Kako hekerji uporabljajo AI, da vas napeljejo v klikanje skiciranih povezav

Uporabniki storitve Twitter bodo morda morali biti bolj previdni glede povezav, ki jih kliknejo.

Philip Tully in John Seymour družbe ZeroFox sta 4. avgusta na konferenci Black Hat USA 2016 razkrila, da lahko uporabijo strojno učenje (tj. Umetno inteligenco), da bi uporabniki Twitterja odprli povezave do zlonamernih spletnih strani s stopnjo uspešnosti med 30 in 66 odstotki.

Duo je ustvaril SNAP_R, »ponavljajočo se nevronsko mrežo, ki se nauči tweetati phishing objave, namenjene določenim uporabnikom«, da dokaže, da bi umetno inteligenco lahko uporabili za pomoč pri poskusih „podvodnega phishinga“. Podvodno lažno predstavljanje je neposreden poskus, da uporabnika klikne na slabo povezavo, v nasprotju z običajnim lažnim predstavljanjem, ki prenaša široko mrežo med številnimi uporabniki (kot je verižna ali neželena e-pošta, ki zahteva podatke za prijavo). SNAP_R v bistvu najde cilj, piše tweet, da misli, da jih bo zanimalo, uporablja Google skrajšal URL za skrivanje zlonamerne povezave, nato pa tweets na svojem cilju v upanju, da jih bodo kliknili na povezavo.

»Na testih, ki so sestavljeni iz 90 uporabnikov, smo ugotovili, da je bil naš avtomatiziran okvir za podvodno lovljenje med 30% in 66% uspešnosti.« Tully in Seymour pišeta v članku o SNAP_R. "To je uspešnejše od 5-14%, ki so bile predhodno prijavljene v velikih phishing kampanjah, in primerljive s 45%, ki so bile prijavljene za velike ročne napade s podvodnim phishingom."

Umetna inteligenca se pogosto uporablja za zaščito podatkov, ne pa za kompromise. Seymour in Tully sta želela, da bi to pokazala na glavi, da bi to pokazala, čeprav se hekerji ne bojijo A.I. Zaradi tega, da bi stvari postale nezmožne, bi morala biti širša javnost zaskrbljena, da lahko hekerji uporabijo podobna orodja proti svojim ciljem.

OpenAI, projekt, ki ga podpira Elon Musk in preučuje, kako bo umetna inteligenca vplivala na nas v prihodnosti, je julija dejal, da lahko tehnologija predstavlja tveganje. »Zgodnja uporaba AI bo vdrla v računalniške sisteme,« je zapisal OpenAI. "Želeli bi, da bi se tehnike umetne inteligence branile pred prefinjenimi hekerji, ki uporabljajo metode AI."

Razkritje, kako naj bi delo s programom SNAP_R "spodbudilo večjo ozaveščenost in razumevanje" napadov s podvodnim phishingom. Če bi razpravljali o notranjem delovanju orodja, bi lahko nekdo našel način, kako zaščititi uporabnike Twitterja pred podobnimi grožnjami, če bodo uporabniki storitve Twitter lahko omejili svojo radovednost in bili bolj previdni.

»Naš pristop temelji na dejstvu, da se socialni mediji hitro pojavljajo kot lahka tarča za lažno predstavljanje in napade socialnega inženiringa,« pišejo Seymour in Tully. »Twitter uporabljamo kot svojo platformo zaradi nizke omejitve za dopustna delovna mesta, skupne tolerance za storitve, kot so skrajšane povezave, njen učinkovit API in razširjena kultura prekomernega prenosa osebnih podatkov.« Opa.

Ta predstavitev je bila le ena od številnih, ki jih je Black Hat USA 2016 predstavil kot pomoč ljudem pri razumevanju varnostnih groženj. Morda ne bo imelo toliko vpliva kot novi Appleov program za nagrado za napake, vendar je še vedno dobro slediti razvoju hekerskih orodij.

Spodaj si lahko preberete celoten dokument podjetja Seymour in Tully o SPAN_R: