ikke de eneste, der bruger AI til at innovere deres metode. Brugere og sikkerhedseksperter kan udnytte AI-modeller til at detektere phishing-indhold, uanset om det er skrevet af en menneske eller en AI.

For eksempel kan udviklere bruge maskinlæring til at overvåge og spore de naturlige kommunikationsmønstre for legitime e-mail-korrespondenter. Hvis AI kunne hurtigt lære en persons unikke kommunikationsstil, kunne den genkende falske e-mails, der ikke matcher. Dette gælder uanset, om e-mailen er skrevet af en menneske eller en AI.

En af de største styrker ved AI-drevet phishing er også en større svaghed. Hackere kan effektivt skabe overbevisende falske e-mails med AI, men kommunikationsstilen i disse e-mails kan ikke effektivt personliggøres. En hacker har normalt ikke den tekniske ekspertise eller ressourcer til at træne en AI til at genskabe en bestemt persons skrivestil præcist. Phishing-detektions-AI-modeller kan udnytte denne svaghed til at forsvare brugere.

At forstå risikoen for AI-drevet phishing

AI kan være et værdifuldt værktøj for hackere, når det kommer til at skabe phishing-e-mails. AI-genererede e-mails er dog ikke nødvendigvis mere overbevisende end menneskeskabt phishing-indhold. Hovedadvarselsflagene for phishing – som for eksempel急opfordringer til handling – forbliver relevante uanset, hvem eller hvad der skaber phishing-e-mailen. Brugere og sikkerhedseksperter kan adoptere innovative teknikker og teknologier til at beskytte deres data mod AI-drevne phishing-kampagner.

Related Topics:
mm

Zac Amos er en teknisk forfatter, der fokuserer på kunstig intelligens. Han er også Features Editor på ReHack, hvor du kan læse mere af hans arbejde.