Kaip įsilaužėliai naudokite AI, kad galėtumėte paspaudę spustelėję skeledines nuorodas

„Twitter“ naudotojams gali tekti būti atsargiems dėl nuorodų, kurias jie spustelėjo.

Rugpjūčio 4 d. „Black Hat USA 2016“ įsilaužėlių konvencijoje „ZeroFox“ Philipas Tully ir John Seymour atskleidė, kad jie gali naudoti kompiuterinį mokymąsi (t. Y. Dirbtinį intelektą), kad „Twitter“ naudotojai galėtų atidaryti nuorodas į kenksmingas svetaines, kurių sėkmės rodiklis yra nuo 30 iki 66 proc.

Duo sukūrė SNAP_R - „pasikartojančią neuroninį tinklą, kuris mokosi susigrąžinti sukčiavimo apsimetant žinutes, skirtas konkretiems naudotojams“, kad įrodytų, kad dirbtinis intelektas gali būti naudojamas siekiant padėti „spear phishing“ bandymams. „Spear phishing“ yra tiesioginis bandymas suklastoti vartotoją spustelėję blogą nuorodą, o ne įprastą sukčiavimą, kuris daugeliui vartotojų perduoda platų tinklą (pvz., Grandinės ar šlamšto laiškuose, kuriuose prašoma prisijungimo informacijos). SNAP_R iš esmės suranda tikslą, rašo „tweet“, kuri, jos manymu, bus jiems įdomi, naudoja „Google“ URL sutrumpinimą, kad paslėptų kenkėjišką nuorodą, ir tada susitvarko su tikslu, tikėdamasis, kad jie spustelės nuorodą.

„Bandymuose, sudarytuose iš 90 vartotojų, nustatėme, kad automatizuota spear phishing sistema turėjo nuo 30% iki 66% sėkmės rodiklio.“ Tully ir Seymour rašo apie SNAP_R. „Tai yra sėkmingesnė už 5–14%, apie kuriuos anksčiau buvo pranešta didelės apimties sukčiavimo kampanijose, ir palyginama su 45%, apie kuriuos pranešta didelio masto rankinio spyrių rinkimo darbams.“

Dirbtinis intelektas dažnai naudojamas siekiant apsaugoti duomenis, o ne kompromisas. „Seymour“ ir „Tully“ norėjo, kad jis atsispindėtų ant galvos ir parodytų, kad nors įsilaužėliai nebijo A.I. todėl, kad viskas būtų nesuderinama, visuomenė turėtų būti susirūpinusi, kad įsilaužėliai gali naudoti panašius įrankius pagal jų tikslus.

„OpenAI“, „Elon Musk“ remiamas projektas, nagrinėjantis dirbtinio intelekto poveikį mums ateityje, liepos mėn. Teigė, kad ši technologija gali kelti pavojų. „„ AI ankstyvas naudojimas bus įsilaužti į kompiuterines sistemas “, - rašė„ OpenAI “. „Mes norėtume, kad AI metodai gintų nuo sudėtingų įsilaužėlių, kurie labai naudosis AI metodais.“

Atskleidžiant, kaip SNAP_R veikia, „turėtų būti skatinamas didesnis informuotumas ir supratimas apie spear phishing“ atakas. Aptariant įrankio vidinį darbą gali kas nors rasti būdą, kaip apsaugoti „Twitter“ naudotojus nuo panašių grėsmių, jei „Twitter“ naudotojai galės pažaboti savo smalsumą ir būti atsargesni.

„Mūsų požiūris grindžiamas tuo, kad socialinė žiniasklaida sparčiai kyla kaip paprastas sukčiavimo ir socialinės inžinerijos išpuolių objektas“, - rašo Seymour ir Tully. „Naudojame„ Twitter “kaip mūsų platformą, nes jos talpa yra priimtina, jos bendruomenės tolerancija patogumui, pvz., Sutrumpintos sąsajos, veiksminga API ir visuotinė asmeninės informacijos eksponavimo kultūra.

Šis pristatymas buvo tik vienas iš daugelio „Black Hat USA 2016“ leidinių, padedančių žmonėms suprasti saugumo grėsmes. Tai gali neturėti tokio pat poveikio kaip ir naujoji „Apple“ klaidų programa, tačiau vis dar gerai sekti, kaip vystosi įsilaužimo įrankiai.

Žemiau galite skaityti visą „Seymour“ ir „Tully“ popierių „SPAN_R“: