Esta IA escreveu e-mails de phishing melhores do que humanos em um teste recente

No Conferências de segurança Black Hat e Defcon em Las Vegas esta semana, uma equipe da agência estatal de tecnologia de Cingapura apresentou um experimento recente no qual um serviço de IA gerou e-mails de phishing para 200 de seus colegas. As mensagens continham links que não eram realmente maliciosos, apenas relatavam taxas de cliques de volta aos pesquisadores. O interessante é que a maioria das pessoas clicou nos links nas mensagens geradas pela IA do que nas escritas por humanos por uma margem considerável.

No estudo mais recente, os pesquisadores descobriram que poderiam usar o modelo de linguagem de aprendizado profundo GPT-3, juntamente com outras plataformas de IA como serviço, para aumentar significativamente a barreira de entrada para a criação de campanhas de spearphishing em larga escala.

Esta IA escreveu e-mails de phishing melhores do que humanos em um teste recente

Eugene Lim, especialista em segurança cibernética da Agência de Tecnologia do Governo, disse.

“Os pesquisadores indicaram que a IA requer uma certa quantidade de experiência. São necessários milhões de dólares para treinar um modelo realmente bom. Mas depois de configurá-lo para AI-as-a-Service, custa alguns centavos e é muito fácil de usar – basta registrar, escrever. Você nem precisa executar nenhum código, basta fornecer um prompt e obter a saída. Isso reduz a barreira de entrada para um público muito maior e aumenta os alvos potenciais para spearphishing. De repente, cada e-mail pode ser personalizado em massa para cada destinatário. “

Os pesquisadores usaram a plataforma GPT-3 da OpenAI em associação com outros produtos de IA como serviço que se concentram na análise de personalidade para gerar e-mails de phishing. O aprendizado de máquina visa prever as tendências e a mentalidade de uma pessoa com base em entradas comportamentais. Ao executar as saídas por meio de vários serviços, os pesquisadores conseguiram desenvolver um pipeline que preparou e refinou os e-mails antes de serem enviados. Eles dizem que os resultados soaram “estranhamente humanos” e que as plataformas forneceram automaticamente detalhes surpreendentes.

O resultado foi bastante impressionante, mas deve-se ter em mente que o teste foi realizado em um número limitado de usuários. Por outro lado, o pool alvo era bastante homogêneo em termos de emprego e região geográfica. Além disso, tanto as mensagens geradas por humanos quanto as geradas pelo pipeline de IA como serviço foram criadas por membros do Office, e não por invasores externos que tentam atingir a nota certa remotamente.

Tan Kee Hock, especialista em segurança cibernética da Agência de Tecnologia do Governo, disse

“Existem muitas variáveis ​​que precisam ser consideradas”

OpenAI em um comunicado à WIRED disse:

“O abuso de modelos de linguagem é um problema de todo o setor que levamos muito a sério como parte de nosso compromisso com o uso seguro e responsável da IA. Concedemos acesso ao GPT-3 por meio de nossa API e revisamos todos os usos de produção do GPT-3 antes que ele seja lançado. Impomos medidas técnicas, como limites de taxa, para reduzir a probabilidade e o impacto do uso mal-intencionado por usuários da API. Nossos sistemas de monitoramento ativo e auditorias são projetados para detectar possíveis indicações de abuso o mais cedo possível, e estamos trabalhando continuamente para melhorar a precisão e a eficácia de nossas ferramentas de segurança. “

A boa notícia é que os resultados encorajaram os pesquisadores a pensar mais profundamente sobre como a IA como serviço poderia desempenhar um papel em futuras campanhas de phishing.

Recomendado: Cientistas criaram um neurônio artificial que realmente retém memórias eletrônicas